1.

Prezenta anexă conține dispoziții pentru punerea în aplicare a articolului 5 din anexa A. Aceasta stabilește, în special, criteriile aplicate de SEAE pentru a determina dacă o persoană poate fi autorizată să aibă acces la IUEC, ținându-se seama de loialitatea, onestitatea și seriozitatea acesteia, precum și de procedurile administrative și de investigare care trebuie urmate în acest sens.

2.

„Certificatul de securitate a personalului” (CSP) pentru accesul la IUEC este o declarație a unei autorități competente a unui stat membru făcută după încheierea unei investigații de securitate efectuate de autoritățile competente ale unui stat membru, care certifică faptul că unei persoane îi poate fi acordat accesul la IUEC până la un nivel precizat (CONFIDENTIEL UE/EU CONFIDENTIAL sau superior), până la o anumită dată, odată ce a fost stabilită necesitatea de a cunoaște în cazul său; se consideră că persoana astfel descrisă „deține certificatul de securitate”.

3.

„Certificarea autorizării de securitate a personalului” (CASP) este un certificat eliberat de autoritatea de securitate a SEAE care atestă faptul că o persoană a făcut obiectul verificărilor de securitate și deține un CSP valabil, care indică nivelul IUEC la care acesteia i se poate acorda acces, data de valabilitate a CSP relevant și data de expirare a certificării.

4.

„Autorizația de acces la IUEC” este o autorizație din partea autorității de securitate a SEAE care este luată în conformitate cu prezenta decizie în urma eliberării unui CSP de către autoritățile competente ale unui stat membru și care certifică faptul că unei persoane îi poate fi acordat accesul la IUEC până la un nivel precizat (CONFIDENTIEL UE/EU CONFIDENTIAL sau superior), până la o anumită dată, odată ce a fost stabilită necesitatea de a cunoaște în cazul său; se consideră că persoana astfel descrisă „deține autorizația de acces”.

5.

Accesul la informații clasificate RESTREINT UE/EU RESTRICTED nu necesită deținerea unui certificat de securitate și este acordat după ce:

6.

Unei persoane i se permite accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior numai după parcurgerea următoarelor etape:

7.

SEAE identifică funcțiile din structurile sale care necesită accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior și care, prin urmare, necesită deținerea unui CSP de nivel corespunzător, astfel cum este menționat la punctul 4 de mai sus.

8.

Personalul SEAE declară dacă deține cetățenia mai multor țări.

9.

Pentru personalul SEAE, autoritatea de securitate a SEAE înaintează chestionarul privind securitatea personalului completat către ANS a statului membru a cărui cetățenie o deține persoana în cauză, solicitând efectuarea unei investigații de securitate pentru nivelul IUEC la care va trebui să i se acorde accesul persoanei respective.

10.

În cazul în care o persoană deține cetățenia mai multor țări, cererea de verificare va fi adresată ANS a țării a cărei cetățenie a fost declarată de persoana respectivă în momentul în care a fost recrutată.

11.

În cazul în care SEAE intră în posesia unor informații relevante pentru o investigație de securitate referitoare la o persoană care a solicitat un CSP, SEAE, acționând în conformitate cu actele cu putere de lege și dispozițiile administrative relevante, notifică acest lucru ANS competente.

12.

După încheierea investigației de securitate, ANS competentă notifică Direcției SEAE responsabilă de securitate rezultatul acestei investigații.

13.

Investigația de securitate, împreună cu rezultatele obținute, pe care SEAE își întemeiază decizia de a acorda sau nu o autorizație de acces la IUEC, face obiectul actelor cu putere de lege și dispozițiilor administrative relevante în vigoare în statul membru în cauză, inclusiv celor privind căile de atac. Deciziile autorității de securitate a SEAE pot face obiectul unor căi de atac, în conformitate cu Statutul funcționarilor

14.

Garanțiile pe care se bazează un CSP, cu condiția ca acestea să rămână valabile, acoperă orice funcție deținută de persoana în cauză în cadrul SEAE, al Secretariatului General al Consiliului sau al Comisiei.

15.

SEAE acceptă autorizația de acces la IUEC acordată de orice altă instituție, alt organ sau altă agenție a Uniunii Europene, cu condiția ca aceasta să fie în continuare valabilă. Autorizațiile trebuie să acopere orice funcție deținută de persoana în cauză în cadrul SEAE. Instituția, organul sau agenția Uniunii Europene în care își preia funcția persoana respectivă va informa ANS relevantă cu privire la schimbarea angajatorului.

16.

Dacă o persoană nu își începe activitatea în termen de 12 luni de la notificarea rezultatului investigației de securitate autorității de securitate a SEAE sau dacă intervine o pauză de 12 luni sau mai mare în exercitarea atribuțiilor persoanei respective, timp în care aceasta nu a fost angajată în cadrul SEAE, în alte instituții, agenții sau organe ale UE sau într-o funcție în cadrul administrației naționale a unui stat membru care necesită accesul la informații clasificate, rezultatul respectiv al investigației este prezentat ANS competente, pentru a se confirma că este în continuare valabil și pertinent.

17.

În cazul în care SEAE intră în posesia unor informații privind un risc de securitate reprezentat de o persoană care deține un CSP valabil, SEAE, acționând în conformitate cu actele cu putere de lege și dispozițiile administrative relevante, notifică acest lucru ANS competente și poate suspenda accesul la IUEC sau poate retrage autorizația de acces la IUEC. În cazul în care o ANS notifică SEAE retragerea unei garanții acordate în conformitate cu punctul 12 litera (a) unei persoane care deține o autorizație valabilă de acces la IUEC, autoritatea de securitate a SEAE poate solicita ANS orice clarificare pe care aceasta o poate furniza în conformitate cu actele cu putere de lege și dispozițiile administrative naționale ale acesteia. În cazul în care informațiile nefavorabile sunt confirmate, persoanei respective i se retrage autorizația menționată mai sus și i se interzice accesul la IUEC și la funcțiile care permit accesul la acestea sau din care ar putea compromite securitatea.

18.

Orice decizie de a retrage unui membru al personalului SEAE autorizația de acces la IUEC și, după caz, motivele care stau la baza acestui lucru sunt comunicate persoanei în cauză, care poate solicita să fie audiată de către autoritatea de securitate a SEAE. Informațiile furnizate de o ANS fac obiectul actelor cu putere de lege și dispozițiilor administrative relevante în vigoare în statul membru în cauză, inclusiv a celor privind căile de atac. Deciziile autorității de securitate a SEAE pot face obiectul unor căi de atac, în conformitate cu Statutul funcționarilor.

19.

Experții naționali detașați în cadrul SEAE pentru a exercita o funcție care necesită accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior trebuie să prezinte autorității de securitate a SEAE, înainte de a-și prelua funcția, un CSP valabil pentru accesul la IUEC la nivelul relevant. Procesul de mai sus este gestionat de statul membru care detașează experții respectivi.

20.

SEAE păstrează o bază de date privind certificatele de securitate ale tuturor membrilor personalului aflat sub responsabilitatea SEAE și ale personalului contractanților SEAE. Aceste registre conțin nivelul IUEC la care se poate acorda acces persoanei în cauză (CONFIDENTIEL UE/EU CONFIDENTIAL sau un nivel superior), data acordării CSP și perioada de valabilitate a acestuia.

21.

Împreună cu statele membre și cu alte instituții, agenții și organe ale UE, se instituie proceduri de coordonare adecvate pentru a se asigura că SEAE deține registre exacte și complete ale certificatelor de securitate ale tuturor membrilor personalului aflat sub responsabilitatea SEAE și ale personalului contractanților SEAE.

22.

Autoritatea de securitate a SEAE poate elibera o certificare a autorizării de securitate a personalului (CASP) care să indice nivelul IUEC la care se poate acorda acces persoanei în cauză (CONFIDENTIEL UE/EU CONFIDENTIAL sau un nivel superior), data de valabilitate a CSP relevant sau a autorizației relevante și data de expirare a certificării.

23.

Persoanele autorizate în mod corespunzător să aibă acces la IUEC în temeiul funcțiilor lor în conformitate cu actele cu putere de lege și reglementările naționale sunt informate, după caz, de către Direcția SEAE responsabilă de securitate cu privire la obligațiile de securitate care le revin în ceea ce privește protecția IUEC.

24.

Înainte de a fi autorizate să aibă acces la IUEC, toate persoanele confirmă în scris faptul că își înțeleg obligațiile cu privire la protecția IUEC, precum și consecințele compromiterii IUEC. SEAE păstrează un registru cu aceste confirmări scrise.

25.

Toate persoanele autorizate să aibă acces la IUEC sau care trebuie să manipuleze IUEC primesc, inițial, informații cu privire la amenințările la adresa securității, sunt informate periodic despre acestea și trebuie să raporteze imediat autorităților de securitate competente orice abordare sau activitate pe care o consideră suspectă sau neobișnuită.

26.

Toate persoanele cărora li s-a acordat acces la IUEC trebuie să facă obiectul unor măsuri de securitate a personalului continue (și anume, sunt monitorizate) pentru perioada în care manipulează IUEC. Securitatea permanentă a personalului se află în responsabilitatea:

27.

Toate persoanele care încetează să aibă atribuții care necesită acces la IUEC sunt informate asupra obligațiilor care le revin pentru protecția continuă a IUEC și, dacă este cazul, confirmă acest lucru în scris.

28.

În cazuri de urgență, când interesul SEAE o justifică corespunzător și în așteptarea finalizării unei investigații de securitate complete, autoritatea de securitate a SEAE poate acorda o autorizație temporară funcționarilor și altor agenți ai SEAE pentru accesul la IUEC pentru o funcție specifică, după consultarea ANS a statului membru a cărui cetățenie este deținută de persoana respectivă și cu condiția ca rezultatul verificărilor preliminare să ateste că nu se cunosc informații nefavorabile. Investigația de securitate completă ar trebui finalizată cât mai curând posibil. Astfel de autorizații temporare vor fi valabile pentru maximum șase luni și nu permit accesul la informații clasificate TRES SECRET UE/EU TOP SECRET. Toate persoanele cărora li s-a acordat o autorizație temporară confirmă în scris faptul că își înțeleg obligațiile cu privire la protecția IUEC, precum și consecințele compromiterii IUEC. SEAE păstrează registre ale acestor confirmări scrise.

29.

În cazul în care o persoană urmează să fie numită într-o funcție care necesită un CSP de nivel superior celui deținut în prezent de persoana în cauză, numirea se poate face provizoriu, cu condiția ca:

30.

Procedura de mai sus este utilizată pentru a se acorda acces o singură dată la IUEC de nivel superior următor celui pentru care persoana deține certificatul de securitate. Nu se recurge în mod repetat la această procedură.

31.

În împrejurări absolut excepționale, precum misiunile în medii ostile sau în perioade de creștere a tensiunii internaționale, atunci când măsurile de urgență o impun, în special în scopul salvării de vieți, ÎR, autoritatea de securitate a SEAE sau DGBA poate acorda, dacă este posibil în scris, accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET unor persoane care nu dețin CSP-ul necesar, cu condiția ca permisiunea în acest sens să fie absolut necesară. Se păstrează o dovadă a acestor permisiuni, cu descrierea informațiilor la care s-a aprobat accesul.

32.

În cazul informațiilor clasificate TRES SECRET UE/EU TOP SECRET, acest acces de urgență este limitat la cetățeni ai UE cărora li s-a autorizat accesul fie la nivelul național echivalent al TRES SECRET UE/EU TOP SECRET, fie la informații clasificate SECRET UE/EU SECRET.

33.

Comitetul de securitate al SEAE este informat cu privire la cazurile în care se utilizează procedura prevăzută la punctele 31 și 32.

34.

Comitetul de securitate al SEAE primește un raport anual cu privire la utilizarea procedurilor prevăzute în prezenta secțiune.

35.

Persoanele desemnate să participe la reuniuni la sediul SEAE și în delegațiile Uniunii în cadrul cărora se discută informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior pot participa numai după ce se confirmă că dețin un CSP. Pentru reprezentanții statelor membre, pentru funcționarii Secretariatului General al Consiliului și ai Comisiei, o CASP sau o altă dovadă a CSP este transmisă de autoritățile competente Direcției SEAE responsabilă de securitate, coordonatorului de securitate al delegației Uniunii sau, în mod excepțional, este prezentată de către persoana în cauză. După caz, se poate folosi o listă consolidată a numelor, care să cuprindă dovada relevantă a CSP.

36.

În cazul în care un CSP care permite accesul la IUEC i se retrage unei persoane ale cărei atribuții impun participarea la reuniuni la sediul SEAE sau într-o delegație a Uniunii la care se discută informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la nivel superior, SEAE este informat în acest sens de către autoritatea competentă.

37.

În cazul în care o persoană urmează a fi angajată într-o funcție în care este posibil să aibă acces la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior, aceasta deține un certificat de securitate adecvat sau este escortată în permanență.

38.

Curierii, gardienii și escortele dețin certificate de securitate de nivel corespunzător sau fac obiectul unor investigații adecvate în conformitate cu actele cu putere de lege și dispozițiile administrative naționale, sunt informați periodic cu privire la procedurile de securitate pentru protecția IUEC și la obligațiile care le revin pentru protecția acestor informații care le sunt încredințate sau la care pot avea acces în mod accidental.

1.

Prezenta anexă conține dispoziții pentru punerea în aplicare a articolului 6 din anexa A. Anexa stabilește cerințele minime pentru protecția fizică a incintelor, clădirilor, birourilor, sălilor și a altor spații în care se manipulează și se păstrează IUEC, inclusiv a spațiilor în care sunt amplasate SIC.

2.

Măsurile de securitate fizică sunt concepute pentru a împiedica accesul neautorizat la IUEC prin faptul că:

3.

SEAE folosește un proces de gestionare a riscurilor pentru protejarea IUEC în incintele sale, pentru a asigura aplicarea unui nivel de protecție fizică proporțional cu riscurile evaluate. Procesul de gestionare a riscurilor ține seama de toți factorii relevanți, în special de:

4.

Autoritatea de securitate a SEAE, prin aplicarea conceptului apărării în profunzime, stabilește combinația corespunzătoare de măsuri de securitate fizică care trebuie puse în aplicare. Acestea pot include una sau mai multe dintre următoarele:

5.

Direcția SEAE responsabilă de securitate poate efectua controale la intrare și la ieșire, pentru a descuraja introducerea neautorizată de materiale sau sustragerea neautorizată de IUEC din incinte sau clădiri.

6.

Atunci când există riscul vizualizării, chiar accidentale, a IUEC, se iau măsuri adecvate pentru contracararea acestui risc.

7.

În ceea ce privește incintele noi, cerințele de securitate fizică și specificațiile funcționale ale acestora se definesc ca parte a planificării și concepției incintelor. Pentru incintele existente, cerințele de securitate fizică sunt puse în aplicare în cea mai mare măsură posibilă.

8.

La achiziționarea echipamentelor destinate protecției fizice a IUEC (cum ar fi containere de securitate, mașini de distrus documente, încuietori pentru uși, sisteme electronice de control al accesului, SDI, sisteme de alarmă), autoritatea de securitate a SEAE se asigură că echipamentele în cauză respectă standardele tehnice și cerințele minime aprobate.

9.

Specificațiile tehnice ale echipamentelor destinate protecției fizice a IUEC sunt prevăzute în orientările de securitate care trebuie aprobate de Comitetul de securitate al SEAE.

10.

Sistemele de securitate sunt inspectate la intervale regulate și echipamentele sunt întreținute periodic. Lucrările de întreținere țin seama de rezultatul inspecțiilor pentru a se asigura funcționarea echipamentelor la cote optime.

11.

Eficacitatea măsurilor individuale de securitate și a sistemului de securitate în ansamblul său este reevaluată cu ocazia fiecărei inspecții.

12.

Pentru protecția fizică a IUEC, se instituie două tipuri de zone protejate fizic sau echivalentele acestora la nivel național:

13.

Autoritatea de securitate a SEAE decide că o zonă îndeplinește cerințele pentru a fi desemnată drept zonă administrativă, zonă securizată sau zonă securizată din punct de vedere tehnic.

14.

Pentru zonele administrative:

15.

Pentru zonele securizate:

16.

Atunci când accesul într-o zonă securizată este echivalent, în practică, cu accesul direct la informațiile clasificate aflate în zona respectivă, se aplică următoarele cerințe suplimentare:

17.

Zonele securizate protejate împotriva interceptării audio sunt desemnate drept zone securizate din punct de vedere tehnic. Se aplică următoarele cerințe suplimentare:

18.

Fără a aduce atingere punctului 17 litera (d), înainte de a fi utilizate în zonele în care se desfășoară reuniuni sau se lucrează cu informații clasificate SECRET UE/EU SECRET și la un nivel superior și în cazul în care amenințarea la adresa IUEC este evaluată ca fiind semnificativă, toate dispozitivele de comunicare și echipamentele electrice sau electronice sunt examinate, mai întâi, de autoritatea de securitate a SEAE pentru a se asigura faptul că nicio informație inteligibilă nu poate fi transmisă în mod accidental sau ilicit prin intermediul unor astfel de echipamente în afara perimetrului zonei securizate.

19.

Zonele securizate care nu sunt ocupate de personalul de serviciu 24 de ore/zi sunt, după caz, inspectate după încheierea programului normal de lucru și la intervale aleatorii în afara acestuia, cu excepția cazului în care în zonele respective este instalat un SDI.

20.

Pot fi instituite temporar zone securizate și zone securizate din punct de vedere tehnic întro zonă administrativă, în scopul unei reuniuni clasificate sau în orice alt scop similar.

21.

Pentru fiecare zonă securizată se elaborează proceduri operaționale de securitate, care prevăd:

22.

În cadrul zonelor securizate se construiesc camere tezaur. Pereții, podelele, tavanele, ferestrele și ușile cu încuietori sunt aprobate de autoritatea de securitate a SEAE și oferă o protecție echivalentă celei garantate de un container de securitate aprobat pentru păstrarea IUEC cu același nivel de clasificare.

23.

IUEC clasificate RESTREINT UE/EU RESTRICTED pot fi manipulate:

24.

IUEC clasificate RESTREINT UE/EU RESTRICTED sunt păstrate în mobilier de birou încuiat în mod corespunzător, într-o zonă administrativă sau o zonă securizată. Aceste informații pot fi păstrate temporar în afara unei zone securizate sau a unei zone administrative, cu condiția ca deținătorul să se fi angajat să respecte măsurile compensatorii stabilite în instrucțiunile de securitate emise de autoritatea de securitate a SEAE.

25.

IUEC clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET pot fi manipulate:

26.

IUEC clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET sunt păstrate într-o zonă securizată, într-un container de securitate sau într-o cameră tezaur.

27.

IUEC clasificate TRES SECRET UE/EU TOP SECRET sunt manipulate într-o zonă securizată.

28.

IUEC clasificate TRES SECRET UE/EU TOP SECRET sunt păstrate într-o zonă securizată la sediu, în una dintre următoarele condiții:

29.

Anexa A III conține norme care reglementează transportul IUEC în afara zonelor protejate fizic.

30.

Autoritatea de securitate a SEAE definește proceduri pentru gestionarea cheilor și a combinațiilor de cifruri pentru birouri, săli, camere tezaur și containere de securitate. Astfel de proceduri au rolul de a asigura protecția împotriva accesului neautorizat.

31.

Combinațiile de cifruri sunt memorate de cel mai mic număr de persoane posibil care trebuie să le cunoască. Combinațiile de cifruri pentru containerele de securitate și camerele tezaur în care sunt păstrate IUEC sunt schimbate:

1.

Prezenta anexă conține dispoziții pentru punerea în aplicare a articolului 7 din anexa A. Anexa stabilește măsurile administrative pentru controlul IUEC pe durata ciclului lor de viață, în scopul de a contribui la descurajarea, detectarea și remedierea compromiterii sau pierderii deliberate sau accidentale a informațiilor de acest tip.

2.

Informațiile se clasifică atunci când este necesară protecția confidențialității acestora.

3.

Emitentul IUEC are responsabilitatea de a stabili nivelul de clasificare de securitate, în conformitate cu orientările de clasificare relevante, și de a efectua diseminarea informațiilor.

4.

Nivelul de clasificare al IUEC se stabilește în conformitate cu articolul 2 alineatul (2) din anexa A și pe baza orientărilor de securitate care trebuie aprobate în conformitate cu articolul 3 alineatul (3) din anexa A.

5.

Informațiilor clasificate care provin de la statele membre și care fac obiectul unor schimburi cu SEAE li se atribuie același nivel de protecție precum IUEC care au nivelul de clasificare echivalent. Un tabel de echivalență este prezentat în apendicele B la prezenta decizie.

6.

Clasificarea de securitate și, dacă este cazul, data sau evenimentul specific după care nivelul acesteia poate fi redus sau clasificarea poate fi anulată se indică în mod clar și corect, indiferent dacă IUEC se prezintă sub formă tipărită, orală, electronică sau sub orice altă formă.

7.

Anumite părți dintr-un document (și anume, pagini, paragrafe, secțiuni, anexe, apendice, documente însoțitoare sau atașate) pot necesita atribuirea unor niveluri diferite de clasificare și trebuie marcate corespunzător, inclusiv în cazul în care sunt păstrate în format electronic.

8.

În măsura posibilului, documentele care conțin porțiuni cu niveluri de clasificare diferite sunt structurate astfel încât porțiunile cu niveluri de clasificare diferite să poată fi identificate și detașate cu ușurință, dacă este necesar.

9.

Nivelul de clasificare general al unui document sau al unui dosar este cel puțin echivalent cu cel al componentei sale având cel mai ridicat nivel de clasificare. La compilarea unor informații din surse diferite, produsul final este reexaminat pentru a i se stabili nivelul general de clasificare de securitate, deoarece poate necesita o clasificare superioară celei atribuite părților sale componente.

10.

Nivelul de clasificare al scrisorilor sau notelor care însoțesc documente atașate trebuie să fie același cu cel mai ridicat nivel al documentelor atașate. Emitentul indică clar, prin folosirea unui marcaj corespunzător, nivelul de clasificare pe care scrisorile sau notele îl vor avea după ce sunt separate de documentele atașate, de exemplu:

CONFIDENTIEL UE/EU CONFIDENTIAL

Fără anexă/anexe RESTREINT UE/EU RESTRICTED

11.

În afară de marcajele clasificărilor de securitate stabilite la articolul 2 alineatul (2) din anexa A, IUEC pot purta marcaje suplimentare, precum:

12.

Dacă se decide comunicarea unor IUEC către un stat terț sau către o organizație internațională, informațiile clasificate în cauză se transmit de către Direcția SEAE responsabilă de securitate; acestea poartă un marcaj de comunicare care indică statul terț destinatar sau organizația internațională destinatară.

13.

Autoritatea de securitate a SEAE urmează să adopte o listă de marcaje autorizate.

14.

Pentru a indica nivelul de clasificare al anumitor paragrafe din text pot fi utilizate marcaje de clasificare abreviate standardizate. Abrevierile nu înlocuiesc marcajele de clasificare complete.

15.

În interiorul documentelor UE clasificate pot fi utilizate următoarele abrevieri standard pentru a indica nivelul de clasificare al unor secțiuni sau porțiuni de text mai mici de o pagină:

16.

La crearea unui document al UE clasificat:

17.

În cazul acelor IUEC cărora nu li se poate aplica punctul 16, se iau alte măsuri corespunzătoare în conformitate cu orientările de securitate convenite în temeiul prezentei decizii.

18.

În momentul elaborării documentului, emitentul indică, atunci când este posibil și în special pentru informațiile clasificate RESTREINT UE/EU RESTRICTED, dacă informațiilor UE clasificate le poate fi scăzut nivelul de clasificare sau dacă acestea pot fi declasificate la o anumită dată sau în urma unui anumit eveniment.

19.

SEAE reexaminează în mod periodic IUEC pe care le deține, pentru a evalua necesitatea menținerii nivelului de clasificare. SEAE stabilește un sistem de reexaminare, cel puțin o dată la cinci ani, a nivelului de clasificare al IUEC înregistrate pe care le-a emis. O astfel de reexaminare nu este necesară dacă emitentul a indicat de la început un termen anume la care informațiilor trebuie să li se scadă automat nivelul de clasificare sau la care acestea trebuie declasificate automat și dacă informațiile au fost marcate în consecință.

20.

La sediu se creează un registru central. Pentru fiecare entitate organizațională din cadrul SEAE în care sunt manipulate IUEC se creează un registru responsabil subordonat registrului central, pentru a se asigura faptul că IUEC sunt manipulate în conformitate cu prezenta decizie. Registrele se amenajează ca zone securizate, astfel cum se definește în anexa A.

Fiecare delegație a Uniunii își stabilește propriul registru al IUEC.

Autoritatea de securitate a SEAE desemnează un șef al acestor registre.

21.

În sensul prezentei decizii, înregistrarea din motive de securitate (denumită în continuare „înregistrarea”) înseamnă aplicarea unor proceduri prin care se înregistrează ciclul de viață al informațiilor, inclusiv diseminarea și distrugerea acestora. În cazul unui SIC, procedurile de înregistrare pot fi efectuate prin procese din cadrul respectivului SIC.

22.

Toate materialele clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și la un nivel superior sunt înregistrate ori de câte ori parvin unei entități organizaționale sau părăsesc entitatea respectivă, inclusiv delegațiilor Uniunii. Informațiile clasificate TRES SECRET UE/EU TOP SECRET sunt înregistrate în registre speciale.

23.

Registrul central constituie, la sediul SEAE, principalul punct de intrare și de ieșire pentru schimburile de informații clasificate cu state terțe și organizații internaționale. În acesta se păstrează evidența tuturor schimburilor de astfel de informații.

24.

Autoritatea de securitate a SEAE aprobă orientările de securitate privind înregistrarea IUEC în scopuri de securitate, în conformitate cu articolul 14 din prezenta decizie.

25.

Registrul central de la sediul SEAE este desemnat ca autoritate centrală de primire și de expediere a informațiilor clasificate TRES SECRET UE/EU TOP SECRET. Dacă este necesar, pot fi desemnate registre subordonate care să trateze astfel de informații în scopul înregistrării.

26.

Aceste registre subordonate nu pot transmite documente clasificate TRES SECRET UE/EU TOP SECRET direct altor registre subordonate aceluiași registru central TRES SECRET UE/EU TOP SECRET sau în exterior fără aprobarea expresă și scrisă a acestuia din urmă.

27.

Documentele TRES SECRET UE/EU TOP SECRET nu pot fi copiate sau traduse decât cu consimțământul scris prealabil al emitentului.

28.

În cazul în care emitentul documentelor clasificate SECRET UE/EU SECRET și la un nivel inferior nu a impus restricții de copiere sau de traducere, astfel de documente pot fi copiate sau traduse conform instrucțiunilor deținătorului.

29.

Măsurile de securitate aplicabile documentului original se aplică copiilor și traducerilor acestuia. Copiile documentelor clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior se realizează numai de către un registru (subordonat) relevant cu ajutorul unui copiator securizat. Copiile trebuie înregistrate.

30.

Pentru transportul IUEC se respectă măsurile de protecție prevăzute la punctele 32-42. În cazul în care IUEC sunt transportate pe suporturi electronice și fără a aduce atingere articolului 7 alineatul (4) din anexa A, măsurile de protecție prevăzute mai jos pot fi completate de contramăsuri tehnice adecvate stabilite de autoritatea de securitate a SEAE, astfel încât riscul pierderii sau compromiterii lor să fie redus la minimum.

31.

Autoritatea de securitate a SEAE emite instrucțiuni privind transportul IUEC în conformitate cu prezenta decizie.

32.

IUEC transportate în interiorul unei clădiri sau al unui grup autonom de clădiri sunt acoperite, astfel încât observarea conținutului acestora să fie împiedicată.

33.

În interiorul unei clădiri sau al unui grup autonom de clădiri, informațiile clasificate TRES SECRET UE/EU TOP SECRET sunt transportate de către persoane care dețin un certificat de securitate corespunzător și într-un plic securizat pe care este înscris numai numele destinatarului.

34.

IUEC transportate între clădiri sau incinte aflate în UE sunt ambalate, astfel încât să fie protejate împotriva divulgării neautorizate.

35.

Transportul informațiilor clasificate până la nivelul SECRET UE/EU SECRET pe teritoriul UE se efectuează prin următoarele mijloace:

În cazul transportului dintr-un stat membru în alt stat membru, dispozițiile literei (c) se aplică numai informațiilor clasificate până la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL.

36.

Materialele clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET (de exemplu, echipamente sau aparate) care nu pot fi transportate prin mijloacele prevăzute la punctul 34 sunt transportate ca marfă de către societăți comerciale de curierat, în conformitate cu anexa A V.

37.

Transportul informațiilor clasificate TRES SECRET UE/EU TOP SECRET între clădiri sau incinte din UE se efectuează prin curier militar, guvernamental sau diplomatic, după caz.

38.

IUEC transportate din UE către teritoriul unui stat terț sau între entități ale UE situate în state terțe sunt astfel ambalate încât să fie protejate împotriva divulgării neautorizate.

39.

Transportul informațiilor clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET din UE către teritoriul unui stat terț și transportul oricăror informații clasificate până la nivelul SECRET UE/EU SECRET între entități ale UE situate în state terțe se efectuează prin unul dintre următoarele mijloace:

40.

Transportul informațiilor clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET și comunicate de UE unui stat terț sau unei organizații internaționale respectă dispozițiile relevante prevăzute de un acord privind securitatea informațiilor sau de un acord administrativ încheiat în conformitate cu articolul 10 alineatul (2) din anexa A.

41.

Informațiile clasificate RESTREINT UE/EU RESTRICTED pot fi, de asemenea, transportate din UE către teritoriul unui stat terț prin intermediul serviciilor poștale sau al serviciilor de curierat comercial.

42.

Transportul informațiilor clasificate TRES SECRET UE/EU TOP SECRET din UE către teritoriul unui stat terț sau între entități ale UE situate în state terțe se efectuează prin curier militar sau diplomatic.

43.

Documentele UE clasificate care nu mai sunt necesare pot fi distruse, fără a se aduce atingere normelor și reglementărilor relevante privind arhivarea.

44.

Documentele care trebuie înregistrate în conformitate cu articolul 7 alineatul (2) din anexa A se distrug de către registrul responsabil, la instrucțiunile deținătorului sau ale unei autorități competente. Registrele de evidență și alte informații de înregistrare sunt actualizate corespunzător.

45.

În ceea ce privește documentele clasificate SECRET UE/EU SECRET sau TRES SECRET UE/EU TOP SECRET, distrugerea are loc în prezența unui martor care deține un certificat de securitate de nivel cel puțin echivalent cu nivelul documentului distrus.

46.

Gestionarul registrului și martorul, în cazul în care este necesară prezența acestuia, semnează un proces-verbal de distrugere, care este păstrat la registru. Registrul păstrează procesele-verbale de distrugere timp de cel puțin zece ani în cazul documentelor TRES SECRET UE/EU TOP SECRET și de cel puțin cinci ani în cazul documentelor CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET.

47.

Documentele clasificate, inclusiv cele clasificate RESTREINT UE/EU RESTRICTED, sunt distruse prin metode care îndeplinesc standardele relevante ale UE sau standardele echivalente sau care au fost aprobate de statele membre în conformitate cu standardele tehnice naționale astfel încât să se împiedice reconstituirea lor totală sau parțială.

48.

Distrugerea suporturilor informatice de stocare utilizate pentru IUEC se realizează în conformitate cu procedurile aprobate de către autoritatea de securitate a SEAE.

49.

În conformitate cu articolul 16 din prezenta decizie, inspecțiile de securitate ale SEAE cuprind:

50.

Inspecțiile de securitate ale SEAE se efectuează de către o echipă de inspecție din cadrul Direcției SEAE responsabilă de securitate și, atunci când este necesar, cu sprijinul experților în materie de securitate din alte instituții ale UE sau din statele membre.

Echipa de inspecție are acces la toate amplasamentele în care se manipulează IUEC, în special la registre și la punctele de prezență ale SIC.

51.

În cadrul delegațiilor Uniunii, inspecțiile de securitate ale SEAE pot fi efectuate, ori de câte ori este necesar, cu sprijinul responsabililor cu securitatea de la ambasadele statelor membre situate în țările terțe.

52.

Înainte de sfârșitul fiecărui an calendaristic, autoritatea de securitate a SEAE adoptă un program de inspecții de securitate în cadrul SEAE pentru anul următor.

53.

Autoritatea de securitate a SEAE poate organiza, ori de câte ori este necesar, inspecții de securitate care nu sunt prevăzute în programul sus-menționat.

54.

La sfârșitul inspecției de securitate, entității inspectate i se prezintă principalele concluzii și recomandări. Ulterior, echipa de inspecție întocmește un raport de inspecție. În cazurile în care s-au propus măsuri corective și recomandări, în raport se includ suficiente detalii pentru a sprijini concluziile la care s-a ajuns. Raportul este înaintat autorității de securitate a SEAE și directorului entității inspectate.

Sub responsabilitatea Direcției SEAE responsabilă de securitate se elaborează un raport periodic care ilustrează principalele concluzii desprinse în urma inspecțiilor desfășurate într-o perioadă specificată și care este analizat de Comitetul de securitate al SEAE.

55.

Direcția SEAE responsabilă de securitate poate, după caz, desemna experți colaboratori care să participe la echipele comune de inspecție ale UE care efectuează inspecții în agențiile și organele UE instituite în temeiul titlului V capitolul 2 din TUE.

56.

Direcția SEAE responsabilă de securitate elaborează și actualizează o listă de control pentru inspecțiile de securitate, cuprinzând aspectele care urmează să fie verificate în cursul unei inspecții de securitate a SEAE. Lista de control respectivă este înaintată Comitetului de securitate al SEAE.

57.

Informațiile necesare pentru completarea listei de control sunt obținute în special în timpul inspecției de la personalul de conducere responsabil cu securitatea al entității inspectate. Odată completată cu răspunsurile detaliate, lista de control este clasificată de comun acord cu entitatea inspectată. Aceasta nu face parte din raportul de inspecție.

1.

Prezenta anexă conține dispoziții pentru punerea în aplicare a articolului 8 din anexa A.

2.

Următoarele proprietăți și concepte referitoare la asigurarea informațiilor (AI) sunt esențiale pentru securitatea și funcționarea corectă a operațiilor derulate în sistemele informatice și de comunicații (SIC):

3.

Dispozițiile enunțate în continuare formează baza pentru securitatea oricăror SIC care manipulează IUEC. Cerințele detaliate pentru punerea în aplicare a acestor dispoziții sunt definite în orientările de securitate privind AI.

4.

Gestionarea riscurilor de securitate face parte integrantă din definirea, dezvoltarea, utilizarea și întreținerea SIC. Gestionarea riscurilor (evaluarea, tratarea, acceptarea și comunicarea) se efectuează, ca proces iterativ, în comun de către reprezentanți ai proprietarilor de sisteme, ai autorităților responsabile cu proiectul, ai autorităților responsabile cu funcționarea și ai autorităților de aprobare în materie de securitate, utilizând un proces de evaluare a riscurilor confirmat, transparent și care poate fi pe deplin înțeles. Domeniul de acoperire al SIC și al activelor sale este definit clar în momentul inițierii procesului de gestionare a riscurilor.

5.

Autoritățile competente ale SEAE reexaminează potențialele amenințări la adresa SIC și efectuează evaluări precise și actualizate ale amenințărilor, care reflectă mediul operațional curent. Acestea își actualizează permanent cunoștințele în problemele de vulnerabilitate și reexaminează periodic evaluarea vulnerabilității, pentru a ține pasul cu schimbările din domeniul tehnologiei informației (IT).

6.

Rolul gestionării riscurilor de securitate este de a aplica un set de măsuri de securitate care duc la un echilibru satisfăcător între cerințele utilizatorului și riscurile reziduale de securitate.

7.

Cerințele specifice, scara și gradul de detaliere pe care autoritatea relevantă de acreditare în materie de securitate (AAS) le stabilește pentru acreditarea unui SIC sunt proporționale cu riscurile evaluate, ținând seama de toți factorii relevanți, inclusiv de nivelul de clasificare al IUEC manipulate în cadrul SIC. Acreditarea implică o declarație formală privind riscurile reziduale și acceptarea riscurilor reziduale de către o autoritate responsabilă.

8.

Asigurarea securității constituie o obligație pe tot parcursul ciclului de viață al SIC, de la inițiere la retragerea din exploatare.

9.

Rolul și interacțiunea fiecărui actor implicat într-un SIC în ceea ce privește securitatea se stabilesc clar pentru fiecare fază a ciclului de viață.

10.

Orice SIC, inclusiv măsurile sale de securitate tehnice și de altă natură, face obiectul unor teste de securitate în cursul procesului de acreditare, pentru a se garanta obținerea nivelului corespunzător de asigurare privind măsurile de securitate puse în aplicare și pentru a se verifica dacă măsurile respective sunt corect puse în aplicare, integrate și configurate.

11.

Evaluările, inspecțiile și reexaminările de securitate sunt efectuate periodic, în cursul operării și al întreținerii unui SIC, precum și atunci când apar situații excepționale.

12.

Documentația privind securitatea unui SIC evoluează pe parcursul ciclului de viață al acestuia, ca parte integrantă a procesului de gestionare a modificărilor și a configurației.

13.

SEAE cooperează cu SGC, Comisia și statele membre pentru elaborarea celor mai bune practici în materie de protecție a IUEC manipulate într-un SIC. Orientările privind bunele practici conțin măsuri de securitate de ordin tehnic, fizic, organizatoric și procedural pentru SIC a căror eficacitate în contracararea unor amenințări și vulnerabilități a fost dovedită.

14.

Protecția IUEC manipulate într-un SIC se bazează pe lecțiile învățate de entitățile implicate în AI, atât din interiorul, cât și din exteriorul UE.

15.

Diseminarea și punerea în aplicare ulterioară a celor mai bune practici contribuie la atingerea unui nivel de asigurare echivalent pentru diversele SIC care sunt operate de SEAE și în care sunt manipulate IUEC.

16.

În scopul atenuării riscurilor la adresa SIC, sunt puse în aplicare o serie de măsuri de securitate tehnice și de altă natură, organizate pe niveluri de apărare multiple. Aceste niveluri includ:

(a)    descurajarea : măsuri de securitate menite să descurajeze orice adversar care plănuiește să atace SIC;

(b)    prevenirea : măsuri de securitate menite să împiedice sau să blocheze un atac asupra SIC;

(c)    detectarea : măsuri de securitate menite să descopere comiterea unui atac asupra SIC;

(d)    rezistența : măsuri de securitate menite să limiteze impactul unui atac la un număr cât mai mic de informații sau de active ale unui SIC și să împiedice daunele ulterioare; și

(e)    recuperarea : măsuri de securitate menite să reinstaureze o situație securizată a SIC.

Gradul de strictețe și de aplicabilitate al acestor măsuri de securitate este determinat în urma unei evaluări a riscurilor.

17.

Autoritățile competente ale SEAE se asigură că au capacitatea de a reacționa la incidente care pot depăși limitele organizațiilor și ale statelor, în scopul coordonării reacțiilor și al partajării informațiilor cu părți terțe cu privire la astfel de incidente și riscuri conexe (capacități informatizate de reacție în situații de urgență).

18.

În vederea evitării riscurilor care nu sunt necesare, sunt puse în aplicare numai funcțiile, dispozitivele și serviciile necesare pentru îndeplinirea cerințelor operaționale.

19.

Utilizatorii și procesele automate ale SIC beneficiază numai de accesul, privilegiile sau autorizațiile necesare pentru îndeplinirea atribuțiilor lor, în scopul limitării daunelor rezultate în urma accidentelor, a erorilor sau a utilizării neautorizate a resurselor SIC.

20.

Procedurile de înregistrare efectuate de SIC sunt, după caz, verificate ca parte a procesului de acreditare.

21.

Sensibilizarea la riscurile și măsurile de securitate disponibile constituie prima linie de apărare pentru securitatea SIC. În special, toți membrii personalului implicați în ciclul de viață al SIC, inclusiv utilizatorii, înțeleg:

22.

Pentru a se garanta înțelegerea responsabilităților în materie de securitate, tot personalul implicat, inclusiv personalul de conducere de nivel superior și utilizatorii SIC, urmează cursuri obligatorii de formare și de sensibilizare în domeniul AI.

23.

Gradul necesar de încredere în măsurile de securitate, definit ca nivel de asigurare, este determinat în urma rezultatului procesului de gestionare a riscurilor și în conformitate cu politicile și orientările de securitate relevante.

24.

Nivelul de asigurare se verifică prin utilizarea unor procese și metodologii recunoscute la nivel internațional sau aprobate la nivel național. Acestea includ în principal evaluare, controale și audit.

25.

Produsele criptografice destinate protecției IUEC sunt evaluate și aprobate de o autoritate națională de aprobare criptografică (AAC) a unui stat membru.

26.

Înainte de a fi recomandate pentru aprobare de către AAC a SEAE, în conformitate cu articolul 8 alineatul (5) din prezenta decizie, aceste produse criptografice trebuie să treacă cu succes o evaluare de către o a doua parte, efectuată de o autoritate de autorizare calificată (AQUA) a unui stat membru neimplicat în proiectarea sau fabricarea echipamentului. Gradul de detaliere al evaluării efectuate de o a doua parte depinde de nivelul maxim de clasificare avut în vedere al IUEC care urmează să fie protejate prin aceste produse.

27.

Dacă acest lucru este justificat din motive operaționale specifice, AAC a SEAE poate, la recomandarea Comitetului de securitate al Consiliului, să acorde derogări de la cerința prevăzută la punctul 25 sau 26 și să acorde o aprobare provizorie pentru o anumită perioadă în conformitate cu procedura prevăzută la articolul 8 alineatul (5) din prezenta decizie.

28.

O AQUA este o AAC a unui stat membru, acreditată pe baza unor criterii stabilite de Consiliu pentru a efectua cea de a doua evaluare a produselor criptografice pentru protejarea IUEC.

29.

Înaltul Reprezentant aprobă o politică de securitate privind calificarea și aprobarea produselor de securitate IT necriptografice.

30.

Fără a aduce atingere dispozițiilor prezentei decizii, în cazul în care transmiterea IUEC este limitată la zonele securizate sau la zonele administrative, se poate recurge la o distribuție necriptată sau la o criptare la nivel inferior, pe baza rezultatului unui proces de gestionare a riscurilor și cu condiția obținerii aprobării AAS.

31.

În sensul prezentei decizii, o interconectare reprezintă conectarea directă a două sau a mai multor sisteme IT în scopul partajării datelor și a altor resurse informaționale (de exemplu, de comunicații) în mod unidirecțional sau multidirecțional.

32.

Un SIC tratează inițial orice sistem IT interconectat drept sursă nefiabilă și aplică măsuri de protecție pentru a controla schimbul de informații clasificate.

33.

Pentru toate interconectările unui SIC cu un alt sistem IT sunt respectate următoarele cerințe de bază:

34.

Nu se realizează interconectări între un SIC acreditat și o rețea neprotejată sau publică, cu excepția cazurilor în care SIC dispune de un BPS aprobat, care a fost instalat în acest scop între SIC și rețeaua neprotejată sau publică. Măsurile de securitate pentru astfel de interconectări sunt reexaminate de Autoritatea de asigurare a informațiilor (AAI) competentă și sunt aprobate de AAS competentă.

Atunci când rețeaua neprotejată sau publică este utilizată numai ca suport și datele sunt criptate prin intermediul unui produs criptografic aprobat în conformitate cu articolul 8 alineatul (5) din prezenta decizie, o astfel de conexiune nu este considerată ca fiind o interconectare.

35.

Este interzisă interconectarea directă sau în cascadă a unui SIC acreditat să manipuleze informații TRES SECRET UE/EU TOP SECRET la rețele neprotejate sau publice.

36.

Suporturile informatice de stocare sunt distruse în conformitate cu procedurile aprobate de autoritatea de securitate a SEAE.

37.

Suporturilor informatice de stocare le poate fi scăzut nivelul de clasificare sau acestea pot fi declasificate în conformitate cu orientările de securitate care urmează să fie stabilite în temeiul articolului 8 alineatul (2) din prezenta decizie.

38.

Fără a aduce atingere dispozițiilor prezentei decizii, procedurile specifice descrise în continuare pot fi aplicate, pentru o perioadă limitată, într-o situație de urgență, cum ar fi crizele, conflictele sau situațiile de război iminente sau efective sau în împrejurări operaționale excepționale.

39.

IUEC pot fi transmise prin intermediul unor produse criptografice aprobate pentru un nivel de clasificare inferior sau fără a fi criptate, cu consimțământul autorității competente, în cazul în care orice întârziere ar cauza un prejudiciu mult mai grav decât orice prejudiciu rezultat în urma divulgării materialului clasificat și dacă:

40.

Informațiile clasificate transmise în împrejurările enunțate la punctul 39 nu poartă niciun marcaj și nicio indicație care să le distingă de informații care sunt neclasificate sau care pot fi protejate cu ajutorul unui produs de criptare disponibil. Destinatarilor le este notificat fără întârziere nivelul de clasificare, prin alte mijloace.

41.

Dacă se acționează în temeiul dispozițiilor de la punctul 39, se înaintează un raport ulterior Direcției SEAE responsabilă de securitate și, prin intermediul acesteia, Comitetului de securitate al SEAE. În acest raport se vor preciza cel puțin expeditorul, destinatarul și inițiatorul fiecărei IUEC.

42.

În SEAE se stabilesc următoarele funcții în materie de AI. Aceste funcții nu necesită entități organizaționale unice. Ele au mandate separate. Cu toate acestea, aceste funcții și responsabilitățile care le corespund pot fi grupate sau integrate în aceeași entitate organizațională sau distribuite în entități organizaționale diferite, cu condiția să fie evitate conflictele interne de interese sau de sarcini.

43.

AAI este responsabilă cu:

44.

Autoritatea TEMPEST (AT) este responsabilă cu asigurarea conformității SIC cu politicile și orientările TEMPEST. Aceasta aprobă contramăsurile TEMPEST pentru instalațiile și produsele de protecție a IUEC până la un anumit nivel de clasificare în mediul lor operațional.

45.

AAC este responsabilă cu asigurarea conformității produselor criptografice cu orientările privind criptografierea aferente. Aceasta aprobă produse criptografice de protecție a IUEC până la un anumit nivel de clasificare în mediul lor operațional.

46.

ADC este responsabilă cu:

47.

AAS este responsabilă, pentru fiecare sistem, cu:

48.

AAS din cadrul SEAE este responsabilă cu acreditarea tuturor SIC care funcționează în domeniul de competență al SEAE.

49.

Un CAS mixt este responsabil cu acreditarea SIC din domeniul de competență atât al AAS din cadrul SEAE, cât și al AAS din statele membre. Acesta este compus dintr-un reprezentant al AAS din fiecare stat membru, iar la lucrările sale participă un reprezentant al AAS din cadrul SGC și al Comisiei. Alte entități care dispun de puncte de conectare la un SIC sunt invitate să participe, atunci când discuțiile privesc respectivul sistem.

CAS este prezidat de un reprezentant al AAS din cadrul SEAE. Acesta hotărăște prin consensul reprezentanților AAS ale instituțiilor, statelor membre și altor entități care au puncte de conectare la SIC. CAS înaintează Comitetului de securitate al SEAE rapoarte periodice cu privire la activitățile sale și îi notifică toate declarațiile de acreditare.

50.

Autoritatea operațională însărcinată cu AI pentru fiecare sistem este responsabilă de:

1.

Prezenta anexă conține dispoziții pentru punerea în aplicare a articolului 9 din anexa A. Aceasta cuprinde dispoziții generale în materie de securitate aplicabile entităților industriale sau de altă natură în cursul negocierilor anterioare încheierii contractelor și pe toată durata contractelor clasificate atribuite de SEAE.

2.

Autoritatea de securitate a SEAE aprobă orientări privind securitatea industrială în care sunt indicate în special cerințe detaliate referitoare la certificatele de securitate industrială (CSI), anexele de securitate, vizite, transmiterea și transportul IUEC.

3.

Înainte de a lansa o invitație de participare la licitație sau de a atribui un contract clasificat, SEAE, în calitate de autoritate contractantă, stabilește clasificarea de securitate a informațiilor care urmează să fie furnizate ofertanților și contractanților, precum și clasificarea de securitate a informațiilor care urmează să fie create de contractant. În acest scop, SEAE elaborează un GCS care urmează să fie folosit pentru executarea contractului.

4.

Pentru a stabili clasificarea de securitate a diferitelor elemente ale unui contract clasificat se aplică următoarele principii:

5.

Cerințele de securitate specifice unui contract sunt descrise în AS. Atunci când este cazul, AS cuprinde GCS și constituie o parte integrantă a contractului sau a subcontractului clasificat.

6.

AS cuprinde dispoziții prin care se impune contractantului și/sau subcontractantului să respecte standardele minime prevăzute în prezenta decizie. Nerespectarea acestor standarde minime de securitate poate constitui un motiv suficient pentru rezilierea contractului.

7.

În funcție de domeniul de aplicare al programelor sau al proiectelor care implică accesarea, manipularea sau păstrarea IUEC, pot fi elaborate instrucțiuni de securitate pentru program/proiect (ISP) specifice de către autoritatea contractantă desemnată să gestioneze respectivul program sau proiect. ISP necesită aprobarea de către ANS/ASD sau de către oricare altă autoritate de securitate competentă din statele membre participante la program/proiect și pot conține cerințe de securitate suplimentare.

8.

Direcția SEAE responsabilă de securitate solicită ANS/ASD sau altei autorități de securitate competente din statul membru în chestiune să acorde un CSI pentru a atesta că, în conformitate cu actele cu putere de lege și dispozițiile administrative naționale, o entitate industrială sau de altă natură poate proteja IUEC la nivelul de clasificare adecvat (CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET) în localurile proprii. Contractanților, subcontractanților și potențialilor contractanți sau subcontractanți nu le sunt furnizate IUEC și nici nu le sunt acordate drepturi de acces la acestea înainte ca SEAE să fi primit dovada unui CSI.

9.

Atunci când este cazul, SEAE, în calitate de autoritate contractantă, înștiințează ANS/ASD competentă sau orice altă autoritate de securitate competentă că este necesar un CSI, fie în etapa precontractuală, fie pentru executarea contractului. Este necesar un CSI sau un CSP în etapa precontractuală în cazul în care trebuie furnizate IUEC clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET pe parcursul procesului de licitare.

10.

SEAE, în calitate de autoritate contractantă, nu atribuie niciun contract clasificat unui ofertant selectat înainte de a fi primit confirmarea eliberării unui CSI corespunzător, dacă acesta este necesar, din partea ANS/ASD sau a oricărei alte autorități de securitate competente a statului membru în care este înregistrat contractantul sau subcontractantul respectiv.

11.

SEAE, în calitate de autoritate contractantă, solicită ANS/ASD sau oricărei alte autorități de securitate competente care a eliberat un CSI să îi comunice eventualele informații nefavorabile care afectează CSI. În cazul subcontractelor, ANS/ASD sau orice altă autoritate de securitate competentă este informată în mod corespunzător.

12.

Retragerea unui CSI de către ANS/ASD sau de către orice altă autoritate de securitate competentă constituie un motiv suficient pentru ca SEAE, în calitate de autoritate contractantă, să rezilieze un contract clasificat sau să excludă un ofertant din competiție.

13.

Toți membrii personalului contractanților care au nevoie de acces la IUEC clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior trebuie să dețină un certificat de securitate corespunzător, iar accesul acestora la informații trebuie să fie determinat de necesitatea de a cunoaște. Pentru accesul la IUEC clasificate RESTREINT UE/EU RESTRICTED nu este necesar un CSP, însă trebuie să existe necesitatea de cunoaște.

14.

Cererile de CSP pentru personalul unui contractant se înaintează ANS/ASD responsabilă pentru entitatea respectivă.

15.

SEAE le pune în vedere contractanților care doresc să angajeze un resortisant al unui stat terț într-un post care presupune accesul la IUEC că este de responsabilitatea ANS/ASD a statului membru în care își are sediul și este înregistrat angajatorul să stabilească dacă persoanei respective i se poate acorda accesul la astfel de informații, în conformitate cu prezenta decizie, și să confirme că înainte de acordarea unui astfel de acces este necesar să se fi obținut consimțământul emitentului.

16.

Atunci când IUEC sunt furnizate unui ofertant în etapa precontractuală, invitația de participare la licitație trebuie să conțină o dispoziție prin care ofertanții care nu depun o ofertă sau care nu sunt selectați sunt obligați să restituie toate documentele clasificate într-un termen specificat.

17.

Odată ce un contract sau un subcontract clasificat a fost atribuit, SEAE, în calitate de autoritate contractantă, notifică ANS/ASD sau oricărei alte autorități de securitate competente de care ține contractantul sau subcontractantul respectiv dispozițiile în materie de securitate ale contractului clasificat.

18.

În cazul rezilierii sau al ajungerii la termen a acestor contracte, SEAE, în calitate de autoritate contractantă (și/sau ANS/ASD sau orice altă autoritate de securitate competentă, după cum este necesar, în cazul subcontractelor) notifică de îndată acest lucru ANS/ASD sau oricărei alte autorități de securitate competente a statului membru în care este înregistrat contractantul sau subcontractantul.

19.

În general, contractantul sau subcontractantul are obligația de a înapoia autorității contractante, la rezilierea sau la ajungere la termen a contractului sau a subcontractului clasificat, toate IUEC pe care le deține.

20.

Dispozițiile specifice privind distrugerea IUEC în timpul executării contractului sau la rezilierea sau ajungerea la termen a acestuia sunt prevăzute în AS.

21.

În cazul în care contractantul sau subcontractantul este autorizat să păstreze IUEC după rezilierea sau încetarea unui contract, standardele minime cuprinse în prezenta decizie trebuie respectate în continuare și confidențialitatea IUEC trebuie protejată de către contractant sau subcontractant.

22.

Condițiile pe care trebuie să le îndeplinească contractantul pentru a putea subcontracta sunt menționate în invitația de participare la licitație și în contract.

23.

Un contractant obține permisiunea SEAE, în calitate de autoritate contractantă, înainte de a subcontracta părți ale unui contract clasificat. Nu se atribuie subcontracte entităților industriale sau de altă natură înregistrate într-un stat care nu este membru al UE și care nu a încheiat un acord privind securitatea informațiilor cu UE.

24.

Contractantul este responsabil pentru asigurarea faptului că toate activitățile de subcontractare sunt întreprinse în conformitate cu standardele minime prevăzute în prezenta decizie și nu furnizează IUEC unui subcontractant fără consimțământul prealabil scris al autorității contractante.

25.

În ceea ce privește IUEC create sau manipulate de contractant sau de subcontractant, drepturile care îi revin emitentului sunt exercitate de către autoritatea contractantă.

26.

În cazul în care SEAE, contractanții necesită acces la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET în incintele subcontractanților sau invers, în scopul executării unui contract clasificat, vizitele sunt organizate în colaborare cu ANS/ASD sau cu orice altă autoritate de securitate competentă implicată. Acest lucru nu aduce atingere dreptului ANS/ASD de a conveni asupra unei proceduri prin care astfel de vizite pot fi organizate direct, în cadrul unor proiecte specifice.

27.

Accesul vizitatorilor la IUEC legate de contractul cu SEAE se acordă pe baza deținerii unui CSP corespunzător și a respectării principiului necesității de a cunoaște.

28.

Vizitatorilor li se acordă accesul numai la IUEC legate de scopul vizitei.

29.

În ceea ce privește transmiterea IUEC prin mijloace electronice, se aplică dispozițiile relevante ale articolului 8 din anexa A și ale anexei A IV.

30.

În ceea ce privește transportul IUEC, se aplică dispozițiile relevante din anexa A III, în conformitate cu actele cu putere de lege și dispozițiile administrative naționale.

31.

Pentru transportul ca marfă al materialelor clasificate se aplică următoarele principii la stabilirea măsurilor de securitate:

32.

IUEC sunt transferate contractanților și subcontractanților aflați în state terțe care sunt părți la un acord de securitate în curs de valabilitate semnat cu UE, în conformitate cu măsurile de securitate convenite între SEAE, în calitate de autoritate contractantă, și ANS/ASD din statul terț în care este înregistrat contractantul.

33.

SEAE, în calitate de autoritate contractantă, împreună cu, după caz, ANS/ASD a statului membru, are dreptul să efectueze vizite în localurile contractanților/subcontractanților în temeiul clauzelor contractuale, în scopul de a verifica dacă s-au aplicat măsurile de securitate relevante pentru protecția IUEC la nivelul RESTREINT UE/EU RESTRICTED, astfel cum se prevede în contract.

34.

În măsura în care este necesar în temeiul actelor cu putere de lege și al dispozițiilor administrative naționale, ASN/ASD sau orice altă autoritate de securitate competentă este înștiințată de SEAE, în calitatea sa de autoritate contractantă, cu privire la contractele sau subcontractele care conțin informații clasificate RESTREINT UE/EU RESTRICTED.

35.

În cazul contractelor atribuite de SEAE care conțin informații clasificate RESTREINT UE/EU RESTRICTED, contractanții sau subcontractanții și personalul acestora nu au obligația de a deține CSI sau CSP.

36.

SEAE, în calitate de autoritate contractantă, analizează răspunsurile la invitațiile de participare la licitații pentru contractele care necesită accesul la informații clasificate RESTREINT UE/EU RESTRICTED, fără a aduce atingere niciunei cerințe referitoare la CSI sau la CSP care poate exista în temeiul actelor cu putere de lege și al dispozițiilor administrative naționale.

37.

Condițiile pe care trebuie să le îndeplinească contractantul pentru a putea subcontracta trebuie să fie conforme cu punctele 22-24.

38.

Atunci când contractul prevede manipularea unor informații clasificate RESTREINT UE/EU RESTRICTED într-un SIC operat de un contractant, SEAE, în calitatea sa de autoritate contractantă, se asigură că în contract sau în eventuale subcontracte se specifică cerințele tehnice și administrative necesare în ceea ce privește acreditarea SIC, proporționale cu riscurile evaluate, luându-se în considerare toți factorii relevanți. Domeniul de acreditare al unui astfel de SIC este convenit de autoritatea contractantă cu ANS/ASD competentă.

1.

Prezenta anexă conține dispoziții pentru punerea în aplicare a articolului 10 din anexa A.

2.

SEAE poate schimba IUEC cu state terțe sau cu organizații internaționale în conformitate cu articolul 10 alineatul (1) din anexa A.

Pentru sprijinirea ÎR în îndeplinirea responsabilităților stabilite la articolul 218 din TFUE:

3.

Atunci când în acordurile privind securitatea informațiilor se prevede că Direcția SEAE responsabilă de securitate – în coordonare cu Direcția de securitate din cadrul Direcției Generale Resurse Umane și Securitate a Comisiei și cu Oficiul de securitate al Secretariatului General al Consiliului – și autoritatea de securitate competentă a statului terț sau a organizației internaționale în cauză au obligația de a conveni asupra unor modalități tehnice de punere în aplicare, respectivele modalități trebuie să țină seama de nivelul de protecție prevăzut de regulamentele, structurile și procedurile de securitate existente în statul terț sau în cadrul organizației internaționale în cauză.

4.

Atunci când există o necesitate pe termen lung pentru SEAE de a schimba informații clasificate, în principiu, cel mult la nivelul RESTREINT UE/EU RESTRICTED cu un stat terț sau cu o organizație internațională și când s-a stabilit că partea în cauză nu deține un sistem de securitate suficient de dezvoltat care să îi permită încheierea unui acord privind securitatea informațiilor, ÎR poate, după ce a primit avizul favorabil unanim al Comitetului de securitate al SEAE, în conformitate cu articolul 15 alineatul (5) din prezenta decizie, să încheie un acord administrativ cu autoritățile de securitate competente ale statului terț sau ale organizației internaționale în cauză.

5.

Nu este permis schimbul de IUEC prin mijloace electronice cu un stat terț sau cu o organizație internațională, cu excepția cazului în care acest lucru este prevăzut în mod explicit în acordul privind securitatea informațiilor sau în acordul administrativ.

6.

În temeiul acordurilor administrative privind schimbul de informații clasificate, SEAE și statul terț sau organizația internațională desemnează fiecare un registru ca principal punct de intrare și de ieșire a informațiilor clasificate care fac obiectul schimbului. Pentru SEAE, acesta va fi registrul central al SEAE.

7.

În general, acordurile administrative iau forma unui schimb de scrisori.

8.

Vizitele de evaluare menționate la articolul 17 din prezenta decizie sunt efectuate de comun acord cu statul terț sau cu organizația internațională în cauză; ele vizează:

9.

Nu este permis schimbul de IUEC înainte ca vizita de evaluare să fi fost efectuată și ca nivelul la care informațiile clasificate pot fi schimbate între părți să fi fost stabilit, pe baza echivalenței nivelului de protecție care va fi atribuit informațiilor respective.

Dacă, în așteptarea acestei vizite de evaluare, ÎR este informat cu privire la existenta unor motive excepționale sau urgente pentru schimbul de informații clasificate, SEAE:

Dacă SEAE nu poate stabili cine este emitentul, autoritatea de securitate a SEAE își asumă responsabilitatea emitentului după obținerea avizului favorabil unanim al Comitetului de securitate al SEAE.

10.

Atunci când pentru schimbul de informații clasificate cu un stat terț sau cu o organizație internațională există un cadru în conformitate cu articolul 10 alineatul (1) din anexa A, decizia ca SEAE să comunice IUEC unui stat terț sau unei organizații internaționale este adoptată de autoritatea de securitate a SEAE, care poate delega această competență unor înalți funcționari ai SEAE sau altor persoane aflate sub conducerea sa.

11.

Dacă SEAE nu este emitentul informațiilor clasificate care urmează a fi comunicate, și nici al materialelor-sursă pe care aceste informații le-ar putea conține, SEAE solicită, mai întâi, consimțământul scris al emitentului, în scopul de a stabili că nu există obiecții cu privire la comunicarea informațiilor respective. Dacă SEAE nu poate stabili cine este emitentul, autoritatea de securitate a SEAE își asumă responsabilitatea emitentului după obținerea avizului favorabil unanim al statelor membre, astfel cum sunt reprezentate în Comitetul de securitate al SEAE.

12.

Atunci când nu există niciunul dintre cadrele menționate la articolul 10 alineatul (1) din anexa A și când interesele UE sau interesele unuia sau mai multor state membre ale acesteia cer comunicarea de IUEC din motive politice, operaționale sau urgente, IUEC pot fi comunicate, în mod excepțional, unui stat terț sau unei organizații internaționale după întreprinderea următoarelor acțiuni.

După ce s-a asigurat că sunt îndeplinite condițiile prevăzute la punctul 11 de mai sus, Direcția SEAE responsabilă de securitate:

13.

Dacă nu există niciunul dintre cadrele menționate la articolul 10 alineatul (1) din anexa A, partea terță în cauză se angajează, în scris, să protejeze IUEC în mod corespunzător.