15.10.2011

SV

Europeiska unionens officiella tidning

C 304/7

---

Beslut av europeiska unionens höga representant för utrikes frågor och säkerhetspolitik

av den 15 juni 2011

om säkerhetsbestämmelserna för den europeiska avdelningen för yttre åtgärder

2011/C 304/05

DEN HÖGA REPRESENTANTEN HAR ANTAGIT DETTA BESLUT

med beaktande av beslut 2010/427/EU om hur den europeiska avdelningen för yttre åtgärder ska organiseras och arbeta, särskilt artikel 10,

med beaktande av yttrandet från den kommitté som avses i artikel 10.1 i ovannämnda rådsbeslut, och

av följande skäl:

(1)	Den europeiska avdelningen för yttre åtgärder (nedan kallad Europeiska utrikestjänsten eller utrikestjänsten) ska såsom ett i funktionellt hänseende självständigt organ inom Europeiska unionen ha säkerhetsregler enligt artikel 10.1 rådets beslut 2010/427/EU.

(2)

Den höga representanten ska besluta om Europeiska utrikestjänstens säkerhetsregler som ska täcka alla säkerhetsaspekter för att utrikestjänsten effektivt ska kunna hantera risker som dess personal, fysiska tillgångar och information utsätts för och fullgöra sina förpliktelser att visa aktsamhet i detta avseende.

(3)	Europeiska utrikestjänstens säkerhetsbestämmelser, som kommer att bygga på rådets säkerhetsbestämmelser och kommissionens säkerhetsbestämmelser, bör bidra till att uppnå en mer heltäckande allmän ram inom Europeiska unionen för skydd av säkerhetsskyddsklassificerade uppgifter.

(4)	I synnerhet bör nivån på skyddet av utrikestjänstens personal, fysiska tillgångar och information överensstämma med bästa praxis i rådet, Europeiska kommissionen och medlemsstaterna samt, i tillämpliga fall, de internationella organisationerna.

(5)	De grundprinciper och miniminormer för skyddet av säkerhetsskyddsklassificerade uppgifter som tillämpas av utrikestjänsten ska överensstämma med dem som tillämpas av rådet och Europeiska kommissionen.

(6)	Det är nödvändigt att fastställa hur säkerheten inom utrikestjänsten ska organiseras och hur skyddsuppgifterna ska fördelas inom utrikestjänstens strukturer.

(7)	Den höga representanten bör, med stöd av medlemsstaterna, rådets generalsekretariat och Europeiska kommissionen, vidta alla åtgärder som krävs för dessa bestämmelsers tillämpning.

(8)	Den höga representanten bör stödja sig på relevant expertis i medlemsstaterna, rådets generalsekretariat och Europeiska kommissionen, efter behov, inklusive genom en lämplig säkerhetsstruktur.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte och tillämpningsområde

1.   I detta beslut fastställs säkerhetsbestämmelser för den europeiska avdelningen för yttre åtgärder (nedan kallad Europeiska utrikestjänsten eller utrikestjänsten). Det upprättas en allmän rättslig ram som gör det möjligt för utrikestjänsten att effektivt hantera risker som dess personal, fysiska tillgångar och information utsätts för och att fullgöra sina förpliktelser att visa aktsamhet i detta avseende.

2.   Utrikestjänstens säkerhetsbestämmelser ska gälla för all dess personal (dvs. tjänstemän och övriga anställda, nationella experter och lokalanställda) samt för all personal vid unionens delegationer, oavsett administrativ ställning eller ursprung (nedan kallade personalen).

3.   Den höga representanten ska vidta alla åtgärder som krävs för dessa bestämmelsers tillämpning vid utrikestjänsten och ska med stöd av relevanta myndigheter i medlemsstaterna och relevanta avdelningar inom rådets generalsekretariat och kommissionen bygga upp den nödvändiga kapaciteten, som ska täcka alla säkerhetsaspekter.

4.   Efter detta besluts ikraftträdande får vid behov övergångsbestämmelser i form av servicenivåavtal med relevanta avdelningar inom rådets generalsekretariat och kommissionen tillämpas.

5.   Den höga representanten ska se över dessa säkerhetsbestämmelser. Den höga representanten säkerställa en övergripande samstämmighet i tillämpningen av detta beslut.

6.   När så krävs ska den höga representanten på rekommendation av den kommitté som avses i artikel 9.6 godkänna säkerhetsstrategier där åtgärder för genomförande av detta beslut fastställs. Säkerhetskommittén kan på sin nivå besluta om säkerhetsriktlinjer för att komplettera eller understödja detta beslut.

7.   Vid tillämpningen av artikel 6 ska kommittén till fullo beakta de säkerhetsstrategier och säkerhetsriktlinjer som är i kraft i rådet och Europeiska kommissionen för att bibehålla samstämmigheten mellan utrikestjänstens, rådets och kommissionens bestämmelser.

Artikel 2

Hantering av säkerhetsrisker

1.   Utrikestjänsten ska för att fastställa sina skyddsbehov tillämpa en övergripande metod för bedömning av säkerhetsrisker i samråd med säkerhetsavdelningen vid rådets generalsekretariat och Europeiska kommissionens säkerhetsdirektorat. Samråd ska ske med den kommitté som avses i artikel 9.6 om metodens tillämpning inom utrikestjänsten.

2.   De risker som utrikestjänstens personal, fysiska tillgångar och information utsätts för ska hanteras som en process. Processen ska syfta till att identifiera kända säkerhetsrisker, fastställa säkerhetsåtgärder som ska minska riskerna till en acceptabel nivå och se till att åtgärderna tillämpas i enlighet med begreppet flernivåförsvar. Dessa åtgärders effektivitet ska utvärderas kontinuerligt.

3.   De roller, ansvar och uppgifter som fastställs i detta beslut påverkar inte det ansvar som åligger alla medlemmar av utrikestjänstens personal att utöva förnuft och gott omdöme i fråga om den egna säkerheten, och kravet att de följer alla tillämpliga bestämmelser, föreskrifter, förfaranden och instruktioner på säkerhetsområdet.

4.   Utrikestjänsten ska vidta alla rimliga åtgärder för att garantera personalens, de fysiska tillgångarnas och informationens säkerhet samt för att förhindra all rimligen förutsebar skada som kan åsamkas dessa i enlighet med artikel 1.3.

5.   Säkerhetsåtgärder inom utrikestjänsten för att skydda säkerhetsskyddsklassificerade uppgifter under hela deras livscykel ska motsvara uppgifternas eller materialets säkerhetsskyddsklassificeringsnivå, form och volym, läge och konstruktion för de utrymmen där de säkerhetsskyddsklassificerade uppgifterna förvaras och hotet, även det lokalt bedömda hotet, från fientlig och/eller brottslig verksamhet, inklusive spionage, sabotage och terroristverksamhet.

Artikel 3

Skydd av uppgifter

1.   Den höga representanten ska, efter samråd med den kommitté som avses i artikel 10.1 i rådets beslut 2010/427/EU om hur den europeiska avdelningen för yttre åtgärder ska organiseras och arbeta, anta bestämmelser för att skydda säkerhetsskyddsklassificerade uppgifter, som ska vara likvärdiga med dem som fastställs i rådets beslut 2011/292/EU om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (1). I avvaktan på att dessa bestämmelser antas ska utrikestjänsten efter nödvändig anpassning tillämpa ovannämnda rådssäkerhetsbestämmelser. Den höga representanten ska vidta alla åtgärder som krävs för dessa bestämmelsers tillämpning vid Europeiska utrikestjänsten i enlighet med artikel 1.3.

2.   Om medlemsstaterna matar in säkerhetsskyddsklassificerade uppgifter med en nationell säkerhetsklassificering i utrikestjänstens strukturer eller nät, ska utrikestjänsten skydda uppgifterna i enlighet med kraven för säkerhetsskyddsklassificerade EU-uppgifter på motsvarande nivå såsom fastställs i de tillämpliga bestämmelserna i enlighet med artikel 3.1.

3.   När det gäller skyddet av känsliga uppgifter som inte är säkerhetsskyddsklassificerade ska utrikestjänstens säkerhetsåtgärder stå i proportion till uppgifternas känslighet och/eller konsekvensen av deras obehöriga röjande för EU:s intressen.

Artikel 4

Fysisk säkerhet

1.   Lämpliga fysiska säkerhetsåtgärder, bland annat bestämmelser för kontroll av tillträde, ska införas för alla lokaler, byggnader, kontor, rum och andra utrymmen inom utrikestjänsten, inklusive utrymmen som inhyser kommunikations- och informationssystem som hanterar säkerhetsskyddsklassificerade uppgifter. Sådana åtgärder ska beaktas vid planeringen och utformningen av anläggningar.

2.   Vid behov ska fysiska säkerhetsåtgärder för skydd av personal och anhöriga införas.

3.   De åtgärder som avses i punkterna 1 och 2 ska stå i proportion till den uppskattade risken för personal och besökare, fysiska tillgångar och information.

4.   Utrymmen inom utrikestjänsten där uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre, eller motsvarande, förvaras ska fastställas som säkerhetsutrymmen i överensstämmelse med bestämmelserna i enlighet med artikel 3.1 och godkännas av den behöriga säkerhetsmyndigheten inom utrikestjänsten.

Artikel 5

Personalsäkerhetsgodkännande

1.   Tillgången till säkerhetsskyddsklassificerade uppgifter och förfarandena för personalsäkerhetsgodkännande ska omfattas av kraven i bestämmelserna i enlighet med artikel 3.1.

2.   Alla medlemmar av personalen som för sina arbetsuppgifter kan behöva ha tillgång till säkerhetsskyddsklassificerade uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre, eller motsvarande, ska säkerhetsprövas för respektive säkerhetsskyddsklassificeringsnivå innan de ges tillgång till sådana säkerhetsskyddsklassificerade uppgifter. Lokalanställda ska dock inte beviljas tillgång till säkerhetsskyddsklassificerade EU-uppgifter utom på de villkor som anges i bestämmelserna i enlighet med artikel 3.1.

3.   Förfarandena för personalsäkerhetsgodkännande av medlemmar av utrikestjänstens personal ska fastställas i bestämmelserna i enlighet med artikel 3.1. Dessa förfaranden ska ha en säkerhetsnivå motsvarande den hos förfarandena vid Europeiska kommissionen och rådets generalsekretariat.

Artikel 6

Säkerhet när det gäller kommunikations- och informationssystem

1.   Utrikestjänsten ska skydda den information som hanteras i kommunikations- och informationssystemen mot hot mot dess konfidentialitet, integritet, tillgänglighet, autenticitet och oavvislighet.

2.   Samtliga kommunikations- och informationssystem som behandlar säkerhetsskyddsklassificerade uppgifter ska genomgå en ackrediteringsprocess. Utrikestjänsten ska tillämpa ett system där hanteringen av säkerhetsackreditering sker i samråd med rådets generalsekretariat och Europeiska kommissionen.

3.   Om de säkerhetsskyddsklassificerade EU-uppgifterna skyddas med hjälp av kryptoprodukter, ska sådana produkter godkännas av utrikestjänstens kryptogodkännande myndighet på rekommendation av den kommitté som avses i artikel 10.1 i rådets beslut 2010/427/EU om hur den europeiska avdelningen för yttre åtgärder ska organiseras och arbeta, i överensstämmelse med artikel 10 i rådets beslut 2011/292/EU om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter.

4.   Den höga representanten ska, i den omfattning som krävs, upprätta följande funktioner för informationssäkring, i enlighet med artikel 3.1:

a)	Myndigheten för informationssäkring.

b)	Tempestmyndigheten.

c)	Den kryptogodkännande myndigheten.

d)	Kryptodistributionsmyndigheten.

5.   För vart och ett av systemen ska den höga representanten upprätta följande funktioner, i enlighet med artikel 3.1:

a)	Ackrediteringsmyndigheten för säkerhet.

b)	Den driftsansvariga myndigheten för informationssäkring.

Artikel 7

Säkerhetsmedvetenhet och säkerhetsutbildning

1.   Den höga representanten ska se till att lämpliga program för utbildning och medvetandegörande om säkerhetsfrågor utformas och genomförs inom utrikestjänsten, och att personalen och, vid behov, de anhöriga ges den information och utbildning som krävs i förhållande till riskerna på deras bostadsort.

2.   Personalen ska, innan den ges tillgång till säkerhetsskyddsklassificerade uppgifter och därefter regelbundet, upplysas om och bekräfta att de känner till sitt ansvar att skydda säkerhetsskyddsklassificerade EU-uppgifter i överensstämmelse med bestämmelserna i enlighet med artikel 3.1.

Artikel 8

Överträdelse av säkerhetsbestämmelserna och röjande av säkerhetsskyddsklassificerade uppgifter

1.   Överträdelser av säkerhetsbestämmelserna eller misstankar därom ska omedelbarts rapporteras till utrikestjänstens säkerhetsdirektorat, som ska informera de relevanta avdelningarna vid kommissionen och rådets generalsekretariat och de relevanta myndigheterna i medlemsstaterna efter behov.

2.   Om det är känt eller om det föreligger rimliga skäl att anta att säkerhetsskyddsklassificerade uppgifter har röjts eller förlorats, ska utrikestjänstens säkerhetsdirektorat informera Europeiska kommissionens säkerhetsdirektorat, rådets generalsekretariat eller medlemsstaten efter behov och vidta alla lämpliga åtgärder i överensstämmelse med bestämmelserna i enlighet med artikel 3.1

3.   Varje medlem av personalen som är ansvarig för en överträdelse av de säkerhetsbestämmelser som fastställs i detta beslut kan komma att underkastas disciplinära åtgärder enligt tillämpliga bestämmelser. Varje person som är ansvarig för röjande eller förlust av säkerhetsskyddsklassificerade uppgifter ska underkastas disciplinära och/eller rättsliga åtgärder enligt tillämpliga lagar och andra författningar.

Artikel 9

Säkerhetsorganisationen inom Europeiska utrikestjänsten

1.   Den höga representanten ska fungera som utrikestjänstens säkerhetsmyndighet. I den egenskapen ska den höga representanten se till att

a)

säkerhetsåtgärder samordnas tillsammans med medlemsstaternas behöriga myndigheter, rådets generalsekretariat och Europeiska kommissionen, och i förekommande fall tredjestater eller internationella organisationer, efter behov, om alla säkerhetsfrågor av relevans för utrikestjänstens verksamhet, bland annat om arten av hoten mot personalens, de fysiska tillgångarnas och informationens säkerhet, och vilka skyddsåtgärder som kan vidtas,

b)	säkerhetsaspekterna beaktas fullt ut redan från början inom utrikestjänstens samtliga verksamheter,

c)	utrikestjänstens personal beviljas EU-personalsäkerhetsgodkännanden i enlighet med artikel 5.2, innan de kan beviljas tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre, eller motsvarande,

d)

det för säkerhetsändamål inom utrikestjänsten inrättas ett registreringssystem som ska säkerställa att säkerhetsskyddsklassificerade uppgifter hanteras i överensstämmelse med bestämmelserna i enlighet med artikel 3.1, och att det förs ett register över alla säkerhetsskyddsklassificerade uppgifter som lämnas ut av utrikestjänsten till tredjestater och internationella organisationer, och över alla säkerhetsskyddsklassificerade uppgifter som tas emot från tredjestater eller internationella organisationer,

e)	de säkerhetsinspektioner som anges i artikel 11 genomförs,

f)

utredningar av alla eventuella inträffade eller misstänkta överträdelser av säkerhetsbestämmelserna genomförs, inklusive av läckor eller förlust av säkerhetsskyddsklassificerade uppgifter som innehas av eller härrör från utrikestjänsten, och att bistånd från de berörda säkerhetsmyndigheterna begärs vid sådana utredningar,

g)	lämpliga planer och mekanismer för incident- och konsekvenshantering upprättas så att effektiva åtgärder snabbt kan sättas in vid säkerhetsincidenter,

h)	lämpliga åtgärder vidtas om personalen underlåter att följa detta beslut.

2.   Den höga representanten får ingå administrativa överenskommelser efter behov, i synnerhet beträffande utbyte av säkerhetsskyddsklassificerade uppgifter med tredjestater eller internationella organisationer, utan att tillämpningen av artikel 218.3 i fördraget om Europeiska unionens funktionssätt påverkas. Samråd ska ske med den kommitté som avses i artikel 9.6 innan dessa ingås.

3.   Den verkställande generalsekreteraren ska se till att lämpliga fysiska och organisatoriska åtgärder har genomförts för att garantera personalens och besökares, de fysiska tillgångarnas och informationens säkerhet i utrikestjänstens samtliga lokaler. Den verkställande generalsekreteraren ska därvid biträdas av den driftsansvarige direktören och utrikestjänstens säkerhetsdirektorat.

4.   Utrikestjänsten ska ha ett säkerhetsdirektorat som ska ansvara för organiseringen av alla säkerhetsfrågor inom utrikestjänsten och som ska stå till förfogande för och vid behov får rapportera till den höga representanten i överensstämmelse med dess uppdrag. Säkerhetsdirektoratet ska, i överensstämmelse med artikel 10.3 i rådets beslut 2010/427/EU om hur den europeiska avdelningen för yttre åtgärder ska organiseras och arbeta, bistås av medlemsstaternas relevanta myndigheter.

5.   Chefen för varje unionsdelegation ska ansvara för genomförandet av alla åtgärder rörande delegationens säkerhet och ska ansvara för säkerheten i fråga om delegationens personal, besökare, fysiska tillgångar och information. Chefen ska därvid biträdas av utrikestjänstens säkerhetsdirektorat, de medlemmar av delegationens personal som avdelats särskilt för dessa uppgifter och funktioner och av säkerhetspersonal som avdelats särskilt för detta ändamål och stationerats där det är nödvändigt.

6.   En säkerhetskommitté inrättas härmed. Den höga representanten ska rådgöra med säkerhetskommittén, som ska granska och bedöma alla säkerhetsfrågor inom ramen för detta beslut och i lämpliga fall lämna rekommendationer. Säkerhetskommittén ska bestå av relevanta säkerhetsexperter som företräder var och en av medlemsstaterna, rådets generalsekretariat och Europeiska kommissionens säkerhetsdirektorat. Den höga representanten, eller den företrädare som han eller hon utser, ska vara ordförande, och kommittén ska sammanträda enligt anvisningar från den höga representanten eller på begäran av någon av dess medlemmar. Säkerhetskommittén ska organisera sitt arbete så att den kan lämna rekommendationer inom vart och ett av de särskilda säkerhetsområden som ingår i tillämpningsområdet för detta beslut.

7.   Chefen för utrikestjänstens säkerhetsdirektorat ska regelbundet och när så är nödvändigt träffa direktören för säkerhetsfrågor vid rådets generalsekretariat och direktören för Europeiska kommissionens säkerhetsdirektorat, för att diskutera frågor av gemensamt intresse.

Artikel 10

Säkerhet avseende GSFP-uppdrag och EU:s särskilda representant

Det ansvar som åligger varje uppdragschef eller EU:s särskilda representant beträffande uppdragets eller gruppens säkerhet fastställs i rådets beslut om inrättande av uppdraget eller om utnämning av EU:s särskilda representant. Varje uppdragschef eller särskilda representant får bistås av utrikestjänstens säkerhetsdirektorat för att säkerställa att den politik som godkänts av rådet rörande säkerhet i fråga om personal som utstationeras utanför Europeiska unionen i en operativ insats enligt avdelning V, kapitel 2 i fördraget om Europeiska unionen genomförs korrekt. Lämpliga sambandsmekanismer ska upprättas för detta ändamål.

Artikel 11

Säkerhetsinspektioner

1.   Den höga representanten ska se till att säkerhetsinspektioner görs för att kontrollera att alla säkerhetsbestämmelser till skydd för personal, fysiska tillgångar och information inom utrikestjänsten och under de uppdrag som utförs enligt avdelning V, kapitel 2 i fördraget om Europeiska unionen följs.

2.   Utrikestjänsten får vid behov stödja sig på relevant expertis i medlemsstaterna, rådets generalsekretariat och Europeiska kommissionen.

3.   Den höga representanten ska anta ett årligt program för säkerhetsinspektioner.

Artikel 12

Planeringen inför oförutsedda avbrott

Utrikestjänstens säkerhetsdirektorat ska bistå den verkställande generalsekreteraren med förvaltningen av de säkerhetsrelaterade aspekterna på utrikestjänstens processer som en del av utrikestjänstens övergripande planeringen inför oförutsedda avbrott.

Artikel 13

Ikraftträdande

Detta beslut träder i kraft samma dag som det undertecknas.

---

(1)  Rådets beslut 2011/292/EU av den 31 mars 2011 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 141, 27.5.2011, s. 17).

---