02000Q3614 — SV — 23.04.2020 — 013.001

---

Den här texten är endast avsedd som ett dokumentationshjälpmedel och har ingen rättslig verkan. EU-institutionerna tar inget ansvar för innehållet. De autentiska versionerna av motsvarande rättsakter, inklusive ingresserna, publiceras i Europeiska unionens officiella tidning och finns i EUR-Lex. De officiella texterna är direkt tillgängliga via länkarna i det här dokumentet

►B	KOMMISSIONENS ARBETSORDNING [K(2000) 3614] (EGT L 308 8.12.2000, s. 26)

Ändrad genom:

		Officiella tidningen
		nr	sida	datum
►M1	KOMMISSIONENS BESLUT 2001/844/EG, EKSG, Euratom av den 29 november 2001	L 317	1	3.12.2001
►M2	Ändrad genom: KOMMISSIONENS BESLUT 2005/94/EG, Euratom av den 3 februari 2005	L 31	66	4.2.2005
►M3	Ändrad genom: KOMMISSIONENS BESLUT 2006/70/EG, Euratom av den 31 januari 2006	L 34	32	7.2.2006
►M4	Ändrad genom: KOMMISSIONENS BESLUT 2006/548/EG, Euratom av den 2 augusti 2006	L 215	38	5.8.2006
►M5	KOMMISSIONENS BESLUT 2001/937/EG, EKSG, Euratom av den 5 december 2001	L 345	94	29.12.2001
►M6	KOMMISSIONENS BESLUT 2002/47/EG, EKSG, Euratom av den 23 januari 2002	L 21	23	24.1.2002
M7	KOMMISSIONENS BESLUT 2003/246/EG, Euratom av den 26 mars 2003	L 92	14	9.4.2003
►M8	KOMMISSIONENS BESLUT 2004/563/EG, Euratom av den 7 juli 2004	L 251	9	27.7.2004
M9	KOMMISSIONENS BESLUT 2005/960/EG, Euratom av den 15 november 2005	L 347	83	30.12.2005
►M10	KOMMISSIONENS BESLUT 2006/25/EG, Euratom av den 23 december 2005	L 19	20	24.1.2006
►M11	KOMMISSIONENS BESLUT 2007/65/EG av den 15 december 2006	L 32	144	6.2.2007
►M12	KOMMISSIONENS BESLUT 2008/401/EG, Euratom av den 30 april 2008	L 140	22	30.5.2008
►M13	KOMMISSIONENS BESLUT 2010/138/EU, Euratom av den 24 februari 2010	L 55	60	5.3.2010
►M14	KOMMISSIONENS BESLUT 2011/737/EU, Euratom av den 9 november 2011	L 296	58	15.11.2011
►M15	KOMMISSIONENS BESLUT (EU, Euratom) 2020/555 av den 22 april 2020	L 127I	1	22.4.2020

---

▼B

KOMMISSIONENS ARBETSORDNING

[K(2000) 3614]

▼M13

KAPITEL I

KOMMISSIONEN

Artikel 1

Gemensamt beslutsansvar

Kommissionen ska arbeta som kollegium i enlighet med bestämmelserna i denna arbetsordning med beaktande av de prioriteringar som den fastställt inom ramen för de politiska riktlinjer som dess ordförande angett enligt artikel 17.6 i EU-fördraget.

Artikel 2

Politiska riktlinjer, prioriteringar, arbetsprogram och budget

Kommissionen ska med beaktande av de politiska riktlinjer som dess ordförande angett fastställa sina prioriteringar och omsätta dessa i det arbetsprogram och det förslag till budget som kommissionen antar varje år.

Artikel 3

Ordförande

1.  Ordföranden ska ange riktlinjer för kommissionens uppgifter ( 1 ). Han ska leda kommissionens arbete och svara för dess genomförande.

2.  Ordföranden ska besluta om kommissionens interna organisation för att se till att det råder samstämmighet i dess arbete och att den arbetar effektivt och som ett kollegialt organ ( 2 )

Utan att det påverkar artikel 18.4 i EU-fördraget ska ordföranden tilldela ledamöterna särskilda verksamhetsområden inom vilka de särskilt ansvarar för att förbereda kommissionens arbete och för att genomföra dess beslut ( 3 ).

Ordföranden får anmoda ledamöterna att vidta särskilda åtgärder för att se till att de politiska riktlinjer som han angett och de prioriteringar som kommissionen fastställt genomförs.

Ordföranden får när som helst ändra sina beslut om tilldelning av verksamhetsområden ( 4 ).

Kommissionens ledamöter ska under ledning av ordföranden utföra de uppgifter som denne ålägger dem ( 5 ).

3.  Ordföranden ska utse vice ordförande bland kommissionens ledamöter ( 6 ), med undantag av unionens höga representant för utrikes frågor och säkerhetspolitik, och fastställa turordningen inom kommissionen.

4.  Ordföranden får bland kommissionens ledamöter inrätta grupper, för vilka han ska utse ordförande, fastställa mandat och arbetssätt samt besluta om sammansättning och varaktighet.

5.  Ordföranden ska företräda kommissionen. Han utser de ledamöter som ska bistå honom i detta arbete.

6.  Utan att det påverkar artikel 18.1 i EU-fördraget ska en kommissionsledamot avgå om ordföranden begär detta ( 7 ).

Artikel 4

Beslutsgång

Kommissionen ska anta sina beslut

AVSNITT 1

Kommissionens sammanträden

Artikel 5

Sammankallande

1.  Kommissionen ska sammankallas av ordföranden.

2.  Kommissionen ska som regel sammanträda minst en gång i veckan. Extra sammanträden ska hållas så ofta som det behövs.

▼M15

Under exceptionella omständigheter får ordföranden, om en del av eller samtliga kommissionsledamöter hindras från att närvara personligen vid ett sammanträde i kommissionen, inbjuda dem att delta med hjälp av telekommunikationssystem som möjliggör deras identifiering och effektiva deltagande.

▼M13

3.  Kommissionens ledamöter är skyldiga att delta i alla sammanträden. Vid förhinder ska de i god tid informera ordföranden om skälen till att de inte kan närvara. Ordföranden ska från fall till fall bedöma om situationen motiverar att denna skyldighet inte uppfylls.

Artikel 6

Dagordningen för kommissionens sammanträden

1.  Ordföranden ska fastställa dagordningen för varje sammanträde i kommissionen.

2.  Utan att det påverkar ordförandens behörighet att fastställa dagordningen, ska varje förslag som medför betydande utgifter läggas fram i samförstånd med den kommissionsledamot som ansvarar för budgeten.

3.  Varje fråga som en kommissionsledamot vill föra upp på dagordningen ska översändas till ordföranden enligt de villkor som fastställs av kommissionen i enlighet med de tillämpningsföreskrifter som avses i artikel 28, nedan kallade tillämpningsföreskrifterna.

4.  Dagordningen och beslutsunderlagen ska översändas till kommissionsledamöterna enligt de villkor som fastställts i enlighet med tillämpningsföreskrifterna.

5.  Kommissionen får, på förslag från ordföranden, ta upp en punkt som inte finns på dagordningen eller för vilken de nödvändiga beslutsunderlagen har delats ut för sent.

Artikel 7

Beslutsförhet

Kommissionen är beslutsför om en majoritet av det antal ledamöter som föreskrivs i fördraget är närvarande.

▼M15

Om ordföranden använder sig av artikel 5.2 andra stycket ska de kommissionsledamöter som deltar i överläggningarna med hjälp av sådana telekommunikationssystem som avses i det stycket vid bedömning av beslutsförhet anses vara närvarande.

▼M13

Artikel 8

Beslutsfattande

1.  Kommissionen ska fatta beslut på förslag från en eller flera av sina ledamöter.

2.  Omröstning ska ske på begäran av en ledamot. Omröstning får ske om ett förslag i dess ursprungliga lydelse eller om ett förslag som är ändrat av den eller de ansvariga ledamöterna eller av ordföranden.

3.  Kommissionens beslut ska antas om en majoritet av det antal ledamöter som föreskrivs i fördraget röstar för.

4.  Ordföranden ska fastställa resultatet av överläggningarna, vilket skrivs in i sammanträdesprotokollet enligt artikel 11.

Artikel 9

Konfidentialitet

Kommissionens sammanträden är inte offentliga. Överläggningarna omfattas av sekretess.

Artikel 10

Tjänstemäns eller andra personers närvaro

1.  Om kommissionen inte beslutar annat, ska generalsekreteraren och ordförandens kanslichef delta i sammanträdena. Villkoren för andra personers närvaro fastställs i tillämpningsföreskrifterna.

2.  Om en ledamot är frånvarande, får dennes kanslichef delta i sammanträdet och på ordförandens anmodan redogöra för den frånvarande ledamotens ståndpunkt.

3.  Kommissionen får besluta om att höra även andra personer.

▼M15

4.  Om ordföranden använder sig av artikel 5.2 andra stycket får de personer som avses i punkterna 1–3 delta i sammanträdena med hjälp av sådana telekommunikationssystem som avses i det stycket.

▼M13

Artikel 11

Protokoll

1.  Protokoll ska föras vid kommissionens sammanträden.

2.  Ett utkast till sammanträdesprotokoll ska föreläggas kommissionen för godkännande vid ett efterföljande sammanträde. Det godkända protokollet ska undertecknas av ordföranden och generalsekreteraren.

AVSNITT 2

Andra beslutsförfaranden

Artikel 12

Beslut genom skriftligt förfarande

1.  Kommissionen får godkänna ett förslag från en eller flera ledamöter genom skriftligt förfarande, förutsatt att rättstjänsten har tillstyrkt förslaget samt att godkännande har erhållits från avdelningarna efter samråd i enlighet med de villkor som fastställs i artikel 23.

Detta tillstyrkande och/eller dessa godkännanden kan ersättas av en överenskommelse mellan kommissionsledamöterna, om kollegiet, på förslag av ordföranden, beslutat att inleda ett skriftligt förfarande för slutförande i den mening som avses i tillämpningsföreskrifterna.

2.  Förslaget ska i detta syfte översändas till alla ledamöter av kommissionen enligt de villkor som fastställs av kommissionen i enlighet med tillämpningsföreskrifterna och med angivande av den tidsfrist inom vilken ledamöterna måste tillkännage sina reservationer eller de ändringar de vill göra i förslaget.

3.  Under det skriftliga förfarandet får varje kommissionsledamot begära att förslaget ska diskuteras. I sådana fall ska ledamoten rikta en motiverad begäran om detta till ordföranden.

4.  Om ingen kommissionsledamot har reserverat sig mot förslaget inom den tidsfrist som fastställts för det skriftliga förfarandet ska förslaget anses som antaget av kommissionen.

▼M14

5.  Varje kommissionsledamot som önskar avbryta ett skriftligt förfarande som rör samordning och övervakning av medlemsstaternas finanspolitik och ekonomiska politik, särskilt inom euroområdet, ska rikta en motiverad begäran om detta till ordföranden. I begäran ska det uttryckligen anges vilka delar i utkastet till beslut som avses, utifrån en opartisk och objektiv bedömning av det föreslagna beslutets tidsram, struktur, grunder eller resultat.

Om ordföranden anser att motiveringen är ogrundad men begäran vidhålls, får ordföranden avslå begäran och besluta att det skriftliga förfarandet ska fortsätta. I så fall ska generalsekreteraren be de övriga kommissionsledamöterna att ange sin ståndpunkt i ärendet för att säkerställa att regeln om beslutförhet enligt artikel 250 i fördraget om Europeiska unionens funktionssätt följs. Ordföranden får också föra in ärendet för godkännande på dagordningen för kommissionens nästa möte.

▼M13

Artikel 13

Beslut genom bemyndigande

1.  Kommissionen får, på villkor att principen om kommissionens kollegiala ansvar följs, bemyndiga en eller flera av sina ledamöter att på kommissionens vägnar vidta förvaltningsmässiga eller administrativa åtgärder inom de gränser och på de villkor som den fastslår.

2.  Kommissionen får också ge en eller flera av sina ledamöter i uppdrag att, med ordförandens samtycke, anta den slutliga texten till en rättsakt eller till ett förslag som ska föreläggas de övriga institutionerna där innehållet har fastställts vid kommissionens överläggningar.

3.  De behörigheter som på detta sätt har delegerats kan delegeras vidare till generaldirektörer och avdelningschefer, om inte detta uttryckligen förbjuds i beslutet om bemyndigande.

4.  Bestämmelserna i punkterna 1, 2 och 3 ska inte påverka tillämpningen av bestämmelserna om delegering inom det finansiella området eller om de befogenheter som tillkommer tillsättningsmyndigheten och den myndighet som bemyndigats att ingå anställningsavtal.

Artikel 14

Beslut genom delegationsförfarande

Kommissionen får på villkor att principen om kommissionens kollegiala ansvar följs delegera ansvaret för att på kommissionens vägnar vidta förvaltningsmässiga eller administrativa åtgärder till generaldirektörer eller avdelningschefer inom de gränser och på de villkor som den fastslår.

Artikel 15

Delegeringsförfarande för beslut om beviljande av bidrag och kontraktstilldelning

Den generaldirektör eller avdelningschef till vilken behörighet att fatta finansieringsbeslut vidaredelegerats eller delegerats enligt artiklarna 13 och 14 kan besluta att vidaredelegera vissa enskilda beslut om projekturval samt om beviljande av bidrag och kontraktstilldelning till behörig direktör eller, enligt överenskommelse med ansvarig kommissionsledamot, till behörig enhetschef inom de gränser och på de villkor som fastställs i tillämpningsföreskrifterna.

Artikel 16

Upplysningar om fattade beslut

De beslut som fattas genom skriftligt förfarande, bemyndigande och delegation ska införas i dag- eller veckoanteckningar, som ska tas till protokollet för kommissionens nästa sammanträde.

AVSNITT 3

Gemensamma bestämmelser om beslutsförfaranden

Artikel 17

Antagande av kommissionens rättsakter

1.  Rättsakter som antas vid kommissionens sammanträden ska fogas till en sammanfattande anteckning som upprättas vid det sammanträde under vilket de antagits, på det eller de språk på vilka de är giltiga och på ett sådant sätt att de inte kan avskiljas. Dessa rättsakters giltighet bekräftas genom ordförandens och generalsekreterarens underskrift på den sammanfattande anteckningens sista sida.

▼M15

Om ordföranden använder sig av artikel 5.2 andra stycket och om omständigheterna förhindrar undertecknandet av den sammanfattande anteckningen, får uttryckliga skriftliga medgivanden från ordföranden och kommissionens generalsekreterare undantagsvis ersätta deras respektive underskrift och ska bifogas anteckningen.

▼M13

2.  Giltigheten för de icke-lagstiftningsakter som avses i artikel 297.2 i EUF-fördraget och som antas genom skriftligt förfarande bekräftas genom ordförandens och generalsekreterarens underskrift på den sista sidan av den sammanfattande anteckning som avses i föregående punkt, om inte icke-lagstiftningsakterna måste offentliggöras och träda i kraft före kommissionens nästa sammanträde. I detta syfte ska en kopia av de daganteckningar som avses i artikel 16 fogas till den sammanfattande anteckning som avses i föregående punkt på ett sådant sätt att den inte kan avskiljas.

De övriga rättsakter som antas genom skriftligt förfarande och de akter som antas genom bemyndigande i enlighet med artikel 12 samt artikel 13.1 och 13.2 ska fogas till den daganteckning som avses i artikel 16, på det eller de språk på vilka de är giltiga och på ett sådant sätt att de inte kan avskiljas. Dessa rättsakters giltighet bekräftas genom generalsekreterarens underskrift på daganteckningens sista sida.

3.  De rättsakter som antas genom delegationsförfarande eller genom vidaredelegation ska med hjälp av en särskild datortillämpning fogas till den daganteckning som avses i artikel 16 på det eller de språk på vilka de är giltiga och på ett sådant sätt att de inte kan avskiljas. Dessa akters giltighet bekräftas genom en attest av den tjänsteman till vilken uppgiften vidaredelegerats eller delegerats enligt artiklarna 13.3, 14 eller 15.

4.  I denna arbetsordning avses med ”rättsakter” sådana akter som avses i artikel 288 i EUF-fördraget.

5.  I denna arbetsordning avses med ”språk på vilka de är giltiga” Europeiska unionens samtliga officiella språk när det gäller rättsakter med allmän räckvidd och adressaternas språk när det gäller övriga rättsakter, utan att det påverkar tillämpningen av rådets förordning (EG) nr 920/2005 ( 8 ).

AVSNITT 4

Förberedelse och genomförande av kommissionens beslut

Artikel 18

Kommissionsledamöternas arbetsgrupper

Kommissionsledamöternas arbetsgrupper ska bidra till att samordna och förbereda kommissionens arbete enligt de politiska riktlinjer och det mandat som ordföranden fastställt.

Artikel 19

Kanslierna och deras förbindelser med kommissionens avdelningar

1.  Varje ledamot av kommissionen förfogar över ett kansli som ska bistå ledamoten i dennes fullgörande av sina arbetsuppgifter och vid beredningen av kommissionens beslut. Reglerna om kansliernas sammansättning och funktion ska bestämmas av ordföranden.

2.  Kommissionsledamoten ska bestämma arbetsordningen tillsammans med de avdelningar som står under dennes ansvar med beaktande av de principer som ordföranden fastställt. I arbetsordningen anges det sätt på vilket kommissionsledamoten ska instruera de berörda avdelningar som ska förse ledamoten med sådana uppgifter om dennes verksamhetsområde som är nödvändiga för att denne ska kunna utöva sitt ansvar.

Artikel 20

Generalsekreteraren

1.  Generalsekreteraren ska bistå ordföranden så att kommissionen, inom ramen för de politiska riktlinjer som ordföranden fastställt, kan förverkliga sina prioriteringar.

2.  Generalsekreteraren ska bidra till politisk samstämmighet genom att sörja för nödvändig samordning mellan avdelningarna redan i början av beredningen av kommissionens arbete i enlighet med artikel 23.

Han eller hon ska se till att de dokument som överlämnas till kommissionen är av god kvalitet och uppfyller de formella reglerna, och i förbindelse därmed bidra till att de överensstämmer med subsidiaritets- och proportionalitetsprinciperna, externa krav, interinstitutionella hänsyn och med kommissionens kommunikationsstrategi.

3.  Generalsekreteraren ska bistå ordföranden vid beredningen av kommissionens arbete och genomförandet av dess sammanträden.

Generalsekreteraren ska också bistå ordförandena i kommissionsledamöternas arbetsgrupper som upprättats i enlighet med artikel 3.4 vid beredningen och genomförandet av deras sammanträden. Han eller hon ska svara för dessa gruppers sekretariat.

4.  Generalsekreteraren ska säkerställa att beslutsförfarandena tillämpas korrekt och att de beslut som avses i artikel 4 verkställs.

Framför allt ska generalsekreteraren, utom i särskilda fall, vidta nödvändiga åtgärder för delgivningen av eller offentliggörandet i Europeiska unionens officiella tidning av kommissionens rättsakter och för vidarebefordran av dokument från kommissionen och dess avdelningar till Europeiska unionens övriga institutioner och de nationella parlamenten.

Generalsekreteraren ska svara för utskick av skriftlig information som kommissionsledamöterna vill skicka ut på cirkulation inom kommissionen.

5.  Generalsekreteraren ska ansvara för de officiella förbindelserna med Europeiska unionens övriga institutioner, med förbehåll för de befogenheter som kommissionen beslutar att själv utöva eller delegera till ledamöterna eller avdelningarna.

I detta sammanhang ska generalsekreteraren genom att skapa samordning mellan avdelningar svara för övergripande samstämmighet när arbetet involverar de andra institutionerna.

6.  Generalsekreteraren ska svara för att kommissionen lämnar korrekt information om hur interna och interinstitutionella förfaranden fortlöper.

KAPITEL II

KOMMISSIONENS AVDELNINGAR

Artikel 21

Avdelningarnas struktur

Kommissionen ska inrätta ett antal generaldirektorat och därmed likställda avdelningar för beredningen och genomförandet av sina uppgifter och för genomförandet av sina prioriteringar och de politiska riktlinjer som dess ordförande har fastställt.

Dessa generaldirektorat och avdelningar ska i princip delas in i direktorat och direktoraten i enheter.

Artikel 22

Särskilda funktioner och organisatoriska enheter

Ordföranden får, för att möta särskilda behov, inrätta särskilda funktioner och organisatoriska enheter för genomförandet av avgränsade uppgifter, varvid ordföranden ska fastställa deras befogenheter och arbetssätt.

Artikel 23

Samarbete och samordning mellan avdelningarna

1.  För att säkerställa att kommissionens arbete fungerar effektivt ska avdelningarna bedriva ett nära och koordinerat samarbete redan från början vid beredningen eller genomförandet av beslut.

2.  Den avdelning som ansvarar för utarbetandet av ett initiativ ska, redan när det förberedande arbetet inleds, garantera en effektiv samordning mellan alla avdelningar som har ett berättigat intresse av initiativet i kraft av sitt ansvarsområde och sina uppgifter eller ärendets natur

3.  Innan ett beslut läggs fram för kommissionen ska den ansvariga avdelningen i god tid samråda med de avdelningar som har ett berättigat intresse av ärendet, i enlighet med tillämpningsföreskrifterna.

4.  Samråd ska ske med rättstjänsten om alla utkast eller förslag till rättsakter och om alla dokument som kan få rättsliga följder.

Sådant samråd ska alltid krävas för tillämpningen av de beslutsförfaranden som avses i artiklarna 12, 13 och 14, utom när det gäller beslut om standardiserade rättsakter som godkänts på förhand (rättsakter av repetitivt slag). Samråd ska inte krävas för de beslut som avses i artikel 15.

5.  Samråd med generalsekretariatet är obligatoriskt för alla initiativ som

liksom för alla former av ställningstagande eller gemensamma initiativ som kan förpliktiga kommissionen gentemot andra institutioner eller enheter.

▼M14

5a.  Generaldirektoratet för ekonomi och finans måste rådfrågas vad gäller samtliga initiativ som rör eller som potentiellt kan påverka tillväxten, konkurrenskraften eller den ekonomiska stabiliteten i Europeiska unionen eller euroområdet.

▼M13

6.  Med undantag för de rättsakter som avses i artikel 15 ska samråd ske med de generaldirektorat som ansvarar för budgetfrågor, personal och säkerhet om alla dokument som kan påverka frågor om budget, finanser, personal och administration. Även byrån med ansvar för bedrägeribekämpning ska vid behov höras.

7.  Den ansvariga avdelningen ska sträva efter att upprätta ett förslag som kan godtas av de hörda avdelningarna. Utan att det påverkar tillämpningen av artikel 12 ska den ansvariga avdelningen, i händelse av oenighet, se till att de olika synpunkter som lämnats av avdelningarna bifogas förslaget.

KAPITEL III

STÄLLFÖRETRÄDARE

Artikel 24

Kontinuerligt tjänsteutövande

Kommissionsledamöterna och kommissionens avdelningar ska se till att tjänsteutövandet kan ske kontinuerligt med beaktande av de bestämmelser som antas för det ändamålet av kommissionen eller ordföranden.

Artikel 25

Ordförandens ställföreträdare

Om ordföranden är förhindrad, ska dennes uppgifter övertas av en vice ordförande eller en ledamot av kommissionen i den turordning som fastställts av ordföranden.

Artikel 26

Generalsekreterarens ställföreträdare

Om generalsekreteraren är förhindrad eller tjänsten är vakant ska dennes uppgifter övertas av närvarande ställföreträdande generalsekreterare som har högst lönegrad, och om flera har samma lönegrad den som har längst tjänstgöringstid i lönegraden, och om flera har samma tjänstgöringstid den äldste av dessa eller av den tjänsteman som kommissionen utsett.

Om det inte finns någon ställföreträdande generalsekreterare närvarande eller om kommissionen inte har utsett någon tjänsteman, ska uppgifterna utföras av den närvarande underordnade tjänsteman i den högsta tjänstegruppen som har den högsta lönegraden, och om flera har samma lönegrad den som har den längsta tjänstgöringstiden i lönegraden, och om flera har samma tjänstgöringstid den äldste av dessa.

Artikel 27

Ställföreträdare för överordnad

1.  Om en generaldirektör är förhindrad eller om tjänsten är vakant ska dennes uppgifter övertas av den närvarande ställföreträdande generaldirektör som har den högsta lönegraden, och om flera har samma lönegrad den som har längst tjänstgöringstid, och om flera har samma tjänstgöringstid, den äldste av dessa, eller av den tjänsteman som kommissionen utsett.

Om det inte finns någon ställföreträdande generaldirektör närvarande eller om kommissionen inte har utsett någon tjänsteman, ska uppgifterna utföras av den närvarande underordnade tjänsteman i den högsta tjänstegruppen som har den högsta lönegraden, och om flera har samma lönegrad den som har den längsta tjänstgöringstiden i lönegraden, och om flera har samma tjänstgöringstid den äldste av dessa.

2.  Om en enhetschef är förhindrad eller om tjänsten är vakant ska dennes uppgifter övertas av den ställföreträdande enhetschefen eller av den tjänsteman som generaldirektören utsett.

Om det inte finns någon ställföreträdande enhetschef närvarande eller om generaldirektören inte har utsett någon tjänsteman, ska uppgifterna utföras av den närvarande underordnade tjänsteman i den högsta tjänstegruppen som har den högsta lönegraden, och om flera har samma lönegrad den som har den längsta tjänstgöringstiden i lönegraden, och om flera har samma tjänstgöringstid den äldste av dessa.

3.  Om någon annan överordnad är förhindrad eller om tjänsten är vakant ska dennes uppgifter övertas av den tjänsteman som generaldirektören utser i samråd med den ansvariga kommissionsledamoten. Om ingen ställföreträdare har utsetts ska uppgifterna övertas av den närvarande underordnade tjänsteman i den högsta tjänstegruppen som har högst lönegrad, och om flera har samma lönegrad den som har längst tjänstgöringstid i lönegraden, och om flera har samma tjänstgöringstid den äldste av dessa.

KAPITEL IV

SLUTBESTÄMMELSER

Artikel 28

Kommissionen ska i nödvändig utsträckning besluta om tillämpningsföreskrifter till denna arbetsordning.

Kommissionen får vidta kompletterande åtgärder avseende hur kommissionen och dess avdelningar ska fungera och därvid beakta den tekniska och informationstekniska utvecklingen.

Artikel 29

Denna arbetsordning träder i kraft dagen efter det att den har offentliggjorts i Europeiska gemenskapernas officiella tidning.

▼B

---

BILAGA

REGLER OM GOD FÖRVALTNINGSSED FÖR EUROPEISKA KOMMISSIONENS ANSTÄLLDA NÄR DET GÄLLER DERAS FÖRHLLANDE TILL ALLMÄNHETEN

God service

Kommissionen och dess anställda är skyldiga att tjäna gemenskapens och därmed också allmänhetens intressen.

Allmänheten förväntar sig med rätta en god service och en förvaltning som är öppen, tillgänglig och väl skött.

God service förutsätter att kommissionen och dess anställda uppträder hövligt, sakligt och opartiskt.

Ändamål

För att kommissionen skall kunna uppfylla sin skyldighet att följa god förvaltningssed, särskilt i sina kontakter med allmänheten, förbinder sig kommissionen att iaktta dessa regler och låta sig vägledas av dem i det dagliga arbetet.

Tillämpningsområde

Reglerna är bindande för alla anställda som omfattas av tjänsteföreskrifterna för tjänstemännen i Europeiska gemenskaperna eller i anställningsvillkoren för övriga anställda i Europeiska gemenskaperna (nedan kallad tjänsteföreskrifterna) och andra föreskrifter om förhållandet mellan kommissionen och dess anställda, som gäller för tjänstemän och övriga anställda i Europeiska gemenskaperna. Kontraktsanställda, experter som är utsända från myndigheter i medlemsstaterna, praktikanter osv. som arbetar för kommissionen bör också låta sig vägledas av dem i det dagliga arbetet.

Förhållandet mellan kommissionen och dess anställda styrs enbart av tjänsteföreskrifterna.

1.   ALLMÄNNA PRINCIPER FÖR GOD FÖRVALTNINGSSED

Kommissionen iakttar följande allmänna principer i sitt förhållande till allmänheten.

2.   RIKTLINJER FÖR GOD FÖRVALTNING

Saklighet och opartiskhet

Anställda skall alltid handla sakligt och opartiskt, i gemenskapens intressen och för det allmänna bästa. De skall handla självständigt inom de politiska ramar som kommissionen har fastställt och i sitt handlande aldrig låta sig vägledas av personliga eller nationella intressen eller politiska påtryckningar.

Information om administrativa förfaranden

Om en person begär upplysningar som gäller ett administrativt förfarande inom kommissionen, skall de anställda se till att upplysningarna lämnas inom den tid som är fastställd för det berörda förfarandet.

3.   INFORMATION OM BERÖRDA PARTERS RÄTTIGHETER

Hörande alla direkt berörda parter

Om det i gemenskapens lagstiftning krävs att berörda parter hörs, skall de anställda se till att parterna får tillfälle att ge sin åsikt till känna.

Skyldighet att motivera beslut

I ett beslut av kommissionen bör de skäl det grundas på klart anges, och berörda personer och parter skall underrättas om beslutet.

Som huvudregel bör skälen för ett beslut anges i sin helhet. Om det emellertid inte är möjligt att i detalj ange skälen för enskilda beslut, till exempel därför att ett stort antal personer berörs av likartade beslut, kan standardsvar ges. Dessa standardsvar bör innehålla de huvudsakliga skäl som ligger till grund för beslutet. Vidare skall en berörd part som uttryckligen begär en utförlig motivering, få en sådan.

Skyldighet att ange sätt för överklagande

Om gemenskapens lagstiftning så föreskriver, skall det i ett beslut som delges klart anges att beslutet kan överklagas och hur detta skall göras (namn på och arbetsadress till den person eller avdelning dit överklagandet skall ges in och sista dag för överklagandet).

Om så är lämpligt bör det i beslutet också pekas på möjligheten att väcka talan inför domstol eller att klaga inför ombudsmannen i enlighet med artikel 230 eller 195 i Fördraget om upprättandet av Europeiska gemenskapen.

4.   BEHANDLINGAR AV FÖRFRGNINGAR

Kommissionen förbinder sig att svara på förfrågningar på det sätt som är lämpligast och så snabbt som möjligt.

Begäran om handlingar

Om den handling som efterfrågas redan är offentliggjord, kan den frågande hänvisas till Byrån för Europeiska gemenskapernas officiella publikationers försäljningsombud eller till de dokumentations- och informationscentrum som tillhandahåller handlingar gratis, såsom Infopoints, Europeiska dokumentationscenter osv. Många handlingar är också lätt åtkomliga i elektronisk form.

Reglerna för tillgång till handlingar anges i en särskild uppförandekodex.

Brev

I enlighet med artikel 21 i Fördraget om upprättandet av Europeiska gemenskapen skall kommissionen svara på brev på samma språk som det ursprungliga brevet är skrivet på, förutsatt att det är skrivet på ett av gemenskapens officiella språk.

Brev till kommissionen skall besvaras inom femton arbetsdagar räknat från den dag då det registrerades vid den ansvariga avdelningen vid kommissionen. Svaret bör innehålla uppgift om vem som är ansvarig för ärendet och hur han eller hon kan nås.

Om ett svar inte kan sändas inom femton arbetsdagar, och i samtliga fall då svaret kräver ytterligare arbete, såsom inhämtande av uppgifter från andra avdelningar eller översättning, bör den ansvarige tjänstemannen sända ett preliminärt svar, av vilket det skall framgå när adressaten kan förvänta sig ett svar med tanke på det arbete som krävs. Härvid bör hänsyn tas till frågans brådskande natur och dess komplexitet.

Om svaret skall utformas av en annan avdelning än den dit brevet först riktades, bör brevskrivaren underrättas om namnet och arbetsadressen till den person som brevet har överlämnats till.

Dessa regler gäller inte brev som med fog kan anses som oseriösa, till exempel därför att de bara upprepar innehållet i tidigare brev eller är förolämpande eller meningslösa. Kommissionen förbehåller sig rätten att inte besvara sådana brev.

Telefonsamtal

När anställda svarar i telefon skall de ange sitt eller sin avdelnings namn. När de skall ringa upp en person igen skall det göras så snabbt som möjligt.

Anställda som besvarar förfrågningar skall lämna upplysningar om de områden de har direkt ansvar för och bör i övriga fall hänvisa den frågande till lämplig källa. Vid behov bör de hänvisa till sin överordnade eller rådfråga honom eller henne innan de lämnar de upplysningar som begärs.

När anställda på telefon blir tillfrågade om uppgifter på ett område som de själva har direkt ansvar för, skall de först fastslå vem som ringer och undersöka om uppgifterna redan har offentliggjorts. Om detta inte är fallet, kan de göra bedömningen att det inte är i gemenskapens intresse att uppgifterna lämnas ut. I så fall bör de förklara varför uppgifterna inte kan lämnas ut och i förekommande fall hänvisa till den tystnadsplikt för tjänstemän som följer av artikel 17 i tjänsteföreskrifterna.

Den anställde bör vid behov begära skriftlig bekräftelse på en telefonförfrågan.

Elektronisk post

Anställda skall snarast svara på elektroniska meddelanden i överensstämmelse med de riktlinjer som anges i avsnittet om telefonsamtal.

Om ett elektroniskt meddelande är sådant att det kan likställas med ett vanligt brev skall det dock behandlas enligt riktlinjerna för besvarande av brev, och samma tidsfrister skall gälla.

Hänvändelser från medierna

Press- och informationstjänsten är ansvarig för kontakterna med medierna. Anställda får dock besvara förfrågningar från medierna när de gäller uppgifter om tekniska frågor inom deras egna ansvarsområden.

5.   SKYDD AV PERSONLIGA OCH FÖRTROLIGA UPPGIFTER

Kommissionen och dess anställda skall särskilt respektera

6.   KLAGOML

Europeiska kommissionen

Klagomål när det gäller överträdelser av principerna i dessa regler kan lämnas in direkt till Europeiska kommissionens generalsekretariat ( 9 ), som skall vidarebefordra detta till den berörda avdelningen.

Generaldirektören eller avdelningschefen skall skriftligen svara den klagande inom två månader. Klaganden kan därefter inom en månad vända sig till Europeiska kommissionens generalsekreterare och begära omprövning av det resultat som klagomålet lett till. Generalsekreteraren skall svara på begäran om omprövning inom en månad.

Ombudsmannen

Klagomål kan också lämnas in till ombudsmannen i enlighet med artikel 195 i Fördraget om upprättande av Europeiska gemenskapen och enligt ombudsmannens stadgar.

▼M1

KOMMISSIONENS SÄKERHETSBESTÄMMELSER

av följande skäl:

(1)

För att kommissionens verksamhet skall kunna utvecklas på sådana områden som kräver en hög grad av sekretess bör ett övergripande säkerhetssystem upprättas som omfattar kommissionen, andra institutioner, organ och kontor som upprättats genom eller på grundval av EG-fördraget eller Fördraget om Europeiska unionen, medlemsstaterna samt andra mottagare av sekretessbelagda uppgifter från EU, nedan kallat sekretessbelagda EU-uppgifter.

(2)	För att garantera att det säkerhetssystem som upprättas genom denna förordning är effektivt kommer kommissionen endast tillhandahålla sekretessbelagda EU-uppgifter till de utomstående organ som kan ge garantier för att de har vidtagit alla åtgärder som krävs för att följa dessa bestämmelser.

(3)

Dessa bestämmelser antas utan att det påverkar förordning nummer 3 av den 31 juli 1958 om genomförandet av artikel 24 i Fördraget om upprättandet av Europeiska atomenergigemenskapen ( 10 ), rådets förordning 1588/90 av den 11 juni 1990 om utlämnande av insynsskyddade statistiska uppgifter till Europeiska gemenskapernas statistikkontor ( 11 ) och utan att det påverkar kommissionens beslut C (95) 1510 slutlig av den 23 november 1995 on the protection of informatics systems (ej översatt till svenska).

(4)	Kommissionens säkerhetssystem bygger på principerna i rådets beslut 2001/264/EG av den 19 mars 2001 om antagande av rådets säkerhetsbestämmelser ( 12 ) för att unionens beslutsprocess skall kunna fungera på ett smidigt sätt.

(5)	Kommissionen betonar vikten av att i förekommande fall låta övriga institutioner omfattas av de regler och normer för sekretess som är nödvändiga för att skydda unionens och medlemsstaternas intressen.

(6)	Kommissionen behöver egna principer för sekretess med beaktande av alla säkerhetsaspekter samt kommissionens särskilda ställning som institution.

(7)	Dessa bestämmelser antas utan att det påverkar artikel 255 i fördraget eller Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar ( 13 ).

▼M3

(8)

Dessa bestämmelser påverkar inte tillämpningen av artikel 286 i EG-fördraget och av Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter.

▼M1

Artikel 1

Kommissionens säkerhetsbestämmelser fastställs i bilagan.

Artikel 2

1.  När det gäller hantering av sekretessbelagda EU-uppgifter skall den ledamot av kommissionen som ansvarar för säkerhetsfrågor vidta lämpliga åtgärder för att se till att de bestämmelser som avses i artikel 1 iakttas inom kommissionen av kommissionens tjänstemän och andra anställda, av avdelad personal från kommissionen samt i alla kommissionens byggnader, inbegripet representationer och kontor i unionen och på delegationer i tredjeländer samt av uppdragstagare utanför kommissionen.

▼M4

När ett kontrakt eller en bidragsöverenskommelse mellan kommissionen och en leverantör eller bidragsmottagare utanför kommissionen inbegriper hantering av sekretessbelagda EU-uppgifter i leverantörens eller bidragsmottagarens byggnader, skall det framgå av kontraktet eller bidragsöverenskommelsen att lämpliga åtgärder skall vidtas av nämnda externa leverantör eller bidragsmottagare för att se till att de bestämmelser som avses i artikel 1 efterlevs när sekretessbelagda EU-uppgifter hanteras.

▼M1

2.  Medlemsstaterna, andra institutioner, organ och kontor som upprättats genom eller på grundval av fördragen skall ha tillåtelse att motta sekretessbelagda EU-uppgifter under förutsättning att de, då sekretessbelagda EU-uppgifter hanteras, ser till att bestämmelserna i punkt 1 följs på deras enheter och i deras lokaler, särskilt av följande kategorier:

Artikel 3

Tredjeländer, internationella organisationer och andra organ skall tillåtas att motta sekretessbelagda EU-uppgifter under förutsättning att de, då dessa uppgifter hanteras, strikt följer bestämmelserna i artikel 1.

Artikel 4

I överensstämmelse med de grundläggande principer och miniminormer för säkerhet som återfinns i del I av bilagan, får den ledamot av kommissionen som ansvarar för säkerhetsfrågor vidta åtgärder i enlighet med del II i bilagan.

Artikel 5

Föreliggande bestämmelser skall från dagen för antagandet ersätta

Artikel 6

Från och med det att dessa bestämmelser träder i kraft skall följande gälla för alla sekretessbelagda uppgifter som till och med det datumet innehas av kommissionen, utom sekretessbelagda Euratom-uppgifter:

---

BILAGA

SÄKERHETSBESTÄMMELSER

Innehåll
DEL I:	GRUNDLÄGGANDE PRINCIPER OCH MINIMINORMER FÖR SÄKERHET
1.	INLEDNING
2.	ALLMÄNNA PRINICIPER
3.	SÄKERHETSGRUNDERNA
4.	PRINCIPER FÖR INFORMATIONSSÄKERHET
4.1	Mål
4.2	Definitioner
4.3	Sekretessklassning
4.4	Syftet med säkerhetsåtgärderna
5.	HUR SÄKERHETEN SKALL ORGANISERAS
5.1	Gemensamma miniminormer
5.2	Organisation
6.	SÄKERHET FÖR PERSONALEN
6.1	Säkerhetsprövning av personal
6.2	Register över säkerhetsprövning av personal
6.3	Säkerhetsanvisningar för personalen
6.4	Ledningsansvar
6.5	Personalens säkerhetsstatus
7.	FYSISK SÄKERHET
7.1	Behov av skydd
7.2	Kontroller
7.3	Byggnadernas säkerhet
7.4	Beredskapsplaner
8.	INFORMATIONSSÄKERHET
9.	ÅTGÄRDER MOT SABOTAGE OCH ANDRA FORMER AV UPPSÅTLIG SKADA
10.	UTLÄMNANDE AV SEKRETESSBELAGDA UPPGIFTER TILL TREDJELAND ELLER INTERNATIONELLA ORGANISATIONER
DEL II:	SÄKERHETSORGANISATIONEN INOM KOMMISSIONEN
11.	DEN LEDAMOT AV KOMMISSIONEN SOM ANSVARAR FÖR SÄKERHETSFRÅGOR
12.	KOMMISSIONENS RÅDGIVANDE KOMMITTÉ FÖR SÄKERHETSFRÅGOR
13.	KOMMISSIONENS SÄKERHETSNÄMND
14.	►M3  KOMMISSIONENS DIREKTORAT FÖR SÄKERHET ◄
15.	SÄKERHETSINSPEKTIONER
16.	KLASSNING, SÄKERHETSBETECKNINGAR OCH MÄRKNINGAR
16.1	Klassningsnivåer
16.2	Säkerhetsbeteckningar
16.3	Märkningar
16.4	Fastsättning
16.5	Fastsättning av säkerhetsbeteckningar
17.	HUR SEKRETESSKLASSNINGEN SKALL GÅ TILL
17.1	Allmänt
17.2	Tillämpning av sekretessklassning
17.3	Implacering i lägre sekretessgrad och hävande av sekretess
18.	FYSISK SÄKERHET
18.1	Allmänt
18.2	Säkerhetskrav
18.3	Fysiska säkerhetsåtgärder
18.3.1	Säkerhetsutrymmen
18.3.2	Administrativt utrymme
18.3.3	Kontroll av in- och utpassering
18.3.4	Patrullering av vakter
18.3.5	Säkerhetsskåp och valv
18.3.6	Lås
18.3.7	Kontroll av lås och kombinationer
18.3.8	Anordningar för upptäckt av intrång
18.3.9	Godkänd utrustning
18.3.10	Fysiskt skydd för kopierings- och faxapparater
18.4	Skydd mot ”tjuvtittande” och ”tjuvlyssnande”
18.4.1	Tjuvtittande
18.4.2	Tjuvlyssnande
18.4.3	Införande av elektronisk utrustning och inspelningsutrustning
18.5	Tekniska säkerhetsutrymmen
19.	ALLMÄNNA REGLER OM PRINCIPEN FÖR BEHOV AV UPPTGIFTER OCH SÄKERHETSGRANSKNING AV EU-PERSONAL
19.1	Allmänt
19.2	Särskilda regler om tillgång till uppgifter som klassats som ►M2  TRES SECRET UE/EU TOP SECRET ◄
19.3	Särskilda regler om tillgång till uppgifter som klassats som ►M2  SECRET UE ◄ och ►M2  CONFIDENTIEL UE ◄
19.4	Särskilda regler om tillgång till uppgifter som klassats som ►M2  RESTREINT UE ◄
19.5	Förflyttningar
19.6	Särskilda anvisningar
20.	FÖRFARANDE FÖR SÄKERHETSPRÖVNING FÖR KOMMISSIONSTJÄNSTEMÄN OCH ANDRA ANSTÄLLDA
21.	UPPRÄTTANDE, UTLÄMNANDE, ÖVERFÖRING, SÄKERHET I POSTHANTERINGEN SAMT EXTRA EXEMPLAR OCH ÖVERSÄTTNINGAR OCH UTDRAG UR SEKRETESSBELAGDA EU-HANDLINGAR
21.1	Upprättande
21.2	Utlämnande
21.3	Vidarebefordran/överföring av sekretessbelagda EU-handlingar
21.3.1	Förpackningar, kvitton
21.3.2	Vidarbefordran inom en byggnad eller ett byggnadskomplex
21.3.3	Överföring inom ett land
21.3.4	Överföring från ett land till ett annat
21.3.5	Vidarebefordran/överföring av handlingar med beteckningen ►M2  RESTREINT UE ◄
21.4	Säkerhet när det gäller kurirer
21.5	Teknisk överföring på elektronisk eller annan väg
21.6	Extra exemplar och översättningar av utdrag från sekretessbelagda EU-handlingar
22.	REGISTER FÖR SAMT GRANSKNING, KONTROLL, ARKIVERING OCH FÖRSTÖRING AV SEKRETESSBELAGDA EU-UPPGIFTER
22.1	Lokala register för sekretessbelagda EU-uppgifter
22.2	Registret för uppgifter med beteckningen ►M2  TRES SECRET UE/EU TOP SECRET ◄
22.2.1	Allmänt
22.2.2	Centrala registret för uppgifter med beteckningen ►M2  TRES SECRET UE/EU TOP SECRET ◄
22.2.3	Underavdelningar till register för handlingar med beteckningen ►M2  TRES SECRET UE/EU TOP SECRET ◄
22.3	Investeringar, granskning och kontroll av sekretessbelagda EU-handlingar
22.4	Arkivering av sekretessbelagda EU-uppgifter
22.5	Förstöring av sekretessbelagda EU-handlingar
22.6	Förstöring i en nödsituation
23.	SÄKERHETSÅTGÄRDER FÖR SÄRSKILDA MÖTEN UTANFÖR KOMMISSIONENS LOKALER VILKA INBEGRIPER SEKRETESSBELAGDA EU-UPPGIFTER
23.1	Allmänt
23.2	Ansvar
23.2.1	►M3  Kommissionens direktorat för säkerhet ◄
23.2.2	Säkerhetstjänsteman vid möten
23.3	Säkerhetsåtgärder
23.3.1	Säkerhetsutrymmen
23.3.2	Passersedel
23.3.3	Kontroll av foto- och AV-utrustning
23.3.4	Kontroll av portföljer, bärvara datorer och paket
23.3.5	Teknisk säkerhet
23.3.6	Delegationernas handlingar
23.3.7	Säker förvaring av handlingar
23.3.8	Inspektion av kontor
23.3.9	Bortskaffande av sekretessbelagt EU-material
24.	SEKRETESSBROTT OCH RÖJANDE AV SEKRETESSBELAGDA EU-UPPGIFTER
24.1	Definitioner
24.2	Rapportering om sekretessbrott
24.3	Rättsliga åtgärder
25.	SKYDD FÖR SEKRETESSBELAGDA EU-UPPGIFTER SOM HANTERAS I IT- OCH KOMMUNIKATIONSSYSTEM
25.1	Inledning
25.1.1	Allmänt
25.1.2	Hot mot systemen och systemens sårbarhet
25.1.3	Huvudsyftet med säkerhetsåtgärderna
25.1.4	Redovisning av systemspecifika säkerhetskrav
25.1.5	Säkra driftsformer
25.2	Definitioner
25.3	Ansvar för säkerhet
25.3.1	Allmänt
25.3.2	Ackrediteringsmyndigheten för säkerhet (SAA)
25.3.3	INFOSEC-myndigheten
25.3.4	Ägaren till de tekniska systemen (TSO)
25.3.5	Ägaren till uppgifterna (IO)
25.3.6	Användare
25.3.7	INFOSEC-utbildning
25.4	Icke-tekniska säkerhetsåtgärder
25.4.1	Säkerhetsprövning av personalen
25.4.2	Fysisk säkerhet
25.4.3	Kontroll av åtkomsten till ett system
25.5	Tekniska säkerhetsåtgärder
25.5.1	Informationssäkerhet
25.5.2	Kontroll av uppgifter och uppgifternas spårbarhet
25.5.3	Hantering och kontroll av flyttbara lagringsmedier för datorer
25.5.4	Hävande av sekretess och förstöring av lagringsmedier för datorer
25.5.5	Kommunikationssäkerhet
25.5.6	Installations- och strålningssäkerhet
25.6	Säkerhet under hantering
25.6.1	Säkra driftsmetoder (SecOPs)
25.6.2	Skydd för programvara/konfigureringshantering
25.6.3	Kontroll av förekomst av skadliga programvaru- eller datavirus
25.6.4	Underhåll
25.7	Upphandling
25.7.1	Allmänt
25.7.2	Ackreditering
25.7.3	Utvärdering och certifiering
25.7.4	Rutinkontroll av säkerhetsegenskaper för fortsatt ackreditering
25.8	Tillfällig eller sporadisk användning
25.8.1	Säkerhet för mikrodatorer/persondatorer
25.8.2	Användning av privat IT-utrustning för officiellt arbete vid kommissionen
25.8.3	Användning av IT-utrustning som ägs av en entreprenör eller har tillhandahållits nationellt för officiellt arbete vid kommissionen
26.	UTLÄMNANDE AV SEKRETESSBELAGDA EU-UPPGIFTER TILL TREDJE LAND ELLER INTERNATIONELLA ORGANISATIONER
26.1.1	Principer för utlämnande av sekretessbelagda EU-uppgifter
26.1.2	Nivåer
26.1.3	Säkerhetsavtal
27.	GEMENSAMMA MINIMINORMER FÖR INDUSTRISÄKERHET
27.1	Inledning
27.2	Definitioner
27.3	Organisation
27.4	Sekretessbelagda kontrakt och beslut om bidrag
27.5	Besök
27.6	Överlämnande och transport av sekretessbelagda EU-uppgifter
TILLÄGG 1:	JÄMFÖRELSE AV NATIONELLA SEKRETESSGRADER
TILLÄGG 2:	PRAKTISK HANDLEDNING FÖR SÄKERHETSKLASSNING
TILLÄGG 3:	HANDLEDNING FÖR UTLÄMNANDE AV SEKRETESSBELAGDA EU-UPPGIFTER TILL TREDJE LAND ELLER INTERNATIONELLA ORGANISATIONER: SAMARBETE PÅ NIVÅ 1
TILLÄGG 4:	HANDLEDNING FÖR UTLÄMNANDE AV SEKRETESSBELAGDA EU-UPPGIFTER TILL TREDJE LAND ELLER INTERNATIONELLA ORGANISATIONER: SAMARBETE PÅ NIVÅ 2
TILLÄGG 5:	HANDLEDNING FÖR UTLÄMNANDE AV SEKRETESSBELAGDA EU-UPPGIFTER TILL TREDJE LAND ELLER INTERNATIONELLA ORGANISATIONER: SAMARBETE PÅ NIVÅ 3
TILLÄGG 6:	FÖRKORTNINGAR

DEL I:   GRUNDLÄGGANDE PRINCIPER OCH MINIMINORMER FÖR SÄKERHET

1.   INLEDNING

I dessa bestämmelser fastställs de grundläggande principer och miniminormer för säkerhet som skall följas på korrekt sätt av kommissionen på alla dess avdelningar, samt av alla mottagare av sekretessbelagda EU-uppgifter, så att säkerheten garanteras och var och en kan vara förvissad om att gemensamma skyddsnormer för säkerheten har fastställs.

2.   ALLMÄNNA PRINCIPER

Kommissionens säkerhetspolitik är en integrerad del av dess allmänna interna förvaltningspolitik och grundar sig således på de principer som ligger till grund för dess allmänna politik.

Dessa principer innefattar lagenlighet, öppenhet och insyn, ansvarsskyldighet och subsidiaritet (proportionalitet).

Lagenlighet innebär behovet att strikt följa de rättsliga ramarna i genomförandet av säkerhetsföreskrifterna och behovet att följa de rättsliga kraven. Det innebär också att ansvaret på säkerhetsområdet skall grunda sig på vederbörliga rättsliga bestämmelser. Bestämmelserna i tjänsteföreskrifterna gäller till fullo, särskilt dess artikel 17 om personalens skyldighet att tillämpa diskretion när det gäller kommissionens uppgifter samt dess avdelning VI om disciplinära åtgärder. Slutligen innebär det att sekretessbrott inom kommissionens ansvarsområde måste hanteras på ett sätt som överensstämmer med kommissionens politik om disciplinära åtgärder samt dess politik om samarbete med medlemsstaterna på det kriminalrättsliga området.

Öppenhet och insyn innebär behovet av tydlighet avseende alla säkerhetsbestämmelser och föreskrifter, för balans mellan olika tjänster och olika områden (fysisk säkerhet gentemot informationsskydd osv.) samt behovet av en konsekvent och strukturerad säkerhetsmedveten politik. Det definierar också behovet av tydliga skriftliga riktlinjer för genomförande av säkerhetsåtgärder.

Ansvarsskyldighet innebär att ansvarsförhållanden på säkerhetsområdet kommer att klart definieras. Dessutom anger det behovet av att regelbundet kontrollera om dessa ansvarsplikter har fullgjorts korrekt.

Subsidiaritet eller proportionalitet innebär att säkerhet skall organiseras på lägsta möjliga nivå och så nära generaldirektoraten och kommissionen som möjligt. Det anger också att säkerhetsverksamheten skall begränsas till de delar där den verkligen behövs. Slutligen innebär det att säkerhetsåtgärderna skall stå i proportion till de intressen som skall skyddas och till det faktiska och potentiella hotet mot dessa intressen, för att möjliggöra ett skydd som orsakar minsta möjliga störning.

3.   SÄKERHETSGRUNDERNA

Grunderna för god säkerhet är följande:

4.   PRINCIPER FÖR INFORMATIONSSÄKERHET

4.1   Mål

Informationssäkerheten har följande huvudsyften

4.2   Definitioner

I dessa bestämmelser används följande begrepp:

4.3   Sekretessklassning

4.4   Syftet med säkerhetsåtgärderna

Säkerhetsåtgärderna skall

5.   HUR SÄKERHETEN SKALL ORGANISERAS

5.1   Gemensamma miniminormer

Kommissionen skall se till att gemensamma miniminormer för säkerhet iakttas av alla mottagare av sekretessbelagda EU-uppgifter, inom institutionen och under dess befogenhet, dvs. alla avdelningar och uppdragstagare så att sekretessbelagda EU-uppgifter kan meddelas i förvissning om att de kommer att hanteras med samma omsorg överallt. Sådana miniminormer skall omfatta kriterier för säkerhetsprövning av personal och förfaranden för skydd av sekretessbelagda EU-uppgifter.

Kommissionen får endast tillåta att sekretessbelagda EU-uppgifter vidarebefordras till organ utanför EU-institutionerna om dessa, vid hantering av sekretessbelagda EU-uppgifter, kan garantera att föreskrifter följs som minst motsvarar miniminormerna

▼M4

Dessa miniminormer skall också tillämpas när kommissionen, genom kontrakt eller bidragsöverenskommelser, tilldelar uppdrag som innebär, medför eller innehåller sekretessbelagda EU-uppgifter; dessa gemensamma miniminormer finns i avsnitt 27 i del II.

▼M1

5.2   Organisation

Inom kommissionen organiseras säkerheten på två nivåer:

6.   SÄKERHET FÖR PERSONALEN

6.1   Säkerhetsprövning av personal

Alla personer som behöver ha tillgång till uppgifter som fått beteckningen ►M2  CONFIDENTIEL UE ◄ eller en högre sekretessgrad, skall på vederbörligt sätt genomgå en säkerhetsprövning innan tillträde beviljas. En liknande säkerhetsprövning skall krävas för personer i vars tjänsteutövning det ingår tekniskt handhavande av kommunikations- och informationssystem som innehåller sekretessbelagda uppgifter. Syftet med denna säkerhetsprövning skall vara att bedöma dessa personer i följande avseenden:

Särskilt noggrann granskning inom ramen för säkerhetsprövningen skall göras av följande personer:

Under de omständigheter som det redogörs för under punkterna d-f ovan skall man i största möjliga utsträckning använda sig av tekniken med registerkontroll.

När personer som inte behöver ha tillgång till uppgifterna för sin tjänsteutövning skall tas i anspråk under omständigheter då de kan få tillgång till sekretessbelagda EU-uppgifter (t.ex. bud, säkerhetspersonal, underhållspersonal och städare), skall de först genomgå vederbörlig säkerhetsprövning.

6.2   Register över säkerhetsprövning av personal

Alla kommissionens avdelningar som hanterar sekretessbelagda EU-uppgifter eller där det finns säkra kommunikations- eller informationssystem, skall hålla ett register över den personal som varit föremål för säkerhetsprövning. Varje säkerhetsprövning skall kontrolleras när så krävs för att säkerställa att den är relevant för personens aktuella uppdrag. Säkerhetsprövningen skall ses över med förtur när nya uppgifter indikerar att ett fortsatt uppdrag med sekretessbelagda uppgifter inte längre är förenligt med säkerhetsintressena. Den lokale säkerhetsansvarige på kommissionen skall hålla ett register över säkerhetsprövningar inom sitt område.

6.3   Säkerhetsanvisningar för personalen

All personal, vars tjänst innebär att de kan få tillgång till sekretessbelagda uppgifter skall när de börjar sin tjänst och med regelbundna intervaller få en grundlig genomgång av kraven på säkerhet och hur denna säkerhet erhålls. Sådan personal skall skriftligen intyga att de tillfullo har läst och förstått dessa säkerhetsbestämmelser.

6.4   Ledningsansvar

Arbetsledningen skall ha skyldighet att känna till vilka av personalen som sysslar med sekretessbelagt arbete eller som har tillgång till skyddade kommunikations- eller informationssystem och registrera och rapportera incidenter eller uppenbart känsliga punkter som skulle kunna påverka säkerheten.

6.5   Personalens säkerhetsstatus

Förfaranden skall fastställas för att säkerställa att det, när negativa uppgifter kommer fram om en person, fastställs huruvida denna person sysslar med sekretessbelagt arbete eller har tillgång till skyddade kommunikations- eller informationssystem, och att ►M3  kommissionens direktorat för säkerhet ◄ informeras. Om det fastställs att personen utgör en säkerhetsrisk skall han/hon avstängas eller avlägsnas från sådana uppdrag där han/hon skulle kunna äventyra säkerheten.

7.   FYSISK SÄKERHET

7.1   Behov av skydd

Den grad av fysiska säkerhetsåtgärder som skall tillämpas för att skydda sekretessbelagda EU-uppgifter skall stå i relation till den sekretessklassning, den volym och det hot som föreligger mot befintliga uppgifter och materiel. Alla som har tillgång till sekretessbelagda EU-uppgifter skall följa en gemensam praxis när det gäller sekretessklassning av dessa uppgifter och följa gemensamma skyddsnormer för hur uppgifter och materiel som kräver skydd skall förvaras, vidarebefordras/överföras och förstöras.

7.2   Kontroller

Innan personer som har ansvar för sekretessbelagda EU-uppgifter lämnar obevakade utrymmen skall de se till att uppgifterna är i säkert förvar och att alla säkerhetsanordningar har aktiverats (lås, larm osv.). Ytterligare oberoende kontroller skall utföras efter arbetstid.

7.3   Byggnadernas säkerhet

Byggnader där sekretessbelagda EU-uppgifter förvaras eller där det finns skyddade kommunikations- eller informationssystem, skall skyddas mot obehörigt tillträde. Arten av skydd för sekretessbelagda EU-uppgifter, t.ex. galler för fönster, lås för dörrar, vakter vid ingångarna, automatiska system för kontroll av tillträde, säkerhetskontroller och patruller, larmsystem, system för upptäckt av intrång och vakthundar, skall vara avhängig

Arten av skydd för kommunikations- och informationssystem skall likaledes vara avhängig vilken bedömning som gjorts av värdet på de tillgångar som står på spel och av den potentiella skadan vid sekretessbrott, hur den byggnad där systemet finns är konstruerad samt dess belägenhet och var i byggnaden systemet finns.

7.4   Beredskapsplaner

Detaljerade planer skall utarbetas i förväg för hur sekretessbelagda uppgifter skall skyddas i händelse av en lokal eller nationell kris.

8.   INFORMATIONSSÄKERHET

Informationssäkerheten rör fastställandet och tillämpningen av säkerhetsåtgärder för att skydda sekretessbelagda EU-uppgifter som har bearbetats, lagrats eller överförts i kommunikations- och informationssystem eller andra elektroniska system mot sekretessbrott, förlust av okränkbarheten eller tillgängligheten, oavsiktligt eller avsiktligt. Relevanta motåtgärder skall vidtas för att hindra obehöriga från att få tillgång till sekretessbelagda EU-uppgifter, för att förhindra att behöriga användare nekas tillgång till sekretessbelagda EU-uppgifter och för att förhindra att sekretessbelagda EU-uppgifter förvanskas eller ändras eller raderas av obehöriga.

9.   ÅTGÄRDER MOT SABOTAGE OCH ANDRA FORMER AV UPPSÅTLIG SKADA

Fysiska försiktighetsåtgärder för skydd av viktiga anläggningar där sekretessbelagda uppgifter förvaras är de bästa skyddsåtgärderna mot sabotage och uppsåtlig skada, och de kan inte ersättas med enbart säkerhetsprövning av personal. Det behöriga nationella organet skall ombedjas att samla in underrättelser om spioneri, sabotage, terrorism och annan omstörtande verksamhet.

10.   UTLÄMNANDE AV SEKRETESSBELAGDA UPPGIFTER TILL TREDJELAND ELLER INTERNATIONELLA ORGANISATIONER

Beslutet att lämna ut sekretessbelagda EU-uppgifter där kommissionen är upphovsman till tredjeland eller internationell organisation, skall fattas av samtliga av kommissionens ledamöter. Om kommissionen inte är upphovsman, skall kommissionen först söka tillstånd av upphovsmannen. Om det inte går att fastställa vem denne är kommer kommissionen att påta sig detta ansvar.

Om kommissionen erhåller sekretessbelagda uppgifter från tredjeland, internationella organisationer eller annan tredje part, skall dessa uppgifter skyddas i enlighet med den sekretessklassning som har gjorts av dem och motsvarande de normer som fastställs i de här bestämmelserna för sekretessbelagda EU-uppgifter, eller motsvarande de strängare normer som tredje part som lämnar ut uppgifterna kan kräva. Ömsesidiga kontroller får genomföras.

Ovannämnda principer skall genomföras i enlighet med de detaljerade föreskrifterna i del II, avsnitt 26, och tilläggen 3, 4 och 5.

DEL II:   SÄKERHETSORGANISATIONEN INOM KOMMISSIONEN

11.   DEN LEDAMOT AV KOMMISSIONEN SOM ANSVARAR FÖR SÄKERHETSFRÅGOR

Den ledamot av kommissionen som ansvarar för säkerhetsfrågor skall utföra följande:

Den ledamot av kommissionen som ansvarar för säkerhetsfrågor skall ansvara för följande:

12.   KOMMISSIONENS RÅDGIVANDE KOMMITÉ FÖR SÄKERHETSFRÅGOR

En rådgivande kommitté för säkerhetsfrågor skall inrättas inom kommissionen. Den skall bestå av den ledamot för kommissionen som ansvarar för säkerhetsfrågor, eller dennes representant, som skall sitta som ordförande samt av representanter från varje medlemsstats nationella säkerhetsmyndighet. Representanter från andra Europeiska institutioner får också bjudas in att delta. Företrädare för decentraliserade EG och EU-myndigheter får också bjudas in att delta när frågor som rör dem diskuteras.

Kommissionens rådgivande kommitté för säkerhetsfrågor skall mötas när dess ordförande eller någon av dess medlemmar så begär. Kommittén skall ha till uppgift att granska och bedöma alla relevanta säkerhetsfrågor, samt att lägga fram rekommendationer till kommissionen när så behövs.

▼M3

13.   KOMMISSIONENS SÄKERHETSNÄMND

En säkerhetsnämnd skall inrättas inom kommissionen. Den skall bestå av generaldirektören för Generaldirektoratet för personal och administration, som skall vara ordförande, av en medlem av kansliet för den ledamot av kommissionen som ansvarar för säkerhetsfrågor, av en medlem av ordförandens kansli, av den biträdande generalsekreterare som är ordförande för kommissionens krishanteringsgrupp, av generaldirektörerna för Rättstjänsten, Generaldirektoratet för yttre förbindelser, Generaldirektoratet för rättvisa, frihet och säkerhet, Gemensamma forskningscentret, Generaldirektoratet för informationsteknik och Tjänsten för internrevision och av direktören för kommissionens direktorat för säkerhet, eller av företrädare för dessa. Andra kommissionstjänstemän får bjudas in. Nämndens ansvarsområde är att bedöma säkerhetsåtgärder inom kommissionen och att utfärda rekommendationer på detta område till den ledamot av kommissionen som ansvarar för säkerhetsfrågor.

▼M1

14.    ►M3  KOMMISSIONENS DIREKTORAT FÖR SÄKERHET ◄

För att uppfylla de skyldigheter som nämns i avsnitt 11 skall den ledamot av kommissionen som ansvarar för säkerhet kunna utnyttja ►M3  kommissionens direktorat för säkerhet ◄ för samordning, kontroll och genomförande av säkerhetsåtgärder.

►M3  direktören för kommissionens direktorat för säkerhet ◄ skall vara den främste rådgivaren till den ledamot av kommissionen som ansvarar för säkerhetsfrågor när det gäller sekretess, och han/hon skall vara sekreterare i säkerhetskommittén. I detta avseende skall han/hon leda uppdateringen av säkerhetsbestämmelserna och samordna säkerhetsåtgärderna med de behöriga myndigheterna i medlemsstaterna, och i förekommande fall med internationella organisationer som är knutna till kommissionen genom säkerhetsöverenskommelser. Han/hon skall i dessa avseenden agera som samordnare.

►M3  direktören för kommissionens direktorat för säkerhet ◄ skall ha ansvaret för godkännande av IT-system och IT-nät inom kommissionen. ►M3  direktören för kommissionens direktorat för säkerhet ◄ skall tillsammans med relevant nationell säkerhetsmyndighet besluta om godkännande av IT-system och IT-nät som omfattar kommissionen och mottagare av sekretessbelagda EU-uppgifter.

15.   SÄKERHETSSINSPEKTIONER

Återkommande inspektioner av säkerhetsanordningarna för insynsskydd av sekretessbelagda EU-uppgifter skall utföras av ►M3  kommissionens direktorat för säkerhet ◄ .

►M3  kommissionens direktorat för säkerhet ◄ får bistås i detta av säkerhetstjänster på andra EU-institutioner som innehar sekretessbelagda EU-uppgifter eller av medlemsstaternas nationella säkerhetsmyndigheter ( 14 ).

På begäran av en medlemsstat får en inspektion av sekretessbelagda EU-uppgifter utföras av dess nationella säkerhetsmyndighet inom kommissionen, gemensamt med ►M3  kommissionens direktorat för säkerhet ◄ och efter ömsesidig överenskommelse.

16.   KLASSNING, SÄKERHETSBETECKNINGAR OCH MÄRKNINGAR

16.1   Klassningsnivåer ( 15 )

Uppgifter kan placeras in i följande sekretessgrader (se även tillägg 2):

Inga andra klassningar är tillåtna.

16.2   Säkerhetsbeteckningar

För att begränsa en sekretessgrads giltighet (för sekretessbelagda uppgifter som innebär en automatisk inplacering i lägre sekretessgrad eller hävande av sekretess) får en överenskommen säkerhetsbeteckning användas. Denna beteckning skall antingen vara ”Till och med…(tidpunkt/datum)” eller ”Fram till…(händelse)”.

Tilläggsmarkeringar, t.ex. CRYPTO eller någon annan säkerhetsbeteckning som är erkänd inom EU, skall användas när det är nödvändigt att begränsa utlämnandet och det krävs särskild hantering utöver vad som framgår av sekretessgraden.

Säkerhetsbeteckningar skall endast användas tillsammans med en sekretessgrad.

16.3   Märkningar

En märkning får användas för att ange vilket område handlingen omfattar eller särskild spridning, grundad på behovet av att få tillgång till uppgifterna för tjänsteutövningen, eller (för icke-sekretessbelagda uppgifter) för att markera slutet på ett handelsförbud.

En märkning är inte en sekretessgrad och får inte användas i stället för en sådan.

Märkningen ESDP skall göras på handlingar och kopior av dessa som rör unionens eller en eller flera av dess medlemsstaters säkerhet och försvar, eller som rör militär eller icke-militär krishantering.

16.4   Fastsättning

Följande fastsättningsmetoder skall användas:

16.5   Fastsättning av säkerhetsbeteckningar

Säkerhetsbeteckningar skall sättas fast direkt under sekretessgraden och med samma metod.

17.   HUR SEKRETESSKLASSNINGEN SKALL GÅ TILL

17.1   Allmänt

Uppgifter skall bara sekretessbeläggas när det är nödvändigt. Sekretessgraden skall anges klart och korrekt och skall upprätthållas bara så länge som uppgifterna kräver skydd.

Ansvaret för att sekretessbelägga uppgifter och för eventuell senare inplacering i en lägre sekretessgrad eller för hävande av sekretessen vilar helt på upphovsmannen.

Tjänstemän och övriga anställda på kommissionen skall sekretessbelägga, inplacera i en lägre sekretessgrad eller häva sekretessen på uppdrag av eller efter överenskommelse med sin avdelningschef.

De detaljerade förfarandena för hantering av sekretessbelagda handlingar har fått denna inramning för att säkerställa att de får ett lämpligt skydd med hänsyn till de uppgifter de innehåller.

Det antal personer som får författa dokument med beteckningen ►M2  TRES SECRET UE/EU TOP SECRET ◄ skall vara så få som möjligt och deras namn skall finnas på en förteckning som upprättas av ►M3  kommissionens direktorat för säkerhet ◄ .

17.2   Tillämpning av sekretessklassning

Sekretessklassningen av en handling skall fastställas med utgångspunkt från hur känsligt handlingens innehåll är, i enlighet med definitionen i avsnitt 16. Det är viktigt att sekretessklassningen är korrekt och att den används med urskillning. Detta gäller särskilt säkerhetsgraden ►M2  TRES SECRET UE/EU TOP SECRET ◄ .

Upphovsmannen till en handling som skall säkerhetsklassas skall ha ovanstående bestämmelser i åtanke och bromsa alla tendenser till för hög eller för låg sekretessgrad.

En praktisk vägledning för sekretessklassning finns i bilaga 2.

Enstaka sidor, stycken, avsnitt, bilagor, tillägg och bifogade papper till en viss handling kan kräva inplacering i en annan sekretessgrad och skall märkas i enlighet med detta. Sekretessklassningen av handlingen som helhet skall vara densamma som den del som fått den högsta sekretessgraden.

Sekretessklassningen av ett brev eller en not som åtföljer bilagor skall göras i samma sekretessgrad som den högsta sekretessgraden hos bilagorna. Upphovsmannen bör ange tydligt med vilken grad de skall säkerhetsklassas när de skilts från de bifogade handlingarna.

Allmänhetens tillgång till dokument skall även fortsättningsvis regleras genom förordning (EG) nr 1049/2001.

17.3   Inplacering i lägre sekretessgrad och hävande av sekretess

Sekretessbelagda EU-handlingar kan inplaceras i en lägre sekretessgrad eller bli föremål för sekretessens hävande endast efter tillstånd av den som upprättat handlingarna och, om så krävs, efter diskussion med andra berörda parter. Inplacering i lägre sekretessgrad eller hävande av sekretess skall bekräftas skriftligen. Upphovsmannen skall ha ansvaret för att informera sina mottagare om förändringen, och dessa skall i sin tur vara ansvariga för att informera eventuella efterföljande mottagare till vilka de har översänt handlingen eller en kopia av den.

Upphovsmannen skall, om så är möjligt, på den sekretessbelagda handlingen ange ett datum, en tidsperiod eller en händelse när uppgifterna får inplaceras i en lägre sekretessgrad eller sekretessen kan hävas. I annat fall skall denne se över handlingarna minst vart femte år för att säkerställa att den ursprungliga sekretessklassningen fortfarande är nödvändig.

18.   FYSISK SÄKERHET

18.1   Allmänt

Det främsta syftet med de fysiska säkerhetsåtgärderna är att förhindra obehöriga från att få tillgång till sekretessbelagda EU-uppgifter eller materiel, förhindra stöld och förstörelse av utrustning och annan egendom samt förhindra trakasserier och andra typer av attacker mot personal, andra anställda och besökare.

18.2   Säkerhetskrav

Alla lokaler, utrymmen, byggnader, rum, kommunikations- och informationssystem osv. i vilka sekretessbelagda EU-uppgifter och materiel förvaras eller hanteras skall skyddas genom lämpliga fysiska säkerhetsåtgärder.

När man bestämmer vilken grad av fysiskt säkerhetsskydd som är nödvändigt skall hänsyn tas till relevanta faktorer som

De fysiska säkerhetsåtgärder som tillämpas skall

18.3   Fysiska säkerhetsåtgärder

18.3.1   Säkerhetsutrymmen

Utrymmen där uppgifter med beteckningen ►M2  CONFIDENTIEL UE ◄ eller med högre grad av sekretess hanteras och förvaras skall organiseras och struktureras så att de motsvarar något av följande:

18.3.2   Administrativt utrymme

Kring eller ledande till säkerhetsutrymmen av klass I eller klass II får ett administrativt utrymme med lägre säkerhet upprättas. Detta kräver en synlig gräns som gör att personal och fordon kan kontrolleras. Enbart uppgifter med beteckningen ►M2  RESTREINT UE ◄ och uppgifter utan sekretessklassning skall hanteras och förvaras i administrativa utrymmen.

18.3.3   Kontroll av in- och utpassering

Tillträdet till och utgången från säkerhetsutrymmen av klass I och klass II skall kontrolleras genom passersedel eller genom att kontrollpersonalen känner igen personerna, vilket skall gälla för alla som normalt arbetar i dessa utrymmen. Ett system för kontroll av besökare, för att se till att obehöriga inte får tillträde till sekretessbelagda EU-uppgifter, skall också upprättas. Systemen med passersedel kan kompletteras med automatiserad identifiering, vilken skall ses som ett komplement till, men inte en fullständig ersättning för vakter. En förändring i hotbedömningen kan medföra att åtgärderna för kontroll av in- och utpassering förstärks, till exempel vid besök av prominenta personer.

18.3.4   Patrullering av vakter

Patrullering av säkerhetsutrymmen av klass I och klass II skall äga rum utanför normal arbetstid för att skydda EU-tillgångar från att utsättas för fara, skada eller förlust. Hur ofta patrulleringen skall genomföras är avhängigt av de lokala omständigheterna, men som vägledning kan intervallet varannan timme anges.

18.3.5   Säkerhetsskåp och valv

Tre klasser av skåp skall användas för förvaring av sekretessbelagda EU-uppgifter:

För valv som byggts inom ett säkerhetsutrymme av klass I eller klass II och för alla utrymmen av klass I där uppgifter med beteckningen ►M2  CONFIDENTIEL UE ◄ eller högre förvaras på öppna hyllor eller visas på diagram, kartor osv. skall väggarna, golven och taken, dörren eller dörrarna med lås, av ackrediteringsmyndigheten för säkerhet ha intygats erbjuda ett skydd som motsvarar den klass säkerhetsskåp som godkänts för förvaring av uppgifter av motsvarande säkerhetsklass.

18.3.6   Lås

Lås som används för säkerhetsskåp och valv i vilka sekretessbelagda EU-uppgifter förvaras skall uppfylla följande normer:

18.3.7   Kontroll av lås och kombinationer

Nycklar till säkerhetsskåp får inte avlägsnas från kommissionens byggnader. Kombinationer till säkerhetsskåp skall memoreras av de personer som behöver känna till dem. För användning i nödsituationer skall den lokalt säkerhetsansvarige på kommissionsavdelningen i fråga vara ansvarig för reservnycklar och ett skriftligt dokument med varje kombination; dokumenten skall ligga i separata, ogenomskinliga kuvert. Arbetsnycklar, reservsäkerhetsnycklar och kombinationer skall förvaras i separata säkerhetsskåp. Säkerhetsskyddet för dessa nycklar och kombinationer bör inte vara mindre strängt än de uppgifter som de ger tillgång till.

Så få personer som möjligt skall ha kännedom om kombinationer till säkerhetsskåp. Kombinationer skall ställas om

18.3.8   Anordningar för upptäckt av intrång

När larmsystem, interntelevision och andra elektriska anordningar används för att skydda sekretessbelagda EU-uppgifter, skall det finnas ett elektriskt nödsystem för att säkerställa att systemet är operativt även om huvudströmmen bryts. Ett annat grundläggande krav är att tekniskt fel eller manipulation av sådana system skall utlösa larm eller ge en annan pålitlig varning till bevakningspersonalen.

18.3.9   Godkänd utrustning

►M3  kommissionens direktorat för säkerhet ◄ skall hålla uppdaterade förteckningar över typer och modeller för den säkerhetsutrustning som den har godkänt för skydd av sekretessbelagda uppgifter under olika specificerade omständigheter och villkor. ►M3  kommissionens direktorat för säkerhet ◄ skall basera dessa förteckningar bland annat på information från nationella säkerhetsmyndigheter.

18.3.10   Fysiskt skydd för kopierings- och faxapparater

Kopierings- och faxapparater skall ha det fysiska skydd som krävs för att säkerställa att bara behöriga personer kan använda dem för hantering av säkerhetsklassade uppgifter och att alla sekretessbelagda produkter är föremål för riktiga kontroller.

18.4   Skydd mot ”tjuvtittande” och ”tjuvlyssnande”

18.4.1   Tjuvtittande

Alla lämpliga åtgärder skall vidtas dag som natt för att garantera att sekretessbelagda EU-uppgifter inte blir tillgängliga, inte ens av misstag, för obehöriga.

18.4.2   Tjuvlyssnande

Kontor eller utrymmen där sekretessbelagda EU-uppgifter med beteckningen ►M2  SECRET UE ◄ eller högre regelbundet diskuteras skall skyddas mot passivt och aktivt tjuvlyssnande när hotbilden kräver det. ►M3  kommissionens direktorat för säkerhet ◄ ansvarar för att bedöma riskerna för tjuvlyssnande, efter samråd med nationella säkerhetsmyndigheter, när så krävs.

18.4.3   Införande av elektronisk utrustning och inspelningsutrustning

Det är inte tillåtet att ta med mobiltelefoner, privata datorer, inspelningsutrustning, kameror och annan elektronisk utrustning eller inspelningsutrustning till säkerhetsutrymmen eller tekniska säkerhetsutrymmen utan tillstånd på förhand från ►M3  direktören för kommissionens direktorat för säkerhet ◄ .

För att fastställa vilka skyddsåtgärder som skall vidtas i lokaler som är känsliga för passivt tjuvlyssnande (t.ex. isolering av väggar, dörrar, golv och tak, mätningar av det ljud som tränger ut och för aktivt tjuvlyssnande (t.ex. sökning efter mikrofoner) får ►M3  kommissionens direktorat för säkerhet ◄ begära hjälp av de nationella säkerhetsmyndigheterna.

När omständigheterna så kräver får telekommunikationsutrustning och elektrisk eller elektronisk kontorsutrustning av alla slag som används under möten på säkerhetsnivån ►M2  SECRET UE ◄ och högre, kontrolleras av tekniska säkerhetsexperter från de nationella säkerhetsmyndigheterna på begäran av ►M3  direktören för kommissionens direktorat för säkerhet ◄ .

18.5   Tekniska säkerhetsutrymmen

Vissa områden kan betecknas som tekniskt säkra utrymmen. En särskild inpasseringskontroll skall utföras. Sådana utrymmen skall hållas låsta på godkänt sätt när de inte används och alla nycklar skall behandlas som säkerhetsnycklar. Sådana utrymmen skall vara föremål för regelbundna fysiska inspektioner som också skall göras efter varje obehörigt intrång eller misstanke om sådant intrång.

En detaljerad inventarieförteckning över utrustning och möbler skall finnas, så att man kan övervaka flyttning av utrustning och möbler. Inga möbler och ingen utrustning skall föras till ett sådant utrymme förrän det har inspekterats omsorgsfullt av särskilt utbildad säkerhetspersonal, för att spåra eventuell avlyssningsutrustning. Som allmän regel gäller att installation av kommunikationslinjer på tekniskt säkra områden inte är tillåten utan tillstånd på förhand av relevant myndighet.

19.   ALLMÄNNA REGLER OM PRINCIPEN FÖR BEHOV AV UPPGIFTER OCH SÄKERHETSGRANSKNING AV EU-PERSONAL

19.1   Allmänt

Tillgång till sekretessbelagd EU-information skall beviljas för personer som behöver den för att utföra sina tjänsteåligganden eller uppdrag. Tillgång till uppgifter med sekretessgraderna ►M2  TRES SECRET UE/EU TOP SECRET ◄ , ►M2  SECRET UE ◄ och ►M2  CONFIDENTIEL UE ◄ skall endast beviljas för personer som genomgått vederbörlig säkerhetsprövning.

Ansvaret för att avgöra vem som behöver ta del av uppgifter skall ligga hos den avdelning där personen i fråga skall anställas.

Begäran om granskning av personal skall göras av avdelningarna.

Säkerhetsprövningen skall leda till att ett ”säkerhetsintyg för EU-personal” utfärdas, i vilket det skall anges vilken nivå av sekretessbelagd information som den person som genomgått säkerhetsprövningen skall få tillgång till samt datum då intyget löper ut.

Ett säkerhetsintyg för EU-personal för en viss sekretessgrad kan ge innehavaren tillgång till uppgifter med lägre sekretessklassning.

Personer som inte är tjänstemän eller övriga anställda, t.ex. externa uppdragstagare, experter eller konsulter, med vilka man kan behöva diskutera eller för vilka man kan behöva visa sekretessbelagda EU-uppgifter skall ha genomgått säkerhetsprövning för sekretessbelagd EU-information och ha informerats om sitt ansvar för säkerheten.

Allmänhetens tillgång till dokument skall även fortsättningsvis regleras genom förordning (EG) nr 1049/2001.

19.2   Särskilda regler om tillgång till uppgifter som klassats som ►M2  TRES SECRET UE/EU TOP SECRET ◄ .

Samtliga personer som skall få tillgång till information med sekretessgraden ►M2  TRES SECRET UE/EU TOP SECRET ◄ skall först ha genomgått säkerhetsprövning för denna grad.

Samtliga personer som behöver få tillgång till uppgifter med sekretessgraden ►M2  TRES SECRET UE/EU TOP SECRET ◄ skall utses av den ledamot av kommissionen som ansvarar för säkerhet och deras namn skall införas i det register som är relevant för säkerhetsklassen ►M2  TRES SECRET UE/EU TOP SECRET ◄ . Kommissionens säkerhetstjänst skall skapa och föra detta register.

Samtliga personer skall innan de får tillgång till uppgifter med sekretessgraden ►M2  TRES SECRET UE/EU TOP SECRET ◄ underteckna en försäkran om att de informerats om ►M3  kommissionens direktorat för säkerhet ◄ och att de till fullo är medvetna om sitt särskilda ansvar när det gäller att skydda uppgifter med sekretessgraden ►M2  TRES SECRET UE/EU TOP SECRET ◄ och de påföljder som i EU:s bestämmelser och i nationell lagstiftning eller nationella förvaltningsbestämmelser föreskrivs om sekretessbelagd information lämnas ut till obehöriga, vare sig detta sker uppsåtligt eller genom försumlighet.

Om personer vid möten m.m. ges tillgång till information med sekretessgraden ►M2  TRES SECRET UE/EU TOP SECRET ◄ skall den ansvarige säkerhetstjänstemannen inom det organ där dessa personer är verksamma underrätta det organ som anordnat mötet om att de innehar erforderligt tillstånd.

Samtliga personer som lämnar en tjänstgöring för vilken de har behövt tillgång till information med sekretessgraden ►M2  TRES SECRET UE/EU TOP SECRET ◄ skall avföras från den lista som upprättats för säkerhetsklassen ►M2  TRES SECRET UE/EU TOP SECRET ◄ . Dessutom skall alla sådana personer åter göras uppmärksamma på det särskilda ansvar de har när det gäller att skydda uppgifter med sekretessgraden ►M2  TRES SECRET UE/EU TOP SECRET ◄ . De skall vidare underteckna en försäkran där de förklarar att de varken kommer att använda eller lämna ut någon information med sekretessgraden ►M2  TRES SECRET UE/EU TOP SECRET ◄ .

19.3   Särskilda regler om tillgång till uppgifter som klassats som ►M2  SECRET UE ◄ och ►M2  CONFIDENTIEL UE ◄ .

Samtliga personer som skall få tillgång till information med sekretessgraden ►M2  SECRET UE ◄ eller ►M2  CONFIDENTIEL UE ◄ skall först genomgå säkerhetsprövning för den aktuella säkerhetsnivån.

Samtliga personer som får tillgång till information med sekretessgraden ►M2  SECRET UE ◄ eller ►M2  CONFIDENTIEL UE ◄ skall vara förtrogna med om de aktuella säkerhetsbestämmelserna och skall vara medvetna om konsekvenserna vid försumlighet.

Om personer vid möten m.m. ges tillgång till information med sekretessgraden ►M2  SECRET UE ◄ eller ►M2  CONFIDENTIEL UE ◄ skall den ansvarige säkerhetstjänstemannen inom det organ där dessa personer är verksamma underrätta det organ som anordnat mötet om att de innehar erforderligt tillstånd.

19.4   Särskilda regler om tillgång till uppgifter som klassats som ►M2  RESTREINT UE ◄ .

Personer med tillgång till uppgifter med sekretessgraden ►M2  RESTREINT UE ◄ skall göras uppmärksamma på de här säkerhetsbestämmelserna liksom påföljderna vid försumlighet.

19.5   Förflyttningar

Om en medarbetare förflyttas från en tjänst som innebär hantering av sekretessbelagt EU-material skall registret övervaka att materialet på korrekt sätt överlämnas från den avgående till den tillträdande tjänstemannen.

När en medarbetare förflyttas till en tjänst som innebär hantering av sekretessbelagt EU-material skall den lokale säkerhetsansvarige instruera honom/henne.

19.6   Särskilda anvisningar

Personer som det åligger att hantera sekretessbelagd EU-information skall när de inleder sin tjänstgöring och därefter med regelbundna intervall göras uppmärksamma på

Alla personer som normalt upprätthåller täta kontakter med företrädare för länder vilkas underrättelseorgan inriktar sig på EU och medlemsstaterna för att få kännedom om sekretessbelagd information och verksamhet inom EU, skall informeras om den teknik man vet att olika underrättelseorgan använder sig av.

Det finns inga säkerhetsbestämmelser inom kommissionen för privata resor till något som helst resmål för de personer som genomgått säkerhetsprövning för tillgång till sekretessbelagd EU-information. ►M3  Kommissionens direktorat för säkerhet ◄ skall dock informera de tjänstemän och övriga anställda som de har ansvar för om sådana regler för resor som de kan komma att omfattas av.

20.   FÖRFARANDE FÖR SÄKERHETSPRÖVNING FÖR KOMMISSIONSTJÄNSTEMÄN OCH ANDRA ANSTÄLLDA

21.   UPPRÄTTANDE, UTLÄMNANDE, ÖVERFÖRING, SÄKERHET I POSTHANTERINGEN SAMT EXTRA EXEMPLAR OCH ÖVERSÄTTNINGAR OCH UTDRAG UR SEKRETESSBELAGDA EU-HANDLINGAR

21.1   Upprättande

21.2   Utlämnande

21.3   Vidarebefordran/överföring av sekretessbelagda EU-handlingar

21.3.1   Förpackningar, kvitton

21.3.2   Vidarebefordran inom en byggnad eller ett byggnadskomplex

Inom en viss byggnad eller ett visst byggnadskomplex får sekretessbelagda handlingar befordras i ett förseglat kuvert med endast adressatens namn, på villkor att det befordras av en person som genomgått lämplig säkerhetsprövning.

21.3.3   Överföring inom ett land

21.3.4   Överföring från ett land till ett annat

21.3.5   Vidarebefordran/överföring av handlingar med beteckningen ►M2  RESTREINT UE ◄

Inga särskilda bestämmelser har fastställts för befordran av handlingar med beteckningen ►M2  RESTREINT UE ◄ , utom att de bör vara sådana att det garanteras att de inte kan falla händerna på någon obehörig.

21.4   Säkerhet när det gäller kurirer

Alla kurirer och sändebud som anlitas för att befordra handlingar med beteckningarna ►M2  SECRET UE ◄ och ►M2  CONFIDENTIEL UE ◄ skall ha genomgått lämplig säkerhetsprövning.

21.5   Teknisk överföring på elektronisk eller annan väg

21.6   Extra exemplar och översättningar av utdrag från sekretessbelagda EU-handlingar

22.   REGISTER FÖR SAMT GRANSKNING, KONTROLL, ARKIVERING OCH FÖRSTÖRING AV SEKRETESSBELAGDA EU-UPPGIFTER

22.1   Lokala register för sekretessbelagda EU-uppgifter

22.2   Registret för uppgifter med beteckningen ►M2  TRES SECRET UE/EU TOP SECRET ◄

22.2.1   Allmänt

22.2.2   Centrala registret för uppgifter med beteckningen ►M2  TRES SECRET UE/EU TOP SECRET ◄

I egenskap av kontrolltjänsteman skall chefen för det centrala registret för handlingar med beteckningen ►M2  TRES SECRET UE/EU TOP SECRET ◄ ha ansvar för

22.2.3   Underavdelningar till register för handlingar med beteckningen ►M2  TRES SECRET UE/EU TOP SECRET ◄

I egenskap av kontrolltjänsteman skall chefen för underavdelningen till registret för handlingar med beteckningen ►M2  TRES SECRET UE/EU TOP SECRET ◄ ha ansvar för

22.3   Inventeringar, granskning och kontroll av sekretessbelagda EU-handlingar

22.4   Arkivering av sekretessbelagda EU-uppgifter

22.5   Förstöring av sekretessbelagda EU-handlingar

22.6   Förstöring i en nödsituation

23.   SÄKERHETSÅTGÄRDER FÖR SÄRSKILDA MÖTEN UTANFÖR KOMMISSIONENS LOKALER VILKA INBEGRIPER SEKRETESSBELAGDA EU-UPPGIFTER

23.1   Allmänt

När kommissionsmöten eller andra viktiga möten äger rum utanför kommissionens lokaler och när det berättigas av de särskilda säkerhetskrav som gäller mycket känsliga frågor eller uppgifter, skall de säkerhetsåtgärder som beskrivs nedan vidtas. Dessa åtgärder gäller endast skydd av sekretessbelagda EU-uppgifter. Andra säkerhetsåtgärder kan komma att behöva planeras.

23.2   Ansvar

23.2.1    ►M3  Kommissionens direktorat för säkerhet ◄

►M3  kommissionens direktorat för säkerhet ◄ skall samarbeta med medlemsstatens behöriga myndigheter i den medlemsstat där mötet hålls (värdmedlemsstaten) för att garantera säkerheten vid kommissionens möte eller andra viktiga möten samt säkerheten för delegaterna och deras personal. När det gäller skyddet av säkerheten skall det i synnerhet garanteras att

►M3  Kommissionens direktorat för säkerhet ◄ skall vara rådgivare om säkerhet vid mötets förberedande; avdelningen bör företrädas där för att vid behov bistå och ge råd till mötets säkerhetstjänsteman och delegationerna.

Varje delegation kommer att till varje möte anmodas att utse en säkerhetstjänsteman som kommer att vara ansvarig för behandlingen av säkerhetsfrågor inom sin delegation och för upprätthållande av förbindelsen med säkerhetstjänstemannen vid mötet samt, vid behov, med företrädaren för ►M3  kommissionens direktorat för säkerhet ◄ .

23.2.2   Säkerhetstjänsteman vid möten

En säkerhetstjänsteman bör utnämnas med ansvar för det övergripande utarbetandet och kontrollen av generella interna säkerhetsåtgärder och för samordningen med andra berörda säkerhetsmyndigheter. De åtgärder som denne säkerhetstjänsteman vidtar skall i allmänhet gälla följande:

23.3   Säkerhetsåtgärder

23.3.1   Säkerhetsutrymmen

Följande säkerhetsutrymmen bör inrättas:

23.3.2   Passersedel

Mötets säkerhetstjänsteman bör dela ut lämpliga besöksbrickor på begäran av delegationerna i enlighet med deras behov. Det får vid behov göras åtskillnad när det gäller tillträde till olika säkerhetsutrymmen.

Enligt säkerhetsföreskrifterna för mötet bör det krävas att alla berörda personer ständigt och på ett tydligt sätt bär och uppvisar sina besöksbrickor inom mötesplatsen så att de vid behov kan kontrolleras av säkerhetspersonalen.

Förutom deltagare med besöksbrickor bör så få personer som möjligt ha tillträde till mötesplatsen. Mötets säkerhetstjänsteman skall endast på begäran av de nationella delegationerna ge dessa tillstånd att ta emot besökare. Besökande bör erhålla en besöksbricka. En passersedel för besökande med hans/hennes namn och namnet på den person som besöks bör ifyllas. Besökande skall alltid åtföljas av en säkerhetsvakt eller av den person som tar emot besök. Den besökandes passersedel bör bäras av den ledsagande personen som skall återlämna den, tillsammans med den besökandes besöksbricka, till säkerhetspersonalen när den besökande lämnar mötesplatsen.

23.3.3   Kontroll av foto- och AV-utrustning

Kameror eller inspelningsutrustning får inte medföras till ett säkerhetsutrymme i klass I, med undantag av utrustning som medförts av fotografer och ljudingenjörer med vederbörligt tillstånd från mötets säkerhetstjänsteman.

23.3.4   Kontroll av portföljer, bärbara datorer och paket

Innehavare av passersedel med tillträde till ett säkerhetsutrymme får vanligtvis medföra sina portföljer och bärbara datorer (endast med egen strömförsörjning) utan att de kontrolleras. När det gäller paket till delegationer får delegationerna ta emot leverans av paket som antingen inspekteras av delegationens säkerhetstjänsteman, undersöks med specialutrustning eller öppnas av säkerhetspersonalen för inspektion. Om mötets säkerhetstjänsteman anser det nödvändigt får det fastställas strängare åtgärder för inspektion av portföljer och paket.

23.3.5   Teknisk säkerhet

Mötesrummet får göras tekniskt säkert av en teknisk säkerhetsgrupp som även får genomföra elektronisk övervakning under mötet.

23.3.6   Delegationernas handlingar

Delegationerna bör ansvara för att ta sekretessbelagda EU-handlingar till och från möten. De skall även ha ansvar för dessa handlingars kontroll och säkerhet under deras användning i de lokaler som de fått sig tilldelade. Man får anhålla om värdmedlemsstaternas hjälp för befordran av sekretessbelagda handlingar till och från mötesplatsen.

23.3.7   Säker förvaring av handlingar

Om kommissionen eller delegationerna inte kan förvara sina sekretessbelagda handlingar i enlighet med godkända normer får de, mot mottagningsbevis, samla dessa handlingar i ett förseglat kuvert hos mötets säkerhetstjänsteman, så att denne kan förvara handlingarna i enlighet med godkända normer.

23.3.8   Inspektion av kontor

Mötets säkerhetstjänsteman bör se till att kommissionens och delegationernas kontor inspekteras vid slutet av varje arbetsdag för att garantera att alla sekretessbelagda EU-handlingar förvaras på säker plats; om inte bör han/hon vidta erforderliga åtgärder.

23.3.9   Bortskaffande av sekretessbelagt EU-material

Allt material skall behandlas som sekretessbelagt och papperskorgar eller säckar bör överlämnas till kommissionen och delegationerna för bortskaffande. Kommissionen och delegationerna bör, innan de lämnar de lokaler som de fått sig tilldelade, ta sitt skräp till mötets säkerhetstjänsteman som skall se till att det förstörs enligt bestämmelserna.

Vid mötets slut bör alla handlingar som kommissionen eller delegationerna förfogar över men inte längre önskar behandlas som makulatur. Det bör göras en noggrann genomsökning av kommissionens och delegationernas lokaler innan de säkerhetsåtgärder som antagits för mötet hävs. Handlingar för vilka ett mottagningsbevis undertecknades bör såvitt det är möjligt förstöras enligt föreskrifterna i avsnitt 22.5.

24.   SEKRETESSBROTT OCH RÖJANDE AV SEKRETESSBELAGDA EU-UPPGIFTER

24.1   Definitioner

Sekretessbrott inträffar som resultatet av en handling eller försummelse som står i strid med kommissionens säkerhetsbestämmelser vilket kan medföra att sekretessbelagda EU-uppgifter röjs.

Röjande av sekretessbelagda EU-uppgifter inträffar när dessa helt eller delvis har fallit i händerna på obehöriga, dvs. personer som inte genomgått vare sig lämplig säkerhetsprövning eller behöver uppgifterna för sin tjänsteutövning eller om det är sannolikt att en sådan händelse har inträffat.

Sekretessbelagda EU-uppgifter kan röjas till följd av slarv, försummelse eller tanklöshet samt genom åtgärder från organ som riktar sig mot EU eller dess medlemsstater, när det gäller sekretessbelagda EU-uppgifter, eller genom subversiva organisationer.

24.2   Rapportering om sekretessbrott

Alla personer som får hantera sekretessbelagda EU-uppgifter skall ingående informeras om sitt ansvar på detta område. De skall omedelbart rapportera varje sekretessbrott som de får kännedom om.

När en lokal säkerhetstjänsteman eller mötets säkerhetstjänsteman upptäcker eller informeras om ett sekretessbrott som gäller sekretessbelagda EU-uppgifter eller förlust eller försvinnande av sekretessbelagt EU-materiel skall denne vidta lämpliga åtgärder för att

Det skall vara varje säkerhetsmyndighets ansvar att så snart som den har underrättats om att ett sekretessbrott kan ha inträffat, rapportera detta till ►M3  kommissionens direktorat för säkerhet ◄ .

De fall som gäller uppgifter med beteckningen ►M2  RESTREINT UE ◄ behöver rapporteras endast när de uppvisar ovanliga kännetecken.

När den ledamot som ansvarar för säkerhet underrättas om att ett sekretessbrott har ägt rum skall denne

Upphovsmyndigheten skall underrätta adressaterna och ge lämpliga föreskrifter.

24.3   Rättsliga åtgärder

Varje person som är ansvarig för röjande av sekretessbelagda EU-uppgifter skall underkastas disciplinära åtgärder enligt de relevanta reglerna och bestämmelserna, särskilt avdelning VI i tjänsteföreskrifterna. Sådana åtgärder skall inte påverka eventuella vidare rättsliga åtgärder.

På grundval av den rapport som nämns i avsnitt 24.2 skall den ledamot av kommissionen som ansvarar för säkerhetsfrågor i lämpliga fall vidta alla åtgärder som krävs för att underlätta för de behöriga nationella myndigheterna att inleda rättsliga förfaranden.

25.   SKYDD FÖR SEKRETESSBELAGDA EU-UPPGIFTER SOM HANTERAS I IT- OCH KOMMUNIKATIONSSYSTEM

25.1   Inledning

25.1.1   Allmänt

Säkerhetsstrategin och säkerhetskraven skall tillämpas på alla kommunikations- och informationssystem och kommunikations- och informationsnät (nedan kallade system) i vilka EU-uppgifter med sekretessgraden ►M2  CONFIDENTIEL UE ◄ och högre hanteras. De skall tillämpas som ett komplement till kommissionens beslut K (95) 1510 slutlig av den 23 november 1995 on the protection of informatics systems.

För system i vilka EU-uppgifter med sekretessgraden ►M2  RESTREINT UE ◄ hanteras krävs också säkerhetsåtgärder för att bevara dessa uppgifters sekretess. För alla system krävs säkerhetsåtgärder för att skydda okränkbarheten och tillgängligheten hos dessa system och de uppgifter de innehåller.

I den strategi för datasäkerhet som kommissionen tillämpar ingår följande:

25.1.2   Hot mot systemen och systemens sårbarhet

Ett hot kan definieras som en möjlighet att oavsiktligt eller avsiktligt äventyra säkerheten. När det gäller system innebär ett sådant äventyrande att en eller flera av egenskaperna sekretess, okränkbarhet och tillgänglighet går förlorade. Sårbarhet kan definieras som en svaghet i kontrollerna eller en avsaknad av kontroller, som kan underlätta eller möjliggöra att ett hot sätts i verket mot en specifik tillgång eller ett specifikt mål.

Sekretessbelagda och icke-sekretessbelagda EU-uppgifter som hanteras i system i koncentrerad form för snabb sökning, kommunikation och användning är sårbara i många avseenden. Det finns bland annat en risk för att obehöriga användare får tillgång till uppgifter eller omvänt att behöriga användare vägras tillgång. Det föreligger också risk för obehörigt röjande eller obehörig förvanskning, ändring eller radering av uppgifterna. Den komplicerade och ibland ömtåliga utrustningen är dessutom dyr och ofta svår att snabbt reparera eller ersätta.

25.1.3   Huvudsyftet med säkerhetsåtgärderna

Huvudsyftet med de säkerhetsåtgärder som anges i detta avsnitt är att de skall ge skydd mot obehörigt röjande av sekretessbelagda EU-uppgifter (sekretessbrott) och mot förlust av uppgifternas okränkbarhet och tillgänglighet. För att system som hanterar sekretessbelagda EU-uppgifter skall få tillräckligt säkerhetsskydd skall lämpliga normer för konventionell säkerhet specificeras av ►M3  kommissionens direktorat för säkerhet ◄ tillsammans med lämpliga särskilda säkerhetsförfaranden och säkerhetstekniker som är särskilt utformade för varje system.

25.1.4   Redovisning av systemspecifika säkerhetskrav

För alla system som hanterar EU-uppgifter med sekretessgraderna ►M2  CONFIDENTIEL UE ◄ och högre skall det krävas att en redovisning av systemspecifika säkerhetskrav utarbetas av ägaren till det tekniska systemet (TSO, se Avsnitt 25.3.4) och ägaren till uppgifterna (se Avsnitt 25.3.5), vid behov med indata och bistånd från projektpersonalen och ►M3  kommissionens direktorat för säkerhet ◄ (såsom myndigheten för informationssäkerhet -Infosec, se Avsnitt 25.3.3) samt med godkännande av ackrediteringsmyndigheten för säkerhet (SAA, se Avsnitt 25.3.2).

En redovisning av systemspecifika säkerhetskrav skall också krävas när ackrediteringsmyndigheten för säkerhet bedömer att tillgängligheten och okränkbarheten av EU-uppgifter med sekretessgraden ►M2  RESTREINT UE ◄ eller icke sekretessbelagda EU-uppgifter kan äventyras.

Redovisningen av systemspecifika säkerhetskrav skall utarbetas så snart som ett projekt inleds och utvecklas och förbättras allteftersom projektet fortskrider, så att den kan fullgöra olika uppgifter i olika skeden av projektet och av systemets livscykel.

25.1.5   Säkra driftsformer

Alla system som hanterar EU-uppgifter med sekretessgraden ►M2  CONFIDENTIEL UE ◄ och högre skall ackrediteras för drift i en eller, om detta är motiverat på grund av krav under olika tidsperioder, flera av följande säkra driftsformer eller deras nationella motsvarigheter:

25.2   Definitioner

Med ackreditering skall avses tillstånd och godkännande som beviljas ett system att bearbeta sekretessbelagda EU-uppgifter i systemets driftsmiljö.

Anmärkning:

Ackrediteringen bör göras efter det att alla relevanta säkerhetsförfaranden har införts och tillräckligt hög skyddsnivå för systemresurserna har uppnåtts. Ackrediteringen bör normalt göras på grundval av redovisningen av systemspecifika säkerhetskrav och omfatta följande:

Med säkerhetsansvarig för de centrala datasystemen (CISO) avses en tjänsteman inom en central IT-myndighet som samordnar och övervakar säkerhetsåtgärder inom centralt organiserade system.

Med certifiering avses utfärdande av ett formellt intyg, som stöds av en oberoende granskning av genomförandet och resultatet av en utvärdering, om i vilken utsträckning ett system uppfyller säkerhetskraven eller en datasäkerhetsprodukt uppfyller de på förhand fastställda säkerhetsmålen.

Med kommunikationssäkerhet avses tillämpning av säkerhetsåtgärder på telekommunikationer så att obehöriga personer inte skall kunna få fram värdefulla uppgifter ur innehav och studium av dessa telekommunikationer, eller så att telekommunikationernas autenticitet garanteras.

Anmärkning:

Sådana åtgärder omfattar krypterings-, överförings- och sändningssäkerhet och omfattar också säkerhet när det gäller förfaranden, fysiska egenskaper, personal och handlingar samt datasäkerhet.

Med datasäkerhet (COMPUSEC) avses tillämpning av säkerhetsegenskaper för maskinvara, fasta program och programvara i ett datasystem för att skydda mot, eller förhindra, obehörigt röjande och obehörig manipulation och ändring/radering av uppgifter eller funktionsförlust.

Med datasäkerhetsprodukt avses en generisk datasäkerhetsprodukt som är avsedd att införlivas med ett IT-system för att förbättra eller möjliggöra sekretess, okränkbarhet eller tillgänglighet för de uppgifter som hanteras.

Med driftsform för dedikerad säkerhet avses en driftsform där SAMTLIGA personer som har tillgång till systemet har behörighet för uppgifter med den högsta sekretessgrad som hanteras i systemet och för tjänsteutövningen har behov att få tillgång till ALLA uppgifter som hanteras i systemet.

Anmärkningar:

Med utvärdering avses en för uppgiften lämpad myndighets ingående tekniska undersökning av ett systems eller en krypterings- eller datasäkerhetsprodukts säkerhetsaspekter.

Anmärkningar:

Med ägaren till uppgifterna (IO) avses den myndighet (avdelningschef) som är ansvarig för att skapa, behandla och använda informationen, men även för att besluta om vem som skall ha tillträde till dessa uppgifter.

Med informationssäkerhet (INFOSEC) avses tillämpning av säkerhetsåtgärder för att skydda uppgifter som bearbetas, lagras eller överförs i kommunikations- och informationssystem och andra elektroniska system mot att sekretess, okränkbarhet eller tillgänglighet oavsiktligt eller avsiktligt går förlorade samt för att förhindra att själva systemens okränkbarhet och tillgänglighet går förlorade.

Informationssäkerhetsåtgärder omfattar säkerhetsåtgärder avseende datorer, överföring, sändning och kryptering samt upptäckt, dokumentering och motverkande av hot mot uppgifterna och systemen.

Med IT-utrymme avses ett utrymme som innehåller en eller flera datorer, deras lokala kringutrustning och lagringsenheter samt dedikerad nät- och kommunikationsutrustning.

Anmärkning:

Detta omfattar inte ett separat utrymme där kringutrustning eller terminaler/arbetsstationer är placerade även om dessa är sammankopplade med utrustning i IT-utrymmet.

Med IT-nät avses en geografiskt spridd organisation av sammankopplade IT-system för utväxling av data som omfattar de sammankopplade IT-systemens komponenter samt gränssnitt mellan dessa och de stödjande data- eller kommunikationsnäten.

Anmärkningar:

Ett IT-näts säkerhetsegenskaper omfattar säkerhetsegenskaperna hos de enskilda IT-system som ingår i nätet tillsammans med de ytterligare komponenter och egenskaper som hör ihop med själva nätet (t.ex. nätkommunikation, mekanismer och förfaranden för säkerhetsidentifikation och säkerhetsetiketter, åtkomstkontroller, program och identifikation) och som behövs för att hålla en godtagbar skyddsnivå för sekretessbelagda uppgifter.

Med IT-system avses utrustning, metoder och förfaranden och, om så krävs, personal, som samlats och organiserats i syfte att bearbeta uppgifter.

Anmärkningar:

Ett IT-systems säkerhetsegenskaper omfattar alla funktioner, karakteristika och egenskaper hos maskinvara/fasta program/programvara, vidare driftsmetoder, ansvarsförfaranden och åtkomstkontroller, IT-område, separata terminaler/arbetsstationer, hanteringskrav, fysisk struktur och fysiska anordningar, de kontroller av personal och kommunikationer som behövs för att uppnå en godtagbar skyddsnivå för sekretessbelagda uppgifter som skall hanteras i ett IT-system.

Med säkerhetsansvarig för de lokala datasystemen (LISO) avses en tjänsteman inom en avdelning inom kommissionen som är ansvarig för att samordna och övervaka säkerhetsåtgärder inom sitt område.

Med driftsform för flernivåsäkerhet avses en driftsform där SAMTLIGA personer som har tillgång till systemet INTE har behörighet för uppgifter med den högsta sekretessgraden som hanteras i systemet och där SAMTLIGA som har tillgång till systemet INTE har ett allmänt behov av tillgång de uppgifter som hanteras i systemet.

Anmärkningar:

Med separat utrymme med terminaler/arbetsstationer avses ett utrymme som är skilt från ett IT-utrymme och som innehåller viss datorutrustning, lokal kringutrustning eller terminaler/arbetsstationer och eventuell tillhörande kommunikationsutrustning.

Med säkra driftsmetoder avses de förfaranden som utarbetas av ägaren till de tekniska systemen och enligt vilka det fastställs vilka principer för säkerhetsfrågor som skall gälla, vilka driftsmetoder som skall användas samt personalens ansvar.

Med driftsform för högnivåsäkerhet avses en driftsform där SAMTLIGA personer som har tillgång till systemet har behörighet för uppgifter med den högsta sekretessgraden som hanteras i systemet, men där SAMTLIGA som har tillgång till systemet INTE har ett allmänt behov av tillgång till de uppgifter som hanteras i systemet.

Anmärkningar:

Med en redovisning av systemspecifika säkerhetskrav avses en uttömmande och tydlig redogörelse för de säkerhetsprinciper som skall iakttas och de säkerhetskrav som måste uppfyllas. Den skall bygga på kommissionens säkerhetsstrategi och riskbedömning, eller på parametrar som omfattar driftsmiljön, den lägsta nivån på säkerhetsprövningen av personal, den högsta sekretessgraden för de uppgifter som hanteras, den säkra driftsformen eller kraven på användare. Redovisningen av systemspecifika säkerhetskrav är en integrerad del av den projektdokumentation som skall lämnas till de relevanta myndigheterna för tekniska ändamål, budgetändamål och för godkännande av säkerheten. I sin slutliga utformning utgör redovisningen av systemspecifika säkerhetskrav en fullständig redovisning av vad det innebär att systemet är säkert.

Med ägaren till de tekniska systemen (TSO) avses den myndighet som är ansvarig för skapande, underhåll, drift och nedstängning av ett system.

Med Tempest-motåtgärder avses säkerhetsåtgärder som är avsedda att skydda utrustning och kommunikationsinfrastruktur mot att sekretessbelagda uppgifter röjs genom oavsiktlig elektromagnetisk strålning och genom konduktivitet.

25.3   Ansvar för säkerhet

25.3.1   Allmänt

I det rådgivande uppdrag som Kommissionens rådgivande kommitté för säkerhetsfrågor har och som definieras i Avsnitt 12 ingår också frågor om informationssäkerhet. Denna kommitté skall organisera sitt arbete så att den kan avge expertutlåtanden i dessa frågor.

►M3  Kommissionens direktorat för säkerhet ◄ skall ha ansvar för att utfärda detaljerade bestämmelser för informationssäkerhet, baserade på bestämmelserna i detta kapitel.

Om det uppstår problem när det gäller säkerheten (incidenter, överträdelser osv.) skall ►M3  kommissionens direktorat för säkerhet ◄ omedelbart vidta åtgärder.

►M3  Kommissionens direktorat för säkerhet ◄ skall ha en enhet för informationssäkerhet.

25.3.2   Ackrediteringsmyndigheten för säkerhet (SAA)

►M3  Direktören för kommissionens direktorat för säkerhet ◄ skall vara ackrediteringsmyndighet för säkerhet (SAA) för kommissionen. Ackrediteringsmyndigheten för säkerhet skall ha det allmänna ansvaret för säkerhet samt på de specialiserade områdena informationssäkerhet, krypteringssäkerhet och Tempest-säkerhet.

Ackrediteringsmyndigheten för säkerhet skall ansvara för att systemen överensstämmer med kommissionens säkerhetsstrategi. En av dess uppgifter skall vara att godkänna system för hantering i driftsmiljön av sekretessbelagda EU-uppgifter upp till en fastställd sekretessgrad.

Behörigheten för ackrediteringsmyndigheten för säkerhet vid kommissionen skall omfatta alla system som är i drift i kommissionens byggnader. Om en del komponenter i ett system omfattas av behörigheten för ackrediteringsmyndigheten för säkerhet vid kommissionen och andra komponenter omfattas av behörigheten för andra ackrediteringsmyndigheter för säkerhet, får alla berörda parter gemensamt utse en ackrediteringsstyrelse som skall samordnas av ackrediteringsmyndigheten för säkerhet vid kommissionen.

25.3.3   INFOSEC-myndigheten

Chefen för enheten för informationssäkerhet vid kommissionens säkerhetstjänst är kommissionens INFOSEC-myndighet. INFOSEC-myndigheten skall

25.3.4   Ägaren till de tekniska systemen (TSO)

Ansvaret för införande och tillämpning av kontroller och särskilda säkerhetsegenskaper i ett system vilar på ägaren till det systemet, dvs ägaren till de tekniska systemen (TSO). För centralt ägda system skall en säkerhetsansvarig för de centrala datasystemen (CISO) utses. Om så är nödvändigt skall varje avdelning utse en säkerhetsansvarig för de lokala datasystemen (LISO). I TSO:s ansvar ingår att skapa säkra driftsmetoder och detta ansvar löper genom ett systems hela livscykel, från dess tillblivelse fram till dess avskaffande.

Ägaren till de tekniska systemen skall specificera vilka säkerhetsnormer och säkerhetsrutiner som systemets leverantör skall följa.

Ägaren till de tekniska systemen får när så är lämpligt delegera en del av sitt ansvar till den säkerhetsansvarige för de lokala datasystemen. En och samma person kan ha flera funktioner i fråga om informationssäkerhet.

25.3.5   Ägaren till uppgifterna (IO)

Ägaren till uppgifterna (IO) skall ansvara för sekretessbelagda EU-uppgifter (och andra uppgifter) som skall föras in, behandlas och produceras i tekniska system. Han skall definiera behörighetskraven till dessa uppgifter i systemen. Han kan delegera detta ansvar till en datachef eller en databaschef inom sitt område.

25.3.6   Användare

Alla användare skall ansvara för att deras handlingar inte inverkar negativt på säkerheten i det system de använder.

25.3.7   INFOSEC-utbildning

INFOSEC-utbildning och -fortbildning skall finnas tillgänglig för all personal som behöver detta.

25.4   Icke-tekniska säkerhetsåtgärder

25.4.1   Säkerhetsprövning av personalen

Användarna av systemet skall genomgå säkerhetsprövning och ha behov av uppgifter av den sekretessgrad och med det innehåll som hanteras i deras särskilda system. Tillgång till viss utrustning eller information som är specifik för systemens säkerhet kommer att kräva särskild behörighet som skall utfärdas i enlighet med kommissionens förfaranden.

Ackrediteringsmyndigheten för säkerhet skall ange alla känsliga befattningar och specificera vilken säkerhetsprövning och övervakning som krävs för all personal som innehar dem.

Systemen skall specificeras och utformas så att fördelningen av uppgifter och ansvar till personalen underlättas för att förhindra att en person har fullständig kännedom om eller kontroll över de viktiga punkterna i systemets säkerhet.

I IT-utrymmen och separata utrymmen med terminaler/arbetsstationer där systemets säkerhet kan ändras måste mer än en behörig tjänsteman/annan anställd samtidigt vara på plats.

Ändringar av säkerhetsinställningarna inom ett system skall göras av minst två behöriga medlemmar av personalen som arbetar tillsammans.

25.4.2   Fysisk säkerhet

IT-utrymmen och separata utrymmen med terminaler/arbetsstationer (enligt definitionerna i Avsnitt 25.2) där EU-uppgifter med sekretessgraden ►M2  CONFIDENTIEL UE ◄ och högre hanteras med hjälp av informationsteknik eller där åtkomst till sådana uppgifter är möjlig, skall efter omständigheterna fastställas som EU-säkerhetsutrymme av antingen klass I eller klass II.

25.4.3   Kontroll av åtkomsten till ett system

All information och materiel som möjliggör kontroll av åtkomst till ett system skall skyddas genom åtgärder som motsvarar den högsta sekretessgraden och kategoribeteckningen för de uppgifter som den kan ge tillgång till.

När information och materiel för kontroll av åtkomst inte längre används för detta ändamål skall den förstöras i enlighet med Avsnitt 25.5.4.

25.5   Tekniska säkerhetsåtgärder

25.5.1   Informationssäkerhet

Det skall åligga upphovsmannen till uppgifterna att identifiera och sekretessbelägga alla informationsbärande handlingar, oavsett om de är i form av papperskopior eller lagringsmedier för datorer. På papperskopior skall sekretessgraden anges upptill och nertill på varje sida. Utdata i form av antingen papperskopior eller lagringsmedier för datorer skall ha den sekretessgrad som motsvarar den högsta sekretessgraden för de uppgifter som har använts för att framställa dem. Ett systems driftsform kan också inverka på sekretessgraden för utdata i systemet.

Det skall åligga kommissionen och de personer inom denna som innehar information att bedöma problemen i samband med aggregering av enskilda uppgifter och de slutsatser som kan dras av sammanhörande delar, och utifrån detta avgöra om den samlade informationen bör ges en högre sekretessgrad eller inte.

Det faktum att uppgifter kan föreligga i kortkod, överföringskod eller någon form av binär representation ger inte något säkerhetsskydd och bör därför inte påverka uppgifternas sekretessgrad.

När uppgifter överförs från ett system till ett annat skall uppgifterna skyddas under överföringen och i det mottagande systemet på ett sätt som motsvarar den ursprungliga sekretessgraden och uppgiftskategorin.

Alla lagringsmedier för datorer skall hanteras på ett sätt som motsvarar de lagrade uppgifternas högsta sekretessgrad eller medieetiketten, och de skall alltid skyddas på tillfredsställande sätt.

Återanvändningsbara lagringsmedier för datorer som används för sekretessbelagda EU-uppgifter skall behålla den högsta sekretessgrad för vilken de använts till dess att uppgifterna på korrekt sätt har inplacerats i lägre sekretessgrad eller sekretessen har hävts och mediernas sekretessgrad har ändrats i enlighet med detta, deras sekretess har hävts eller de har förstörts genom en metod som godkänts av ackrediteringsmyndigheten för säkerhet (se 25.5.4).

25.5.2   Kontroll av uppgifter och uppgifternas spårbarhet

Automatiska (identifikation) eller manuella loggar/diarier skall föras över tillgång till EU-uppgifter med sekretessgraderna ►M2  SECRET UE ◄ och högre. Dessa register skall bevaras i enlighet med de här säkerhetsbestämmelserna.

Sekretessbelagda EU-utdata som förvaras inom IT-utrymmet får hanteras som ett enda sekretessbelagt material och behöver inte registreras, under förutsättning att materialet är identifierat, märkt med sekretessgrad och kontrollerat på lämpligt sätt.

När utdata genereras från ett system som hanterar sekretessbelagda EU-uppgifter och från ett IT-utrymme överförs till ett separat utrymme med terminaler/arbetsstationer, skall förfaranden som godkänts av ackrediteringsmyndigheten för säkerhet fastställas för kontroll och registrering av utdata. För EU-uppgifter med sekretessgraden ►M2  SECRET UE ◄ och högre skall sådana förfaranden omfatta särskilda anvisningar för uppgifternas spårbarhet.

25.5.3   Hantering och kontroll av flyttbara lagringsmedier för datorer

Alla flyttbara lagringsmedier för datorer med sekretessgraden ►M2  CONFIDENTIEL UE ◄ och högre skall hanteras som materiel och allmänna bestämmelser skall tillämpas. Identifikation och sekretessgrad skall anges på lämpligt sätt med hänsyn till mediets särskilda fysiska utseende så att det tydligt kan kännas igen.

Användarna skall ansvara för att se till att sekretessbelagda EU-uppgifter lagras på medier som på lämpligt sätt märks med sekretessgrad och skyddas. Förfaranden skall fastställas för att se till att lagring av alla nivåer av EU-uppgifter på lagringsmedier för datorer görs i enlighet med de här säkerhetsbestämmelserna.

25.5.4   Hävande av sekretess och förstöring av lagringsmedier för datorer

Lagringsmedier för datorer som använts för registrering av sekretessbelagda EU-uppgifter får inplaceras i lägre sekretessgrad eller kan få sekretessen hävd om ett förfarande som godkänts av ackrediteringsmyndigheten används.

Lagringsmedier för datorer som har innehållit EU-uppgifter med sekretessgraden ►M2  TRES SECRET UE/EU TOP SECRET ◄ eller uppgifter av en särskild kategori kan inte få sekretessen hävd och återanvändas.

Om sekretessen inte kan hävas för lagringsmedier för datorer eller de inte är återanvändningsbara, skall de förstöras enligt ovannämnda förfarande.

25.5.5   Kommunikationssäkerhet

►M3  Direktören för kommissionens direktorat för säkerhet skall utgöra krypteringsmyndigheten. ◄

När sekretessbelagda EU-uppgifter överförs på elektromagnetisk väg skall särskilda åtgärder vidtas för att skydda dessa överföringars sekretess, okränkbarhet och tillgänglighet. Ackrediteringsmyndigheten för säkerhet skall fastställa kraven för att skydda överföringarna från upptäckt och avlyssning. De uppgifter som överförs i ett kommunikationssystem skall skyddas på grundval av kraven på sekretess, okränkbarhet och tillgänglighet.

Om det krävs krypteringsmetoder för att skydda sekretessen, okränkbarheten och tillgängligheten skall sådana metoder eller tillhörande produkter särskilt godkännas för detta ändamål av ackrediteringsmyndigheten för säkerhet i dess egenskap av krypteringsmyndighet.

Sekretessen för EU-uppgifter med sekretessgraden ►M2  SECRET UE ◄ och högre skall under överföringen skyddas genom krypteringsmetoder eller krypteringsprodukter som har godkänts av den ledamot av kommissionen som har ansvar för säkerhetsfrågor, efter samråd med Kommissionens rådgivande kommitté för säkerhetsfrågor. Sekretessen för EU-uppgifter med sekretessgraden ►M2  CONFIDENTIEL UE ◄ och högre skall under överföringen skyddas genom krypteringsmetoder eller krypteringsprodukter som har godkänts av kommissionens krypteringsmyndighet, efter samråd med Kommissionens rådgivande kommitté för säkerhetsfrågor.

Närmare föreskrifter för överföring av sekretessbelagda EU-uppgifter skall anges i särskilda säkerhetsanvisningar som har godkänts av ►M3  kommissionens direktorat för säkerhet ◄ , efter samråd med Kommissionens rådgivande kommitté för säkerhetsfrågor.

Under exceptionella operativa omständigheter får EU-uppgifter med sekretessgraderna ►M2  RESTREINT UE ◄ , ►M2  CONFIDENTIEL UE ◄ och ►M2  SECRET UE ◄ överföras i klartext under förutsättning att varje tillfälle är uttryckligen godkänt och registrerat i vederbörlig ordning av ägaren till uppgifterna. Sådana exceptionella omständigheter är följande:

Ett system skall ha förmåga att uttryckligen vägra tillgång till sekretessbelagda EU-uppgifter vid någon eller alla av dess separata arbetsstationer eller terminaler när detta krävs, antingen genom fysisk frånkoppling eller genom särskilda egenskaper hos programvaran som har godkänts av ackrediteringsmyndigheten för säkerhet.

25.5.6   Installations- och strålningssäkerhet

Den första installationen av systemen och eventuella större ändringar av dem skall utföras av installatörer som har genomgått säkerhetsprövning och som står under ständig övervakning av tekniskt kunnig personal som har behörighet för tillgång till sekretessbelagda EU-uppgifter upp till den nivå som motsvarar den högsta sekretessgraden för de uppgifter som systemet förväntas lagra och hantera.

System i vilka EU-uppgifter med sekretessgraden ►M2  CONFIDENTIEL UE ◄ och högre hanteras skall skyddas så att deras säkerhet inte kan hotas av sådan komprometterande strålning vars studium och kontroll betecknas ”Tempest”.

Tempest-motåtgärderna skall ses över och godkännas av Tempest-myndigheten (se 25.3.2).

25.6   Säkerhet under hantering

25.6.1   Säkra driftsmetoder (SecOPs)

I de säkra driftsmetoderna (SecOPs) fastställs principerna för säkerhetsfrågor, vilka driftsmetoder som skall användas samt personalens ansvar. Ägaren till de tekniska systemen (TSO) skall ansvara för utarbetandet av säkra driftsmetoder.

25.6.2   Skydd för programvara/konfigureringshantering

Säkerhetsskyddet för tillämpningsprogram skall fastställas på grundval av en bedömning av själva programmets sekretessgrad snarare än på grundval av sekretessgraden av de uppgifter som det skall bearbeta. De programvaruversioner som används skall kontrolleras med regelbundna mellanrum för att säkerställa deras okränkbarhet och konstatera att de fungerar korrekt.

Nya eller ändrade versioner av programvara skall inte användas för att hantering av sekretessbelagda EU-uppgifter förrän de har kontrollerats av ägaren till systemen.

25.6.3   Kontroll av förekomst av skadliga programvaru- eller datavirus

Kontroll av förekomst av skadliga programvaru- eller datavirus skall utföras regelbundet i enlighet med kraven från ackrediteringsmyndigheten för säkerhet.

Alla lagringsmedier för datorer som kommer till kommissionens skall kontrolleras med avseende på eventuella skadliga programvaru- eller datavirus innan de börjar användas i ett system.

25.6.4   Underhåll

Kontrakt och metoder för regelbundet underhåll och jourunderhåll av system, för vilka en redovisning av systemspecifika säkerhetskrav har utarbetats, skall innehålla krav och arrangemang för den underhållspersonal och deras utrustning som kommer in i ett IT-utrymme.

Kraven skall klart anges i redovisningen av systemspecifika säkerhetskrav och metoderna skall klart anges i de säkra driftsmetoderna. Kontrakterat underhåll som kräver diagnosmetoder med åtkomst på avstånd skall endast tillåtas i undantagsfall, under strikt säkerhetskontroll, och endast med godkännande från ackrediteringsmyndigheten för säkerhet.

25.7   Upphandling

25.7.1   Allmänt

Alla säkerhetsprodukter som skall användas i systemet och som skall upphandlas skall antingen ha utvärderats och certifierats eller hålla på att utvärderas och certifieras av ett lämpligt utvärderings- eller certifieringsorgan i någon av EU:s medlemsstater på grundval av internationellt erkända kriterier (t.ex. de gemensamma kriterierna för utvärdering av informationsteknisk säkerhet, ISO 15408). Särskilda förfaranden krävs för att få godkännande från kommissionens rådgivande kommitté för upphandling och kontrakt (ACPC).

I samband med beslut om huruvida utrustning, särskilt lagringsmedier för datorer, bör hyras i stället för köpas är det viktigt att beakta att sådan utrustning, när den har använts för att hantera sekretessbelagda EU-uppgifter, inte kan släppas utanför en tillräckligt säker miljö utan att ackrediteringsmyndigheten för säkerhet först har gett tillstånd till att sekretessen hävs, samt att ett sådant tillstånd kanske inte alltid kan erhållas.

25.7.2   Ackreditering

Alla system för vilka en redovisning av systemspecifika säkerhetskrav skall utarbetas innan sekretessbelagda EU-uppgifter hanteras, skall ackrediteras av ackrediteringsmyndigheten för säkerhet på grundval av information i redovisningen av systemspecifika säkerhetskrav, säkra driftsmetoder och annan relevant dokumentation. Undersystem och separata terminaler/arbetsstationer skall ackrediteras som en del av alla de system som de är kopplade till. Om ett system utnyttjas av såväl kommissionen som andra organisationer skall kommissionen och de relevanta säkerhetsmyndigheterna inbördes komma överens om ackrediteringen.

Ackrediteringsförfarandet kan utföras i enlighet med en ackrediteringsstrategi som är lämpad för det särskilda systemet och fastställd av ackrediteringsmyndigheten för säkerhet.

25.7.3   Utvärdering och certifiering

Före ackrediteringen skall det i vissa fall utvärderas och certifieras att säkerhetsegenskaperna hos maskinvara, fasta program och programvara i ett system har förmåga att skydda uppgifter på den avsedda sekretessnivån.

Kraven för utvärdering och certifiering skall ingå i systemplaneringen och vara tydligt angivna i redovisningen av systemspecifika säkerhetskrav.

Utvärderings- och certifieringsförfarandena skall utföras i enlighet med godkända riktlinjer av personal som är tekniskt kunnig, har genomgått lämplig säkerhetsprövning och agerar för ägaren till de tekniska systemen.

Grupperna kan komma från en utsedd medlemsstats utvärderings- eller certifieringsmyndighet eller deras utsedda företrädare, t.ex. en kompetent leverantör som genomgått säkerhetsprövning.

Utvärderings- och certifieringsförfarandena kan vara mindre omfattande (t.ex. endast omfatta integreringsaspekter) om systemen bygger på befintliga nationellt utvärderade och certifierade datasäkerhetsprodukter.

25.7.4   Rutinkontroll av säkerhetsegenskaper för fortsatt ackreditering

Ägaren till de tekniska systemen skall fastställa förfaranden för rutinkontroll för att säkerställa att systemets alla säkerhetsegenskaper är fortsatt giltiga.

De typer av förändringar som föranleder ny ackreditering eller som kräver förhandstillstånd från ackrediteringsmyndigheten för säkerhet skall klart fastställas och anges i redovisningen av systemspecifika säkerhetskrav. Efter varje ändring, reparation eller fel som kan ha påverkat systemets säkerhetsegenskaper skall ägaren till de tekniska systemen se till att en kontroll utförs för att säkerställa att säkerhetsegenskaperna fungerar korrekt. Fortsatt ackreditering av systemet skall normalt vara avhängig av att dessa kontroller har genomförts med tillfredsställande resultat.

Alla system där säkerhetsegenskaper har införts skall regelbundet inspekteras eller granskas av ackrediteringsmyndigheten för säkerhet. För system i vilka EU-uppgifter med sekretessgraden ►M2  TRES SECRET UE/EU TOP SECRET ◄ hanteras skall inspektionerna genomföras minst en gång per år.

25.8   Tillfällig eller sporadisk användning

25.8.1   Säkerhet för mikrodatorer/persondatorer

Mikrodatorer/persondatorer med fasta skivminnen (eller andra beständiga lagringsmedier) som fungerar antingen fristående eller som nätfigurationer samt bärbar datorutrustning (t.ex. bärbara persondatorer och andra bärbara datorer) med fasta hårddiskar skall betraktas som informationslagringsmedier i samma mening som disketter eller andra flyttbara lagringsmedier för datorer.

Denna utrustning skall ges den skyddsnivå i fråga om åtkomst, hantering, lagring och transport som motsvarar den högsta sekretessgraden för de uppgifter som vid något tillfälle lagras och bearbetas (till dess att den inplaceras i lägre sekretessgrad eller sekretessen hävs genom godkända förfaranden).

25.8.2   Användning av privat IT-utrustning för officiellt arbete vid kommissionen

Det skall vara förbjudet att använda privatägda flyttbara lagringsmedier för datorer och privatägd programvara och maskinvara (t.ex. persondatorer och bärbara datorer) för att hantera sekretessbelagda EU-uppgifter.

Privatägd maskinvara, programvara och media får inte införas till något klass 1- eller klass 2-område där sekretessbelagda EU-uppgifter hanteras, såvida det inte finns skriftligt tillstånd från ►M3  direktören för kommissionens direktorat för säkerhet ◄ . Ett sådant tillstånd kan endast ges av tekniska skäl i undantagsfall.

25.8.3   Användning av IT-utrustning som ägs av en entreprenör eller har tillhandahållits nationellt för officiellt arbete vid kommissionen

►M3  Direktören för kommissionens direktorat för säkerhet ◄ kan tillåta användning av IT-utrustning och programvara som ägs av en entreprenör i organisationer som stödjer kommissionens arbete. Även användandet av IT-utrustning och programvara som tillhandahållits nationellt kan tillåtas; i detta fall skall IT-utrustningen sättas upp på inventarieförteckningen som hålls vid generalsekretariatet. Om IT-utrustningen skall användas för att hantera sekretessbelagda EU-uppgifter skall i båda fallen ackrediteringsmyndigheten för säkerhet konsulteras så att de inslag i informationssäkerheten som är tillämpliga på användningen av denna utrustning beaktas och genomförs på korrekt sätt.

26.   UTLÄMNANDE AV SEKTRETESSBELAGDA EU–UPPGIFTER TILL TREDJELAND ELLER INTERNATIONELLA ORGANISATIONER

26.1.1   Principer för utlämnande av sekretessbelagda EU-uppgifter

Kommissionen skall som kollegium besluta om utlämnande av sekretessbelagda EU-uppgifter till tredje land eller internationella organisationer på grundval av

Den medlemsstat som är upphovsman till de sekretessbelagda EU-uppgifter som skall lämnas ut skall tillfrågas om sitt samtycke.

Dessa beslut skall fattas från fall till fall och vara avhängiga av

Om tredje land eller internationella organisationer godtar sekretessbelagda EU-uppgifter skall detta innebära en garanti för att uppgifterna inte kommer att användas för andra syften än dem som var anledningen till att uppgifterna lämnades ut eller utväxlades, och en garanti för att det skydd som kommissionen kräver kommer att tillhandahållas.

26.1.2   Nivåer

När kommissionen har beslutat att sekretessbelagda uppgifter får lämnas ut eller utväxlas med en given stat eller internationell organisation, skall den besluta om vilken samarbetsnivå som är möjlig. Detta skall i synnerhet vara avhängigt av den säkerhetspolitik och de säkerhetsbestämmelser som den staten eller organisationen tillämpar.

Följande tre samarbetsnivåer är möjliga:

26.1.3   Säkerhetsavtal

När kommissionen har beslutat att det föreligger ett ständigt eller långsiktigt behov av att utväxla sekretessbelagda uppgifter mellan kommissionen och tredje land eller andra internationella organisationer, skall den utforma avtal om säkerhetsförfaranden för utväxling av sekretessbelagda uppgifter med dem och i dessa skall syftet med samarbetet samt de ömsesidiga bestämmelserna om skyddet av de uppgifter som utväxlas fastställas.

När det gäller nivå 3 om tillfälligt samarbete som per definition är begränsat i tiden och till syftet, får avtalet om säkerhetsförfaranden för utväxling av sekretessbelagda uppgifter ersättas av ett enkelt samförståndsavtal i vilket det fastställs vilken typ av sekretessbelagda uppgifter som skall utväxlas samt de ömsesidiga skyldigheterna beträffande dessa uppgifter, under förutsättning att de har sekretessgraden ►M2  RESTREINT UE ◄ eller lägre.

Utkast till avtal om säkerhetsförfaranden eller samförståndsavtal skall diskuteras inom kommissionens rådgivande säkerhetskommitté innan de läggs fram för kommissionen för beslut.

Den ledamot av kommissionen som ansvarar för säkerhetsfrågor skall begära allt nödvändigt stöd från medlemsstatens nationella säkerhetsmyndigheter för att säkerställa att de uppgifter som skall lämnas ut används och skyddas i enlighet med bestämmelserna i avtalen om säkerhetsförfaranden eller samförståndsavtalen.

▼M4

27.   GEMENSAMMA MINIMINORMER FÖR INDUSTRISÄKERHET

27.1   Inledning

I detta avsnitt behandlas säkerhetsskyddsaspekter av företagsverksamhet som endast gäller för förhandling om och tilldelning av kontrakt där arbetsuppgifter som innebär, medför eller innehåller sekretessbelagda EU-uppgifter överlåts till och utförs av företag eller andra enheter, inbegripet utlämnande av eller tillgång till sekretessbelagda EU-uppgifter under det offentliga upphandlingsförfarandet (anbudsperiod och förhandlingar innan kontrakt ingås).

27.2   Definitioner

Vid tillämpningen av dessa gemensamma miniminormer avses med:

a)	sekretessbelagt kontrakt : varje kontrakt eller bidragsöverenskommelse avseende leverans av varor, utförande av arbete eller tillhandahållande av byggnader eller tjänster där genomförandet kräver eller innebär tillgång till eller framställning av sekretessbelagda EU-uppgifter.

b)

sekretessbelagt underleverantörskontrakt : ett kontrakt som ingås av en leverantör med en annan leverantör (dvs. underleverantör) om leverans av varor, utförande av arbete eller tillhandahållande av byggnader eller tjänster där genomförandet kräver eller innebär tillgång till eller framställande av sekretessbelagda EU-uppgifter.

c)	leverantör : en fysisk eller juridisk person som har rättskapacitet att ingå kontrakt eller ta emot bidrag.

d)

verkställande säkerhetsmyndighet (VSM) : en myndighet som är ansvarig inför en EU-medlemsstats nationella säkerhetsmyndighet (NSM) och som ansvarar för att informera företag eller andra enheter om den nationella politiken i alla frågor rörande säkerhetsskydd och för att ge ledning och bistånd vid dess genomförande. Den verkställande säkerhetsmyndighetens verksamhet får utföras av den nationella säkerhetsmyndigheten.

e)

intyg om säkerhetsgodkännande av verksamhetsställe : ett av en NSM/VSM utfärdat administrativt beslut för att en verksamhet kan ge lämpligt säkerhetsskydd för sekretessbelagda EU-uppgifter med en specificerad sekretessgrad, och för att den personal i verksamheten som behöver tillgång till sekretessbelagda EU-uppgifter har säkerhetsprövats på lämpligt sätt och informerats om de säkerhetsskyddskrav som gäller för att få tillgång till och skydda sekretessbelagda EU-uppgifter.

f)	företag eller annan enhet : en enhet som är verksam med att leverera varor, utföra arbeten eller tillhandahålla tjänster; detta får inbegripa industriella och kommersiella enheter och enheter inom sektorerna för tjänster, vetenskap, forskning, utbildning eller utveckling.

g)	säkerhetsskydd vid företag : tillämpningen av säkerhetsskyddsåtgärder och förfaranden för att förhindra, upptäcka och avhjälpa förlust av eller skada på sekretessbelagda EU-uppgifter som handhas av en leverantör eller underleverantör vid kontraktsförhandlingarna eller under kontraktstiden.

h)	nationell säkerhetsmyndighet (NSM) : den statliga myndighet i en EU-medlemsstat som har det yttersta ansvaret för skyddet av sekretessbelagda EU-uppgifter.

i)

övergripande sekretessgrad för ett kontrakt : fastställande av sekretessgraden för hela kontraktet på grundval av klassningen av den information eller det material som skall eller kan komma att framställas, lämnas ut eller ges tillgång till inom varje del av kontraktet i sin helhet. Den övergripande sekretessgraden för ett kontrakt får inte vara lägre än den högsta klassningen av någon av dess delar, men kan bli högre på grund av helheten.

j)

dokument om säkerhetsskydd (säkerhetsskyddsplan, SAL) : en uppsättning särskilda kontraktsvillkor som utfärdas av upphandlingsmyndigheten och som utgör en integrerad del av ett sekretessbelagt kontrakt som innebär tillgång till eller framställande av sekretessbelagda EU-uppgifter och i vilken säkerhetsskyddskraven eller de delar av kontraktet som kräver säkerhetsskydd fastställs.

k)

klassningsmanual : ett dokument som beskriver de delar av ett program eller kontrakt som är sekretessbelagda och fastställer de tillämpliga sekretessgraderna. Klassningsmanual kan utvidgas under hela program- eller kontraktstiden, och delar av informationen kan omklassas eller ges en lägre sekretessgrad. Klassningsmanual skall utgöra en del av säkerhetsskyddsplanen.

27.3   Organisation

27.4   Sekretessbelagda kontrakt och beslut om bidrag

27.5   Besök

Besök av personal från kommissionen hos företag eller andra enheter i medlemsstaterna som fullgör sekretessbelagda EU-kontrakt skall arrangeras med den berörda NSM eller VSM. Besök av anställda vid företag eller andra enheter inom ramen för sekretessbelagda EU-kontrakt skall arrangeras mellan de berörda NSM eller VSM. De NSM eller VSM som är inbegripna i ett sekretessbelagt EU-kontrakt får dock enas om ett förfarande genom vilket besök av anställda vid företag eller andra enheter kan arrangeras direkt.

27.6   Överlämnande och transport av sekretessbelagda EU-uppgifter

▼M2

---

Tillägg 1

▼M1

---

Tillägg 2

PRAKTISK HANDLEDNING FÖR SÄKERHETSKLASSNING

Denna handledning är vägledande och får inte tolkas på så sätt att den innebär ändringar av de väsentliga bestämmelserna i avsnitt 16, 17, 20 och 21.

---

Tillägg 3

Handledning för utlämnande av sekretessbelagda EU–uppgifter till tredje land eller internationella organisationer: Samarbete på nivå 1

RUTINER

SÄKERHETSBESTÄMMELSER SOM SKALL TILLÄMPAS AV MOTTAGARNA

7.   Personal

8.   Vidarebefordran av handlingar

9.   Registrering

Så snart ett register mottar en EU-handling med sekretessgraden ►M2  CONFIDENTIEL UE ◄ eller högre skall det diarieföra den inkomna handlingen i ett diarium som innehåller spalter för datum för mottagande, uppgifter om dokumentet (datum, referens- och kopienummer), dess sekretessgrad, titel, mottagarens namn eller titel, datum för återlämnande av kvitto och det datum då handlingen återsänds till upphovsmannen inom EU eller förstörs.

10.   Förstöring

11.   Skydd av handlingar

Alla åtgärder skall vidtas för att hindra obehöriga från att få tillgång till sekretessbelagd EU-information.

12.   Kopior, översättningar och utdrag

Handlingar med sekretessgraderna ►M2  CONFIDENTIEL UE ◄ och ►M2  SECRET UE ◄ får inte kopieras eller översättas och inga utdrag för göras utan medgivande från chefen för den berörda säkerhetsorganisationen, som skall registrera och kontrollera dessa kopior, översättningar och utdrag samt, om så behövs, anbringa stämpel.

Kopiering eller översättning av en handling med sekretessgraden ►M2  TRES SECRET UE/EU TOP SECRET ◄ får beviljas endast av den myndighet som upprättat handlingen, vilken skall ange hur många kopior som får göras. Om det inte kan fastställas vilken myndighet som upprättat handlingen skall begäran riktas till ►M3  kommissionens direktorat för säkerhet ◄ .

13.   Sekretessbrott

Om sekretessbrott vad gäller sekretessbelagda EU-handlingar har skett eller misstänks skall följande åtgärder genast vidtas i enlighet med det ingångna säkerhetsavtalet:

14.   Inspektioner

►M3  kommissionens direktorat för säkerhet ◄ skall genom avtal med berörda stater eller internationella organisationer ha behörighet att göra en bedömning av åtgärdernas effektivitet för att skydda de sekretessbelagda EU-uppgifter som lämnats ut.

15.   Rapportering

I enlighet med ingånget säkerhetsavtal skall den stat eller internationella organisation som fått tillgång till sekretessbelagda EU-uppgifter årligen vid en tidpunkt som fastställdes när tillståndet att lämna ut informationen gavs överlämna en rapport i vilken det bekräftas att de här säkerhetsbestämmelserna efterlevts.

---

Tillägg 4

Handledning för utlämnande av sekretessbelagda EU–uppgifter till tredje land eller internationella organisationer: Samarbete på nivå 2

RUTINER

SÄKERHETSBESTÄMMELSER SOM SKALL TILLÄMPAS AV MOTTAGARNA

10.   Personal

11.   Vidarebefordran av handlingar

De praktiska rutinerna för vidarebefordran av handlingar skall fastställas genom avtal. I avvaktan på att sådana avtal ingås gäller bestämmelserna i Avsnitt 21. I avtalet skall särskilt anges de register till vilka sekretessbelagda EU-uppgifter skall sändas och de exakta adresser till vilka handlingarna skall sändas samt vilket bud- eller kurirföretag som anlitas för att befordra den sekretessbelagda EU-informationen.

12.   Diarieföring vid ankomsten

Den mottagande statens nationella säkerhetsmyndighet eller det motsvarande organ i den staten som på sin regerings vägnar tar emot sekretessbelagd information som vidarebefordrats av kommissionen, eller säkerhetsavdelningen vid den mottagande internationella organisationen, skall upprätta ett särskilt register för att diarieföra sekretessbelagd information från EU efter hand som denna mottas. Registret skall ha kolumner för mottagningsdatum, särskilda uppgifter rörande handlingen (datum, referensnummer och antalet exemplar), sekretessgrad, titel, mottagarens namn eller titel, datum för mottagningsbevisets returnering samt datum för handlingens returnering till EU alternativt för dess förstörande.

13.   Returnering av handlingar

När mottagaren returnerar en sekretessbelagd handling till kommissionen skall det förfarande tillämpas som anges i punkten ”Vidarebefordran av handlingar” ovan.

14.   Skydd

15.   Fysisk säkerhet

16.   Sekretessbrott

Om ett sekretessbrott har förekommit eller misstänks ha förekommit i fråga om sekretessbelagda EU-handlingar skall följande åtgärder genast vidtas:

17.   Inspektioner

►M3  Kommissionens direktorat för säkerhet ◄ skall genom avtal med berörda stater eller internationella organisationer ha behörighet att göra en bedömning av åtgärdernas effektivitet för att skydda de sekretessbelagda EU-uppgifter som lämnats ut.

18.   Rapportering

I enlighet med ingånget säkerhetsavtal skall den stat eller internationella organisation som fått tillgång till sekretessbelagda EU-uppgifter årligen vid en tidpunkt som fastställdes när tillståndet att lämna ut informationen gavs överlämna en rapport i vilken det bekräftas att de här säkerhetsbestämmelserna efterlevts.

---

Tillägg 5

Handledning för utlämnande av sekretessbelagda EU–uppgifter till tredje land eller internationella organisationer: Samarbete på nivå 3

RUTINER

I princip är rätten begränsad till information med sekretessgrad upp till och med ►M2  SECRET UE ◄ ; den omfattar inte sekretessbelagda uppgifter som skyddas av särskilda säkerhetsbeteckningar eller markeringar.

Närhelst förutsättningarna för samarbete ändras skall kommissionen ompröva frågan.

SÄKERHETSBESTÄMMELSER SOM SKALL TILLÄMPAS AV MOTTAGARNA

13.   Vidarebefordran av handlingar

14.   Diarieföring vid ankomsten

Den mottagande statens nationella säkerhetsmyndighet eller det motsvarande organ i den staten som på sin regerings vägnar tar emot sekretessbelagda uppgifter som vidarebefordrats av kommissionen, eller säkerhetsavdelningen vid den mottagande internationella organisationen, skall upprätta ett särskilt register för att diarieföra sekretessbelagda EU-uppgifter efter hand som dessa mottas. Registret skall ha kolumner för mottagningsdatum, särskilda uppgifter rörande handlingen (datum, referensnummer och antalet exemplar), sekretessgrad, titel, mottagarens namn eller titel, datum för mottagningsbevisets returnering samt datum för handlingens returnering till EU alternativt för dess förstörande.

15.   Användning och skydd av sekretessbelagda uppgifter som lämnats ut

16.   Förstöring

Handlingar som inte längre behövs skall förstöras. I fråga om handlingar med sekretessgraderna ►M2  RESTREINT UE ◄ och ►M2  CONFIDENTIEL UE ◄ skall detta noteras i de särskilda registren. I fråga om handlingar med sekretessgraden ►M2  SECRET UE ◄ skall ett intyg utfärdas och undertecknas av två personer som bevittnat förstöringen av handlingen.

17.   Sekretessbrott

Om uppgifter med sekretessgraden ►M2  CONFIDENTIEL UE ◄ eller ►M2  SECRET UE ◄ kommit ut eller om det finns misstanke om att så skett skall den nationella säkerhetsmyndigheten i den berörda staten eller säkerhetschefen i den berörda organisationen utreda omständigheterna kring det inträffade. Resultatet skall meddelas ►M3  kommissionens direktorat för säkerhet ◄ . Nödvändiga åtgärder skall vidtas för att rätta till bristfälliga rutiner eller arkiveringsmetoder om dessa legat till grund för läckan.

---

Tillägg 6

▼M5

---

TILLÄMPNINGSFÖRESKRIFTER TILL EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EG) nr 1049/2001 OM ALLMÄNHETENS TILLGÅNG TILL EUROPAPARLAMENTETS, RÅDETS OCH KOMMISSIONENS HANDLINGAR

Skäl:

(1)	I enlighet med artikel 255.2 i EG-fördraget har Europaparlamentet och rådet antagit förordning (EG) nr 1049/2001 ( 16 ) om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar.

(2)	Den förordningen, som med tillämpning av artikel 255.3 i fördraget fastställer de allmänna principerna och gränserna för rätten till tillgång till handlingar, föreskriver i artikel 18 att varje institution skall anpassa sin arbetsordning i enlighet med bestämmelserna i den nämnda förordningen.

Artikel 1

Personer som har rätt att ta del av handlingar

Unionsmedborgare och fysiska eller juridiska personer som är bosatta eller har sitt säte i en medlemsstat får utöva sin rätt till tillgång till kommissionens handlingar enligt bestämmelserna i artikel 255.1 i fördraget och artikel 2.1 i förordning (EG) nr 1049/2001 enligt de förfaranden som föreskrivs i dessa bestämmelser. Rätten till tillgång till handlingar gäller handlingar som innehas av kommissionen, det vill säga handlingar som har upprättats eller tagits emot av kommissionen och som den råder över.

Med tillämpning av artikel 2.2 i förordning (EG) nr 1049/2001 skall tredjelandsmedborgare som inte är bosatta i en medlemsstat eller juridiska personer som saknar säte i en medlemsstat ha rätt till tillgång till kommissionens handlingar på samma villkor som de personer som avses i artikel 255.1 i fördraget.

I enlighet med artikel 195.1 i fördraget skall sådana personer dock inte ha möjlighet att klaga hos Europeiska ombudsmannen. Om kommissionen helt eller delvis avslår en bekräftande ansökan om tillgång till en handling, får sådana personer väcka talan mot beslutet vid Europeiska gemenskapernas förstainstansrätt i enlighet med artikel 230 fjärde stycket i fördraget.

Artikel 2

Ansökningar om tillgång till handlingar

Ansökningar om tillgång till handlingar skall sändas per post, fax eller via e-post till kommissionens generalsekretariat, till det behöriga generaldirektoratet eller den behöriga avdelningen. Adresserna dit ansökningarna skall sändas kommer att offentliggöras i den praktiska handledning som avses i artikel 8 i dessa föreskrifter.

Kommissionen skall besvara ursprungliga och bekräftande ansökningar inom femton arbetsdagar räknat från och med dagen för registreringen av ansökan. Om en ansökan är komplicerad eller omfattande får denna tidsfrist förlängas med femton arbetsdagar. En förlängning av tidsfristen skall motiveras och på förhand meddelas sökanden.

Om en ansökan i enlighet med artikel 6.2 i förordning (EG) nr 1049/2001 inte är tillräckligt utförlig, skall kommissionen uppmana sökanden att lämna kompletterande uppgifter som gör det möjligt att hitta de begärda handlingarna; svarsfristen skall inte börja löpa förrän kommissionen förfogar över dessa uppgifter.

Alla helt eller delvis negativa beslut skall ange skälen för att ansökningen avslagits på grundval av något av de undantag som anges i artikel 4 i förordning (EG) nr 1049/2001 och sökanden skall i beslutet underrättas om hur han kan överklaga det.

Artikel 3

Behandling av ursprungliga ansökningar

Utan att det påverkar tillämpningen av artikel 9 i dessa föreskrifter, skall en bekräftelse om mottagande skickas till sökanden när ansökan registreras, om inte svar kan ges med vändande post.

Bekräftelsen om mottagande och svaret skall skickas skriftligen, eventuellt via e-post.

Sökanden skall informeras om svaret på ansökan av generaldirektören eller chefen för den berörda avdelningen, av en direktör med denna uppgift vid generalsekretariatet, av en särskilt utnämnd direktör vid OLAF, om ansökan gäller handlingar som berör sådan verksamhet vid OLAF som avses i artiklarna 2.1 och 2.2 i kommissionens beslut 1999/352/EG, EKSG, Euratom ( 17 ) om inrättande av en europeisk byrå för bedrägeribekämpning (OLAF), eller av en tjänsteman med denna uppgift.

I alla helt eller delvis negativa beslut skall sökanden underrättas om sin rätt att inom femton arbetsdagar efter mottagande av beslutet lämna in en bekräftande ansökan till kommissionens generalsekreterare eller till OLAF:s direktör, om den bekräftande ansökningen gäller handlingar som berör sådan verksamhet vid OLAF som avses i artiklarna 2.1 och 2.2 i kommissionens beslut 1999/352/EG, EKSG, Euratom.

Artikel 4

Behandling av bekräftande ansökningar

I enlighet med artikel 14 i kommissionens arbetsordning delegeras befogenheten att fatta beslut om en bekräftande ansökan till generalsekreteraren. Om en bekräftande ansökan gäller handlingar som berör sådan verksamhet vid OLAF som avses i artiklarna 2.1 och 2.2 i beslut 1999/352/EG, EKSG, Euratom, delegeras befogenheten att fatta beslut till direktören för OLAF.

Generaldirektoratet eller avdelningen skall bistå generalsekretariatet med beredningen av beslutet.

Beslutet skall fattas av generalsekreteraren eller direktören för OLAF efter att rättstjänsten har lämnat sitt medgivande.

Sökanden skall skriftligen underrättas om beslutet, eventuellt via e-post; i beslutet skall sökanden upplysas om rätten att väcka talan vid förstainstansrätten eller att lämna in ett klagomål till Europeiska ombudsmannen.

Artikel 5

Samråd

1.  Om kommissionen mottar en ansökan om tillgång till en handling som den innehar, men som härrör från en tredje part, skall det generaldirektorat eller den avdelning som innehar handlingen kontrollera om något av undantagen i artikel 4 i förordning (EG) nr 1049/2001 är tillämpligt. Om den begärda handlingen är klassificerad enligt kommissionens säkerhetsbestämmelser, skall artikel 6 i dessa föreskrifter tillämpas.

2.  Om det generaldirektorat eller den avdelning som innehar handlingen efter kontrollen anser att tillgång till den begärda handlingen skall vägras enligt något av undantagen i artikel 4 i förordning (EG) nr 1049/2001, skall det negativa svaret sändas till sökanden utan samråd med den tredje part som upprättat handlingen.

3.  Det generaldirektorat eller den avdelning som innehar handlingen skall bevilja ansökan utan samråd med den tredje part som upprättat handlingen om

4.  I alla andra fall skall samråd ske med den tredje part som upprättat handlingen. Om ansökan gäller tillgång till en handling som härrör från en medlemsstat, skall det generaldirektorat eller den avdelning som innehar handlingen samråda med den myndighet som upprättat handlingen

5.  Den tredje part som upprättat handlingen skall svara inom en tidsfrist som inte får vara kortare än fem arbetsdagar, men som skall göra det möjligt för kommissionen att iaktta sina egna svarsfrister. Om den tredje part som upprättat handlingen inte svarar inom den angivna tiden eller om denne inte kan anträffas eller identifieras, skall kommissionen fatta ett beslut i enlighet med ordningen för undantag i artikel 4 i förordning (EG) nr 1049/2001, med beaktande av tredje parts berättigade intressen på grundval av de uppgifter den förfogar över.

6.  Om kommissionen avser att ge tillgång till en handling mot upphovsmannens uttryckliga vilja, skall den underrätta upphovsmannen om sin avsikt att lämna ut handlingen efter tio arbetsdagar och uppmärksamma upphovsmannen på hur han kan överklaga detta beslut om utlämnande.

7.  Om en medlemsstat mottar en ansökan om tillgång till en handling som härrör från kommissionen, får den samråda med generalsekretariatet, som skall bestämma vilket generaldirektorat eller vilken avdelning inom kommissionen som ansvarar för handlingen. Det generaldirektorat eller den avdelning som upprättat handlingen skall besvara ansökan efter samråd med generalsekretariatet.

Artikel 6

Behandling av ansökningar om tillgång till klassificerade handlingar

Om en ansökan om tillgång gäller en känslig handling enligt definitionen i artikel 9.1 i förordning (EG) nr 1049/2001 eller en annan handling som klassificerats enligt kommissionens säkerhetsbestämmelser, skall ansökan behandlas av en tjänsteman som har rätt att befatta sig med handlingen.

Alla beslut om att helt eller delvis vägra tillgång till en klassificerad handling skall motiveras på grundval av något av undantagen i artikel 4 i förordning (EG) nr 1049/2001. Om det visar sig att tillgång till den begärda handlingen inte kan vägras på grundval av dessa undantag, skall den tjänsteman som behandlar ansökningen se till att klassificeringen avlägsnas från handlingen innan den överlämnas till sökanden.

Den myndighet som har upprättat handlingen skall dock alltid lämna sitt medgivande till att en känslig handling lämnas ut.

Artikel 7

Utövande av rätten till tillgång

Handlingar skall skickas med post, telefax eller, om möjligt, via e-post i enlighet med sökandens önskemål. Om handlingen är omfattande eller svår att hantera, får sökanden uppmanas att ta del av handlingen på stället. Ett sådant besök skall vara gratis.

Om handlingen har offentliggjorts, skall svaret innehålla en publikationshänvisning och/eller en upplysning om var handlingen finns tillgänglig och i förekommande fall handlingens adress på webbplatsen Europa.

Om handlingen omfattar mer än tjugo sidor, får en avgift på 0,10 euro per sida samt porto tas ut av sökanden. Avgifter för andra former av försändelser skall bestämmas från fall till fall, men de får inte överstiga ett skäligt belopp.

Artikel 8

Åtgärder för att underlätta tillgången till handlingar

1.  Innehållet i det register som avses i artikel 11 i förordning (EG) nr 1049/2001 skall utökas gradvis. Det skall tillkännages på webbplatsen Europas hemsida.

Registret skall innehålla handlingens titel på de språk som handlingen finns tillgänglig på, diarienummer och andra användbara hänvisningar, en angivelse av den som upprättat handlingen samt dagen för upprättandet eller antagandet.

En hjälpsida på samtliga officiella språk skall informera allmänheten om hur den kan få tillgång till handlingen. Om handlingen har offentliggjorts, skall det finnas en länk till hela texten.

2.  Kommissionen skall utarbeta en praktisk handledning för att informera allmänheten om dess rättigheter enligt förordning (EG) nr 1049/2001. Handledningen skall publiceras på samtliga officiella språk på webbplatsen Europa samt i form av en broschyr.

Artikel 9

Handlingar som är automatiskt tillgängliga för allmänheten

1.  Denna artikel tillämpas endast på handlingar som har upprättats eller mottagits efter det att förordning (EG) nr 1049/2001 blev gällande.

2.  Följande handlingar skall lämnas ut automatiskt efter ansökan eller, så långt möjligt, göras direkt tillgängliga i elektronisk form:

3.  Följande handlingar får spridas, så långt möjligt i elektronisk form, om det står klart att inget av undantagen i artikel 4 i förordning (EG) nr 1049/2001 är tillämpligt och i den utsträckning som de inte återger enskilda personers åsikter eller ställningstaganden:

Artikel 10

Intern organisation

Generaldirektörer och chefer för avdelningar skall vara behöriga att besluta om vilka åtgärder som skall vidtas med ursprungliga ansökningar. De skall för denna uppgift utse en tjänsteman som behandlar ansökningar om tillgång till handlingar och samordnar generaldirektoratets eller den egna avdelningens praxis.

Svar på ursprungliga ansökningar skall för kännedom överlämnas till generalsekretariatet.

Bekräftande ansökningar skall för kännedom överlämnas till det generaldirektorat eller den avdelning som har besvarat den ursprungliga ansökan.

Generalsekretariatet skall se till att dessa regler samordnas och tillämpas enhetligt av kommissionens generaldirektorat och avdelningar. Generalsekretariatet skall utfärda de riktlinjer som behövs för detta.

▼M6

---

BESTÄMMELSER FÖR DOKUMENTHANTERING

Av följande skäl:

(1)	Kommissionens politiska, lagstiftande, tekniska, finansiella och administrativa verksamhet och beslut leder alltid vid en viss tidpunkt till att handlingar upprättas.

(2)

Dessa handlingar bör hanteras enligt regler som gäller för alla generaldirektorat och därmed likställda avdelningar, eftersom de samtidigt är en direkt koppling till den pågående verksamheten, och en återspegling av kommissionens verksamhet i det förflutna, i sin dubbla egenskap av institution och offentlig europeisk förvaltning.

(3)

Dessa enhetliga regler bör säkerställa att kommissionen när som helst skall kunna redogöra för de uppgifter den är ansvarig för. Följaktligen bör ett generaldirektorats eller en därmed likställd avdelnings handlingar och akter utgöra institutionens minne, underlätta informationsutbyte, utgöra bevis för utförda åtgärder och uppfylla avdelningarnas rättsliga åligganden.

(4)	För att dessa regler skall kunna genomföras krävs det att en rationell och stabil organisationsstruktur inrättas, inom generaldirektoraten och de därmed likställda avdelningarna, mellan de olika avdelningarna, och inom kommissionen som helhet.

(5)

Utarbetandet och genomförandet av en arkiveringsplan med ett klassificeringssystem som kommer att vara gemensamt för samtliga kommissionens avdelningar och som kommer att ingå i institutionens verksamhetsbaserade förvaltning kommer att göra det möjligt att ordna akterna och att underlätta insyn och tillgång till handlingar.

(6)

En effektiv dokumenthantering är en nödvändig förutsättning för en effektiv politik för allmänhetens tillgång till kommissionens handlingar. Medborgarnas utövande av denna rätt till tillgång kommer att underlättas genom att det upprättas register med hänvisningar till handlingar som upprättats eller mottagits av kommissionen.

Artikel 1

Definitioner

I dessa bestämmelser avses med

Artikel 2

Syfte

I dessa bestämmelser fastställs principerna för dokumenthantering.

Dokumenthanteringen skall säkerställa att

Artikel 3

Enhetliga regler

Handlingar skall

Detta skall ske enligt enhetliga regler som skall tillämpas på samma sätt inom samtliga generaldirektorat och därmed likställda avdelningar inom kommissionen.

Artikel 4

Registrering

Så snart en handling mottagits eller formellt upprättats av en avdelning, skall den, oberoende av medium, granskas för att det skall kunna fastställas hur den skall behandlas och därmed, om den skall registreras eller ej.

En handling som upprättats eller mottagits av en avdelning inom kommissionen skall registreras om den innehåller viktig information av inte helt tillfällig karaktär, eller om den kan ge upphov till en åtgärd eller uppföljning från kommissionens eller någon av dess avdelningars sida. En handling som upprättats skall registreras av den avdelning som upprättat den, i det system den tillhör. En handling som mottas skall registreras av den mottagande avdelningen. Vid all senare hantering av en handling som registrerats på detta sätt skall det hänvisas till den ursprungliga registreringen.

Registreringen skall göra det möjligt att klart och säkert identifiera handlingar som upprättats eller mottagits av kommissionen eller någon av dess avdelningar, på ett sådant sätt att handlingarna kan spåras under hela deras livslängd.

Det skall upprättas register som innehåller hänvisningar till handlingarna.

Artikel 5

Arkivering

Generaldirektoraten och de därmed likställda avdelningarna skall upprätta en arkiveringsplan som är anpassad till deras särskilda behov.

Arkiveringsplanen som skall vara databaserad, skall följa ett gemensamt klassificeringssystem som fastställs av generalsekretariatet för kommissionens samtliga avdelningar. Detta klassificeringssystem skall ingå i kommissionens verksamhetsbaserade förvaltning.

Registrerade handlingar skall samlas i akter. För varje ärende som faller under ett generaldirektorats eller en därmed likställd avdelnings behörighet skall en enda officiell akt läggas upp. Varje officiell akt skall vara fullständig och motsvara avdelningens åtgärder i ärendet i fråga.

Ansvaret för att lägga upp en akt och för att föra in den i ett generaldirektorats eller en därmed likställd avdelnings arkiveringsplan åligger den avdelning som är ansvarig för det område akten gäller, i enlighet med de praktiska regler som fastställs av varje generaldirektorat och varje därmed likställd avdelning.

Artikel 6

Bevarande

Varje generaldirektorat eller därmed likställd avdelning skall säkerställa att de handlingar de ansvarar för skyddas fysiskt, samt att de finns tillgängliga på kort och medellång sikt och skall kunna ta fram eller återställa de akter de ingår i.

Administrativa regler och rättsliga åligganden skall vara avgörande för hur länge en handling minst skall bevaras.

Varje generaldirektorat eller därmed likställd avdelning skall fastställa en egen intern struktur för hur akterna skall bevaras. Den minsta tidslängden för bevarande på avdelningarna skall ta hänsyn till en gemensam förteckning som upprättas för kommissionens samtliga avdelningar i enlighet med de tillämpningsföreskrifter som avses i artikel 12

Artikel 7

Urval och överföring till de historiska arkiven

Utan att det påverkar de minsta tidslängder för bevarande som avses i artikel 6, skall det eller de dokumenthanteringscentrum som avses i artikel 9 regelbundet och i samverkan med de avdelningar som ansvarar för akterna göra ett första urval av de handlingar och akter som senare kan komma att överföras till kommissionens historiska arkiv. Efter bedömning av förslagen far de historiska arkiven vägra att överföra handlingar eller akter. Alla beslut om att vägra överföring skall motiveras och meddelas den berörda avdelningen.

De akter och handlingar som inte längre behöver bevaras hos avdelningarna skall senast femton år efter det att de upprättats via dokumenthanteringscentret, och på generaldirektörens ansvar, överföras till kommissionens historiska arkiv. Dessa akter eller handlingar skall sedan gallras enligt reglerna i de tillämpningsföreskrifter som avses i artikel 12, i syfte att skilja de handlingar som bör bevaras från dem som inte har något administrativt eller historiskt intresse.

De historiska arkiven skall ha särskilda depåer för att bevara de akter och handlingar som på detta sätt förts över dit. De skall på begäran lämna ut handlingar och akter till det generaldirektorat eller den därmed likställda avdelning de härrör från.

Artikel 8

Sekretessbelagda handlingar

Sekretessbelagda handlingar skall behandlas enligt gällande säkerhetsbestämmelser.

Artikel 9

Dokumenthanteringscentrum

Varje generaldirektorat eller därmed likställd avdelning skall med hänsyn till sin struktur och sina arbetsförhållanden inrätta eller driva ett eller flera dokumenthanteringscentrum.

Dokumenthanteringscentrumen skall ha till uppgift att se till att de handlingar som upprättats eller mottagits av deras generaldirektorat eller därmed likställda avdelning behandlas i enlighet med fastställda regler.

Artikel 10

Dokumenthanteringsansvariga

Varje generaldirektör eller förvaltningschef skall utse en dokumenthanteringsansvarig.

Den dokumenthanteringsansvariga skall, inom ramen för ett modernt och effektivt system för dokumenthantering och arkivering, ha till uppgift att

Den dokumenthanteringsansvariga skall säkerställa den horisontella samordningen mellan dokumenthanteringscentret eller dokumenthanteringscentrumen och övriga berörda avdelningar.

Artikel 11

Övergripande avdelningsgrupp

En grupp med dokumenthanteringsansvariga från de olika avdelningarna skall inrättas, under generalsekretariatets ordförandeskap, med uppgift att

Gruppen med dokumenthanteringsansvariga från de olika avdelningarna skall sammankallas av ordföranden, antingen på dennes eget initiativ, eller på begäran av ett generaldirektorat eller en därmed likställd avdelning.

Artikel 12

Tillämpningsföreskrifter

Tillämpningsföreskrifterna till dessa bestämmelser skall antas och hållas aktuella av generalsekreteraren i samförstånd med generaldirektören för generaldirektoratet för personal och administration, på förslag från gruppen med dokumenthanteringsansvariga från de olika avdelningarna.

Vid ajourhållningen skall hänsyn bl.a. tas till följande:

Artikel 13

Genomförande på avdelningarna

Varje generaldirektör eller förvaltningschef skall införa den organisatoriska, administrativa, materiella och personalmässiga struktur som behövs för att dessa bestämmelser och deras tillämpningsföreskrifter skall kunna genomföras på avdelningarna.

Artikel 14

Information, utbildning och stöd

Generalsekretariatet och generaldirektoratet för personal och administration skall tillhandahålla de informationsåtgärder, den utbildning och det stöd som behövs för att dessa bestämmelser skall kunna genomföras och tillämpas på generaldirektoraten och de därmed likställda avdelningarna.

Vid bestämmandet av utbildningsåtgärderna skall de ta hänsyn till generaldirektoratens och de därmed likställda avdelningarnas behov av utbildning och stöd, enligt uppgifter som vidarebefordrats av gruppen med dokumenthanteringsansvariga från de olika avdelningarna.

Artikel 15

Genomförande av bestämmelserna

Generalsekretariatet skall i samarbete med generaldirektörerna och förvaltningscheferna se till att dessa bestämmelser genomförs.

▼M11 —————

▼M8

---

KOMMISSIONENS BESTÄMMELSER OM ELEKTRONISKA OCH DIGITALA HANDLINGAR

Av följande skäl:

(1)

Den utbredda användningen av ny informations- och kommunikationsteknik både inom kommissionens interna verksamhet och för dess dokumentutbyte med omvärlden, särskilt med gemenskapens institutioner, inbegripet de organ som har hand om genomförandet av vissa delar av gemenskapspolitiken, samt med de nationella förvaltningarna leder till att kommissionens dokumentflöde innehåller en allt större mängd elektroniska och digitala handlingar.

(2)

Som uppföljning till vitboken om reformen av kommissionen ( 18 ), vars åtgärder 7, 8 och 9 syftar till att förbereda övergången till ”e-kommissionen” och meddelandet ”Towards the e-Commission: Implementation Strategy 2001–2005 (Actions 7, 8 and 9 of the White Paper on Reform)” ( 19 ), har kommissionen, både för sina egna arbetsrutiner och för förbindelserna mellan avdelningarna, främjat utvecklingen av informationssystem som gör det möjligt att hantera såväl dokument som förfaranden elektroniskt.

(3)

Kommissionen har genom sitt beslut 2002/47/EG, EKSG, Euratom ( 20 ) fogat bestämmelser om dokumenthantering till sin interna arbetsordning, framför allt för att garantera att den alltid skall kunna redogöra för de uppgifter den är ansvarig för. I sitt meddelande om förenkling och modernisering av kommissionens dokumenthantering ( 21 ) fastställde kommissionen som mål på medellång sikt att införa ett elektroniskt dokumentarkiveringssystem som följer regler och förfaranden som skall vara gemensamma för alla avdelningar.

(4)

Dokumenthanteringen bör ske i överensstämmelse med de säkerhetskrav som gäller för kommissionen, särskilt vad beträffar klassificering av handlingar enligt kommissionens beslut 2001/844/EG, EKSG, Euratom ( 22 ), skydd av informationssystem enligt dess beslut K(95)1510, samt skydd av personuppgifter enligt Europaparlamentets och rådets förordning (EG) nr 45/2001 ( 23 ). Kommissionens dokumentflöde bör således organiseras på ett sådant sätt att informationssystemen, näten och de överföringsmetoder som används skyddas genom lämpliga säkerhetsåtgärder.

(5)

Det är nödvändigt att anta bestämmelser inte bara om villkoren för att elektroniska och digitala handlingar eller handlingar som överförs på elektronisk väg skall vara giltiga för kommissionens ändamål, om inte dessa villkor fastställs på annat sätt, utan också villkoren för att bevara dessa handlingar och de metadata som åtföljer dem så att garantier kan ges för fullständighet och läsbarhet över tiden under hela den föreskrivna bevarandetiden.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte

Genom dessa bestämmelser fastställs villkoren för att elektroniska och digitala handlingar skall vara giltiga för kommissionens ändamål. De syftar även till att garantera äktheten, fullständigheten och läsbarheten över tiden hos dessa handlingar och åtföljande metadata.

Artikel 2

Tillämpningsområde

Dessa bestämmelser är tillämpliga på sådana elektroniska och digitala handlingar som upprättas eller mottas och bevaras av kommissionen.

De kan genom överenskommelse bli tillämpliga på elektroniska och digitala handlingar som bevaras av andra enheter som ansvarar för genomförandet av viss gemenskapspolitik eller på handlingar som utväxlas via telematiska nät mellan olika förvaltningar och kommissionen.

Artikel 3

Definitioner

I dessa bestämmelser används följande beteckningar i den betydelse som här anges:

1)

handling : handlingar enligt definitionerna i artikel 3 a i Europaparlamentets och rådets förordning (EG) nr 1049/2001 ( 24 ) och i artikel 1 i bestämmelserna för dokumenthantering som är fogade som bilaga till kommissionens interna arbetsordning (nedan kallade ”bestämmelserna för dokumenthantering”),

2)

elektronisk handling : en samling uppgifter insamlade eller lagrade i någon form genom ett informationssystem eller en liknande anordning, som kan läsas eller behandlas av en fysisk person eller av ett sådant system eller en sådan anordning, liksom varje redovisning och framställning, i form av en utskrift eller i annan form, av dessa uppgifter,

3)

digitalisering av handlingar : det förfarande som består i att överföra en handling från papper eller annan traditionell form till digital form. Digitaliseringen gäller alla typer av dokument och kan göras från olika media som papper, telefax, mikrofiche, mikrofilm, fotografi, video- eller audiokassett och film.

4)

en handlings livscykel : i en handlings livslängd, samtliga stadier eller perioder, från det att den mottas eller formellt upprättas i den mening som avses i artikel 4 i bestämmelserna för dokumenthantering till dess att den överförs till kommissionens historiska arkiv och görs tillgänglig för allmänheten eller förstörs enligt artikel 7 i samma bestämmelser,

5)	kommissionens dokumentflöde : samtliga handlingar, akter och metadata som upprättas, mottas, registreras, klassificeras och bevaras av kommissionen,

6)	fullständighet : det faktum att den information som finns i en handling och de metadata som åtföljer denna handling är fullständig (att alla uppgifter finns med) och exakt (att alla uppgifter är oförändrade),

7)

läsbarhet över tiden : det faktum att den information som ingår i handlingen och åtföljande metadata förblir lätt att läsa av var och en som är skyldig eller berättigad att ta del av den, under hela handlingens livscykel, från det att den upprättas formellt eller mottas, till dess att den överförs till kommissionens historiska arkiv och görs tillgänglig för allmänheten eller får förstöras i enlighet med den bevarandetid som gäller för den ifrågavarande handlingen,

8)

metadata : de uppgifter som beskriver handlingarnas bakgrund, innehåll och struktur, samt deras förvaltning över tiden, i den form som fastläggs i tillämpningsföreskrifterna till bestämmelserna för dokumenthantering, med de kompletteringar som kommer att tillföras genom tillämpningsföreskrifterna till dessa bestämmelser,

9)	elektronisk signatur : elektronisk signatur i den mening som avses i artikel 2.1 i Europaparlamentets och rådets direktiv 1999/93/EG ( 25 ),

10)	avancerad elektronisk signatur : elektronisk signatur i den mening som avses i artikel 2.2 i direktiv 1999/93/EG.

Artikel 4

Giltighet för elektroniska handlingar

1.  Om det krävs en undertecknad originalhandling enligt tillämplig gemenskapslagstiftning eller nationell lag skall detta krav vara uppfyllt av en elektronisk handling som har upprättats eller mottagits av kommissionen, om handlingen i fråga innehåller en avancerad elektronisk signatur som grundas på ett kvalificerat certifikat och är skapad genom en säker anordning för skapande av signaturer eller en elektronisk signatur som åtföljs av likvärdiga garantier för de funktioner som tillskrivs signaturen.

2.  Om det krävs en skriftlig handling enligt tillämplig gemenskapslagstiftning eller nationell lag, men inte en undertecknad originalhandling, skall detta krav vara uppfyllt av en elektronisk handling som har upprättats eller mottagits av kommissionen, om den person som har upprättat handlingen kan styrka sin identitet i vederbörlig ordning och om handlingen har upprättats under sådana förhållanden att fullständigheten hos uppgifterna i handlingen och åtföljande metadata kan garanteras och att handlingen bevaras enligt de villkor som föreskrivs i artikel 7.

3.  Bestämmelserna i denna artikel är tillämpliga från och med dagen för antagandet av de tillämpningsföreskrifter som avses i artikel 9.

Artikel 5

Giltigheten av elektroniska förfaranden

1.  Om det enligt ett av kommissionens interna förfaranden krävs en underskrift av en person i ansvarig ställning eller tillstånd från en person för ett eller flera steg av förfarandet i fråga, kan detta förfarande hanteras genom informationssystem under förutsättning att varje persons identitet kan styrkas på ett säkert och otvetydigt sätt och att det ifrågavarande systemet innehåller garantier för att innehållet inte ändras inbegripet de olika stegen i förfarandet.

2.  Om ett förfarande inbegriper kommissionen och andra enheter och kräver en underskrift av en person i ansvarig ställning eller tillstånd från en person för ett eller flera steg av förfarandet i fråga, kan detta förfarande hanteras genom informationssystem för vilka villkor och tekniska garantier skall fastställas genom överenskommelse.

Artikel 6

Elektronisk överföring

1.  Överföringen av handlingar från kommissionen till en intern eller extern mottagare kan göras med det kommunikationsmedium som lämpar sig bäst för omständigheterna i ärendet.

2.  Överföringen av handlingar till kommissionen kan göras med vilket kommunikationsmedium som helst, inbegripet i elektronisk form såsom fax, e-post, elektroniskt formulär, webbgränssnitt på Internet.

3.  Punkterna 1 och 2 är inte tillämpliga om det genom bestämmelser i gemenskapslagstiftningen eller i nationell lagstiftning eller genom överenskommelse eller avtal mellan parterna krävs särskilda överföringsmedier eller ställs särskilda formella villkor för överföringen.

Artikel 7

Bevarande

1.  Kommissionen skall säkerställa bevarandet av elektroniska och digitala handlingar under hela den föreskrivna tidslängden, enligt följande villkor:

2.  För att genomföra kraven under punkt 1 skall kommissionen upprätta ett elektroniskt arkiveringssystem, som skall omfatta hela de elektroniska och digitala handlingarnas livscykel.

De tekniska villkoren för det elektroniska arkiveringssystemet fastställs genom de tillämpningsföreskrifter som anges i artikel 9.

Artikel 8

Säkerhet

De elektroniska och digitala handlingarna skall hanteras i enlighet med de säkerhetskrav som gäller för kommissionen. För detta ändamål skall de informationssystem, nät och överföringsmetoder som används för kommissionens dokumentflöde skyddas genom lämpliga säkerhetsåtgärder som avser såväl klassificering av handlingar och skydd av informationssystemen som skydd av personuppgifter.

Artikel 9

Tillämpningsföreskrifter

Tillämpningsföreskrifterna för dessa bestämmelser skall utarbetas i samarbete mellan generaldirektoraten och därmed likställda avdelningar och skall godkännas av kommissionens generalsekreterare i samråd med den generaldirektör som har ansvar för kommissionens datasystem.

De skall uppdateras regelbundet med hänsyn tagen till utvecklingen av ny informations- och kommunikationsteknik och de nya skyldigheter som kommissionen kan komma att omfattas av.

Artikel 10

Genomförande på avdelningarna

Varje generaldirektör eller avdelningschef skall vidta de åtgärder som behövs för att de handlingar, förfaranden och elektroniska system som han eller hon ansvarar för uppfyller de krav som ställs på dem genom dessa bestämmelser och deras tillämpningsföreskrifter.

Artikel 11

Genomförande

Kommissionens generalsekretariat skall i samarbete med generaldirektoraten och de därmed likställda avdelningarna, särskilt det generaldirektorat som ansvarar för kommissionens datasystem, se till att dessa bestämmelser genomförs.

▼M10

---

KOMMISSIONENS BESTÄMMELSER GÄLLANDE INRÄTTANDET AV DET ALLMÄNNA FÖRVARNINGSSYSTEMET ARGUS

av följande skäl:

(1)

Det är lämpligt att kommissionen inrättar ett allmänt förvarningssystem, under namnet Argus, för att förbättra sin förmåga att inom sitt befogenhetsområde agera snabbt, effektivt och på ett samordnat sätt vid multisektoriella kriser som drabbar flera politikområden och som kräver insatser på gemenskapsnivå, oavsett vad som orsakar dessa kriser.

(2)	Systemet skall till en början vara baserat på ett internt kommunikationsnätverk som gör det möjligt för kommissionens generaldirektorat och tjänsteavdelningar att vid ett krisläge dela med sig av central information.

(3)	Systemet kommer att ses över i ljuset av redan gjorda erfarenheter samt den tekniska utvecklingen för säkra sammanlänkning och samordning med redan befintliga specialnätverk.

(4)

Lämpliga samordningsrutiner måste fastställas för beslutsfattande och hantering av snabba, samordnade och sammanhängande insatser från kommissionens sida med anledning av en större multisektoriell kris. Dessa rutiner måste samtidigt vara tillräckligt flexibla och anpassningsbara till de särskilda behov och omständigheter som kännetecknar en specifik kris och också respektera befintliga politiska instrument avseende specifika kriser.

(5)

Systemet måste respektera de egenskaper, den sakkunskap, de planer och det befogenhetsområde som är specifika för kommissionens redan befintliga sektorsavgränsade förvarningssystem, som sätter tjänsteavdelningarna i stånd att agera vid krislägen inom olika delar av gemenskapens verksamhetsområden. Systemet måste också respektera den allmänna subsidiaritetsprincipen.

(6)

Eftersom kommunikation utgör ett av de mest centrala inslagen i krishantering måste särskild uppmärksamhet ägnas åt att informera allmänheten och åt att kommunicera med medborgarna på ett effektivt sätt genom medierna och kommissionens olika kommunikationsverktyg och informationsinstanser, från Bryssel eller den plats som är lämpligast.

Artikel 1

Argus-systemet

1.  Ett allmänt förvarnings- och reaktionssystem kallat Argus inrättas för att förbättra kommissionens förmåga att reagera snabbt, effektivt och på ett sammanhängande sätt om det skulle uppstå ett större multisektoriellt krisläge som drabbar flera politikområden och som kräver agerande på gemenskapsnivå, oavsett krisens orsak.

2.  Argus skall bestå av

3.  Dessa bestämmelser påverkar inte tillämpningen av kommissionens beslut 2003/246/EG om operativa förfaranden för hantering av krislägen.

Artikel 2

Informationsnätverket Argus

1.  Det interna kommunikationsnätverket skall vara en permanent plattform som gör att kommissionens generaldirektorat och tjänsteavdelningar i realtid kan dela med sig av relevant information om framväxande multisektoriella kriser eller förutsebara eller överhängande krishot och att samordna lämpliga insatser inom kommissionens befogenhetsområde.

2.  Nätverkets kärnmedlemmar utgörs av: Generalsekretariatet, GD Press och kommunikation, inklusive talesmannens kansli, GD miljö, GD Hälsa och konsumentskydd, GD Rättvisa, frihet och säkerhet, GD Yttre förbindelser, GD Humanitärt bistånd, GD Personal och administration, DG Handel, GD Informationsteknik, GD Skatter och tullar, Gemensamma forskningscentret och Rättstjänsten.

3.  Kommissionens alla övriga generaldirektorat och tjänsteavdelningar kan tas med i nätverket, om de så begär, under förutsättning att de uppfyller de minimikrav som anges i punkt 4.

4.  Generaldirektorat och tjänsteavdelningar som tillhör nätverket skall utse en Argus-korrespondent och införa lämpliga beredskapsrutiner så att tjänsteavdelningen kan kontaktas och reagera snabbt om en kris skulle uppstå som motiverar ett ingripande från dess sida. Systemet kommer att utformas på ett sätt som gör det möjligt att göra detta med den redan befintliga personalstyrkan.

Artikel 3

Samordningsrutiner vid ett större krisläge

1.  Vid ett större multisektoriellt krisläge eller ett förutsebart eller överhängande krishot får ordföranden, efter att ha nåtts av underrättelser härom, på eget initiativ eller på begäran av en kommissionsledamot besluta om att aktivera en särskild samordningsprocess. Ordföranden skall också besluta om fördelningen av det politiska ansvaret för kommissionens insatser med anledning av krisen. Han eller hon kommer antingen att själv behålla ansvaret eller att delegera det till en ledamot av kommissionen.

2.  I detta ansvar ingår att leda och samordna de insatser som föranleds av krisen, att företräda kommissionen gentemot övriga institutioner och att vara ansvarig för kontakterna med allmänheten. Detta kommer inte att påverka kommissionens befintliga befogenheter och mandat i kollegiet.

3.  Generalsekretariatet kommer, under ledning av ordföranden eller den kommissionsledamot som tilldelats ansvaret, att aktivera den särskilda operativa krishanteringsgrupp som kallas krissamordningskommittén och som beskrivs i artikel 4.

Artikel 4

Krissamordningskommittén

1.  Krissamordningskommittén är en särskild operativ krishanteringsstruktur som inrättas för att leda och samordna insatserna med anledning av en kris och föra samman företrädare för kommissionens alla relevanta generaldirektorat och tjänsteavdelningar. Vanligen skall de generaldirektorat och tjänsteavdelningar som nämns i artikel 2.2 vara företrädda i krissamordningskommittén, liksom andra generaldirektorat och tjänsteavdelningar som är berörda av en viss kris. Krissamordningskommittén kommer att stödja sig på tjänsteavdelningarnas existerande resurser och hjälpmedel.

2.  Vice generalsekreteraren skall vara ordförande för krissamordningskommittén och ha särskilt ansvar för policysamordningen.

3.  Krissamordningskommittén kommer särskilt att bedöma och övervaka utvecklingen av läget, ringa in frågeställningar och alternativ för beslut och insatser, se till att beslut och åtgärder verkställs och att insatserna hänger samman sinsemellan och är konsekventa.

4.  Beslut som krissamordningskommittén enats om kommer att antas genom kommissionens normala beslutförfaranden och kommer att verkställas av generaldirektoraten och förvarningssystemen.

5.  Kommissionens tjänsteavdelningar kommer plikttroget att se till att alla uppgifter fullgörs i samband med insatserna inom deras befogenhetsområde.

Artikel 5

Förfarandehandboken

I en förfarandehandbok kommer ingående bestämmelser att fastställas avseende genomförandet av detta beslut.

Artikel 6

Kommissionen kommer att se över detta beslut i ljuset av de erfarenheter som görs samt den tekniska utvecklingen minst ett år efter ikraftträdandet och vid behov vidta ytterligare åtgärder med avseende på Argus funktioner.

▼M12

---

TILLÄMPNINGSFÖRESKRIFTER FÖR EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EG) nr 1367/2006 OM TILLÄMPNING AV BESTÄMMELSERNA I ÅRHUSKONVENTIONEN OM TILLGÅNG TILL INFORMATION, ALLMÄNHETENS DELTAGANDE I BESLUTSPROCESSER OCH TILLGÅNG TILL RÄTTSLIG PRÖVNING I MILJÖFRÅGOR PÅ GEMENSKAPENS INSTITUTIONER OCH ORGAN

Artikel 1

Tillgång till miljöinformation

Den tidsfrist på femton arbetsdagar som avses i artikel 7 till förordning (EG) nr 1367/2006 ska inledas den dag som begäran registreras vid den ansvariga avdelningen hos kommissionen.

Artikel 2

Allmänhetens deltagande

För tillämpningen av artikel 9.1 i förordning (EG) nr 1367/2006 ska kommissionen säkerställa allmänhetens deltagande i enlighet med meddelandet ”Allmänna principer och miniminormer för kommissionens samråd med berörda parter” ( 26 ).

Artikel 3

Begäran om intern omprövning

En begäran om en intern omprövning av en förvaltningsåtgärd eller avseende en förvaltningsförsummelse ska skickas per post, fax eller e-post till den avdelning som är ansvarig för tillämpningen av den bestämmelse på grundval av vilken förvaltningsåtgärden vidtogs eller i förhållande till vilken den påstådda förvaltningsförsummelsen skett.

Allmänheten ska på alla lämpliga sätt informeras om nödvändiga kontaktuppgifter.

Om en begäran sänds till en annan avdelning än den som är ansvarig för omprövningen ska den avdelningen vidarebefordra begäran till den ansvariga avdelningen.

Om det inte är generaldirektoratet för miljö som är ansvarigt för omprövningen ska den ansvariga avdelningen under alla omständigheter informera generaldirektoratet om den begäran som inkommit.

Artikel 4

Beslut avseende möjligheten att godkänna en begäran om intern omprövning

1.  Så snart begäran om intern omprövning har registrerats skickas ett mottagningsbevis till den icke-statliga organisation som står bakom begäran, eventuellt i elektronisk form.

2.  Den berörda avdelningen vid kommissionen ska fastställa om den icke-statliga organisationen är behörig att lämna in en begäran om intern omprövning i enlighet med kommissionens beslut 2008/50/EG ( 27 ).

3.  I enlighet med artikel 14 i arbetsordningen delegeras rätten att fatta beslut om huruvida en begäran om intern omprövning kan godkänns till generaldirektören eller den berörda avdelningens avdelningschef.

Beslut om huruvida en begäran kan godkännas ska omfatta alla beslut om den icke-statliga organisation som står bakom begäran är behörig, i enlighet med punkt 2, om begäran har inkommit i tid, enligt artikel 10.1 andra stycket i förordning (EG) nr 1367/2006, och avseende den dokumentation och de skäl som ligger till grund för begäran, i enlighet med artikel 1.2 och 1.3 i beslut 2008/50/EG.

4.  Om den generaldirektör eller avdelningschef som avses i punkt 3 anser att begäran om intern omprövning inte kan godkännas, delvis eller i sin helhet, ska den icke-statliga organisation som står bakom begäran informeras skriftligen, eventuellt i elektronisk form, och med angivande av skälen till beslutet.

Artikel 5

Beslut avseende innehållet i en begäran om intern omprövning

1.  Kommissionen ska besluta om huruvida en förvaltningsåtgärd som ska omprövas, eller påstådd förvaltningsförsummelse, strider mot miljölagstiftningen.

2.  I enlighet med artikel 13 i arbetsordningen får den ledamot av kommissionen som är ansvarig för tillämpningen av de bestämmelser på grundval av vilka den berörda förvaltningsåtgärden vidtogs eller i förhållande till vilken den påstådda förvaltningsförsummelsen skett, bemyndigas att besluta att den förvaltningsåtgärd som omprövas, eller den påstådda förvaltningsförsummelsen, inte strider mot miljölagstiftningen.

Det är inte tillåtet att överlåta vidare sådana befogenheter som tilldelats enligt första stycket.

3.  Den icke-statliga organisation som står bakom begäran ska informeras om resultatet av omprövningen. Detta ska ske skriftligen, eventuellt i elektronisk form, och med angivande av skälen.

Artikel 6

Rättsmedel

Alla svar genom vilka den icke-statliga organisationen underrättas om att dess begäran antingen inte kan godkännas, delvis eller i sin helhet, eller att den förvaltningsåtgärd som omprövas, eller den påstådda förvaltningsförsummelsen, inte strider mot miljölagstiftningen, ska innehålla information till den icke-statliga organisationen om möjligheterna att överklaga, nämligen att väcka talan mot kommissionen och/eller framföra klagomål till ombudsmannen, i enlighet med de villkor som anges i artiklarna 230 och 195 i EG-fördraget.

Artikel 7

Information till allmänheten

En handledning ska förse allmänheten med lämplig information avseende dess rättigheter enligt förordning (EG) nr 1367/2006.

---

( 1 ) Fördraget om Europeiska unionen, artikel 17.6 a.

( 2 ) Fördraget om Europeiska unionen, artikel 17.6 b.

( 3 ) Fördraget om Europeiska unionens funktionssätt, artikel 248.

( 4 ) Se fotnot 3.

( 5 ) Se fotnot 3.

( 6 ) Fördraget om Europeiska unionen, artikel 17.6 c.

( 7 ) Fördraget om Europeiska unionen, artikel 17.6 andra stycket.

( 8 ) EUT L 156, 18.6.2005, s. 3.

( 9 ) Europeiska kommissionens generalsekretariat – SG/B/2: ”Insyn, tillgång till handlingar, kontakter med det civila samhället” – Rue de la Loi/Westraat 200, B-1049 Bryssel (fax (32-2) 296 72 42).

e-post: SG-Code-de-bonne-conduite@cec.eu.int

( 10 ) EGT 17/58, 6.10.1958, s. 406/58.

( 11 ) EGT L 151, 15.6.1990, s. 1.

( 12 ) EGT L 101, 11.4.2001, s. 1.

( 13 ) EGT L 145, 31.5.2001, s. 43.

( 14 ) Utan att det påverkar Wienkonventionen från 1961 om diplomatiska förbindelser och Protokollet om Europeiska gemenskapernas immunitet och privilegier av den 8 april 1965.

( 15 ) Se den jämförande tabellen med sekretessgraderna inom EU, Nato, VEU och medlemsstaterna i bilaga 1.

( 16 ) EGT L 145, 31.5.2001, s. 43.

( 17 ) EGT L 136, 31.5.1999, s. 20.

( 18 ) KOM(2000) 200.

( 19 ) SEK(2001) 924.

( 20 ) EGT L 21, 24.1.2002, s. 23.

( 21 ) C(2002) 99 slutlig (ej översatt till svenska).

( 22 ) EGT L 317, 3.12.2001, s. 1.

( 23 ) EGT L 8, 12.1.2001, s. 1.

( 24 ) EGT L 145, 31.5.2001, s. 43.

( 25 ) EGT L 13, 19.1.2000, s. 12.

( 26 ) KOM(2002) 704 slutlig.

( 27 ) EUT L 13, 16.1.2008, s. 24.