1.

Prezenta anexă stabilește dispozițiile pentru punerea în aplicare a articolului 7. Aceasta stabilește criteriile pentru a determina dacă o persoană poate primi autorizație de acces la IUEC, ținându-se seama de loialitatea și onestitatea acesteia și de încrederea pe care o inspiră, precum și procedurile administrative și de investigare care trebuie urmate în acest sens.

2.

Unei persoane i se acordă accesul la informații clasificate numai după parcurgerea următoarelor etape:

3.

Fiecare stat membru și SGC identifică pozițiile din structurile lor care necesită accesul la informații clasificate la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior și care, prin urmare, necesită o autorizare de securitate de nivel corespunzător.

4.

După ce au primit o cerere autorizată corespunzător, ANS sau alte autorități naționale competente sunt responsabile pentru a asigura că cetățenii lor, cărora trebuie să li se acorde accesul la informații clasificate la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior, sunt supuși investigațiilor de securitate. Standardele de investigație respectă actele cu putere de lege și reglementările naționale, în vederea emiterii unei ASP sau a furnizării unei asigurări în scopul acordării autorizației de acces la IUEC persoanei în cauză, după caz.

5.

În cazul în care persoana respectivă are reședința pe teritoriul unui alt stat membru sau al unui stat terț, autoritățile naționale competente solicită asistența autorității competente din statul de reședință, în conformitate cu actele cu putere de lege și reglementările naționale. Statele membre se sprijină reciproc în efectuarea investigațiilor de securitate, în conformitate cu actele cu putere de lege și reglementările naționale.

6.

În cazul în care actele cu putere de lege și reglementările naționale o permit, ANS sau alte autorități naționale competente pot efectua investigații de securitate privind neresortisanții care solicită accesul la informații clasificate la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior. Standardele de investigație respectă actele cu putere de lege și reglementările naționale.

7.

Loialitatea, onestitatea și încrederea inspirată de o persoană în scopul autorizării de securitate pentru accesul la informații clasificate la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior sunt stabilite prin intermediul unei investigații de securitate. Autoritatea națională competentă efectuează o evaluare generală pe baza rezultatelor unei astfel de investigații de securitate. Principalele criterii utilizate în acest scop includ, în măsura permisă de actele cu putere de lege și reglementările naționale, observația dacă persoana respectivă:

8.

După caz și în conformitate cu actele cu putere de lege și reglementările naționale, situația financiară și medicală a unei persoane poate fi, de asemenea, considerată relevantă în cadrul investigației de securitate.

9.

După caz și în conformitate cu actele cu putere de lege și reglementările naționale, comportamentul și situația soțului/soției, partenerului/partenerei sau ale unui membru apropiat al familiei pot fi, de asemenea, considerate relevante în cadrul investigației de securitate.

10.

Autorizarea de securitate inițială pentru accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET se bazează pe o investigație de securitate care acoperă cel puțin ultimii cinci ani sau perioada cuprinsă între împlinirea vârstei de 18 ani și până în prezent, în funcție de care dintre aceste perioade este mai scurtă și cuprinde:

11.

Autorizarea de securitate inițială pentru accesul la informații clasificate TRÈS SECRET UE/EU TOP SECRET se bazează pe o investigație de securitate care acoperă cel puțin ultimii zece ani sau perioada cuprinsă între împlinirea vârstei de 18 ani și prezent, în funcție de care dintre aceste perioade este mai scurtă. Dacă interviurile descrise la litera (e) au loc, investigațiile acoperă cel puțin ultimii șapte ani sau perioada cuprinsă între împlinirea vârstei de 18 ani și prezent, în funcție de care dintre aceste perioade este mai scurtă. În plus față de criteriile indicate la punctul 7, sunt investigate următoarele elemente, în măsura permisă de actele cu putere de lege și reglementările naționale, înaintea acordării unei ASP TRÈS SECRET UE/EU TOP SECRET; acestea pot fi investigate și înaintea acordării unei ASP CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET, dacă acest lucru este necesar în temeiul actelor cu putere de lege și a reglementărilor naționale:

12.

În cazul în care este necesar și în conformitate cu actele cu putere de lege și reglementările naționale, pot avea loc investigații suplimentare pentru a colecta toate informațiile relevante disponibile cu privire la persoana în cauză și pentru a dovedi sau infirma informațiile adverse.

13.

După acordarea inițială a autorizării de securitate și dacă persoana a lucrat neîntrerupt în cadrul unei administrații naționale sau în cadrul SGC și necesită accesul permanent la IUEC, autorizarea de securitate este reexaminată în vederea revalidării la intervale de maximum cinci ani pentru autorizarea TRÈS SECRET UE/EU TOP SECRET, respectiv zece ani pentru autorizarea SECRET UE/EU SECRET și CONFIDENTIEL UE/EU CONFIDENTIAL, cu începere de la data comunicării rezultatului ultimei investigații de securitate pe care s-au bazat. Toate investigațiile de securitate destinate revalidării unei autorizări de securitate acoperă perioada scursă de la investigația anterioară.

14.

Pentru revalidarea autorizării de securitate se investighează elementele menționate la punctele 10 și 11.

15.

Cererile de revalidare se depun în timp util, ținându-se seama de perioada necesară pentru investigațiile de securitate. Cu toate acestea, în cazul în care ANS competentă sau o altă autoritate națională competentă a primit solicitarea relevantă privind revalidarea și chestionarul aferent privind securitatea personalului înainte de expirarea autorizării de securitate, iar investigația de securitate necesară nu a fost finalizată, autoritatea națională competentă poate, dacă acest lucru este permis de actele cu putere de lege și reglementările naționale, prelungi validitatea autorizării de securitate existent cu maximum 12 luni. Dacă, la sfârșitul acestei perioade de 12 luni, investigația de securitate nu a fost încă finalizată, persoanei îi sunt încredințate atribuții care nu necesită autorizare de securitate.

16.

În cazul funcționarilor și al altor agenți ai SGC, autoritatea de securitate a SGC înaintează chestionarul privind securitatea personalului completat către ANS a statului membru a cărui naționalitate o deține persoana în cauză, solicitând efectuarea unei investigații de securitate pentru nivelul IUEC la care va trebui să i se acorde accesul respectivei persoane.

17.

În cazul în care SGC intră în posesia unor informații relevante pentru o investigație de securitate referitoare la o persoană care a solicitat autorizare de securitate pentru acces la IUEC, SGC, acționând în conformitate cu actele cu putere de lege și reglementările relevante, notifică ANS competentă.

18.

După finalizarea investigației de securitate, ANS competentă notifică autorității de securitate a SGC rezultatul respectivei investigații, în forma standard pentru corespondență stabilită de Comitetul de securitate.

19.

Investigația de securitate și rezultatele obținute sunt supuse actelor cu putere de lege și reglementările relevante în vigoare în statul membru în cauză, inclusiv celor privind căile de atac. Deciziile autorității împuternicite să facă numiri din cadrul SGC pot face obiectul unor căi de atac, în conformitate cu Statutul funcționarilor Uniunii Europene și Regimul aplicabil celorlalți agenți ai Uniunii Europene, stabilite în Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului (1) („Statutul funcționarilor și Regimul aplicabil celorlalți agenți”).

20.

Experții naționali detașați în cadrul SGC într-o poziție care necesită accesul la IUEC clasificate la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior prezintă autorității de securitate a SGC, înainte de a-și prelua funcția, o certificare a autorizării de securitate a personalului (CASP) valabilă, pe baza căruia autoritatea împuternicită să facă numiri emite o autorizație de acces la IUEC.

21.

SGC va accepta autorizația de acces la IUEC acordată de orice altă instituție, alt organism sau altă agenție a Uniunii, cu condiția să rămână valabilă. Autorizația va acoperi orice funcție deținută de persoana în cauză în cadrul SGC. Instituția, organismul sau agenția Uniunii în care își preia funcția persoana respectivă va informa ANS relevantă cu privire la schimbarea angajatorului.

22.

Dacă o persoană nu își începe activitatea în termen de 12 luni de la notificarea rezultatului investigației de securitate autorității împuternicite să facă numiri din cadrul SGC sau dacă intervine o pauză de 12 luni în exercitarea atribuțiilor sale, timp în care persoana în cauză nu a fost angajată în cadrul SGC sau într-o poziție în cadrul administrației naționale a unui stat membru, rezultatul respectiv este prezentat ANS competente, pentru a se confirma menținerea valabilității și oportunității acestuia.

23.

În cazul în care SGC intră în posesia unor informații privind un risc de securitate reprezentat de o persoană care are autorizație de acces la IUEC, SGC, acționând în conformitate cu normele și reglementările relevante, informează ANS competentă cu privire la aceasta și poate suspenda accesul la IUEC sau retrage autorizația de acces la IUEC.

24.

În cazul în care o ANS notifică SGC retragerea unei garanții acordate în conformitate cu punctul 18 litera (a) pentru o persoană care are autorizație de acces la IUEC, autoritatea împuternicită să facă numiri din cadrul SGC poate solicita ANS orice clarificare pe care aceasta o poate furniza, în conformitate cu actele cu putere de lege și reglementările naționale ale acesteia. În cazul în care informațiile adverse sunt confirmate, persoanei i se retrage autorizația și i se refuză accesul la IUEC și la pozițiile care permit accesul la acestea sau din care ar putea compromite securitatea.

25.

Orice decizie de retragere sau suspendare a unei autorizații de acces la IUEC pentru un funcționar sau a unui alt agent al SGC și, după caz, motivele care stau la baza acesteia sunt comunicate persoanei în cauză, care poate solicita să fie audiată de către autoritatea împuternicită să facă numiri. Informațiile furnizate de o ANS sunt supuse actelor cu putere de lege și reglementărilor relevante în vigoare în statul membru în cauză, inclusiv celor privind căile de atac. Deciziile autorității împuternicite să facă numiri din cadrul SGC pot face obiectul unor căi de atac, în conformitate cu Statutul funcționarilor și Regimul aplicabil celorlalți agenți.

26.

Fiecare stat membru și SGC țin o evidență a autorizărilor de securitate și, respectiv, a autorizațiilor de acces la informațiile clasificate la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior acordate. Evidențele respective conțin cel puțin detalii cu privire la nivelul IUEC la care este permis accesul persoanei, data acordării autorizării de securitate și durata valabilității acesteia.

27.

Autoritatea de securitate competentă poate elibera o CASP care indică nivelul IUEC la care este permis accesul persoanei respective (CONFIDENTIEL UE/EU CONFIDENTIAL sau superior), durata valabilității ASP pentru acces la IUEC sau a autorizației de acces la IUEC și data expirării certificării în cauză.

28.

Accesul la IUEC al unor persoane din statele membre, autorizate în temeiul funcțiilor deținute, este stabilit în conformitate cu actele cu putere de lege și reglementările naționale; astfel de persoane sunt informate cu privire la obligațiile de securitate privind protecția IUEC.

29.

Toate persoanele cărora li s-a acordat o autorizare de securitate confirmă în scris faptul că își înțeleg obligațiile cu privire la protecția IUEC, precum și consecințele compromiterii IUEC. Statele membre și SGC, după caz, țin evidența acestor confirmări scrise.

30.

Toate persoanele autorizate să aibă acces la IUEC sau care trebuie să gestioneze IUEC primesc, inițial, informații cu privire la pericolele la adresa securității și sunt informate periodic despre acestea și trebuie să raporteze imediat autorităților de securitate competente orice abordare sau activitate pe care o consideră suspectă sau neobișnuită.

31.

Toate persoanele care încetează să aibă atribuții care necesită acces la IUEC sunt informate asupra obligațiilor care le revin pentru protecția continuă a IUEC și, dacă este cazul, le confirmă în scris.

32.

În cazul în care actele cu putere de lege și reglementările naționale permit aceasta, o autorizare de securitate acordată de o autoritate națională competentă a unui stat membru pentru accesul la informații clasificate naționale poate, pentru o perioadă temporară, până la acordarea unei autorizări de securitate pentru accesul la IUEC, permite accesul funcționarilor naționali la IUEC până la nivelul echivalent celui stabilit în tabelul de echivalențe din apendicele B, în cazul în care un astfel de acces temporar este necesar în interesul Uniunii. ANS informează Comitetul de securitate cu privire la cazurile în care actele cu putere de lege și reglementările naționale nu permit un astfel de acces temporar la IUEC.

33.

Din motive de urgență, în cazuri de interes de serviciu justificate corespunzător și în așteptarea finalizării unei investigații de securitate complete, autoritatea împuternicită să facă numiri din cadrul SGC poate acorda o autorizație temporară funcționarilor și altor agenți ai SGC pentru accesul la IUEC pentru o funcție specifică, după consultarea ANS a statului membru a cărui cetățenie este deținută de persoana respectivă și cu condiția ca rezultatul verificărilor preliminare să ateste că nu se cunosc informații adverse. Astfel de autorizații temporare sunt valabile maximum șase luni și nu permit accesul la informații clasificate TRÈS SECRET UE/EU TOP SECRET. Toate persoanele cărora li s-a acordat o autorizație temporară confirmă în scris faptul că își înțeleg obligațiile cu privire la protecția IUEC, precum și consecințele compromiterii IUEC. SGC ține evidența acestei confirmări scrise.

34.

În cazul în care o persoană urmează să fie numită într-o poziție care necesită o autorizare de securitate la nivelul superior celui deținut în prezent de persoana în cauză, numirea se poate face provizoriu, cu condiția ca:

35.

Procedura de mai sus este utilizată pentru accesul unic la IUEC la nivelul superior următor celui pentru care persoana deține o autorizare de securitate. Nu se recurge în mod repetat la această procedură.

36.

În împrejurări absolut excepționale, precum misiunile în medii ostile sau în perioade de tensiune internațională crescândă, când măsurile de urgență o impun, în special în scopul salvării de vieți, statele membre și Secretarul General pot acorda, dacă este posibil în scris, accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET unor persoane care nu deține autorizarea de securitate necesară, cu condiția ca permisiunea în acest sens să fie absolut necesară și să nu existe suspiciuni întemeiate cu privire la loialitatea, onestitatea și încrederea inspirată de persoana respectivă. Permisiunea se consemnează, cu descrierea informațiilor la care s-a aprobat accesul.

37.

În cazul informațiilor clasificate TRÈS SECRET UE/EU TOP SECRET, accesul de urgență este limitat la cetățeni ai statelor membre care beneficiază de acces autorizat fie la nivelul național echivalent al TRÈS SECRET UE/EU TOP SECRET, fie la informații clasificate SECRET UE/EU SECRET.

38.

Comitetul de securitate este informat cu privire la cazurile în care se recurge la procedura stabilită la punctele 36 și 37.

39.

În cazul în care actele cu putere de lege și reglementările naționale ale unui stat membru cuprind norme mai stricte cu privire la autorizațiile temporare, numirile provizorii, accesul unic sau la accesul de urgență al persoanelor la informații clasificate, procedurile prevăzute în prezenta secțiune se aplică numai în cadrul limitelor stabilite de actele cu putere de lege și reglementările naționale relevante.

40.

Comitetul de securitate primește un raport anual cu privire la utilizarea procedurilor prevăzute în această secțiune.

41.

Sub rezerva punctului 28, persoanele desemnate să participe la reuniunile Consiliului sau ale grupurilor sale de pregătire, în cadrul cărora se discută informații clasificate la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior, pot participa numai după ce se confirmă că dețin o autorizare de securitate. În cazul delegaților, CCSP sau o altă dovadă a autorizării de securitate este trimisă de autoritățile competente Oficiului de securitate al SGC sau, în cazuri excepționale, este prezentată de către delegatul în cauză. După caz, se poate folosi o listă centralizată de nume, cuprinzând dovada relevantă a autorizării de securitate.

42.

În cazul în care, din motive de securitate, ASP pentru accesul la IUEC îi este retrasă unei persoane ale cărei atribuții necesită participarea la reuniuni ale Consiliului sau ale grupurilor de pregătire ale acestuia, autoritatea competentă informează SGC.

43.

Curierii, gardienii și escortele dețin autorizare de securitate de nivel corespunzător sau fac obiectul unor investigații adecvate în conformitate cu actele cu putere de lege și reglementările naționale, sunt informați cu privire la procedurile de securitate pentru protecția IUEC și sunt instruiți asupra obligațiilor de protecție a acestor informații care le sunt încredințate.

1.

Prezenta anexă stabilește dispozițiile pentru punerea în aplicare a articolului 8. Aceasta stabilește cerințele minime pentru protecția fizică a incintelor, clădirilor, birourilor, încăperilor și a altor zone în care se gestionează și se păstrează IUEC, inclusiv a zonelor care adăpostesc SIC.

2.

Măsurile de securitate fizică sunt menite să împiedice accesul neautorizat la IUEC și sunt concepute astfel încât:

3.

Măsurile de securitate fizică sunt selectate pe baza unei evaluări a amenințărilor efectuate de autoritățile competente. SGC și statele membre folosesc, fiecare, un proces de management al riscului pentru protecția IUEC în incintele lor, pentru a asigura aplicarea unui nivel de protecție fizică proporțional cu riscul evaluat. Procesul de management al riscului ține seama de toți factorii relevanți, în special de:

4.

Autoritatea de securitate competentă, prin aplicarea conceptului apărării în profunzime, stabilește combinația corespunzătoare de măsuri de securitate fizică care trebuie implementate. Acestea pot include una sau mai multe dintre următoarele:

5.

Autoritatea competentă poate fi autorizată să efectueze controale la intrare și la ieșire, pentru a descuraja introducerea neautorizată de materiale sau sustragerea IUEC din incinte sau clădiri.

6.

Atunci când există riscul vizualizării, chiar accidentale, a IUEC, se iau măsuri adecvate pentru contracararea acestui risc.

7.

În ceea ce privește obiectivele noi, cerințele de securitate fizică și specificațiile funcționale ale acestora se definesc ca parte a planificării și concepției obiectivelor. Pentru obiectivele existente, cerințele de securitate fizică sunt puse în aplicare în cea mai mare măsură posibilă.

8.

La achiziționarea echipamentului destinat protecției fizice a IUEC (cum ar fi containere de securitate, mașini de tocat în fâșii, încuietori pentru uși, sisteme electronice de control al accesului, SDI, sisteme de alarmă), autoritatea de securitate competentă se asigură că echipamentul respectă standardele tehnice aprobate și cerințele minime.

9.

Specificațiile tehnice ale echipamentelor destinate protecției fizice a IUEC sunt prevăzute în liniile directoare de securitate care urmează să fie aprobate de Comitetul de securitate.

10.

Sistemele de securitate sunt inspectate la intervale regulate și echipamentele sunt întreținute periodic. Lucrările de întreținere țin seama de rezultatul inspecțiilor pentru a se asigura funcționarea echipamentelor la cote optime.

11.

Eficacitatea măsurilor individuale de securitate și a sistemului de securitate în ansamblul său sunt reevaluate cu ocazia fiecărei inspecții.

12.

Pentru protecția fizică a IUEC, se instituie două tipuri de zone protejate fizic sau echivalentele acestora la nivel național:

În cadrul prezentei decizii, toate trimiterile la zonele administrative și la zonele securizate, inclusiv la zonele securizate din punct de vedere tehnic, trebuie înțelese, de asemenea, ca trimiteri la echivalentele naționale ale acestora.

13.

Autoritatea de securitate competentă stabilește o zonă care îndeplinește cerințele pentru a fi desemnată drept zonă administrativă, zonă securizată sau zonă securizată din punct de vedere tehnic.

14.

Pentru zonele administrative:

15.

Pentru zonele securizate:

16.

Atunci când accesul într-o zonă securizată este echivalent, practic, cu accesul direct la informațiile clasificate aflate în zona respectivă, se aplică următoarele cerințe suplimentare:

17.

Zonele securizate protejate împotriva interceptării audio sunt desemnate drept zone securizate din punct de vedere tehnic. Se aplică următoarele cerințe suplimentare:

18.

Fără a aduce atingere punctului 17 litera (d), înainte de a fi utilizate în zonele în care se desfășoară reuniuni sau se lucrează cu informații cu nivel de clasificare SECRET UE/EU SECRET sau superior acestuia și în cazul în care amenințarea la adresa IUEC este evaluată ca fiind semnificativă, toate dispozitivele de comunicare și echipamentele electrice și electronice de orice tip sunt examinate, mai întâi, de autoritatea de securitate competentă pentru a se asigura faptul că nicio informație inteligibilă nu poate fi transmisă în mod accidental sau ilicit prin intermediul unor asemenea echipamente în afara perimetrului zonei securizate.

19.

Acolo unde este cazul, zonele securizate care nu sunt ocupate de personal de serviciu 24 de ore/zi sunt inspectate după încheierea programului normal de lucru și la intervale aleatorii în afara acestuia, cu excepția cazului în care este instalat un SDI.

20.

Zonele securizate și zonele securizate din punct de vedere tehnic pot fi stabilite, în mod temporar, într-o zonă administrativă, în scopul unei reuniuni clasificate sau în alt scop similar.

21.

Pentru fiecare zonă securizată se elaborează proceduri operaționale de securitate, care prevăd:

22.

În cadrul zonelor securizate se construiesc camere tezaur. Pereții, pardoseala, tavanele, ferestrele și ușile cu încuietori sunt aprobate de autoritatea de securitate competentă și oferă o protecție echivalentă celei garantate de un container de securitate aprobat pentru păstrarea IUEC de același nivel de clasificare.

23.

IUEC clasificate RESTREINT UE/EU RESTRICTED pot fi gestionate:

24.

IUEC clasificate RESTREINT UE/EU RESTRICTED sunt păstrate în mobilier de birou încuiat în mod corespunzător, într-o zonă administrativă sau o zonă securizată. Aceste informații pot fi păstrate, în mod temporar, în afara unei zone securizate sau a unei zone administrative, cu condiția ca deținătorul să se angajeze să respecte măsurile compensatorii stabilite în instrucțiunile de securitate emise de autoritatea de securitate competentă.

25.

IUEC clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET pot fi gestionate:

26.

IUEC clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET sunt păstrate într-o zonă securizată, fie într-un container de securitate, fie într-o cameră tezaur.

27.

IUEC clasificate TRÈS SECRET UE/EU TOP SECRET sunt gestionate într-o zonă securizată.

28.

IUEC clasificate TRÈS SECRET UE/EU TOP SECRET sunt păstrate într-o zonă securizată, în una dintre următoarele condiții:

29.

Anexa III conține norme care reglementează transportul IUEC în afara zonelor protejate fizic.

30.

Autoritatea de securitate competentă întocmește proceduri pentru gestionarea cheilor și a combinațiilor de cifruri pentru birouri, încăperi, camere tezaur și containere de securitate. Astfel de proceduri au rolul de a asigura protecția împotriva accesului neautorizat.

31.

Combinațiile de cifruri sunt memorate de cel mai mic număr de persoane posibil care trebuie să le cunoască. Combinațiile de cifruri pentru containerele de securitate și camerele speciale în care sunt păstrate IUEC sunt schimbate:

1.

Prezenta anexă stabilește dispozițiile pentru punerea în aplicare a articolului 9. Anexa stabilește măsurile administrative pentru controlul IUEC pe durata ciclului lor de viață, în scopul de a contribui la împiedicarea și detectarea compromiterii sau pierderii deliberate sau accidentale a informațiilor de acest tip.

2.

Informațiile se clasifică atunci când este necesară protecția confidențialității acestora.

3.

Emitentul IUEC are responsabilitatea de a stabili nivelul de clasificare de securitate, în conformitate cu liniile directoare de clasificare relevante, și de a efectua diseminarea inițială a informațiilor.

4.

Nivelul de clasificare IUEC se stabilește în conformitate cu articolul 2 alineatul (2) și pe baza politicii de securitate care urmează să fie aprobată în conformitate cu articolul 3 alineatul (3).

5.

Clasificarea de securitate este indicată în mod clar și corect, indiferent dacă IUEC se prezintă sub formă tipărită, orală, electronică sau sub orice altă formă.

6.

Anumite părți dintr-un document (și anume pagini, paragrafe, secțiuni, anexe, apendice, documente însoțitoare sau atașate) pot necesita atribuirea unor niveluri diferite de clasificare și trebuie marcate corespunzător, inclusiv în cazul în care sunt păstrate în format electronic.

7.

Nivelul de clasificare general al unui document sau al unui dosar este cel puțin echivalent cu cel al componentei sale având cel mai ridicat nivel de clasificare. La compilarea unor informații din surse diferite, produsul final este reexaminat pentru a i se stabili nivelul general de clasificare de securitate, deoarece poate necesita o clasificare superioară celei atribuite părților sale componente.

8.

În măsura posibilului, documentele care conțin porțiuni cu niveluri de clasificare diferite sunt structurate astfel încât porțiunile cu niveluri de clasificare diferite să poată fi identificate și detașate cu ușurință, dacă este necesar.

9.

Nivelul de clasificare al adreselor sau notelor care însoțesc documente clasificate trebuie să fie același cu cel mai ridicat nivel al documentelor atașate. Emitentul indică clar nivelul de clasificare pe care adresele sau notele îl vor avea după ce sunt separate de documentele atașate, de exemplu:

CONFIDENTIEL UE/EU CONFIDENTIAL

Fără anexă/anexe RESTREINT UE/EU RESTRICTED

10.

În afară de marcajele clasificărilor de securitate stabilite la articolul 2 alineatul (2), IUEC pot purta marcajele suplimentare, precum:

11.

Pentru a indica nivelul de clasificare al anumitor paragrafe din text, pot fi utilizate marcaje de clasificare abreviate standardizate. Abrevierile nu înlocuiesc marcajele de clasificare complete.

12.

În interiorul documentelor UE clasificate pot fi utilizate următoarele abrevieri standard, pentru a indica nivelul de clasificare al unor secțiuni sau porțiuni de text care nu depășesc o pagină:

13.

La crearea unui document UE clasificat:

14.

În cazul în care există IUEC cărora nu li se poate aplica punctul 13, se iau alte măsuri corespunzătoare în conformitate cu liniile directoare de securitate convenite în temeiul articolului 6 alineatul (2).

15.

În momentul elaborării documentului, emitentul indică, atunci când este posibil și în special pentru informații clasificate RESTREINT UE/EU RESTRICTED, dacă informațiilor UE clasificate le poate fi redus nivelul de clasificare sau dacă pot fi declasificate la o anumită dată sau în urma unui anumit eveniment.

16.

SGC reexaminează IUEC pe care le deține în mod periodic, pentru a evalua necesitatea menținerii nivelului de clasificare. SGC stabilește un sistem de revizuire, cel puțin o dată la cinci ani, a nivelului de clasificare al IUEC pe care le-a emis. O astfel de reexaminare nu este necesară în cazul în care emitentul a indicat de la început că informațiilor trebuie să li se reducă nivelul de clasificare sau că trebuie declasificată automat, iar informațiile au fost marcate în consecință.

17.

Pentru fiecare entitate organizațională din cadrul SGC și din cadrul administrațiilor naționale ale statelor membre în care sunt gestionate IUEC este identificat un registru responsabil pentru a garanta gestionarea IUEC în conformitate cu prezenta decizie. Registrele sunt stabilite ca zone securizate în conformitate cu anexa II.

18.

În sensul prezentei decizii, înregistrarea din motive de securitate („înregistrarea”) înseamnă aplicarea unor proceduri care înregistrează ciclul de viață al materialului, inclusiv diseminarea și distrugerea acestuia.

19.

Toate materialele clasificate la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL și la un nivel superior sunt înregistrate în registre desemnate ori de câte ori parvin unei entități organizaționale sau părăsesc entitatea respectivă.

20.

Registrul central din cadrul SGC ține evidența tuturor informațiilor clasificate comunicate statelor terțe și organizațiilor internaționale de către Consiliu și SGC, precum și a tuturor informațiilor clasificate primite de la acestea.

21.

În cazul unui SIC, procedurile de înregistrare pot fi efectuate prin procese din cadrul respectivului SIC.

22.

Consiliul aprobă o politică de securitate privind înregistrarea IUEC din motive de securitate.

23.

În statele membre și în cadrul SGC se desemnează un registru care acționează ca principală autoritate de primire și diseminare a informațiilor clasificate TRÈS SECRET UE/EU TOP SECRET. Dacă este necesar, pot fi desemnate registre subordonate care să gestioneze astfel de informații în scopul înregistrării.

24.

Aceste registre subordonate nu pot transmite direct documente TRÈS SECRET UE/EU TOP SECRET altor registre subordonate ale aceluiași registru central TRÈS SECRET UE/EU TOP SECRET sau unor destinatari externi în absența aprobării explicite a acestuia din urmă.

25.

Documentele TRÈS SECRET UE/EU TOP SECRET nu pot fi copiate sau traduse decât cu acordul scris prealabil al emitentului.

26.

În cazul în care emitentul documentelor clasificate la nivelul SECRET UE/EU SECRET și la un nivel inferior nu a impus restricții de copiere sau traducere, astfel de documente pot fi copiate sau traduse conform instrucțiunilor deținătorului.

27.

Măsurile de securitate aplicabile documentului original se aplică copiilor și traducerilor acestuia.

28.

Transportul IUEC respectă măsurile de protecție prevăzute la punctele 30-41. În cazul în care IUEC sunt transportate pe suporturi electronice și fără a aduce atingere articolului 9 alineatul (4), măsurile de protecție prevăzute mai jos pot fi suplimentate prin contramăsuri tehnice adecvate conform dispozițiilor autorității de securitate competente, astfel încât riscul pierderii sau compromiterii lor să fie redus la minimum.

29.

Autoritățile de securitate competente din cadrul SGC sau din statele membre emit instrucțiuni privind transportul IUEC în conformitate cu prezenta decizie.

30.

IUEC transportate în interiorul unei clădiri sau al unui grup autonom de clădiri sunt acoperite, astfel încât observarea conținutului acestora să fie împiedicată.

31.

În interiorul unei clădiri sau al unui grup autonom de clădiri, informațiile clasificate TRÈS SECRET UE/EU TOP SECRET sunt transportate într-un plic securizat, menționând numai numele destinatarului.

32.

IUEC transportate între clădiri sau incinte aflate în UE sunt ambalate astfel încât să fie protejate împotriva divulgării neautorizate.

33.

Transportul informațiilor clasificate până la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET pe teritoriul Uniunii se efectuează prin următoarele mijloace:

În cazul transportului dintr-un stat membru în alt stat membru, dispozițiile de la litera (c) se aplică numai informațiilor clasificate la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Informațiile clasificate RESTREINT UE/EU RESTRICTED pot fi, de asemenea, transportate prin intermediul serviciilor poștale sau al serviciilor de curierat comercial. Nu este necesar un certificat de curier pentru transportul unor astfel de informații.

35.

Materialele clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET (de exemplu, echipamente sau mașini) care nu pot fi transportate prin mijloacele prevăzute la punctul 33 sunt transportate ca marfă de societățile comerciale de curierat, în conformitate cu anexa V.

36.

Transportul informațiilor clasificate TRÈS SECRET UE/EU TOP SECRET între clădiri sau incinte din UE se efectuează prin curier militar, guvernamental sau diplomatic, după caz.

37.

IUEC transportate din Uniune către teritoriul unui stat terț sunt ambalate, astfel încât să fie protejate împotriva divulgării neautorizate.

38.

Transportul informațiilor clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET din Uniune către teritoriul unui stat terț se efectuează prin următoarele mijloace:

39.

Transportul informațiilor clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET comunicate de Uniune unui stat terț sau unei organizații internaționale respectă dispozițiile relevante prevăzute de un acord privind securitatea informațiilor sau de un acord administrativ încheiat în conformitate cu articolul 13 alineatul (2) litera (a) sau (b).

40.

Informațiile clasificate RESTREINT UE/EU RESTRICTED pot fi, de asemenea, transportate prin intermediul serviciilor poștale sau al serviciilor de curierat comercial.

41.

Transportul informațiilor clasificate TRÈS SECRET UE/EU TOP SECRET din Uniune către teritoriul unui stat terț se efectuează prin curier militar sau diplomatic.

42.

Documentele UE clasificate care nu mai sunt necesare pot fi distruse, fără a se aduce atingere normelor și reglementărilor relevante privind arhivarea.

43.

Documentele care trebuie înregistrate în conformitate cu articolul 9 alineatul (2) se distrug de către registrul responsabil la instrucțiunile deținătorului sau ale unei autorități competente. Registrele de evidență și alte informații de înregistrare sunt actualizate corespunzător.

44.

În ceea ce privește documentele clasificate SECRET UE/EU SECRET sau TRÈS SECRET UE/EU TOP SECRET, distrugerea are loc în prezența unui martor, care deține o autorizare de securitate de nivel cel puțin echivalent nivelului documentului distrus.

45.

Gestionarul și martorul, în cazul în care este necesară prezența acestuia, semnează un proces-verbal de distrugere, care este păstrat la registru. Registrul păstrează procesele-verbale de distrugere a documentelor TRÈS SECRET UE/EU TOP SECRET o perioadă de cel puțin zece ani și a documentelor clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET o perioadă de cel puțin cinci ani.

46.

Documentele clasificate, inclusiv cele clasificate RESTREINT UE/EU RESTRICTED, sunt distruse prin metode care îndeplinesc standardele relevante ale Uniunii sau standarde echivalente sau care au fost aprobate de statele membre în conformitate cu standardele tehnice naționale astfel încât să se împiedice reconstituirea lor totală sau parțială.

47.

Distrugerea suporturilor informatice de stocare utilizate pentru IUEC se realizează în condițiile prevăzute la punctul 37 din anexa IV.

48.

În cazul unei urgențe, dacă există un risc iminent de divulgare neautorizată, IUEC sunt distruse de către deținător astfel încât să nu poată fi reconstituite în întregime sau parțial. Emitentul și registrul emitent sunt informate cu privire la distrugerea de urgență a IUEC înregistrate.

49.

Termenul „vizite de evaluare” este folosit în continuare pentru a desemna orice:

având rolul de a evalua eficiența măsurilor aplicate pentru protecția IUEC.

50.

Vizitele de evaluare urmăresc, inter alia:

51.

Înainte de sfârșitul fiecărui an calendaristic, Consiliul adoptă programul de vizite de evaluare prevăzut la articolul 16 alineatul (1) litera (c) pentru anul următor. Datele efective ale fiecărei vizite de evaluare se stabilesc de comun acord cu organismul sau agenția Uniunii, statul membru, statul terț sau organizația internațională interesată.

52.

Vizitele de evaluare sunt efectuate pentru a verifica normele, regulamentele și procedurile relevante ale entității vizitate și a se asigura că practicile entității respectă principiile de bază și standardele minime stabilite în prezenta decizie și în dispozițiile care reglementează schimbul de informații clasificate cu entitatea respectivă.

53.

Vizitele de evaluare se desfășoară în două faze. Înaintea vizitei propriu-zise se organizează o reuniune pregătitoare, dacă este necesar, cu entitatea în cauză. După această reuniune pregătitoare, echipa de evaluare stabilește, împreună cu entitatea în cauză, un program de vizită detaliat care acoperă toate domeniile de securitate. Echipa care efectuează vizita de evaluare ar trebui să aibă acces la toate locațiile în care se gestionează IUEC, în special la registre și la SIC.

54.

Vizitele de evaluare la administrațiile naționale ale statelor membre, în statele terțe și în organizațiile internaționale se desfășoară în deplină cooperare cu funcționarii entității, statului terț sau organizației internaționale vizitate.

55.

Vizitele de evaluare la organismele, agențiile și entitățile Uniunii care aplică prezenta decizie sau principiile cuprinse în aceasta se desfășoară cu asistența experților ANS pe teritoriul căreia este situată agenția sau organismul.

56.

În cazul vizitelor de evaluare la organisme, agenții și entități ale Uniunii care aplică prezenta decizie sau principiile cuprinse în aceasta, precum și în state terțe și organizații internaționale, pot fi solicitate asistența și contribuțiile experților ANS, în conformitate cu măsurile detaliate care vor fi convenite de Comitetul de securitate.

57.

La sfârșitul vizitei de evaluare, entității vizitate i se prezintă principalele concluzii și recomandări. Ulterior se redactează un raport privind vizita de evaluare. În cazurile în care s-au propus măsuri de remediere și recomandări, raportul cuprinde suficiente detalii pentru a sprijini concluziile obținute. Raportul este înaintat autorității competente din cadrul entității vizitate.

58.

Pentru vizitele de evaluare derulate în cadrul administrațiilor naționale ale statelor membre:

Sub responsabilitatea autorității de securitate a SGC (Oficiul de securitate) se elaborează un raport periodic care ilustrează principalele concluzii desprinse în urma vizitelor de evaluare desfășurate în statele membre într-o perioadă specificată și care este analizat de Comitetul de securitate.

59.

În cazul vizitelor de evaluare în statele terțe și în cadrul organizațiilor internaționale, raportul este distribuit Comitetului de securitate. Raportul este clasificat cel puțin la nivelul RESTREINT UE/EU RESTRICTED. Orice măsură de remediere este verificată în cursul unei vizite de monitorizare și raportată Comitetului de securitate.

60.

În cazul vizitelor de evaluare la orice organism, agenție și entitate a Uniunii care aplică prezenta decizie sau principiile cuprinse în aceasta, rapoartele privind vizitele de evaluare sunt distribuite Comitetului de securitate. Proiectul raportului privind vizita de evaluare este înaintat agenției sau organismului vizate, pentru a i se verifica corectitudinea factuală și faptul că nu conține informații cu un nivel de clasificare superior față de RESTREINT UE/EU RESTRICTED. Orice măsură de remediere este verificată în cursul unei vizite de monitorizare și raportată Comitetului de securitate.

61.

Autoritatea de securitate a SGC desfășoară inspecții periodice ale entităților organizaționale ale SGC în scopurile enunțate la punctul 50.

62.

Autoritatea de securitate a SGC (Oficiul de securitate) elaborează și actualizează o listă de control, cuprinzând aspectele care urmează să fie verificate în cursul unei vizite de evaluare. Lista de control respectivă este înaintată Comitetului de securitate.

63.

Informațiile necesare pentru completarea listei de control sunt obținute în special în timpul vizitei de la personalul de conducere responsabil cu securitatea al entității inspectate. Odată completată cu răspunsurile detaliate, lista de control este clasificată în acord cu entitatea inspectată. Aceasta nu face parte din raportul de inspecție.

1.

Prezenta anexă stabilește dispozițiile pentru punerea în aplicare a articolului 10.

2.

Următoarele proprietăți și concepte referitoare la AI sunt esențiale pentru securitatea și funcționarea corectă a operațiilor derulate pe SIC:

3.

Dispozițiile enunțate în continuare formează baza pentru securitatea oricăror SIC care gestionează IUEC. Cerințele detaliate pentru punerea în aplicare a acestor dispoziții sunt definite în politicile de securitate privind AI și în liniile directoare de securitate.

4.

Managementul riscului de securitate reprezintă o componentă esențială a definirii, dezvoltării, utilizării și întreținerii SIC. Managementul riscului (evaluarea, tratarea, acceptarea și comunicarea) se desfășoară sub forma unui proces iterativ, reunind reprezentanți ai proprietarilor de sisteme, autorităților de proiect, autorităților operaționale și autorităților de aprobare în materie de securitate, utilizând un proces de evaluare a riscului confirmat, transparent și ușor de înțeles. Domeniul SIC și al activelor sale este definit clar în momentul inițierii procesului de management al riscului.

5.

Autoritățile competente reexaminează potențialele amenințări la adresa SIC și efectuează evaluări precise și actualizate ale amenințărilor, care reflectă mediul operațional curent. Acestea își actualizează permanent cunoștințele privind problemele de vulnerabilitate și reexaminează periodic evaluarea vulnerabilității, pentru a ține pasul cu schimbările din domeniul tehnologiei informației (IT).

6.

Rolul tratării riscului de securitate este de a aplica un set de măsuri de securitate, care duc la un echilibru satisfăcător între cerințele utilizatorului, cost și riscul rezidual de securitate.

7.

Cerințele specifice, scara și gradul de detaliere stabilite de AAS competentă pentru acreditarea unui SIC este proporțională cu riscul evaluat, ținând seama de toți factorii relevanți, inclusiv nivelul de clasificare a IUEC gestionate în cadrul SIC. Acreditarea implică o declarație formală privind riscul rezidual și acceptarea riscului rezidual de către o autoritate responsabilă.

8.

Asigurarea securității constituie o obligație pe tot parcursul ciclului de viață al SIC, de la inițiere la retragerea din exploatare.

9.

Sunt identificate rolul și interacțiunea fiecărui actor implicat într-un SIC, din punctul de vedere al securității, pentru fiecare fază a ciclului de viață.

10.

Orice SIC, inclusiv măsurile sale de securitate tehnice și netehnice, face obiectul unor teste de securitate în cursul procesului de acreditare, pentru a se asigura obținerea unui nivel de asigurare corespunzător și a se verifica dacă măsurile respective sunt corect puse în aplicare, integrate și configurate.

11.

Evaluările, inspecțiile și reexaminările de securitate sunt efectuate periodic, în cursul operării și al întreținerii unui SIC, precum și în împrejurări excepționale.

12.

Documentația privind securitatea unui SIC evoluează pe parcursul ciclului de viață al acestuia, ca parte integrantă a procesului de gestionare a modificărilor și a configurației.

13.

SGC și statele membre cooperează pentru a elabora cele mai bune practici pentru protejarea IUEC gestionate în SIC. Liniile directoare de bune practici descriu măsuri de securitate de ordin tehnic, fizic, organizatoric și procedural, pentru SIC, a căror eficacitate în contracararea unor amenințări și vulnerabilități a fost dovedită.

14.

Protecția IUEC gestionate în SIC se bazează pe lecțiile învățate de entitățile implicate în AI, atât din interiorul, cât și din exteriorul UE.

15.

Diseminarea și punerea în aplicare ulterioară a celor mai bune practici contribuie la atingerea unui nivel de asigurare echivalent pentru diversele SIC care gestionează IUEC și sunt operate de SGC și de statele membre.

16.

În scopul atenuării riscului pentru SIC, sunt puse în aplicare o serie de măsuri de securitate tehnice și netehnice, organizate pe niveluri de apărare multiple. Aceste niveluri includ:

(a)   descurajarea: măsuri de securitate menite să descurajeze orice adversar care plănuiește să atace SIC;

(b)   prevenirea: măsuri de securitate menite să împiedice sau să blocheze un atac asupra SIC;

(c)   detectarea: măsuri de securitate menite să descopere comiterea unui atac asupra SIC;

(d)   rezistența: măsuri de securitate menite să limiteze impactul unui atac la un set minim de informații sau active SIC și să împiedice daunele ulterioare; și

(e)   recuperarea: măsuri de securitate menite să reinstaureze o situație securizată a SIC.

Gradul de strictețe a acestor măsuri de securitate este determinat în urma unei evaluări a riscului.

17.

ANS sau altă autoritate competentă se asigură că:

18.

În vederea evitării riscurilor care nu sunt necesare, sunt puse în aplicare numai funcțiile, dispozitivele și serviciile esențiale pentru îndeplinirea cerințelor operaționale.

19.

Utilizatorii și procesele automate ale SIC beneficiază numai de accesul, privilegiile sau autorizațiile necesare pentru îndeplinirea atribuțiilor lor, pentru a limita orice daune rezultate în urma accidentelor, erorilor sau utilizării neautorizate a resurselor SIC.

20.

Procedurile de înregistrare efectuate de SIC sunt, după caz, verificate ca parte procesului de acreditare.

21.

Conștientizarea riscurilor și măsurile de securitate disponibile constituie prima linie de apărare pentru securitatea SIC. În special, toți membrii personalului implicați în ciclul de viață al SIC, inclusiv utilizatorii, înțeleg:

22.

Pentru a garanta înțelegerea responsabilităților de securitate, educația cu privire la AI și formarea cu rol de conștientizare sunt obligatorii pentru tot personalul implicat, inclusiv personalul de conducere și utilizatorii SIC.

23.

Gradul necesar de încredere în măsurile de securitate, definit ca nivel de asigurare, este determinat în urma rezultatului procesului de management al riscurilor și în conformitate cu politicile și liniile directoare de securitate relevante.

24.

Gradul de încredere se verifică prin utilizarea unor procese și metodologii utilizate la nivel internațional sau aprobate la nivel național. Acestea includ în principal evaluare, controale și audit.

25.

Produsele criptografice destinate protecției IUEC sunt evaluate și aprobate de o AAC națională a unui stat membru.

26.

Înainte de a fi recomandate pentru aprobare de către Consiliu sau de către Secretarul General, în conformitate cu articolul 10 alineatul (6), aceste produse criptografice sunt supuse unei evaluări de către o a doua parte, efectuată de o autoritate calificată adecvat (ACA) a unui stat membru neimplicat în concepția sau fabricarea echipamentului. Gradul de detaliere necesar în cursul evaluării a celei de a doua părți depinde de nivelul maxim de clasificare al IUEC care urmează să fie protejate prin aceste produse. Consiliul aprobă o politică de securitate privind evaluarea și aprobarea produselor criptografice.

27.

Dacă acest lucru este justificat de motive operaționale specifice, Consiliul sau Secretarul General pot, după caz, la recomandarea Comitetului de securitate, să acorde derogări de la cerința prevăzută la punctul 25 sau 26 din prezenta anexă și să acorde o aprobare provizorie pentru o anumită perioadă în conformitate cu procedura prevăzută la articolul 10 alineatul (6).

28.

Acționând la recomandarea Comitetului de securitate, Consiliul poate accepta procesul de evaluare, selecție și aprobare a produselor criptografice ale unui stat terț sau ale unei organizații internaționale și, în consecință, poate considera aceste produse criptografice aprobate pentru protecția IUEC emise către statul terț respectiv sau organizația internațională respectivă.

29.

ACA este o AAC (autoritate de aprobare criptografică) a unui stat membru, acreditată pe baza unor criterii stabilite de Consiliu pentru a efectua cea de a doua evaluare a produselor criptografice pentru protejarea IUEC.

30.

Consiliul aprobă o politică de securitate privind calificarea și aprobarea produselor de securitate IT necriptografice.

31.

Fără a aduce atingere dispozițiilor prezentei decizii, în cazul în care transmiterea IUEC este limitată la zone securizate sau zone administrative, transmiterea necriptată sau criptarea la nivel inferior pot fi folosite, pe baza rezultatului unui proces de gestionare a riscurilor și cu condiția aprobării AAS.

32.

În sensul prezentei decizii, o interconectare reprezintă conectarea directă a două sau mai multe sisteme IT în scopul partajării datelor și a altor resurse informaționale (de exemplu, de comunicații) în mod unidirecțional sau multidirecțional.

33.

Un SIC tratează inițial orice sistem IT interconectat drept sursă nefiabilă și aplică măsuri de protecție pentru a controla schimbul de informații clasificate.

34.

Pentru toate interconectările unui SIC cu un alt sistem IT sunt respectate următoarele cerințe de bază:

35.

Nu se realizează interconectări între un SIC acreditat și o rețea neprotejată sau publică, cu excepția cazurilor în care SIC a aprobat instalarea SPL în acest scop între SIC și rețeaua neprotejată sau publică. Măsurile de securitate pentru astfel de interconectări sunt reexaminate de AAI competentă și sunt aprobate de AAS competentă.

Dacă rețeaua neprotejată sau publică este utilizată numai ca transportator și informațiile sunt criptate prin intermediul unui produs criptografic aprobat în conformitate cu articolul 10, o astfel de conexiune nu este considerată ca fiind o interconectare.

36.

Este interzisă interconectarea directă sau în cascadă a unui SIC acreditat să gestioneze informații TRÈS SECRET UE/EU TOP SECRET la rețele neprotejate sau publice.

37.

Suporturile informatice de stocare sunt distruse în conformitate cu procedurile aprobate de autoritatea de securitate competentă.

38.

Suporturilor informatice de stocare li se reduce nivelul de clasificare sau sunt reutilizate sau declasificate în conformitate cu liniile directoare de securitate care urmează a fi instituite în conformitate cu articolul 6 alineatul (2).

39.

Fără a aduce atingere dispozițiilor prezentei decizii, procedurile specifice descrise în continuare pot fi aplicate într-o situație de urgență, cum ar fi înaintea sau în timpul unor crize, conflicte sau situații de război sau în cazul unor împrejurări operaționale excepționale.

40.

IUEC pot fi transmise prin intermediul unor produse criptografice aprobate pentru un nivel de clasificare inferior sau fără a fi criptate, cu consimțământul autorității competente, în cazul în care orice întârziere ar cauza un prejudiciu mult mai grav decât orice prejudiciu rezultat în urma divulgării materialului clasificat și dacă:

41.

Informațiile clasificate transmise în împrejurările enunțate la punctul 39 nu poartă niciun marcaj sau indicație care să le distingă de orice informații neclasificate sau care pot fi protejate cu ajutorul unui produs de criptare disponibil. Destinatarilor le este notificat fără întârziere nivelul de clasificare, prin alte mijloace.

42.

Dacă se acționează în temeiul dispozițiilor de la punctul 39, se înaintează un raport ulterior autorității competente și Comitetului de securitate.

43.

În statele membre și la SGC se stabilesc următoarele funcții aferente AI. Aceste funcții nu necesită entități organizaționale unice. Acestora le revin mandate separate. Cu toate acestea, aceste funcții și responsabilitățile care le corespund pot fi grupate sau integrate în aceeași entitate organizațională sau distribuite în entități organizaționale diferite, cu condiția să fie evitate conflictele interne de interese sau de sarcini.

44.

AAI este responsabilă cu:

45.

Autoritatea TEMPEST (AT) este responsabilă cu asigurarea conformității SIC cu politicile și liniile directoare TEMPEST. Aceasta aprobă contramăsurile TEMPEST pentru instalațiile și produsele de protecție a IUEC la un anumit nivel de clasificare, în mediul său operațional.

46.

Autoritatea de aprobare criptografică (AAC) este responsabilă pentru asigurarea conformității produselor criptografice cu politica națională sau a Consiliului în domeniul criptografiei. Aceasta acordă aprobarea unui produs criptografic pentru protejarea IUEC la un anumit nivel de clasificare, în mediul său operațional. În ceea ce privește statele membre, AAC este, în plus, responsabilă cu evaluarea produselor criptografice.

47.

Autoritatea de distribuire a materialului criptografic (ADMC) este responsabilă cu:

48.

AAS este responsabilă, pentru fiecare sistem, cu:

49.

AAS din cadrul SGC este responsabilă cu acreditarea tuturor SIC care funcționează în subordinea SGC.

50.

AAS relevantă a unui stat membru este responsabilă pentru acreditarea SIC și a componentelor din cadrul acestuia care funcționează în subordinea unui stat membru.

51.

Un consiliu mixt de acreditare în materie de securitate (CAS) este responsabil cu acreditarea SIC din domeniul de competență atât a AAS a SGC, cât și a AAS ale statelor membre. Acesta este compus dintr-un reprezentant al AAS din fiecare stat membru, iar la lucrările sale participă un reprezentant AAS al Comisiei Europene. Alte entități, care dispun de puncte de conectare la un SIC, sunt invitate să participe, atunci când discuțiile privesc respectivul sistem.

CAS este prezidat de un reprezentant al AAS a SGC. Acesta hotărăște prin consensul reprezentanților AAS ale instituțiilor, statelor membre și altor entități care au puncte de conectare la SIC. CAS înaintează Comitetului de securitate rapoarte periodice cu privire la activitățile sale și notifică în acestea toate declarațiile de acreditare.

52.

Autoritatea operațională AI este responsabilă, pentru fiecare sistem, cu:

1.

Prezenta anexă stabilește dispozițiile pentru punerea în aplicare a articolului 11. Aceasta cuprinde dispoziții generale în materie de securitate aplicabile entităților industriale sau de altă natură în cursul negocierilor anterioare încheierii contractelor și pe toată durata contractelor clasificate încheiate de SGC.

2.

Consiliul aprobă orientări privind securitatea industrială descriind în special cerințe detaliate referitoare la ASI, anexa de securitate (AS), vizite, transmiterea și transportul IUEC.

3.

Înainte de a iniția o procedură de ofertare sau de a încheia un contract clasificat, SGC, în calitate de autoritate contractantă, stabilește clasificarea de securitate a oricăror informații care urmează a fi furnizate ofertanților și contractanților, precum și clasificarea de securitate a oricăror informații care urmează să fie create de contractant. În acest scop, SGC elaborează un GCS care urmează să fie folosit pentru executarea contractului.

4.

Pentru a stabili clasificarea de securitate a diferitelor elemente ale unui contract clasificat, se aplică următoarele principii:

5.

Cerințele de securitate specifice contractului sunt descrise într-o AS. AS cuprinde, atunci când este cazul, GCS și constituie o parte integrantă a contractului sau a subcontractului clasificat.

6.

AS cuprinde dispozițiile prin care se solicită contractantului și/sau subcontractantului să respecte standardele minime prevăzute în prezenta decizie. Nerespectarea acestor standarde minime de securitate poate constitui motiv suficient pentru încetarea contractului.

7.

În funcție de domeniul de aplicare al programelor sau proiectelor care implică accesul, gestionarea sau păstrarea IUEC, pot fi elaborate instrucțiuni de securitate pentru program/proiect (ISP) de către autoritatea contractantă desemnată să gestioneze respectivul program sau proiect. ISP necesită aprobarea de către ANS/ADS sau de către oricare alte autorități de securitate competente ale statelor membre care participă la program/proiect și pot conține cerințe de securitate suplimentare.

8.

ASI se acordă de către ANS/ADS sau de către orice altă autoritate de securitate competentă a unui stat membru pentru a atesta că, în conformitate cu actele cu putere de lege și reglementările naționale, o entitate industrială sau de altă natură poate proteja IUEC la nivelul de clasificare adecvat (CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET) în interiorul obiectivelor sale. CSI trebuie prezentat SGC, în calitate de autoritate contractantă, înainte ca unui contractant sau subcontractant, sau unui potențial contractant sau subcontractant, să îi poată fi furnizat sau acordat accesul la IUEC.

9.

La eliberarea unui ASI, ANS sau ADS relevantă asigură cel puțin:

10.

După caz, SGC, în calitate de autoritate contractantă, înștiințează ANS/ADS adecvată sau orice altă autoritate de securitate competentă că este necesar o ASI, fie în etapa precontractuală, fie pentru executarea contractului. Este necesar o ASI sau o ASP în etapa precontractuală în cazul în care trebuie furnizate IUEC clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET pe parcursul procesului de licitare.

11.

Autoritatea contractantă nu atribuie un contract clasificat unui ofertant selectat înainte de a fi primit confirmarea eliberării unei ASI corespunzătoare, dacă este necesar, din partea ANS/ADS sau a oricărei alte autorități de securitate competente a statului membru în care este înregistrat contractantul sau subcontractantul respectiv.

12.

ANS/ADS sau orice altă autoritate de securitate competentă care a eliberat o ASI notifică SGC, în calitate de autoritate contractantă, în legătură cu orice modificări care afectează ASI. În cazul subcontractelor, ANS/ADS sau orice altă autoritate de securitate competentă este informată în mod corespunzător.

13.

Retragerea unei ASI de către ANS/ADS sau de către orice altă autoritate de securitate competentă constituie temei suficient pentru SGC, în calitate de autoritate contractantă, să înceteze un contract clasificat sau să excludă un ofertant din competiție.

14.

Atunci când IUEC sunt furnizate unui ofertant în etapa precontractuală, invitațiile de participare conțin o dispoziție care obligă ofertanții care nu prezintă o ofertă sau care nu sunt selectați să restituie toate documentele clasificate într-un termen specificat.

15.

Odată ce un contract sau un subcontract clasificat a fost atribuit, SGC, în calitate de autoritate contractantă, notifică ANS/ADS corespunzătoare contractantului sau subcontractantului sau oricărei alte autorități de securitate competente dispozițiile în materie de securitate ale contractului clasificat.

16.

În cazul în care un astfel de contract încetează, SGC, în calitate de autoritate contractantă (și/sau ANS/ADS sau orice altă autoritate de securitate competentă, după caz, în cazul subcontractelor) notifică de îndată ANS/ADS sau orice altă autoritate de securitate competentă a statului membru în care este înregistrat contractantul sau subcontractantul.

17.

Ca regulă generală, contractantului sau subcontractantului i se solicită să înapoieze autorității contractante, la încheierea contractului sau subcontractului clasificat, orice IUEC pe care le deține.

18.

Dispoziții specifice privind înlăturarea IUEC în timpul executării contractului sau la încheierea acestuia sunt prevăzute în AS.

19.

În cazul în care contractantul sau subcontractantul este autorizat să rețină IUEC după încheierea unui contract, standardele minime cuprinse în prezenta decizie sunt respectate în continuare și confidențialitatea IUEC este protejată de către contractant sau subcontractant.

20.

Condițiile pe care trebuie să le îndeplinească contractantul pentru a putea subcontracta sunt menționate în procedura de ofertare și în contract.

21.

Un contractant obține permisiunea SGC, în calitate de autoritate contractantă, înainte de a subcontracta părți ale unui contract clasificat. Nu se atribuie subcontracte entităților industriale sau de altă natură înregistrate într-un stat care nu este membru al UE care nu a încheiat cu Uniunea un acord privind securitatea informațiilor.

22.

Contractantul este responsabil pentru asigurarea faptului că toate activitățile de subcontractare sunt întreprinse în conformitate cu standardele minime prevăzute în prezenta decizie și nu furnizează IUEC unui subcontractant fără consimțământul prealabil scris al autorității contractante.

23.

În ceea ce privește IUEC create sau gestionate de contractant sau de subcontractant, drepturile care îi revin emitentului sunt exercitate de către autoritatea contractantă.

24.

În cazul în care personalul SGC, al contractanților sau al subcontractanților necesită acces la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET în incintele celeilalte părți în scopul executării unui contract clasificat, vizitele sunt organizate în colaborare cu ANS/ADS sau cu orice altă autoritate de securitate competentă implicată. Cu toate acestea, în contextul unor proiecte specifice, ANS/ADS pot conveni, de asemenea, o procedură prin care astfel de vizite să poată fi organizate în mod direct.

25.

Accesul vizitatorilor la IUEC legate de contractul SGC se acordă pe baza deținerii unui ASP corespunzător și a respectării principiului necesității de a cunoaște.

26.

Vizitatorilor li se acordă accesul numai la IUEC legate de scopul vizitei.

27.

În ceea ce privește transmiterea IUEC prin mijloace electronice, se aplică dispozițiile relevante de la articolul 10 și din anexa IV.

28.

În ceea ce privește transportul IUEC, se aplică dispozițiile relevante din anexa III, în conformitate cu actele cu putere de lege și reglementările naționale.

29.

Pentru transportul ca marfă al materialelor clasificate, se aplică următoarele principii în stabilirea măsurilor de securitate:

30.

IUEC sunt transferate contractanților și subcontractanților aflați în state terțe în conformitate cu măsurile de securitate convenite între SGC, în calitate de autoritate contractantă, și ANS/ADS a statului terț implicat în care este înregistrat contractantul.

31.

SGC, în calitate de autoritate contractantă, ținând legătura, după caz cu ANS/ADS a statului membru, are dreptul să efectueze inspecții ale incintelor contractanților/subcontractanților în temeiul clauzelor contractuale, în scopul de a verifica dacă s-au aplicat măsurile de securitate relevante pentru protecția IUEC la nivelul RESTREINT UE/EU RESTRICTED în conformitate cu cerințele contractului.

32.

În măsura în care este necesar în temeiul actelor cu putere de lege și reglementărilor naționale, ASN/ADS sau orice altă autoritate de securitate competentă este înștiințată de SGC, în calitatea sa de autoritate contractantă, cu privire la contractele sau subcontractele care conțin informații clasificate RESTREINT UE/EU RESTRICTED.

33.

Pentru contractele încheiate de SGC care conțin informații clasificate RESTREINT UE/EU RESTRICTED nu se solicită ASI sau ASP contractanților sau subcontractanților și personalului acestora.

34.

SGC, în calitate de autoritate contractantă, analizează răspunsurile la invitațiile de participare la procedurile de ofertare pentru contractele care necesită accesul la informații clasificate RESTREINT UE/EU RESTRICTED, fără a aduce atingere niciunei cerințe referitoare la ASI sau la ASP care poate exista în temeiul actelor cu putere de lege și reglementărilor naționale.

35.

Condițiile pe care trebuie să le îndeplinească contractantul pentru a putea subcontracta trebuie să fie conforme cu punctul 21.

36.

Atunci când contractul necesită gestionarea informațiilor clasificate RESTREINT UE/EU RESTRICTED într-un SIC gestionat de un contractant, SGC, în calitatea sa de autoritate contractantă, se asigură că în contract sau în eventuale subcontracte se specifică cerințele tehnice și administrative necesare în ceea ce privește acreditarea SIC, proporționale cu riscul evaluat, luându-se în considerare toți factorii relevanți. Domeniul de acreditare al unui astfel de SIC este convenit de autoritatea contractantă cu ANS/ADS competentă.

1.

Prezenta anexă stabilește dispozițiile pentru punerea în aplicare a articolului 13.

2.

În cazul în care Consiliul stabilește că există o necesitate pe termen lung de schimb de informații clasificate:

în conformitate cu articolul 13 alineatul (2) și cu secțiunile III și IV și pe baza unei recomandări a Comitetului de securitate.

3.

În cazul în care IUEC generate pentru o operație PSAC urmează să fie puse la dispoziția unor state terțe sau organizații internaționale care participă la respectiva operație și nu există niciun cadru dintre cele prevăzute la punctul 2, schimbul de IUEC cu statul terț sau organizația internațională participantă este reglementat, în conformitate cu secțiunea V, de:

4.

În lipsa unuia dintre cadrele menționate la punctele 2 și 3 și în cazul în care se adoptă o decizie privind comunicarea IUEC unui stat terț sau unei organizații internaționale pe bază excepțională ad-hoc, în conformitate cu secțiunea VI, statului terț sau organizației internaționale respective i se solicită garanții scrise pentru a se asigura că protejează orice IUEC care i-au fost comunicate, în conformitate cu principiile de bază și standardele minime stabilite în prezenta decizie.

5.

Acordurile privind securitatea informațiilor stabilesc principiile de bază și standardele minime care reglementează schimbul de informații clasificate între Uniune și un stat terț sau o organizație internațională.

6.

Acordurile privind securitatea informațiilor prevăd măsuri tehnice de punere în aplicare care urmează a fi convenite între autoritățile de securitate competente ale instituțiilor și organismelor relevante ale Uniunii și autoritatea de securitate competentă a statului terț sau a organizației internaționale în cauză. Aceste măsuri țin seama în mod corespunzător de nivelul de protecție prevăzut de regulamentele de securitate, structurile și procedurile existente în statul terț sau organizația internațională în cauză. Aceste măsuri se aprobă de către Comitetul de securitate.

7.

IUEC sunt schimbate în temeiul unui acord privind securitatea informațiilor prin mijloace electronice numai atunci când acest lucru este autorizat în mod explicit în acord sau în măsurile tehnice de punere în aplicare aferente.

8.

Atunci când Consiliul încheie un acord de securitate a informațiilor, se desemnează un registru pentru fiecare parte, ca principal punct de intrare și ieșire pentru schimbul de informații clasificate.

9.

Pentru a evalua eficiența regulamentelor, a structurilor și a procedurilor de securitate din statul terț sau din organizația internațională în cauză, sunt organizate vizite de evaluare, de comun acord cu statul terț sau cu organizația internațională în cauză. Aceste vizite de evaluare se desfășoară în conformitate cu dispozițiile relevante din anexa III și evaluează:

10.

Echipa care desfășoară o vizită de evaluare în numele Uniunii evaluează dacă regulamentele și procedurile de securitate ale statului terț sau ale organizației internaționale în cauză sunt adecvate pentru protecția IUEC la un anumit nivel.

11.

Rezultatele unor astfel de vizite sunt prezentate într-un raport pe baza căruia Comitetul de securitate stabilește nivelul maxim al IUEC care pot fi comunicate în format tipărit și, după caz, în format electronic părții terțe interesate, precum și condițiile care reglementează schimbul cu această parte.

12.

Se întreprind toate demersurile necesare desfășurării unei vizite complete de evaluare a securității în statul terț sau organizația internațională în cauză înainte de aprobarea de către Comitetul de securitate a măsurilor de punere în aplicare pentru stabilirea tipului și eficienței sistemului de securitate existent. Cu toate acestea, dacă acest lucru nu este posibil, Comitetul de securitate primește un raport cât mai complet din partea Oficiului de Securitate al SGC, bazat pe informațiile de care acesta dispune, prin care se informează Comitetul de securitate asupra regulamentelor de securitate aplicabile și asupra modului în care este organizată securitatea în statele terțe sau organizațiile internaționale în cauză.

13.

Raportul privind vizita de evaluare sau, în absența acestui raport, raportul menționat la punctul 12 este transmis Comitetului de securitate și considerat satisfăcător de către acesta înainte ca IUEC să fie comunicate efectiv statului terț sau organizației internaționale în cauză.

14.

Autoritățile de securitate competente ale instituțiilor și organismelor Uniunii transmit statului terț sau organizației internaționale data de la care Uniunea este în măsură să comunice IUEC în temeiul acordului, precum și nivelul maxim al IUEC care pot fi schimbate în format tipărit sau electronic.

15.

Dacă este necesar, se desfășoară vizite de evaluare cu rol de monitorizare, în special dacă:

16.

Odată ce acordul privind securitatea informațiilor intră în vigoare, iar informațiile clasificate sunt schimbate cu statul terț sau organizația internațională în cauză, Comitetul de securitate poate decide să modifice nivelul maxim al IUEC care pot fi schimbate în format tipărit sau electronic, în special din perspectiva oricărei vizite ulterioare de evaluare.

17.

În cazul în care există o necesitate pe termen lung de schimb de informații clasificate, ca regulă generală, cel mult la nivelul RESTREINT UE/EU RESTRICTED, cu un stat terț sau o organizație internațională, dar Comitetul de securitate a stabilit că partea în cauză nu deține un sistem de securitate suficient de dezvoltat pentru a permite încheierea unui acord privind securitatea informațiilor, Secretarul General poate, sub rezerva aprobării de către Consiliu, să încheie un acord administrativ în numele SGC cu autoritățile competente ale statului terț sau ale organizației internaționale în cauză.

18.

În cazul în care, din motive operaționale urgente, este necesară instituirea rapidă a unui cadru pentru schimbul de informații clasificate, Consiliul poate decide, în mod excepțional, încheierea unui acord administrativ pentru schimbul de informații având un nivel de clasificare mai ridicat.

19.

Ca regulă generală, acordurile administrative iau forma unui schimb de scrisori.

20.

Se efectuează vizita de evaluare menționată la punctul 9, iar raportul sau, în absența acestui raport, raportul menționat la punctul 12 este transmis Comitetului de securitate și considerat satisfăcător de către acesta înainte ca IUEC să fie comunicate efectiv statului terț sau organizației internaționale în cauză.

21.

IUEC nu sunt schimbate în temeiul unui acord administrativ prin mijloace electronice decât în cazul în care acest lucru este prevăzut în mod explicit în acord.

22.

Acordurile-cadru de participare reglementează participarea statelor terțe sau a organizațiilor internaționale la operațiile PSAC. Aceste acorduri includ dispoziții privind comunicarea IUEC generate pentru operațiile PSAC către statele terțe sau organizațiile internaționale contribuitoare. Nivelul maxim de clasificare al IUEC care pot fi schimbate este RESTREINT UE/EU RESTRICTED pentru operații civile PSAC și CONFIDENTIEL UE/EU CONFIDENTIAL pentru operații militare PSAC, cu excepția situațiilor în care se prevede altfel în decizia de instituire a fiecărei operații PSAC.

23.

Acordurile de participare ad-hoc încheiate pentru o anumită operație PSAC includ dispoziții privind comunicarea IUEC generate pentru această operație statului terț sau organizației internaționale contribuitoare. Nivelul maxim de clasificare al IUEC care pot fi schimbate este RESTREINT UE/EU RESTRICTED pentru operații civile PSAC și CONFIDENTIEL UE/EU CONFIDENTIAL pentru operații militare PSAC, cu excepția situațiilor în care se prevede altfel în decizia de instituire a fiecărei operații PSAC.

24.

În lipsa unui acord privind securitatea informațiilor și în așteptarea încheierii unui acord de participare, comunicarea IUEC generate în scopul operației către un stat terț sau o organizație internațională care participă la operație este reglementată de un acord administrativ care trebuie să fie încheiat de Înaltul Reprezentant sau să facă obiectul unei decizii privind comunicarea ad-hoc în conformitate cu secțiunea VI. Schimbul de IUEC în temeiul acestui acord are loc numai atât timp cât participarea statului terț sau a organizației internaționale este încă preconizată. Nivelul maxim de clasificare al IUEC care pot face obiectul schimbului este RESTREINT UE/EU RESTRICTED pentru operații civile PSAC și CONFIDENTIEL UE/EU CONFIDENTIAL pentru operații militare PSAC, cu excepția situațiilor în care se prevede altfel în decizia de instituire a fiecărei operații PSAC.

25.

Dispozițiile privind informațiile clasificate care urmează să fie incluse în acordurile-cadru de participare, acordurile de participare ad-hoc și acordurile administrative ad-hoc menționate la punctele 22-24 prevăd că statul terț sau organizația internațională în cauză se asigură că personalul său, detașat în cadrul oricărei operații, va proteja IUEC în conformitate cu normele de securitate ale Consiliului și cu îndrumările suplimentare elaborate de autoritățile competente, inclusiv de lanțul de comandă al operației.

26.

Dacă un stat terț sau o organizație internațională participante încheie ulterior cu Uniunea un acord privind securitatea informațiilor, acesta prevalează asupra dispozițiilor privind schimbul de informații clasificate prevăzute în orice acord-cadru de participare, acord de participare ad-hoc sau acord administrativ ad-hoc, din punctul de vedere al schimbului și al gestionării IUEC.

27.

Schimbul de IUEC prin mijloace electronice este permis în cadrul unui acord-cadru de participare, al unui acord de participare ad-hoc sau al unui acord administrativ ad-hoc cu un stat terț sau o organizație internațională numai dacă acest lucru este prevăzut explicit în acordul în cauză.

28.

IUEC generate pentru o operație PSAC pot fi divulgate personalului detașat în cadrul respectivei operații de către statele terțe sau organizațiile internaționale în condițiile prevăzute la punctele 22-27. În cadrul autorizării accesului personalului menționat la IUEC în incintele sau în SIC ale unei operații PSAC, sunt luate măsuri (inclusiv înregistrarea IUEC divulgate) pentru a se reduce riscul pierderii sau al compromiterii. Măsurile de acest fel sunt definite în documentele relevante de planificare sau în documentele de misiune.

29.

În lipsa unui acord privind securitatea informațiilor, comunicarea IUEC, în cazul unei nevoi operaționale specifice și imediate, către statul-gazdă pe teritoriul căruia se desfășoară o operație PSAC poate fi reglementată de un acord administrativ care trebuie să fie încheiat de Înaltul Reprezentant. Această posibilitate este prevăzută în decizia de instituire a operației PSAC. IUEC comunicate în astfel de împrejurări se limitează la cele generate în scopurile operației PSAC și clasificate cel mult la nivelul RESTREINT UE/EU RESTRICTED, cu excepția cazului în care un nivel de clasificare superior este prevăzut în decizia de instituire a operației PSAC. În temeiul unui astfel de acord administrativ, statul-gazdă este obligat să se angajeze să protejeze IUEC în conformitate cu standarde minime cel puțin la fel de stricte precum cele stabilite prin prezenta decizie.

30.

În lipsa unui acord privind securitatea informațiilor, comunicarea IUEC către state terțe și organizații internaționale relevante, în afara celor care participă la o operație PSAC, poate fi reglementată de un acord administrativ care trebuie să fie încheiat de Înaltul Reprezentant. După caz, această posibilitate, precum și orice condiție aferentă acesteia sunt prevăzute în decizia de instituire a operației PSAC. IUEC comunicate în astfel de împrejurări se limitează la cele generate în scopurile operației PSAC și clasificate cel mult la nivelul RESTREINT UE/EU RESTRICTED, cu excepția cazului în care un nivel de clasificare superior este prevăzut în decizia de instituire a operației PSAC. În temeiul unui astfel de acord administrativ, statul terț sau organizația internațională în cauză este obligat(ă) să se angajeze să protejeze IUEC în conformitate cu standarde minime cel puțin la fel de stricte precum cele stabilite prin prezenta decizie.

31.

Nu sunt necesare măsuri de punere în aplicare sau vizite de evaluare înaintea punerii în aplicare a dispozițiilor privind comunicarea IUEC în contextul punctelor 22, 23 și 24.

32.

În cazul în care nu există niciun cadru în conformitate cu secțiunile III-V, iar Consiliul sau unul dintre organismele sale pregătitoare stabilește necesitatea excepțională a comunicării IUEC către un stat terț sau organizație internațională, SGC:

33.

În cazul în care Comitetul de securitate emite o recomandare favorabilă comunicării IUEC, chestiunea este prezentată Comitetului reprezentanților permanenți (Coreper), care adoptă o decizie privind comunicarea acestora.

34.

În cazul în care recomandarea Comitetului de securitate nu este în favoarea comunicării IUEC:

35.

Atunci când acest lucru este considerat oportun și sub rezerva acordului scris prealabil al emitentului, Coreper poate decide ca informațiile clasificate să fie comunicate numai parțial sau numai după ce au fost declasificate sau li s-a redus nivelul de clasificare, sau ca informațiile care urmează să fie comunicate să fie pregătite fără a face trimitere la sursă sau la nivelul UE de clasificare inițial.

36.

Pe baza deciziei de comunicare a IUEC, SGC înaintează documentul în cauză, care poartă un marcaj de comunicare care indică statul terț sau organizația internațională destinatară. Înaintea sau în timpul comunicării efective, partea terță în cauză se angajează în scris să protejeze IUEC primite în conformitate cu principiile de bază și standardele minime stabilite în prezenta decizie.

37.

În cazul în care există un cadru, în conformitate cu punctul 2, pentru schimbul de informații clasificate cu un stat terț sau o organizație internațională, Consiliul adoptă o decizie de autorizare a Secretarului General să comunice IUEC, în conformitate cu principiul acordului emitentului, către statul terț sau organizația internațională în cauză. Secretarul General poate delega această autorizare înalților funcționari ai SGC.

38.

În cazul în care există un acord privind securitatea informațiilor în conformitate cu punctul 2 prima liniuță, Consiliul poate lua o decizie de autorizare a Înaltului Reprezentant să comunice statului terț sau organizației internaționale în cauză IUEC generate în cadrul Consiliului în domeniul politicii externe și de securitate comune, după ce a obținut acordul emitentului oricărui material sursă cuprins în acesta. Înaltul Reprezentant poate delega această autorizare înalților funcționari ai SEAE sau RSUE.

39.

În cazul în care există un cadru, în conformitate cu punctul 2 sau 3, pentru schimbul de informații clasificate cu un stat terț sau o organizație internațională, Înaltul Reprezentant este autorizat să comunice IUEC, în conformitate cu decizia de instituire a operației PSAC și cu principiul acordului emitentului. Înaltul Reprezentant poate delega această autorizare înalților funcționari ai SEAE, comandanților operației, forței sau misiunii UE sau șefilor misiunilor UE.

„Acreditare” reprezintă procesul care duce la o declarație formală a autorității de acreditare în materie de securitate (AAS), potrivit căreia un sistem deține aprobarea de a funcționa cu un nivel de clasificare definit, într-un anumit mod de securitate, în mediul său operațional și la un nivel de risc acceptabil, pe baza premisei că a fost pus în aplicare un set aprobat de măsuri de securitate de ordin tehnic, fizic, organizațional și procedural.

„Activ” înseamnă orice reprezintă o valoare pentru o organizație, pentru operațiunile de funcționare a acesteia și continuitatea acestora, inclusiv resursele informaționale care sprijină misiunea organizației.

„Autorizație de acces la IUEC” înseamnă o decizie a autorității împuternicite să facă numiri din cadrul SGC luată pe baza unei asigurări date de o autoritate competentă a unui stat membru conform căreia unui funcționar, unui alt agent al SGC sau unui expert național detașat, odată ce a fost stabilită necesitatea de a cunoaște în cazul său și cu condiția ca acesta să fi fost informat corespunzător cu privire la responsabilitățile sale, îi poate fi acordat accesul la IUEC până la un nivel specificat (CONFIDENTIEL UE/EU CONFIDENTIAL sau superior) până la o anumită dată.

„Ciclul de viață al SIC” înseamnă întreaga durată a existenței unui SIC, care include inițierea, conceperea, planificarea, analiza cerințelor, proiectarea, dezvoltarea, testarea, implementarea, utilizarea, mentenanța și dezafectarea.

„Contract clasificat” înseamnă un contract încheiat de SGC cu un contractant pentru livrarea de bunuri, executarea de lucrări sau prestarea de servicii, a cărui executare necesită sau implică accesul la IUEC sau crearea acestora.

„Subcontract clasificat” înseamnă un contract încheiat de un contractant al SGC cu un alt contractant (respectiv, subcontractantul) pentru livrarea de bunuri, executarea de lucrări sau prestarea de servicii, a cărui executare necesită sau implică accesul la IUEC sau crearea acestora.

„Sistem informatic și de comunicații” (SIC) – a se vedea articolul 10 alineatul (2).

„Contractant” înseamnă o persoană fizică sau juridică având capacitatea juridică de a încheia contracte.

„Material criptografic (criptat)” înseamnă algoritmi criptografici, module criptografice hardware și software și produse care includ detalii privind punerea în aplicare și materialele asociate de documentare și cele legate de chei.

„Produs criptografic” înseamnă un produs a cărui funcție principală este furnizarea de servicii de securitate (confidențialitate, integritate, disponibilitate, autenticitate, nerepudiere) prin intermediul unuia sau mai multor mecanisme criptografice.

„Operație PSAC” înseamnă o operație militară sau civilă de gestionare a crizelor în temeiul titlului V capitolul 2 din TUE.

„Declasificare” înseamnă eliminarea clasificării de securitate.

„Apărarea în profunzime” înseamnă aplicarea unor măsuri de securitate organizate pe niveluri de apărare multiple.

„Autoritate desemnată de securitate” (ADS) înseamnă o autoritate care răspunde în fața autorității naționale de securitate (ANS) a unui stat membru, însărcinată să comunice entităților industriale sau de altă natură politica națională în materie de securitate industrială și să ofere indicații și asistență pentru punerea în aplicare a acesteia. Atribuțiile ADS pot fi îndeplinite de ANS sau de orice altă autoritate competentă.

„Document” reprezintă orice informație înregistrată, indiferent de forma sau caracteristicile sale fizice.

„Reducerea nivelului de securitate” înseamnă atribuirea unui nivel de clasificare inferior.

„Informații UE clasificate” (IUEC) – a se vedea articolul 2 alineatul (1).

„Autorizare de securitate industrială” (ASI) înseamnă o decizie administrativă a ANS sau ADS conform căreia, în ceea ce privește securitatea, un obiectiv poate oferi un nivel de protecție adecvat IUEC clasificate cu un anumit nivel de clasificare a securității.

„Gestionarea” IUEC înseamnă toate acțiunile posibile al căror obiect îl pot face IUEC de-a lungul ciclului lor de viață. Aceasta cuprinde crearea, prelucrarea, transportul, reducerea nivelului de clasificare, declasificarea și distrugerea. În relație cu SIC, aceasta cuprinde, de asemenea, colectarea, afișarea și păstrarea.

„Deținător” înseamnă o persoană autorizată corespunzător cu privire la care s-a stabilit necesitatea de a cunoaște, care se află în posesia unei informații UE clasificate și, în consecință, răspunde de protecția acesteia.

„Entitate industrială sau de altă natură” înseamnă o entitate care livrează bunuri, execută lucrări sau furnizează servicii; aceasta poate fi o entitate industrială, comercială, de prestări de servicii, din domeniul științific, de cercetare, educațională sau de dezvoltare ori o persoană fizică autorizată.

„Securitate industrială” – a se vedea articolul 11 alineatul (1).

„Asigurarea informațiilor” – a se vedea articolul 10 alineatul (1).

„Interconectare” – a se vedea anexa IV punctul 32.

„Managementul informațiilor clasificate” – a se vedea articolul 9 alineatul (1).

„Materiale” reprezintă orice document, suport de date sau obiect de tip mașină sau echipament, fabricat sau în proces de fabricație.

„Emitent” înseamnă instituția, organismul sau agenția Uniunii, statul membru, statul terț sau organizația internațională sub a cărei autoritate s-au creat și/sau introdus în structurile Uniunii informațiile clasificate.

„Securitatea personalului” – a se vedea articolul 7 alineatul (1).

„Autorizare de securitate al personalului” (ASP) înseamnă o declarație a unei autorități competente a unui stat membru, dată după încheierea unei investigații de securitate efectuate de autoritățile competente ale unui stat membru și care garantează faptul că unei persoane îi poate fi acordat accesul la IUEC până la un nivel precizat (CONFIDENTIEL UE/EU CONFIDENTIAL sau superior) până la o dată precisă.

„Certificarea autorizării de securitate a personalului” (CCSP) înseamnă un certificat eliberat de o autoritate competentă care stabilește că o persoană face obiectul autorizării de securitate și deține o certificare a autorizării de securitate sau o autorizație de acces la IUEC valabile din partea autorității împuternicite să facă numiri și care indică nivelul IUEC la care este permis accesul persoanei respective (CONFIDENTIEL UE/EU CONFIDENTIAL sau superior), perioada de valabilitate a ASP respectiv și data expirării confirmării în cauză.

„Securitatea fizică” – a se vedea articolul 8 alineatul (1).

„Instrucțiuni de securitate pentru program/proiect” (ISP) înseamnă o listă de proceduri de securitate care sunt aplicate unui program/proiect specific în scopul standardizării procedurilor de securitate. Acestea pot fi revizuite pe parcursul programului/proiectului.

„Înregistrare” – a se vedea anexa III punctul 18.

„Riscul rezidual” reprezintă riscul care persistă după punerea în aplicare a măsurilor de securitate, ținând seama de faptul că nu toate amenințările sunt contracarate și nu toate vulnerabilitățile pot fi eliminate.

„Risc” reprezintă posibilitatea ca o anumită amenințare să exploateze vulnerabilitățile interne și externe ale unei organizații sau ale oricăruia dintre sistemele pe care aceasta le utilizează și, în consecință, să cauzeze un prejudiciu organizației sau activelor sale corporale sau necorporale. Riscul se măsoară sub forma combinației dintre probabilitatea materializării amenințărilor și impactul acestora:

„Anexa de securitate” (AS) înseamnă un set de condiții contractuale speciale, emis de autoritatea contractantă, care este parte integrantă din orice contract clasificat care implică accesul la IUEC sau crearea de IUEC și care identifică cerințele de securitate sau elementele din cadrul contractului care necesită protecție de securitate.

„Ghidul clasificărilor de securitate” (GCS) înseamnă un document care descrie elementele unui program sau ale unui contract clasificat, precizând nivelurile aplicabile de protecție a informațiilor. GCS poate fi extins pe toată durata programului sau a contractului respectiv, iar informațiile pot fi reclasificate sau le poate fi redus nivelul de clasificare; în cazul în care există un GCS, acesta face parte din AS.

„Investigație de securitate” înseamnă procedurile de investigare derulate de autoritatea competentă a unui stat membru, în conformitate cu actele cu putere de lege și reglementările naționale din statul membru în cauză, pentru a garanta că nu se cunosc fapte adverse care să împiedice o persoană să beneficieze de o ASP sau de o autorizație de acces la IUEC până la un nivel precizat (CONFIDENTIEL UE/EU CONFIDENTIAL sau superior).

„Mod de operare de securitate” înseamnă definirea condițiilor în care funcționează un SIC pe baza clasificării informațiilor gestionate și a nivelului certificatelor, a aprobărilor de acces formale și a necesității de a cunoaște a utilizatorilor acestuia. Există patru moduri de operare pentru gestionarea sau transmiterea informațiilor clasificate: modul dedicat, modul de nivel înalt, modul compartimentat și modul multinivel:

„Proces de management al riscului de securitate” înseamnă întregul proces de identificare, control și reducere a influenței evenimentelor neprevăzute care pot afecta securitatea unei organizații sau a oricăruia dintre sistemele pe care aceasta le folosește. Procesul acoperă întregul spectru al activităților legate de risc, inclusiv evaluarea, tratarea, acceptarea și comunicarea.

„TEMPEST” înseamnă investigarea, studiul și controlul emisiilor electromagnetice compromițătoare și măsurile de eliminare a acestora.

„Amenințare” înseamnă o cauză potențială a unui incident nedorit care poate aduce prejudicii unei organizații sau oricăruia dintre sistemele pe care aceasta le folosește; amenințările pot fi accidentale sau deliberate (rău-intenționate) și sunt caracterizate prin elemente amenințătoare, ținte potențiale și metode de atac.

„Vulnerabilitatea” reprezintă un punct slab de orice natură care poate fi exploatat de una sau mai multe amenințări. Vulnerabilitatea poate fi o omisiune sau se poate referi la un punct slab în cadrul controalelor, din punctul de vedere al forței, acoperirii sau coerenței acestora și poate fi de ordin tehnic, procedural, fizic, organizațional sau operațional.