med beaktande av fördraget om upprättandet av Europeiska gemenskapen, särskilt artikel 218.2,

med beaktande av fördraget om upprättandet av Europeiska atomenergigemenskapen, särskilt artikel 131,

med beaktande av fördraget om Europeiska unionen, särskilt artikel 28 och artikel 41.1, och

Säkerhetsbestämmelserna i bilagan till beslut 2001/844/EG, EKSG, Euratom skall ändras på följande sätt:

Detta beslut träder i kraft samma dag som det offentliggörs i Europeiska unionens officiella tidning.

BILAGA

”27. GEMENSAMMA MINIMINORMER FÖR INDUSTRISÄKERHET

27.1 Inledning

I detta avsnitt behandlas säkerhetsskyddsaspekter av företagsverksamhet som endast gäller för förhandling om och tilldelning av kontrakt där arbetsuppgifter som innebär, medför eller innehåller sekretessbelagda EU-uppgifter överlåts till och utförs av företag eller andra enheter, inbegripet utlämnande av eller tillgång till sekretessbelagda EU-uppgifter under det offentliga upphandlingsförfarandet (anbudsperiod och förhandlingar innan kontrakt ingås).

27.2 Definitioner

Vid tillämpningen av dessa gemensamma miniminormer avses med:

a) sekretessbelagt kontrakt: varje kontrakt eller bidragsöverenskommelse avseende leverans av varor, utförande av arbete eller tillhandahållande av byggnader eller tjänster där genomförandet kräver eller innebär tillgång till eller framställning av sekretessbelagda EU-uppgifter.

b) sekretessbelagt underleverantörskontrakt: ett kontrakt som ingås av en leverantör med en annan leverantör (dvs. underleverantör) om leverans av varor, utförande av arbete eller tillhandahållande av byggnader eller tjänster där genomförandet kräver eller innebär tillgång till eller framställande av sekretessbelagda EU-uppgifter.

c) leverantör: en fysisk eller juridisk person som har rättskapacitet att ingå kontrakt eller ta emot bidrag.

d) verkställande säkerhetsmyndighet (VSM): en myndighet som är ansvarig inför en EU-medlemsstats nationella säkerhetsmyndighet (NSM) och som ansvarar för att informera företag eller andra enheter om den nationella politiken i alla frågor rörande säkerhetsskydd och för att ge ledning och bistånd vid dess genomförande. Den verkställande säkerhetsmyndighetens verksamhet får utföras av den nationella säkerhetsmyndigheten.

e) intyg om säkerhetsgodkännande av verksamhetsställe: ett av en NSM/VSM utfärdat administrativt beslut för att en verksamhet kan ge lämpligt säkerhetsskydd för sekretessbelagda EU-uppgifter med en specificerad sekretessgrad, och för att den personal i verksamheten som behöver tillgång till sekretessbelagda EU-uppgifter har säkerhetsprövats på lämpligt sätt och informerats om de säkerhetsskyddskrav som gäller för att få tillgång till och skydda sekretessbelagda EU-uppgifter.

f) företag eller annan enhet: en enhet som är verksam med att leverera varor, utföra arbeten eller tillhandahålla tjänster; detta får inbegripa industriella och kommersiella enheter och enheter inom sektorerna för tjänster, vetenskap, forskning, utbildning eller utveckling.

g) säkerhetsskydd vid företag: tillämpningen av säkerhetsskyddsåtgärder och förfaranden för att förhindra, upptäcka och avhjälpa förlust av eller skada på sekretessbelagda EU-uppgifter som handhas av en leverantör eller underleverantör vid kontraktsförhandlingarna eller under kontraktstiden.

h) nationell säkerhetsmyndighet (NSM): den statliga myndighet i en EU-medlemsstat som har det yttersta ansvaret för skyddet av sekretessbelagda EU-uppgifter.

i) övergripande sekretessgrad för ett kontrakt: fastställande av sekretessgraden för hela kontraktet på grundval av klassningen av den information eller det material som skall eller kan komma att framställas, lämnas ut eller ges tillgång till inom varje del av kontraktet i sin helhet. Den övergripande sekretessgraden för ett kontrakt får inte vara lägre än den högsta klassningen av någon av dess delar, men kan bli högre på grund av helheten.

j) dokument om säkerhetsskydd (säkerhetsskyddsplan, SAL): en uppsättning särskilda kontraktsvillkor som utfärdas av upphandlingsmyndigheten och som utgör en integrerad del av ett sekretessbelagt kontrakt som innebär tillgång till eller framställande av sekretessbelagda EU-uppgifter och i vilken säkerhetsskyddskraven eller de delar av kontraktet som kräver säkerhetsskydd fastställs.

k) klassningsmanual: ett dokument som beskriver de delar av ett program eller kontrakt som är sekretessbelagda och fastställer de tillämpliga sekretessgraderna. Klassningsmanual kan utvidgas under hela program- eller kontraktstiden, och delar av informationen kan omklassas eller ges en lägre sekretessgrad. Klassningsmanual skall utgöra en del av säkerhetsskyddsplanen.

27.3 Organisation

a)	Kommissionen får genom kontrakt överlåta arbetsuppgifter som innebär, medför eller innehåller sekretessbelagda EU-uppgifter till företag eller andra enheter som är registrerade i en medlemsstat.

b)	Kommissionen skall vid tilldelning av sekretessbelagda kontrakt se till att alla krav som följer av dessa miniminormer uppfylls.

c)	Kommissionen skall se till att de nationella säkerhetsmyndigheterna (NSM) har lämpliga strukturer för att tillämpa dessa miniminormer för företagssekretess. Dessa kan inbegripa en eller flera verkställande säkerhetsmyndigheter (VSM).

d)	Det yttersta ansvaret för skyddet av sekretessbelagda EU-uppgifter hos företag eller andra enheter ligger hos deras ledning.

Vid tilldelningen av ett kontrakt eller ett underleverantörskontrakt som omfattas av tillämpningsområdet för dessa miniminormer skall kommissionen eller den nationella respektive den verkställande säkerhetsmyndigheten omedelbart meddela den nationella eller den verkställande säkerhetsmyndigheten i den medlemsstat där leverantören eller underleverantören är registrerad.

27.4 Sekretessbelagda kontrakt och beslut om bidrag

Vid säkerhetsklassificeringen av kontrakt eller överenskommelser om bidrag skall följande principer beaktas:

—	Kommissionen skall vid behov fastställa vilka delar av kontraktet som kräver skydd och den lämpliga informationssäkerhetsklassen och skall därvid beakta den ursprungliga informationssäkerhetsklassning som upphovsmannen har fastställt för uppgifter som framställts innan kontraktet tilldelades.

—	Den övergripande sekretessgraden för ett kontrakt får inte vara lägre än den högsta klassningen av någon av dess delar.

—	Sekretessbelagda EU-uppgifter som har framställts under kontraktsstyrd verksamhet skall klassas enligt klassningsmanual.

—	I förekommande fall skall kommissionen, i samråd med upphovsmannen, ansvara för ändring av den övergripande sekretessgraden för kontraktet eller säkerhetsklassningen av någon av dess delar, och för informationen om detta till alla berörda parter.

—

Sekretessbelagda uppgifter som lämnas ut till leverantören eller underleverantören eller som framställs under kontraktsstyrd verksamhet får inte användas i några andra syften än de som fastställs i det sekretessbelagda kontraktet och får inte lämnas ut till tredje man utan föregående skriftligt medgivande från upphovsmannen.

Kommissionen och medlemsstaternas NSM eller VSM skall ansvara för att leverantörer och underleverantörer som tilldelas sekretessbelagda kontrakt med uppgifter som klassats CONFIDENTIEL UE eller högre vidtar alla lämpliga åtgärder för att, i enlighet med nationella lagar och andra författningar, skydda sådana sekretessbelagda EU-uppgifter som lämnats ut till eller framställts av dem vid genomförandet av det sekretessbelagda kontraktet. Bristande iakttagande av säkerhetskraven kan leda till att kontraktet hävs.

Alla företag eller andra enheter som deltar i sekretessbelagda kontrakt som innebär tillgång till uppgifter som klassats CONFIDENTIEL UE eller högre måste inneha ett nationellt intyg om säkerhetsgodkännande av verksamhetsställe. Detta bevis beviljas av NSM eller VSM i en medlemsstat för att bekräfta att en verksamhet kan ge och garantera tillräckligt säkerhetsskydd för sekretessbelagda EU-uppgifter med den berörda sekretessgraden.

När ett kontrakt tilldelas är en tjänsteman med ansvar för säkerheten vid verksamhetsstället, som utsetts av leverantören eller underleverantören ansvarig för att bevilja ett intyg om säkerhetsprövning för alla personer som är anställda vid företag och andra enheter som är registrerade i den medlemsstaten, och vilkas arbetsuppgifter inom ramen för ett sekretessbelagt kontrakt kräver tillgång till EU-uppgifter som klassats CONFIDENTIEL UE eller högre.

e)	Sekretessbelagda kontrakt måste inbegripa ett dokument om säkerhetsskydd (säkerhetsskyddsplan) enligt punkt 27.2 j. Denna förklaring skall innehålla en klassningsmanual.

Innan kommissionen påbörjar förhandlingarna om ett sekretessbelagt kontrakt skall det ta kontakt med NSM eller VSM i de medlemsstater där de berörda företagen eller andra enheterna är registrerade för att få bekräftelse på att de innehar ett intyg om säkerhetsgodkännande av verksamhetsställe för den sekretessgrad som gäller för kontraktet.

g)	Upphandlingsmyndigheten skall inte ingå ett sekretessbelagt kontrakt med den valde anbudsgivaren innan ett giltigt intyg om säkerhetsgodkännande av verksamhetsställe har lämnats.

h)	Om inte annat fastställs i medlemsstaternas nationella lagar och andra författningar krävs inget intyg om säkerhetsgodkännande av verksamhetsställe för uppgifter som klassats RESTREINT EU.

i)	När det gäller anbud avseende sekretessbelagda kontrakt skall anbudsinfordran innehålla en bestämmelse om att den anbudsgivare som underlåter att lämna ett anbud eller inte väljs ut skall vara skyldig att inom en bestämd tid återlämna alla handlingar.

Det kan visa sig nödvändigt för en leverantör att förhandla om sekretessbelagda underleverantörskontrakt med underleverantörer på olika nivåer. Leverantören är ansvarig för att se till att all underleverantörskontraktsverksamhet sker i enlighet med de gemensamma miniminormerna i detta avsnitt. Entreprenören får dock inte lämna ut sekretessbelagda EU-uppgifter eller sekretessbelagt material till en underleverantör utan föregående skriftligt medgivande från upphovsmannen.

k)	De villkor på vilka leverantören kan anlita underleverantörer skall fastställas i anbudsinfordran och i kontraktet. Endast med ett uttryckligt skriftligt tillstånd från kommissionen kan underleverantörskontrakt tilldelas enheter som är registrerade i en stat utanför EU.

Under kontraktets hela löptid skall efterlevnaden av alla dess säkerhetsbestämmelser övervakas av den berörda NSM eller VSM i samordning med kommissionen. Anmälan om incidenter rörande säkerhetsskyddet skall ske i enlighet med bestämmelserna i del II avsnitt 24 i dessa säkerhetsbestämmelser. Ändring eller återkallande av ett intyg om godkännande av verksamhetsställe skall omedelbart meddelas kommissionen och varje annan NSM eller VSM till vilken intyget har anmälts.

m)	När ett sekretessbelagt kontrakt eller underkontrakt har avslutats skall kommissionen eller NSM eller VSM omedelbart underrätta den NSM eller VSM i de medlemsstater där leverantören eller underleverantören är registrerad.

n)	Efter det att det sekretessbelagda kontraktet eller underkontraktet har avslutats eller upphört skall leverantörerna och underleverantörerna fortsätta att iaktta de gemensamma miniminormerna i detta avsnitt och bibehålla sekretessen för de sekretessbelagda uppgifterna.

o)	Särskilda bestämmelser om hur sekretessbelagda uppgifter skall hanteras efter det att kontraktet har upphört skall fastställas i dokumentet om säkerhetsskydd (säkerhetsskyddsplanen) eller i andra relevanta bestämmelser om säkerhetskrav.

p)	De skyldigheter och villkor som avses i detta avsnitt, gäller i tillämpliga delar förfaranden där bidrag beviljas genom beslut och särskilt då stödmottagarna. Alla mottagarens skyldigheter skall framgå av bidragsbeslutet.

27.5 Besök

Besök av personal från kommissionen hos företag eller andra enheter i medlemsstaterna som fullgör sekretessbelagda EU-kontrakt skall arrangeras med den berörda NSM eller VSM. Besök av anställda vid företag eller andra enheter inom ramen för sekretessbelagda EU-kontrakt skall arrangeras mellan de berörda NSM eller VSM. De NSM eller VSM som är inbegripna i ett sekretessbelagt EU-kontrakt får dock enas om ett förfarande genom vilket besök av anställda vid företag eller andra enheter kan arrangeras direkt.

27.6 Överlämnande och transport av sekretessbelagda EU-uppgifter

a)	När det gäller överlämnande av sekretessbelagda EU-uppgifter skall bestämmelserna i del II avsnitt 21 i dessa säkerhetsbestämmelser tillämpas. I syfte att komplettera dessa bestämmelser skall alla befintliga förfaranden som är i kraft i medlemsstaterna tillämpas.

Internationell transport av sekretessbelagda EU-uppgifter avseende sekretessbelagda kontrakt skall ske i enlighet med medlemsstaternas nationella förfaranden. Följande principer skall gälla vid granskningen av säkerhetsarrangemangen för internationell transport:

—	Säkerheten skall garanteras i alla skeden av transporten och under alla omständigheter skall säkerheten garanteras från ursprungsplatsen till slutdestinationen.

—	Den skyddsnivå som skall ges en leverans avgörs i förhållande till den högsta sekretessgraden för det material som leveransen innehåller.

—	Vid behov skall intyg om säkerhetsgodkännande av verksamhetsställe erhållas för företag som sköter transporten. I sådana fall skall den personal som sköter leveransen säkerhetsprövas i enlighet med de gemensamma miniminormerna i detta avsnitt.

—	Resorna skall i möjligaste mån ske utan avbrott och genomföras så snabbt som omständigheterna medger.

—	När så är möjligt skall resorna endast ske genom EU:s medlemsstater. Resvägar genom stater utanför EU får endast användas efter tillstånd från NSM eller VSM i både den avsändande och den mottagande medlemsstaten.

—	Innan några sekretessbelagda EU-uppgifter förflyttas skall en transportplan upprättas av avsändaren och godkännas av de berörda NSM/VSM.”