1.

Denna bilaga innehåller tillämpningsbestämmelser för artikel 7. Den anger särskilt kriterier för att fastställa huruvida en person i fråga om lojalitet, tillförlitlighet och pålitlighet kan ges behörighet att ha tillgång till säkerhetsskyddsklassificerade EU-uppgifter och vilka utredningsförfaranden och administrativa förfaranden som ska tillämpas för detta ändamål.

2.

Överallt i denna bilaga, utom där åtskillnaden är relevant, används termen ”personalsäkerhetsgodkännande” för att beteckna ”nationellt personalsäkerhetsgodkännande” och/eller ”EU-personalsäkerhetsgodkännande” enligt definitionen i tillägg A.

3.

En person får beviljas tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre när

4.

Varje medlemsstat och generalsekretariatet ska fastställa vilka befattningar i deras organisationer som kräver tillgång till uppgifter som placerats på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre och därför kräver ett personalsäkerhetsgodkännande upp till respektive nivå.

5.

Nationella säkerhetsmyndigheter eller andra behöriga nationella myndigheter ska, efter att ha mottagit en vederbörligen godkänd begäran, ansvara för att de av deras medborgare som behöver ha tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre säkerhetsprövas. Prövningsnormerna ska motsvara nationella lagar och andra författningar.

6.

Om den berörda personen är bosatt på en annan medlemsstats eller på en tredjestats territorium, ska de behöriga nationella myndigheterna begära bistånd från den behöriga myndigheten i bosättningsstaten i enlighet med nationella lagar och andra författningar. Medlemsstaterna ska bistå varandra med att genomföra säkerhetsutredningar i enlighet med nationella lagar och andra författningar.

7.

Där så är möjligt enligt nationella lagar och andra författningar får nationella säkerhetsmyndigheter eller andra behöriga myndigheter göra en prövning av andra medborgare än de egna som behöver ha tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre. Prövningsnormerna ska motsvara nationella lagar och andra författningar.

8.

En persons lojalitet, tillförlitlighet och pålitlighet för beviljande av ett personalsäkerhetsgodkännande för tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre ska fastställas genom en säkerhetsprövning. Den behöriga nationella myndigheten ska göra en samlad bedömning med utgångspunkt i resultatet av en sådan prövning. En enstaka negativ observation utgör inte nödvändigtvis något skäl till att neka ett personalsäkerhetsgodkännande. Huvudkriterierna för detta bör bland annat, om detta är möjligt i enlighet med nationella lagar och andra författningar, vara att pröva om personen

9.

När det är lämpligt, och i enlighet med nationella lagar och andra författningar, kan även en persons ekonomiska och medicinska bakgrund tas med i bedömningen i samband med säkerhetsprövningen.

10.

I tillämpliga fall, och i överensstämmelse med nationella lagar och andra författningar, kan även makes eller makas, sambos eller nära familjemedlems personlighet, beteende och situation anses av intresse i samband med säkerhetsprövningen.

11.

Det inledande personalsäkerhetsgodkännandet för tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och SECRET UE/EU SECRET ska grundas på en säkerhetsprövning som omfattar minst de senaste fem åren eller perioden från 18 års ålder fram till dagens datum, beroende på vilken period som är kortast, och som ska omfatta

12.

Det inledande personalsäkerhetsgodkännandet för tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET ska grundas på en säkerhetsprövning omfattande minst de senaste tio åren, eller perioden från 18 års ålder fram till dagens datum, beroende på vilken period som är kortast. Om intervjuer genomförs enligt led e nedan ska undersökningarna omfatta minst sju år, eller perioden från 18 års ålder fram till dagens datum, beroende på vilken period som är kortast. Förutom de kriterier som anges i punkt 8 ovan ska följande sakförhållanden, så långt det är möjligt enligt nationella lagar och andra författningar, undersökas innan ett personalsäkerhetsgodkännande beviljas för TRÈS SECRET UE/EU TOP SECRET. De kan också undersökas innan ett sådant säkerhetsgodkännande beviljas för CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET PSC om detta fastställs i nationella lagar och andra författningar.

13.

Kompletterande undersökningar ska genomföras vid behov och i enlighet med nationella lagar och andra författningar för att ta fram alla tillgängliga relevanta uppgifter om personen och för att bestyrka eller vederlägga negativa uppgifter.

14.

Efter det ursprungliga beviljandet av personalsäkerhetsgodkännandet och under förutsättning att personen har haft oavbruten tjänst inom en nationell förvaltning eller vid generalsekretariatet och har ett fortsatt behov av tillgång till säkerhetsskyddsklassificerade EU-uppgifter, ska personalsäkerhetsgodkännandet granskas och förnyas minst vart femte år för ett godkännande som gäller TRÈS SECRET UE/EU TOP SECRET och vart tionde år för godkännanden som gäller SECRET UE/EU SECRET och CONFIDENTIEL UE/EU CONFIDENTIAL, med början från dagen för meddelandet om resultatet av den senaste säkerhetsprövning på vilken det grundas. Alla säkerhetsutredningar som gäller förnyelse av personalsäkerhetsgodkännande ska omfatta hela perioden sedan den förra prövningen.

15.

För förnyelse av personalsäkerhetsgodkännanden ska de faktorer som anges i punkterna 11 och 12 undersökas.

16.

Begäran om förnyelse ska lämnas i god tid med tanke på den tid som krävs för säkerhetsprövningar. Om den berörda ansvariga nationella säkerhetsmyndigheten eller annan behörig nationell myndighet har mottagit den relevanta begäran om förnyelse med tillhörande frågeformulär om personalsäkerhet innan personalsäkerhetsgodkännandet löper ut, och den nödvändiga säkerhetsprövningen inte har slutförts, får den behöriga nationella myndigheten trots det förlänga giltighetstiden för det befintliga personalsäkerhetsgodkännandet med högst tolv månader om detta är tillåtet enligt nationella lagar och andra författningar. Om säkerhetsprövningen ännu inte har slutförts vid utgången av denna tolvmånadersperiod, ska personen tilldelas uppgifter som inte kräver personalsäkerhetsgodkännande.

17.

För generalsekretariatets tjänstemän och övriga anställda ska generalsekretariatets säkerhetsmyndighet översända det ifyllda frågeformuläret om personalsäkerhet till den nationella säkerhetsmyndigheten i den medlemsstat där personen är medborgare med en begäran om att en säkerhetsprövning genomförs för den säkerhetsskyddsklassificeringsnivå för säkerhetsskyddsklassificerade EU-uppgifter som personen kommer att behöva ha tillgång till.

18.

När generalsekretariatet får kännedom om information som är relevant för en säkerhetsprövning och som avser en person som har ansökt om ett EU-personalsäkerhetsgodkännande, ska det i enlighet med tillämpliga bestämmelser meddela relevant nationella säkerhetsmyndighet detta.

19.

Efter det att säkerhetsprövningen har slutförts, ska den relevanta nationella säkerhetsmyndigheten meddela generalsekretariatets säkerhetsmyndighet resultatet av prövningen med användning av det standardformat som säkerhetskommittén föreskriver för detta.

20.

Säkerhetsprövningen, och de resultat som framkommit, ska omfattas av gällande relevanta lagar och andra författningar i den berörda medlemsstaten, även i fråga om överklagande. Beslut som har fattats av generalsekretariatets tillsättningsmyndighet ska kunna överklagas i enlighet med tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkoren för övriga anställda i Europeiska unionen, som fastställts i förordning (EEG, Euratom, EKSG) nr 259/68 (1) (nedan kallade tjänsteföreskrifterna och anställningsvillkoren).

21.

Den positiva bedömning som ett EU-personalsäkerhetsgodkännande grundar sig på ska, så länge detta är giltigt, omfatta berörd persons samtliga uppdrag inom generalsekretariatet eller kommissionen.

22.

Om en persons tjänstgöringstid inte börjar inom tolv månader efter det att resultatet av säkerhetsprövningen meddelats generalsekretariatets tillsättningsmyndighet, eller om det uppstår ett avbrott på tolv månader i personens tjänstgöring, och vederbörande under tiden inte har varit anställd vid generalsekretariatet eller i en tjänst i någon medlemsstats nationella förvaltning, ska resultatet överlämnas till den berörda nationella säkerhetsmyndigheten för bekräftelse av att det fortfarande är giltigt och tillämpligt.

23.

När generalsekretariatet får kännedom om en säkerhetsrisk som avser en person med ett giltigt EU-personalsäkerhetsgodkännande, ska det i enlighet med tillämpliga bestämmelser meddela detta till den relevanta nationella säkerhetsmyndigheten. Om en nationell säkerhetsmyndighet meddelar generalsekretariatet att det inte längre finns stöd för den positiva bedömning som gjorts i överensstämmelse med punkt 19 a av en person med ett giltigt EU-personalsäkerhetsgodkännande får generalsekretariatets tillsättningsmyndighet be den behöriga nationella säkerhetsmyndigheten om ytterligare klargöranden i överensstämmelse med nationella lagar och andra författningar. Om de negativa uppgifterna bekräftas ska EU-personalsäkerhetsgodkännandet återkallas och personen ska uteslutas från tillgång till säkerhetsskyddsklassificerade EU-uppgifter och från tjänster där sådan tillgång är möjlig eller personen i fråga kan äventyra säkerheten.

24.

Alla beslut om återkallande av ett EU-personalsäkerhetsgodkännande för en tjänsteman eller annan anställd vid generalsekretariatet och i förekommande fall skälen till detta ska meddelas den berörda personen, som kan begära att bli hörd av tillsättningsmyndigheten. Information från en nationell säkerhetsmyndighet ska omfattas av gällande relevanta lagar och andra författningar i den berörda medlemsstaten, även i fråga om överklaganden. Beslut som har fattats av generalsekretariatets tillsättningsmyndighet ska kunna överklagas i enlighet med tjänsteföreskrifterna och anställningsvillkoren.

25.

Nationella experter som har avdelats till generalsekretariatet på en tjänst som kräver ett EU-personalsäkerhetsgodkännande ska för generalsekretariatets säkerhetsmyndighet uppvisa ett giltigt nationellt personalsäkerhetsgodkännande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter innan de tillträder sin tjänst.

26.

Register över nationella personalsäkerhetsgodkännanden och EU-personalsäkerhetsgodkännanden som beviljats för tillgång till säkerhetsskyddsklassificerade EU-uppgifter ska hållas av varje medlemsstat respektive av generalsekretariatet. Dessa register ska åtminstone omfatta uppgifter om vilken säkerhetsskyddsklassificeringsnivå för säkerhetsskyddsklassificerade EU-uppgifter personen kan få tillgång till (CONFIDENTIEL UE/EU CONFIDENTIAL eller högre), datum för utfärdandet av personalsäkerhetsgodkännandet och dess giltighetstid.

27.

Den behöriga säkerhetsmyndigheten får utfärda ett intyg om personalsäkerhetsgodkännande som visar vilken säkerhetsskyddsklassificeringsnivå för säkerhetsskyddsklassificerade EU-uppgifter som personen kan få tillgång till (CONFIDENTIEL UE/EU CONFIDENTIAL eller högre), giltighetsdatum för respektive nationella personalsäkerhetsgodkännande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter eller EU-personalsäkerhetsgodkännande samt vilket datum själva intyget löper ut.

28.

Tillgången till säkerhetsskyddsklassificerade EU-uppgifter för personer i medlemsstaterna som i kraft av sina arbetsuppgifter vederbörligen bemyndigats att ha tillgång till dessa ska fastställas i enlighet med nationella lagar och andra författningar. Dessa personer ska informeras om sina säkerhetsåligganden när det gäller skyddet av säkerhetsskyddsklassificerade EU-uppgifter.

29.

Alla personer som har beviljats ett personalsäkerhetsgodkännande ska skriftligen bekräfta att de känner till sina åligganden när det gäller skyddet av säkerhetsskyddsklassificerade EU-uppgifter och följderna av läckor av säkerhetsskyddsklassificerade EU-uppgifter. Ett register över sådana skriftliga bekräftelser ska vid behov föras av medlemsstaten och av generalsekretariatet.

30.

Alla som är behöriga att ha tillgång till eller som har till uppgift att hantera säkerhetsskyddsklassificerade EU-uppgifter ska inledningsvis göras medvetna om och regelbundet informeras om hot mot säkerheten, och de ska omedelbart rapportera misstänkta eller ovanliga kontakter eller aktiviteter till behöriga säkerhetsmyndigheter.

31.

Alla som slutar en anställning för vilken det krävs tillgång till säkerhetsskyddsklassificerade EU-uppgifter ska göras medvetna om och vid behov skriftligt bekräfta sina åligganden när det gäller det fortsatta skyddet av säkerhetsskyddsklassificerade EU-uppgifter.

32.

Där så är möjligt enligt nationella lagar och andra författningar får ett personalsäkerhetsgodkännande som en medlemsstats behöriga nationella myndighet har beviljat för tillgång till nationella säkerhetsskyddsklassificerade uppgifter tillfälligt, i avvaktan på ett nationellt personalsäkerhetsgodkännande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter, ge nationella tjänstemän tillgång till säkerhetsskyddsklassificerade EU-uppgifter upp till motsvarande sekretessgrad enligt jämförelsetabellen i tillägg B, om en sådan tillfällig tillgång är nödvändig i EU:s intresse. De nationella säkerhetsmyndigheterna ska informera säkerhetskommittén om en sådan tillfällig tillgång till säkerhetsskyddsklassificerade EU-uppgifter inte är möjlig enligt nationella lagar och andra författningar.

33.

I brådskande fall får generalsekretariatets tillsättningsmyndighet, då detta är välmotiverat och i tjänstens intresse och i avvaktan på en fullständig säkerhetsprövning, efter samråd med den nationella säkerhetsmyndigheten i den medlemsstat där personen är medborgare och om inte annat följer av resultatet av de preliminära kontrollerna för att verifiera att inget negativt framkommit, ge generalsekretariatets tjänstemän och övriga anställda tillfällig behörighet att ha tillgång till säkerhetsskyddsklassificerade EU-uppgifter för en viss funktion. Sådana tillfälliga personalsäkerhetstillstånd ska vara giltiga under högst sex månader och får inte medge tillgång till information på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET. Alla personer som har beviljats tillfälligt personalsäkerhetstillstånd ska skriftligen bekräfta att de känner till sina åligganden när det gäller skyddet av säkerhetsskyddsklassificerade EU-uppgifter och följderna vid läckor av säkerhetsskyddsklassificerade EU-uppgifter. Ett register över sådana skriftliga bekräftelser ska föras av generalsekretariatet.

34.

När en person ska utnämnas till en tjänst för vilken det krävs ett personalsäkerhetsgodkännande på en högre nivå än den personen för tillfället innehar, får utnämningen göras tillfällig under förutsättning att

35.

Ovannämnda förfarande ska användas för att vid ett enda tillfälle ge tillgång till säkerhetsskyddsklassificerade EU-uppgifter med högre säkerhetsskyddsklassificeringsnivå än den för vilken personen har säkerhetsprövats. Detta förfarande får inte upprepas.

36.

Under ytterst exceptionella omständigheter, exempelvis uppdrag i fientliga miljöer eller under perioder av stigande internationell spänning, får medlemsstaterna och generalsekreteraren i nödfall, särskilt för att rädda liv, om möjligt skriftligt, bevilja tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET för personer som inte innehar det personalsäkerhetsgodkännande som krävs, under förutsättning att ett sådant tillstånd är absolut nödvändigt och det inte finns några rimliga tvivel beträffande personens lojalitet, tillförlitlighet och pålitlighet. Detta tillstånd ska registreras med en beskrivning av de uppgifter till vilka tillgång har godkänts.

37.

När det gäller uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET ska denna nödfallstillgång endast beviljas EU-medborgare med behörighet att ha tillgång till antingen den nationella motsvarigheten till uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET eller till SECRET UE/EU SECRET.

38.

Säkerhetskommittén ska informeras om när förfarandet i punkterna 36 och 37 tillämpas.

39.

När lagar och andra författningar i en medlemsstat föreskriver strängare regler i fråga om tillfälliga tillstånd, tillfälliga uppdrag, enstaka tillgång eller nödfallstillgång till säkerhetsskyddsklassificerade uppgifter får förfarandet i detta avsnitt endast tillämpas inom ramen för de begränsningar som anges i tillämpliga nationella lagar och andra författningar.

40.

Säkerhetskommittén ska få en årlig rapport om användningen av de förfaranden som anges i detta avsnitt.

41.

Om inte annat följer av punkt 28 får personer som ska delta i möten i rådet eller dess förberedande organ när uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre diskuteras endast göra detta efter bekräftelse på att de har intyg om personalsäkerhetsgodkännande. För delegater ska ett intyg om personalsäkerhetsgodkännande eller annat bevis på personalsäkerhetsgodkännande lämnas av den behöriga nationella myndigheten till rådets säkerhetsavdelning eller i undantagsfall överlämnas av den berörda delegaten personligen. I tillämpliga fall får en konsoliderad namnförteckning användas där personalsäkerhetsgodkännandet styrks på lämpligt sätt.

42.

Om ett nationellt personalsäkerhetsgodkännande av säkerhetsskäl återkallas för en person vars arbetsuppgifter kräver närvaro vid möten i rådet eller i dess förberedande organ, ska den behöriga myndigheten informera generalsekretariatet om detta.

43.

När personer ska arbeta under omständigheter där de potentiellt kan få tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre, ska de genomgå lämplig säkerhetsprövning och alltid ha ledsagare.

44.

Kurirer, vakter och ledsagare ska säkerhetsprövas för respektive sekretessnivå eller prövade på annat lämpligt sätt i enlighet med nationella lagar och andra författningar samt informeras om säkerhetsförfaranden för skyddet av säkerhetsskyddsklassificerade EU-uppgifter och om sina åligganden att skydda den information som de har anförtrotts.

1.

Denna bilaga innehåller tillämpningsbestämmelser för artikel 8. Här fastställs minimikrav för fysiskt skydd av lokaler, byggnader, kontor, rum och andra utrymmen där säkerhetsskyddsklassificerade EU-uppgifter hanteras och förvaras, inklusive utrymmen där kommunikations- och informationssystem förvaras.

2.

Fysiska säkerhetsåtgärder ska utformas för att hindra obehörig tillgång till säkerhetsskyddsklassificerade EU-uppgifter genom att man

3.

Fysiska säkerhetsåtgärder ska väljas på grundval av en hotbedömning gjord av de behöriga myndigheterna. Generalsekretariatet och medlemsstaterna ska var för sig tillämpa ett riskhanteringsförfarande för skydd av säkerhetsskyddsklassificerade EU-uppgifter i sina egna lokaler för att garantera att det erbjuds en fysisk skyddsnivå som står i proportion till den bedömda risken. I samband med riskhanteringsprocessen ska alla relevanta faktorer beaktas, särskilt

4.

Den behöriga säkerhetsmyndigheten ska med tillämpning av begreppet flernivåförsvar fastställa en lämplig kombination av fysiska säkerhetsåtgärder som ska tillämpas. Det kan röra sig om någon eller några av följande åtgärder:

5.

Den behöriga myndigheten kan ha behörighet att i avskräckande syfte utföra kontroller vid in- eller utpassering mot otillåtet införande av material eller otillåtet bortförande av någon form av säkerhetsskyddsklassificerade EU-uppgifter från utrymmen eller byggnader.

6.

När det finns en risk för att utomstående kan se säkerhetsskyddsklassificerade EU-uppgifter, även oavsiktligt, ska lämpliga åtgärder vidtas för att bemöta denna risk.

7.

För nya anläggningar ska de fysiska säkerhetskraven och deras funktionsspecifikationer fastställas i samband med planeringen och utformningen av anläggningarna. För befintliga anläggningar ska de fysiska säkerhetskraven tillämpas i så stor utsträckning som möjligt.

8.

När den behöriga säkerhetsmyndigheten förvärvar utrustning (exempelvis säkerhetsskåp, dokumentförstörare, dörrlås, elektroniska system för kontroll av tillträde, system för upptäckt av intrång, larmsystem) för fysiskt skydd av säkerhetsskyddsklassificerade EU-uppgifter, ska den se till att utrustningen uppfyller godkända tekniska standarder och minimikrav.

9.

De tekniska specifikationerna för utrustning som ska användas för det fysiska skyddet av säkerhetsskyddsklassificerade EU-uppgifter ska fastställas i säkerhetsriktlinjer som ska godkännas av säkerhetskommittén.

10.

Säkerhetssystemen ska inspekteras med jämna mellanrum och utrustningen regelbundet underhållas. Vid underhållsarbetet ska inspektionsresultaten beaktas så att utrustningen fortsätter att hålla optimala prestanda.

11.

De enskilda säkerhetsåtgärdernas och det övergripande säkerhetssystemets ändamålsenlighet ska vid varje inspektion bedömas på nytt.

12.

Två slag av fysiskt skyddade utrymmen, eller nationella motsvarigheter, ska skapas för att fysiskt skydda säkerhetsskyddsklassificerade EU-uppgifter, nämligen

I detta beslut ska alla hänvisningar till administrativa och säkrade områden, inklusive tekniskt säkrade områden, även anses omfatta nationella motsvarigheter.

13.

Den behöriga säkerhetsmyndigheten ska fastställa att ett utrymme uppfyller kraven för att betecknas som administrativt utrymme, säkrat utrymme eller tekniskt säkrat utrymme.

14.

När det gäller administrativa utrymmen

15.

När det gäller säkrade utrymmen

16.

När tillträde till ett säkrat utrymme i praktiken innebär direkt tillgång till de säkerhetsskyddsklassificerade uppgifter som finns där, ska dessutom följande krav gälla:

17.

Säkrade utrymmen som skyddas mot avlyssning ska betecknas som tekniskt säkrade utrymmen. Dessutom ska följande krav gälla:

18.

Trots vad som sägs i punkt 17 d ska all slags kommunikationsutrustning och elektrisk eller elektronisk utrustning innan denna används i utrymmen där det hålls möten eller utförs arbete som omfattar uppgifter på säkerhetsskyddsklassificeringsnivån SECRET UE/EU SECRET och högre och där hotet mot säkerhetsskyddsklassificerade EU-uppgifter bedöms vara allvarligt, först undersökas av den behöriga säkerhetsmyndigheten som ska försäkra sig om att inga begripliga uppgifter oavsiktligt eller olagligt kan föras ut från det säkrade utrymmet genom sådan utrustning.

19.

Säkrade utrymmen där tjänstgörande personal inte vistas 24 timmar om dygnet ska, när så är lämpligt, inspekteras efter den normala arbetstidens slut och med slumpvis valda mellanrum utanför normal arbetstid, utom när system för upptäckt av intrång har installerats.

20.

Säkrade utrymmen och tekniskt säkrade utrymmen får tillfälligt inrättas inom ett administrativt utrymme för ett sekretessbelagt möte eller liknande ändamål.

21.

Säkra driftsmetoder ska utarbetas för varje säkrat utrymme där följande fastställs:

22.

Valv ska byggas inom det säkrade utrymmet. Väggarna, golven, taken, fönstren och de låsförsedda dörrarna ska godkännas av den behöriga nationella säkerhetsmyndigheten och erbjuda skydd motsvarande ett säkerhetsskåp som godkänts för förvaring av säkerhetsskyddsklassificerade EU-uppgifter med motsvarande sekretessgrad.

23.

Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får hanteras

24.

Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska förvaras i lämpliga låsbara kontorsmöbler i ett administrativt eller säkrat utrymme. De får tillfälligt lagras utanför ett säkrat eller administrativt utrymme, förutsatt att innehavaren har åtagit sig att följa de kompensationsåtgärder som anges i säkerhetsanvisningarna från den behöriga myndigheten.

25.

Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET får hanteras

26.

Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET ska förvaras i ett säkrat utrymme i ett säkerhetsskåp eller valv.

27.

Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET ska hanteras i ett säkrat utrymme.

28.

Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET ska förvaras i ett säkrat utrymme på ett av följande villkor:

29.

Bestämmelserna om befordran av säkerhetsskyddsklassificerade EU-uppgifter utanför fysiskt säkrade utrymmen anges i bilaga III.

30.

Den behöriga säkerhetsmyndigheten ska fastställa förfaranden för hantering av nycklar och kombinationer för kontor, rum, valv och säkerhetsskåp. Dessa förfaranden ska skydda mot obehörig tillgång.

31.

Kombinationer ska memoreras av lägsta möjliga antal personer som behöver känna till dem. Kombinationer för säkerhetsskåp och valv avsedda för förvaring av säkerhetsskyddsklassificerade EU-uppgifter ska ändras

1.

Denna bilaga innehåller tillämpningsbestämmelser för artikel 9. I bilagan fastställs administrativa åtgärder för att kontrollera säkerhetsskyddsklassificerade EU-uppgifter genom deras hela livscykel för att avskräcka, upptäcka och avhjälpa avsiktligt eller oavsiktligt röjande eller förlust av dessa uppgifter.

2.

Uppgifter ska säkerhetsskyddsklassificeras när deras konfidentialitet behöver skyddas.

3.

Den som är upphovsman till säkerhetsskyddsklassificerade EU-uppgifter ska vara ansvarig för fastställandet av uppgifternas säkerhetsskyddsklassificeringsnivå i enlighet med de relevanta riktlinjerna för säkerhetskyddsklassificering och för den första spridningen av uppgifterna.

4.

Säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter ska fastställas i enlighet med artikel 2.2 och genom hänvisning till den säkerhetsstrategi som ska godkännas av rådet i enlighet med artikel 3.3.

5.

Säkerhetsskyddsklassificeringsnivån ska anges klart och korrekt, oberoende av huruvida de säkerhetsskyddsklassificerade EU-uppgifterna är i pappersform, muntlig, elektronisk eller någon annan form.

6.

Enstaka delar av en viss handling (dvs. sidor, stycken, avsnitt, bilagor, tillägg och annat bifogat material) kan kräva inplacering på en annan säkerhetsskyddsklassificeringsnivå och ska markeras i enlighet med detta, även när de förvaras i elektronisk form.

7.

Den övergripande säkerhetsskyddsklassificeringsnivån för en handling eller en datafil ska vara minst lika hög som den del som fått den högsta säkerhetsskyddsklassificeringsnivån. När uppgifter från olika källor sammanställs, ska den slutliga produkten ses över för att dess övergripande säkerhetsskyddsklassificeringsnivå ska kunna fastställas, eftersom den kan motivera en högre säkerhetsskyddsklassificeringsnivå än säkerhetsskyddsklassificeringsnivån för de enskilda delarna.

8.

I största möjliga utsträckning ska handlingar som innehåller delar på olika säkerhetsskyddsklassificeringsnivåer struktureras så att delar på olika säkerhetsskyddsklassificeringsnivå vid behov lätt kan identifieras och avskiljas.

9.

Ett brev eller en not som åtföljs av bifogade handlingar ska ha samma säkerhetsskyddsklassificeringsnivå som den högsta säkerhetsskyddsklassificeringsnivån hos bilagorna. Upphovsmannen ska tydligt ange på vilken nivå de ska säkerhetsskyddsklassificeras när de skilts från de bifogade handlingarna med hjälp av en lämplig markering, t.ex. följande:

CONFIDENTIEL UE/EU CONFIDENTIAL

Utan bilaga/bilagor RESTREINT UE/EU RESTRICTED

10.

Utöver de säkerhetsskyddsklassificeringsnivåer som anges i artikel 2.2 får säkerhetsskyddsklassificerade EU-uppgifter förses med ytterligare markeringar, till exempel följande:

11.

Standardiserade förkortade säkerhetsskyddsmarkeringar får användas för att ange säkerhetsskyddsklassificeringsnivån för enskilda stycken i en text. Förkortade säkerhetsskyddsmarkeringar får inte ersätta de fullständiga säkerhetsskyddsmarkeringarna.

12.

Följande standardförkortningar får användas i säkerhetsskyddsklassificerade EU-handlingar för att ange säkerhetsskyddsklassificeringsnivån för avsnitt eller textstycken vars storlek är mindre än en sida:

13.

När en säkerhetsskyddsklassificerad EU-handling upprättas

14.

Om det inte är möjligt att tillämpa punkt 13 på de säkerhetsskyddsklassificerade EU-uppgifterna ska andra lämpliga åtgärder vidtas i enlighet med säkerhetsriktlinjer som ska fastställas i enlighet med artikel 6.2.

15.

När uppgifterna skapas ska upphovsmannen om möjligt, särskilt när det gäller uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, ange huruvida de säkerhetsskyddsklassificerade EU-uppgifterna kan inplaceras på en lägre säkerhetsskyddsklassificeringsnivå eller beslut om att uppgifterna inte längre ska vara säkerhetsskyddsklassificerade kan meddelas vid en viss tidpunkt eller efter en särskild händelse.

16.

Generalsekretariatet och medlemsstaterna ska regelbundet se över säkerhetsskyddsklassificerade EU-uppgifter för att förvissa sig om att säkerhetsskyddsklassificeringsnivån fortfarande gäller. Generalsekretariatet ska inrätta ett system för att säkerställa att säkerhetsskyddsklassificeringsnivån för de registrerade säkerhetsskyddsklassificerade EU-uppgifter som det har givit upphov till ses över minst vart femte år. En sådan översyn är inte nödvändig om upphovsmannen redan från början har angett att uppgifterna automatiskt kommer att inplaceras på en lägre säkerhetsskyddsklassificeringsnivå eller att beslut om att uppgifterna inte längre behöver vara säkerhetsskyddsklassificerade kommer att meddelas och uppgifterna har märkts i enlighet med detta.

17.

För varje organisatorisk enhet inom generalsekretariatet och medlemsstaternas nationella förvaltningar där säkerhetsskyddsklassificerade EU-uppgifter hanteras ska det fastställas en ansvarig registreringsenhet i syfte att säkerställa att uppgifterna hanteras i enlighet med detta beslut. Registreringsenheterna ska inrättas som säkrade utrymmen enligt definitionen i bilaga II.

18.

I detta beslut avses med registrering för säkerhetsändamål (nedan kallat registrering) tillämpning av förfaranden som registrerar materialets livscykel, inbegripet dess spridning och förstöring.

19.

Allt material på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och högre ska registreras i de därför avsedda registren när de anländer till eller lämnar en organisatorisk enhet.

20.

Den centrala registreringsenheten vid generalsekretariatet ska föra ett register över alla säkerhetsskyddsklassificerade uppgifter som lämnas ut av rådet och generalsekretariatet till tredjestater och internationella organisationer, och över alla säkerhetsskyddsklassificerade uppgifter som tas emot från tredjestater eller internationella organisationer.

21.

När det gäller ett kommunikations- och informationssystem, får förfarandena utföras genom processer i själva kommunikations- och informationssystemet.

22.

Rådet ska godkänna en säkerhetsstrategi för registrering av säkerhetsskyddsklassificerade EU-uppgifter för säkerhetsändamål.

23.

En registreringsenhet ska utses i medlemsstaterna och generalsekretariatet för att fungera som central myndighet för mottagning och avsändning av uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET. Om det är nödvändigt får underenheter utses för att hantera sådana uppgifter för registreringsändamål.

24.

Sådana underenheter får inte överföra handlingar på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET direkt till andra underenheter som är underställda samma centrala registreringsenhet för TRÈS SECRET UE/EU TOP SECRET eller externt utan uttryckligt godkännande från det senare.

25.

Handlingar på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET får inte kopieras eller översättas utan föregående skriftligt medgivande från upphovsmannen.

26.

Om upphovsmannen till handlingar på säkerhetsskyddsklassificeringsnivån SECRET UE/EU SECRET och lägre inte har angett begränsning för kopiering eller översättning, får sådana handlingar kopieras eller översättas på uppdrag av innehavaren.

27.

De säkerhetsåtgärder som ska tillämpas på originaldokumentet ska även tillämpas på kopior och översättningar av detta.

28.

Befordran av säkerhetsskyddsklassificerade EU-uppgifter ska omfattas av skyddsåtgärderna i punkterna 30–40. När säkerhetsskyddsklassificerade EU-uppgifter befordras via elektroniska medier, och trots vad som sägs i artikel 9.4, får skyddsåtgärderna nedan kompletteras med lämpliga tekniska motåtgärder som föreskrivs av den behöriga säkerhetsmyndigheten för att minimera risken för att uppgifterna går förlorade eller röjs.

29.

De behöriga säkerhetsmyndigheterna i generalsekretariatet och i medlemsstaterna ska utfärda anvisningar för befordran av säkerhetsskyddsklassificerade EU-uppgifter i enlighet med detta beslut.

30.

Säkerhetsskyddsklassificerade EU-uppgifter som befordras inom en byggnad eller ett autonomt byggnadskomplex ska vara övertäckta så att det inte går att se innehållet.

31.

Inom en byggnad eller ett autonomt byggnadskomplex ska uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET befordras i ett förseglat kuvert försett med enbart adressatens namn.

32.

Säkerhetsskyddsklassificerade EU-uppgifter som befordras mellan byggnader eller lokaler inom EU ska förpackas så att de skyddas från obehörigt röjande.

33.

Befordran av uppgifter på en säkerhetsskyddsklassificeringsnivå upp till SECRET UE/EU SECRET inom EU ska ske med ett av följande medel:

Vid befordran från en medlemsstat till en annan ska bestämmelserna i led c begränsas till att gälla uppgifter på säkerhetsskyddsklassificeringsnivån upp till CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Material på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och SECRET UE/EU SECRET (t.ex. utrustning eller maskiner) som inte kan befordras på det sätt som avses i punkt 33 ska transporteras såsom frakt av kommersiella transportörer i enlighet med bilaga V.

35.

Fysisk befordran av uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET eller högre mellan byggnader eller lokaler inom EU ska ske med militär-, regerings- eller diplomatkurir, när så är lämpligt.

36.

Säkerhetsskyddsklassificerade EU-uppgifter som befordras från EU till en tredjestat ska förpackas så att de skyddas från obehörigt röjande.

37.

Fysisk befordran av uppgifter på en säkerhetsskyddsklassificeringsnivå upp till SECRET UE/EU SECRET från EU till en tredjestat ska ske med något av följande medel:

38.

Befordran av uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och SECRET UE/EU SECRET som EU lämnat till en tredjestat eller internationell organisation ska uppfylla de relevanta bestämmelserna i ett informationssäkerhetsavtal eller en administrativ överenskommelse enligt artikel 12.2 a eller b.

39.

Uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får också befordras med nationella posttjänster eller kommersiella kurirtjänster.

40.

Befordran av information på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET från EU till en tredjestats territorium ska ske med militär- eller diplomatkurir.

41.

Säkerhetsskyddsklassificerade EU-uppgifter som inte längre behövs får destrueras, utan att det påverkar relevanta bestämmelser om arkivering.

42.

Handlingar som är föremål för registrering i enlighet med artikel 9.2 ska destrueras av den ansvariga registreringsenheten enligt innehavarens eller en behörig myndighets anvisningar. Diarier och andra registreringsuppgifter ska uppdateras i enlighet med detta.

43.

För handlingar på säkerhetsskyddsklassificeringsnivån SECRET UE/EU SECRET eller TRÈS SECRET UE/EU TOP SECRET ska förstöringen utföras i närvaro av ett vittne som har säkerhetsgodkänts för minst den säkerhetsskyddsklassificeringsnivå som anges på handlingen som ska destrueras.

44.

Registratorn och vittnet om den senares närvaro krävs, ska underteckna ett förstöringsintyg som ska arkiveras vid registreringsenheten. Registreringsenheten ska bevara förstöringsintyg för handlingar på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET i minst tio år och för handlingar på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och SECRET UE/EU SECRET i minst fem år.

45.

Säkerhetsskyddsklassificerade handlingar, inklusive sådana på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, ska destrueras enligt metoder som uppfyller relevant EU-standard eller likvärdiga standarder eller som har godkänts av medlemsstaterna i enlighet med nationella tekniska standarder för att hindra hel eller partiell rekonstruktion.

46.

Förstöring av lagringsmedier för datorer som använts för säkerhetsskyddsklassificerade EU-uppgifter ska ske i enlighet med punkt 36 i bilaga IV.

47.

Termen inspektion ska nedan användas för att beteckna alla

för bedömning av effektiviteten i de åtgärder som genomförs för att skydda säkerhetsskyddsklassificerade EU-uppgifter.

48.

Inspektioner ska bland annat genomföras för att

49.

Rådet ska före utgången av varje kalenderår anta det inspektionsprogram som föreskrivs i artikel 15.1 c för det påföljande året. De faktiska tidpunkterna för varje inspektion eller utvärderingsbesök ska fastställas i samförstånd med den EU-byrå eller det EU-organ, den medlemsstat, tredjestat eller internationella organisation som berörs.

50.

Inspektioner ska genomföras för att kontrollera relevanta föreskrifter och förfaranden vid den inspekterade enheten och verifiera att dess praxis uppfyller de grundläggande principer och miniminormer som fastställs i detta beslut och i de bestämmelser som reglerar utbytet av säkerhetsskyddsklassificerade uppgifter med den enheten.

51.

Inspektionerna ska genomföras i två etapper. Före själva inspektionen ska vid behov ett förberedande möte anordnas med den berörda enheten. Efter detta förberedande möte ska inspektionsgruppen i samförstånd med den nämnda enheten göra upp ett detaljerat inspektionsprogram omfattande samtliga säkerhetsområden. Inspektionsgruppen ska ha tillträde till alla platser där säkerhetsskyddsklassificerade EU-uppgifter hanteras, särskilt registreringsenheter samt kommunikations- och informationssystemets anslutningspunkter (”points of presence”).

52.

Inspektioner i medlemsstaternas nationella förvaltningar ska genomföras under ansvar av en gemensam inspektionsgrupp från generalsekretariatet och kommissionen i fullständigt samarbete med tjänstemännen i den inspekterade enheten.

53.

Inspektioner i tredjestater och internationella organisationer ska genomföras under ansvar av en gemensam inspektionsgrupp från generalsekretariatet och kommissionen i fullständigt samarbete med tjänstemännen i den inspekterade tredjestaten eller internationella organisationen.

54.

Inspektioner av EU:s byråer och organ som inrättats enligt avdelning V kapitel 2 i EU-fördraget, samt av Europol och Eurojust, ska genomföras av generalsekretariatets säkerhetsavdelning med bistånd av experter från den nationella säkerhetsmyndighet på vars territorium byrån eller organet är beläget. Europeiska kommissionens säkerhetsdirektorat får delta när det regelbundet utbyter säkerhetsskyddsklassificerade EU-uppgifter med den berörda byrån eller det berörda organet.

55.

Vid inspektioner i EU:s byråer och organ som inrättats enligt avdelning V kapitel 2 i EU-fördraget, samt av Europol och Eurojust, och i tredjestater och internationella organisationer ska hjälp av experter från de nationella säkerhetsmyndigheterna begäras i enlighet med närmare förfaranden som ska godkännas av säkerhetskommittén.

56.

Efter avslutad inspektion ska de viktigaste slutsatserna och rekommendationerna presenteras för den inspekterade enheten. Därefter ska en inspektionsrapport utarbetas under ansvar av säkerhetsmyndigheten vid generalsekretariatet (säkerhetsavdelningen). Om korrigerande åtgärder och rekommendationer har föreslagits, ska tillräckligt detaljerade uppgifter för att underbygga de slutsatser som nåtts ingå i rapporten. Rapporten ska sändas till den behöriga myndigheten för den inspekterade enheten.

57.

För inspektioner som genomförs i medlemsstaternas nationella förvaltningar ska följande gälla:

En återkommande rapport ska utarbetas under ansvar av säkerhetsmyndigheten vid generalsekretariatet (säkerhetsavdelningen) med fokus på de viktigaste frågorna samt de viktigaste erfarenheterna från de inspektioner som genomförts i medlemsstaterna under en specificerad tidsperiod och ska granskas av säkerhetskommittén.

58.

För utvärderingsbesök i tredjestater och vid internationella organisationer ska rapporten översändas till säkerhetskommittén och till Europeiska kommissionens säkerhetsdirektorat. Rapporten ska minst placeras på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED. Alla korrigerande åtgärder ska kontrolleras under ett uppföljningsbesök och rapporteras till säkerhetskommittén.

59.

För inspektion av EU:s byråer och organ som inrättats enligt avdelning V kapitel 2 i EU-fördraget, samt av Europol och Eurojust, ska inspektionsrapporterna översändas till medlemmarna i säkerhetskommittén och till Europeiska kommissionens säkerhetsdirektorat. Utkastet till inspektionsrapport ska översändas till den berörda byrån eller det berörda organet, så att det kan kontrolleras att fakta stämmer och att inga uppgifter på högre säkerhetsskyddsklassificeringsnivå än RESTREINT UE/EU RESTRICTED ingår i rapporten. Alla korrigerande åtgärder ska kontrolleras under ett uppföljningsbesök och rapporteras till säkerhetskommittén.

60.

Säkerhetsmyndigheten vid generalsekretariatet ska genomföra regelbundna inspektioner av organisatoriska enheter inom generalsekretariatet för de ändamål som fastställs i punkt 48.

61.

Säkerhetsmyndigheten vid generalsekretariatet ska utarbeta och uppdatera en checklista för säkerhetsinspektioner för de punkter som ska kontrolleras under en inspektion. Denna checklista ska översändas till säkerhetskommittén.

62.

Nödvändiga uppgifter för att fylla i checklistan ska framför allt inhämtas under inspektionen från den enhet som inspekteras. När checklistan har fyllts i med detaljerade svar, ska den klassificeras i samförstånd med den inspekterade enheten. Den ska inte utgöra en del av inspektionsrapporten.

1.

Denna bilaga innehåller tillämpningsbestämmelser för artikel 10.

2.

Följande egenskaper och koncept för informationssäkring är av största betydelse för säkerheten och för att driften av kommunikations- och informationssystem ska kunna fungera på ett korrekt sätt:

3.

De bestämmelser som anges nedan ska utgöra grunden för säkerheten för alla säkerhetsskyddsklassificerade EU-uppgifter som hanteras i kommunikations- och informationssystem. Detaljerade krav för genomförandet av dessa bestämmelser ska definieras i säkerhetsstrategier och säkerhetsriktlinjer för informationssäkring.

4.

Hantering av säkerhetsrisker ska utgöra en integrerande del av definiering, utveckling, drift och underhåll av systemet. Riskhanteringen (bedömning, hantering, acceptans och kommunikation) ska gemensamt genomföras som en fortlöpande process av företrädare för systemägare, projektmyndigheter, driftsmyndigheter och säkerhetsgodkännande myndigheter genom att en beprövad, öppen och fullt begriplig riskbedömningsprocess används. Omfattningen av kommunikations- och informationssystemen och deras tillgångar ska klart definieras när riskhanteringsprocessen inleds.

5.

De behöriga myndigheterna ska se över potentiella hot mot systemet och kontinuerligt göra uppdaterade och noggranna hotbedömningar som avspeglar den befintliga driftsmiljön. De ska kontinuerligt uppdatera sina kunskaper om sårbarhetsfrågor och regelbundet se över sårbarhetsbedömningen för att hålla sig à jour med den föränderliga miljön på it-området.

6.

Syftet med säkerhetsriskhantering ska vara att tillämpa en serie säkerhetsåtgärder som resulterar i en tillfredsställande kompromiss mellan användarkrav, kostnader och kvarstående säkerhetsrisker.

7.

De särskilda krav, den skala och den grad av detalj som fastställs av den relevanta ackrediteringsmyndigheten för godkännandet från säkerhetssynpunkt av ett kommunikations- och informationssystem ska stå i proportion till den uppskattade risken, med beaktande av alla relevanta faktorer, inklusive säkerhetsskyddsklassificeringsnivån för de säkerhetsskyddsklassificerade EU-uppgifter som hanteras i kommunikations- och informationssystemet. Ackreditering ska inbegripa en formell redovisning av kvarstående risker och den ansvariga myndighetens acceptans av den kvarstående risken.

8.

Att garantera säkerheten ska vara ett krav under systemets hela livscykel, från inledandet till avvecklingen av systemet.

9.

Varje inblandad aktörs roll i och interaktion med systemet när det gäller dess säkerhet ska fastställas för varje skede av livscykeln.

10.

Varje system, inbegripet tekniska och icke-tekniska säkerhetsåtgärder, ska säkerhetstestas under godkännandeprocessen för att säkerställa att rätt säkerhetsnivå erhålls och för att kontrollera att de är korrekt genomförda, integrerade och konfigurerade.

11.

Säkerhetsutvärderingar, inspektioner och översyner ska regelbundet genomföras under ett systems drift och underhåll och när exceptionella omständigheter uppkommer.

12.

Systemets säkerhetsdokumentering ska utvecklas under dess livscykel såsom en integrerad del av processen för hantering av ändringar och konfiguration.

13.

Generalsekretariatet och medlemsstaterna ska samarbeta för att ta fram praxis för skydd av säkerhetsskyddsklassificerade EU-uppgifter som behandlas i systemet. Riktlinjer för praxis ska ange tekniska, fysiska, organisatoriska och procedurmässiga säkerhetsåtgärder för system vilkas ändamålsenlighet för att motverka givna hot och sårbarheter har bevisats.

14.

Vid skyddet av säkerhetsskyddsklassificerade EU-uppgifter som behandlas i systemet ska man utnyttja erfarenheterna vid de enheter som deltar i informationssäkring, både inom och utanför EU.

15.

Spridningen och det efterföljande genomförandet av bästa praxis ska bidra till uppnåendet av en likvärdig säkerhetsnivå för de olika system som används av generalsekretariatet och medlemsstaterna i vilka säkerhetsskyddsklassificerade EU-uppgifter hanteras.

16.

För att minska risken för kommunikations- och informationssystem ska en rad tekniska och icke-tekniska säkerhetsåtgärder genomföras, organiserade som flera försvarsnivåer. Dessa nivåer ska omfatta följande:

a)   Avskräckning: Säkerhetsåtgärder vars syfte är att avstyra eventuella planer på att angripa systemet.

b)   Förhindrande: Säkerhetsåtgärder vars syfte är att hindra eller blockera ett angrepp mot systemet.

c)   Upptäckt: Säkerhetsåtgärder vars syfte är att upptäcka ett angrepp mot systemet.

d)   Uthållighet: Säkerhetsåtgärder vars syfte är att begränsa följderna av ett angrepp till ett minimalt antal uppgifter eller systemtillgångar och att förhindra ytterligare skada.

e)   Återställande: Säkerhetsåtgärder vars syfte är att återställa en säker situation för systemet.

Hur stränga dessa säkerhetsåtgärder ska vara ska bestämmas genom en riskbedömning.

17.

De behöriga myndigheterna ska se till att de kan bemöta incidenter som kan gå utöver organisatoriska och nationella gränser för att samordna motåtgärder och utbyta information om dessa incidenter och riskerna i samband med dessa (kapacitet för incidenthantering).

18.

Endast väsentliga funktioner, apparater och tjänster för att uppfylla driftskraven ska utnyttjas för att undvika onödiga risker.

19.

Användarna av kommunikations- och informationssystemen och automatiserade processer ska endast ges det tillträde, de privilegier eller den behörighet de behöver för att utföra sina uppgifter för att begränsa eventuella skador genom olyckor, misstag eller obehörig användning av systemresurser.

20.

De registreringsförfaranden som vid behov utförs av ett kommunikations- och informationssystem ska kontrolleras som en del av godkännandeprocessen.

21.

Riskmedvetenhet och tillgängliga skyddsåtgärder utgör den första försvarslinjen för informations- och kommunikationssystemens säkerhet. All personal som är involverad i ett systems livscykel, även användare, ska särskilt inse

22.

För att garantera denna insikt om ansvaret för säkerheten ska utbildning i informationssäkring och medvetenhet vara obligatorisk för all inblandad personal, inbegripet den högre ledningen och systemanvändare.

23.

Den grad av förtroende som krävs i säkerhetsåtgärderna, definierad som en säkerhetsnivå, ska fastställas i enlighet med resultaten av riskhanteringsprocessen och i linje med relevanta säkerhetsstrategier och säkerhetsriktlinjer.

24.

Säkerhetsnivån ska kontrolleras genom att internationellt erkända eller nationellt godkända processer och metoder används. Detta inbegriper i första hand evaluering, skyddsåtgärder och revision.

25.

Kryptoprodukter för skydd av säkerhetsskyddsklassificerade EU-uppgifter ska evalueras och godkännas av en medlemsstats nationella kryptogodkännande myndighet.

26.

Innan sådana kryptoprodukter rekommenderas för godkännande av rådet eller generalsekreteraren i enlighet med artikel 10.6 ska de ha genomgått och klarat en andrapartsevaluering av en medlemsstats kvalificerade utvärderingsmyndighet (AQUA) som inte har deltagit i utformningen eller tillverkningen av utrustningen. Hur detaljerad andrapartsevalueringen ska vara beror på den planerade högsta säkerhetsskyddsklassificeringsnivån för de säkerhetsskyddsklassificerade EU-uppgifter som ska skyddas genom dessa produkter. Rådet ska godkänna en säkerhetsstrategi för utvärdering och godkännande av kryptoprodukter.

27.

När det är motiverat av särskilda operativa skäl får i förekommande fall rådet eller generalsekreteraren på rekommendation av säkerhetskommittén medge undantag från kraven i punkt 25 eller 26 och bevilja interimsgodkännande för en viss period i enlighet med förfarandet i artikel 10.6.

28.

En kvalificerad utvärderingsmyndighet (AQUA) ska vara en kryptogodkännande myndighet i en medlemsstat, vilken har ackrediterats på grundval av kriterier som rådet har fastställt för att genomföra andrapartsevalueringen av kryptoprodukter för skydd av säkerhetsskyddsklassificerade EU-uppgifter.

29.

Rådet ska godkänna en säkerhetsstrategi för kvalificering och godkännande av sådana produkter för it-säkerhet som inte används för kryptering.

30.

När överföringen av säkerhetsskyddsklassificerade EU-uppgifter är begränsad till säkrade områden, får trots bestämmelserna i detta beslut okrypterad distribution eller kryptering på en lägre nivå användas på grundval av resultatet av riskhanteringsförfarandet och med godkännande från ackrediteringsmyndigheten för säkerhet.

31.

I detta direktiv avses med sammankoppling en direkt förbindelse mellan två eller flera it-system i syfte att utbyta uppgifter och andra informationstillgångar (t.ex. kommunikation) i form av envägs- eller flervägskommunikation.

32.

Alla it-system som sammankopplats ska inledningsvis behandlas som icke-tillförlitliga och skyddsåtgärder ska införas för att kontrollera utbytet av säkerhetsskyddsklassificerade uppgifter.

33.

För all sammankoppling av system för säkerhetsskyddsklassificerade EU-uppgifter med ett annat it-system ska följande grundläggande krav uppfyllas:

34.

Det får inte förekomma samtrafik mellan ett ackrediterat kommunikations- och informationssystem och ett oskyddat eller allmänt nät, utom när systemet har godkända gränsskyddstjänster installerade för ett sådant ändamål mellan systemet och det oskyddade eller allmänna nätet. Säkerhetsåtgärderna för sådan samtrafik ska ses över av den behöriga myndigheten för informationssäkring och godkännas av den behöriga myndigheten för informationssäkring.

När det oskyddade eller allmänna nätet används enbart som nätoperatör och data är krypterade med en kryptoprodukt som godkänts i enlighet med artikel 10 ska en sådan sammankoppling inte betraktas som samtrafik.

35.

Direkt sammankoppling eller kaskadsammankoppling av ett kommunikations- och informationssystem som ackrediterats för uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET med ett oskyddat eller allmänt nät ska vara förbjuden.

36.

Lagringsmedier för datorer ska destrueras med hjälp av förfaranden som godkänts av den behöriga säkerhetsmyndigheten.

37.

Lagringsmedier för datorer ska återanvändas, inplaceras på en lägre säkerhetsskyddsklassificeringsnivå eller inte längre vara säkerhetsskyddsklassificerade i enlighet med förfaranden som ska fastställas enligt artikel 6.1.

38.

Trots bestämmelserna i detta beslut får de särskilda förfaranden som beskrivs nedan tillämpas i en nödsituation, exempelvis under en överhängande eller faktisk kris, konflikt, eller krigssituationer eller under exceptionella operativa omständigheter.

39.

Säkerhetsskyddsklassificerade EU-uppgifter får överföras med användning av kryptoprodukter som har godkänts för en lägre sekretessgrad eller utan kryptering med godkännande av den behöriga myndigheten, om en eventuell försening skulle förorsaka större skada än den skada som uppkommer genom ett röjande av det säkerhetsskyddsklassificerade materialet och om

40.

Säkerhetsskyddsklassificerade EU-uppgifter som överförs under de omständigheter som anges i punkt 38 får inte vara försedda med någon märkning eller några tecken som skiljer dem från ett meddelande som inte är sekretessbelagt eller som kan skyddas genom någon tillgänglig kryptoprodukt. Mottagarna ska utan dröjsmål underrättas om säkerhetsskyddsklassificeringsnivån på annat sätt.

41.

Om punkt 38 tillämpas, ska därefter en rapport lämnas till den behöriga myndigheten och till säkerhetskommittén.

42.

Följande funktioner för informationssäkring ska fastställas i medlemsstaterna och vid generalsekretariatet. Dessa funktioner förutsätter inte att det finns enskilda organisatoriska enheter. De ska ha olika mandat. Emellertid får dessa funktioner, och deras medföljande ansvarsområden, kombineras eller integreras i samma organisatoriska enhet eller delas upp i olika organisatoriska enheter, förutsatt att interna intresse- eller uppdragskonflikter undviks.

43.

Myndigheten för informationssäkring ska ansvara för att

44.

RÖS-myndigheten ska ansvara för att kommunikations- och informationssystemet överensstämmer med tempeststrategier och -riktlinjer. Den ska godkänna tempestmotåtgärder för anläggningar och produkter för att i driftsmiljön skydda säkerhetsskyddsklassificerade EU-uppgifter upp till en fastställd säkerhetsskyddsklassificeringsnivå.

45.

Den kryptogodkännande myndigheten ska ansvara för att kryptoprodukter överensstämmer med nationell kryptopolicy eller rådets kryptopolicy. Den ska bevilja godkännande av en kryptoprodukt för att skydda säkerhetsskyddsklassificerade EU-uppgifter i deras driftsmiljö upp till en fastställd säkerhetsskyddsklassificeringsnivå. När det gäller medlemsstaterna ska den kryptogodkännande myndigheten dessutom ansvara för utvärderingen av kryptoprodukter.

46.

Kryptodistributionsmyndigheten ska ansvara för att

47.

Ackrediteringsmyndigheten för säkerhet för varje system ska ansvara för att

48.

Ackrediteringsmyndigheten för säkerhet vid generalsekretariatet ska ansvara för att ackreditera alla kommunikations- och informationssystem som är i drift enligt uppdraget från generalsekretariatet.

49.

Den relevanta ackrediteringmyndigheten för säkerhet i en medlemsstat ska ansvara för att ackreditera kommunikations- och informationssystem och systemkomponenter som är i drift enligt uppdraget från medlemsstaten.

50.

En gemensam ackrediteringsnämnd för säkerhet ska ansvara för ackreditering av system som omfattas av uppdraget från såväl generalsekretariatets som medlemsstaternas ackrediteringsmyndigheter för säkerhet. Den ska bestå av en företrädare för ackrediteringsmyndigheten för säkerhet från varje medlemsstat, och en företrädare för kommissionens ackrediteringsmyndighet för säkerhet ska vara närvarande vid dess möten. Andra enheter med noder i ett kommunikations- och informationssystem ska bjudas in till de möten där det systemet tas upp till diskussion.

Nämndens ordförande ska vara en företrädare för generalsekretariatets ackrediteringsmyndighet för säkerhet. Nämnden ska besluta med konsensus mellan företrädare för institutionernas ackrediteringsmyndigheter för säkerhet, medlemsstaterna och andra enheter med noder i kommunikations- och informationssystemet. Den ska periodiskt avlägga rapport om sin verksamhet till säkerhetskommittén och underrätta denna om alla redovisningar av ackreditering.

51.

Den driftsansvariga myndigheten för informationssäkring för varje system ska ansvara för att

1.

Denna bilaga innehåller tillämpningsbestämmelser för artikel 11. Här fastställs allmänna säkerhetsbestämmelser för företag eller andra enheter vid kontraktsförhandlingar och under hela löptiden för av generalsekretariatet tilldelade kontrakt som kräver säkerhetsskyddsavtal.

2.

Rådet ska godkänna en industrisäkerhetsstrategi som särskilt innehåller detaljerade krav för säkerhetsgodkännanden av verksamhetsställe, säkerhetsskyddsöverenskommelser, besök, samt överföring och befordran av säkerhetsskyddsklassificerade EU-uppgifter.

3.

Före ett anbudsförfarande eller tilldelningen av ett kontrakt ska generalsekretariatet i egenskap av upphandlande myndighet fastställa säkerhetsklassificeringen för alla uppgifter som ska lämnas ut till anbudsgivare och entreprenörer, och även säkerhetsklassificeringen av eventuella uppgifter från entreprenören. Generalsekretariatet ska i detta syfte utarbeta en handbok om säkerhetsklassning, som ska användas när kontraktet fullgörs.

4.

Följande principer ska gälla för fastställande av säkerhetsskyddsklassificeringsnivån för de olika delarna i ett kontrakt som kräver säkerhetsskyddsavtal:

5.

De kontraktsspecifika säkerhetskraven ska anges i en säkerhetsskyddsöverenskommelse. Säkerhetsskyddsöverenskommelsen ska när så är lämpligt omfatta handboken om säkerhetsklassificering och utgöra en integrerande del av avtalet eller underentreprenörskontraktet.

6.

Säkerhetsskyddsöverenskommelsen ska innehålla bestämmelser om att entreprenören och/eller underentreprenören ska uppfylla de miniminormer som fastställs i detta beslut. Underlåtenhet att iaktta dessa miniminormer kan utgöra tillräcklig grund för att häva kontraktet.

7.

Beroende på omfattningen av program eller projekt som innebär tillgång till eller hantering eller lagring av säkerhetsskyddsklassificerade EU-uppgifter kan särskilda säkerhetsanvisningar för program/projekt utarbetas av den upphandlande myndighet som utsetts för att förvalta programmet eller projektet. Säkerhetsföreskrifterna för program/projekt ska godkännas av medlemsstaternas nationella säkerhetsmyndigheter/utsedda säkerhetsmyndigheter eller annan behörig säkerhetsmyndighet som deltar i programmet/projektet och kan innehålla ytterligare säkerhetskrav.

8.

Ett säkerhetsgodkännande av verksamhetsställe ska beviljas av en medlemsstats nationella säkerhetsmyndighet, utsedda säkerhetsmyndighet eller annan behörig säkerhetsmyndighet som en indikation på, i enlighet med nationella lagar och andra författningar, att en industrienhet eller en annan enhet kan skydda säkerhetsskyddsklassificerade EU-uppgifter med lämplig säkerhetsskyddsklassificeringsnivå (CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET) inom sina anläggningar. Det ska läggas fram för generalsekretariatet i egenskap av upphandlande myndighet, innan en entreprenör eller underentreprenör, eller potentiella sådana, kan få eller beviljas tillgång till säkerhetsskyddsklassificerade EU-uppgifter.

9.

När en nationell säkerhetsmyndighet eller en utsedd säkerhetsmyndighet utfärdar ett säkerhetsgodkännande av verksamhetsställe ska den, som ett minimum,

10.

I förekommande fall ska generalsekretariatet, i egenskap av upphandlande myndighet, meddela den berörda nationella/utsedda säkerhetsmyndigheten eller varje annan behörig säkerhetsmyndighet att det krävs ett säkerhetsgodkännande av verksamhetsställe i det förkontraktuella skedet eller för att genomföra kontraktet. Det ska krävas ett säkerhetsgodkännande av verksamhetsställe eller ett personalsäkerhetsgodkännande i det förkontraktuella skedet när säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET ska tillhandahållas under anbudsförfarandets gång.

11.

Den upphandlande myndigheten får inte tilldela den valde anbudsgivaren ett kontrakt som kräver säkerhetsskyddsavtal innan den har fått bekräftelse från den nationella/utsedda säkerhetsmyndigheten eller någon annan behörig myndighet i den medlemsstat där den berörde entreprenören eller underentreprenören är registrerad att ett giltigt intyg om säkerhetsgodkännande av verksamhetsställe har utfärdats, om ett sådant krävs.

12.

Den nationella/utsedda säkerhetsmyndighet eller annan behörig säkerhetsmyndighet som har utfärdat ett säkerhetsgodkännande av verksamhetsställe ska meddela generalsekretariatet i egenskap av upphandlande myndighet om alla ändringar som avser detta godkännande. När det gäller underentreprenader ska den nationella/utsedda säkerhetsmyndigheten eller annan behörig säkerhetsmyndighet informeras i enlighet med detta.

13.

Återkallande av ett säkerhetsgodkännande av verksamhetsställe av en behörig nationell säkerhetsmyndighet/utsedd säkerhetsmyndighet eller annan behörig säkerhetsmyndighet ska utgöra tillräcklig grund för att generalsekretariatet, i egenskap av upphandlande myndighet, ska kunna säga upp kontraktet eller utestänga en anbudsgivare från upphandlingsförfarandet.

14.

När säkerhetsskyddsklassificerade EU-uppgifter lämnas till en anbudsgivare i det förkontraktuella skedet ska meddelandet om upphandling innehålla en bestämmelse som förpliktigar den anbudsgivare som inte lämnat något anbud eller valts ut att inom en bestämd tid återlämna alla säkerhetsskyddsklassificerade handlingar.

15.

När ett kontrakt eller underentreprenörskontrakt som kräver säkerhetsskyddsavtal har tilldelats ska generalsekretariatet, i egenskap av upphandlande myndighet, underrätta entreprenörens eller underentreprenörens nationella/utsedda säkerhetsmyndighet eller annan behörig säkerhetsmyndighet om säkerhetsbestämmelserna i detta kontrakt.

16.

När sådana kontrakt sägs upp ska generalsekretariatet, i egenskap av upphandlande myndighet (och/eller den nationella/utsedda säkerhetsmyndigheten eller annan behörig säkerhetsmyndighet, beroende på vad som är lämpligt när det gäller underentreprenader), omedelbart underrätta den nationella/utsedda säkerhetsmyndigheten eller annan behörig säkerhetsmyndighet i den medlemsstat där entreprenören eller underentreprenören är registrerad.

17.

Som en allmän regel ska entreprenören eller underentreprenören vara skyldig att efter slutförandet av den entreprenaden eller underentreprenaden återlämna alla säkerhetsskyddsklassificerade EU-uppgifter till den upphandlande myndigheten.

18.

Särskilda bestämmelser för förfogandet över säkerhetsskyddsklassificerade EU-uppgifter under fullgörandet av kontraktet eller sedan det avslutats ska fastställas i säkerhetsskyddsöverenskommelsen.

19.

Om entreprenören eller underentreprenören har tillstånd att behålla säkerhetsskyddsklassificerade EU-uppgifter sedan kontraktet har avslutats, ska miniminormerna i detta beslut fortsätta att uppfyllas och konfidentialiteten för de säkerhetsskyddsklassificerade EU-uppgifterna ska skyddas av entreprenören eller underentreprenören.

20.

De villkor på vilka entreprenören får anlita underentreprenörer ska fastställas i anbudsinfordran och i kontraktet.

21.

En entreprenör ska inhämta tillstånd från generalsekretariatet, i egenskap av upphandlande myndighet, innan delar av kontraktet läggs ut på en underentreprenör. Industrienheter eller andra enheter som är registrerade i en stat utanför EU får endast tilldelas underentreprenörskontrakt om ett informationssäkerhetsavtal har ingåtts med EU.

22.

Entreprenören ska vara ansvarig för att se till att all underentreprenad utförs i enlighet med miniminormerna i detta beslut och får inte lämna ut säkerhetsskyddsklassificerade EU-uppgifter till en underentreprenör utan föregående skriftligt medgivande från den upphandlande myndigheten.

23.

När det gäller säkerhetsskyddsklassificerade EU-uppgifter som upprättats eller hanterats av entreprenören eller underentreprenören ska upphovsmannens rättigheter utövas av den upphandlande myndigheten.

24.

När generalsekretariatet, entreprenörer eller underentreprenörer kräver tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET i varandras lokaler för att genomföra ett sekretessbelagt kontrakt, ska besök anordnas tillsammans med de berörda nationella säkerhetsmyndigheterna/utsedda säkerhetsmyndigheterna eller andra behöriga säkerhetsmyndigheter. När det gäller särskilda projekt får dock de nationella/utsedda säkerhetsmyndigheterna även enas om ett förfarande genom vilket sådana besök kan anordnas direkt.

25.

Alla besökare ska inneha ett lämpligt personalsäkerhetsgodkännande och ha behovsenlig behörighet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter med anknytning till generalsekretariatets kontrakt.

26.

Besökare ska enbart ges tillgång till säkerhetsskyddsklassificerade EU-uppgifter som har samband med besökets syfte.

27.

Överföringen av säkerhetsskyddsklassificerade EU-uppgifter på elektronisk väg ska omfattas av tillämpliga bestämmelser i artikel 10 och bilaga IV.

28.

När det gäller befordran av säkerhetsskyddsklassificerade EU-uppgifter ska tillämpliga bestämmelser i bilaga III gälla, i enlighet med nationella lagar och andra författningar.

29.

Följande principer ska gälla vid fastställandet av säkerhetsarrangemangen för transport av säkerhetsskyddsklassificerat material som frakt:

30.

Säkerhetsskyddsklassificerade EU-uppgifter ska överföras till entreprenörer och underentreprenörer i tredjestater i enlighet med säkerhetsbestämmelser som överenskommits mellan generalsekretariatet, i egenskap av upphandlande myndighet, och den nationella/utsedda säkerhetsmyndigheten i den berörda tredjestat där entreprenören är registrerad.

31.

Tillsammans med den nationella/utsedda säkerhetsmyndigheten ska generalsekretariatet, i egenskap av upphandlande myndighet när så är lämpligt, ha rätt att i enlighet med kontraktsbestämmelserna inspektera entreprenörens/underentreprenörens verksamhetsställen för att kontrollera att de nödvändiga säkerhetsåtgärder för skydd av säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som krävs enligt kontraktet har vidtagits.

32.

I den omfattning som krävs enligt nationella lagar och andra författningar ska rådets generalsekretariat såsom den upphandlande myndigheten underrätta de nationella/utsedda säkerhetsmyndigheterna eller annan behörig säkerhetsmyndighet om kontrakt och underentreprenörskontrakt som innehåller säkerhetsskyddsklassificerade uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

33.

Det krävs inte något säkerhetsgodkännande av verksamhetsställe eller personalsäkerhetsgodkännande för entreprenörer eller underentreprenörer och deras personal för kontrakt som tilldelas av generalsekretariatet och som innehåller säkerhetsskyddsklassificerade uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

34.

Generalsekretariatet, i egenskap av upphandlande myndighet, ska granska de anbudssvar som inkommit till följd av meddelandena om upphandling och som avser kontrakt som kräver tillgång till säkerhetsskyddsklassificerade uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, utan hinder av de krav på säkerhetsgodkännande av verksamhetsställe eller personalsäkerhetsgodkännande som kan finnas i nationella lagar och andra författningar.

35.

De villkor enligt vilka entreprenören får lägga ut kontrakt på underentreprenad ska överensstämma med punkt 21.

36.

När ett kontrakt inbegriper hantering av uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED i ett kommunikations- och informationssystem som sköts av en entreprenör, ska generalsekretariatet i egenskap av upphandlande myndighet se till att kontraktet eller underentreprenörskontraktet specificerar de nödvändiga tekniska och administrativa kraven för ackreditering av kommunikations- och informationssystemet i proportion till den uppskattade risken, med beaktande av alla relevanta faktorer. Den upphandlande myndigheten och den berörda nationella/utsedda säkerhetsmyndigheten ska enas om omfattningen av ackrediteringen av ett sådant system.

1.

Denna bilaga innehåller tillämpningsbestämmelser för artikel 12.

2.

Om rådet fastställer att det finns ett långvarigt behov av utbyte av säkerhetsskyddsklassificerade uppgifter ska

i enlighet med artikel 12.2 och avsnitten III och IV och på grundval av en rekommendation från säkerhetskommittén.

3.

När säkerhetsskyddsklassificerade EU-uppgifter som framställts för en GSFP-insats ska tillhandahållas tredjestater eller internationella organisationer som deltar i sådana insatser, och när ingen av ramarna i punkt 2 föreligger, ska utbytet av säkerhetsskyddsklassificerade EU-uppgifter med den bidragande tredjestaten eller internationella organisationen regleras i enlighet med avsnitt V genom

4.

Om det inte finns någon sådan ram som avses i punkterna 2 och 3, och när ett beslut fattas om att utlämna säkerhetsskyddsklassificerade EU-uppgifter till en tredjestat eller internationell organisation i undantagsfall på ad hoc-basis, i enlighet med avsnitt VI, ska den berörda tredjestaten eller internationella organisationen uppmanas att skriftligen försäkra att den ska skydda alla säkerhetsskyddsklassificerade EU-uppgifter som utlämnas i enlighet med de grundprinciper och miniminormer som fastställs i detta beslut.

5.

Genom informationssäkerhetsavtal ska grundprinciper och miniminormer fastställas för utbyte av säkerhetsskyddsklassificerade uppgifter mellan EU och en tredjestat eller internationell organisation.

6.

Informationssäkerhetsavtal ska innehålla tekniska genomförandebestämmelser som ska godkännas av generalsekretariatets säkerhetsavdelning, Europeiska kommissionens säkerhetsdirektorat och den berörda tredjestatens eller internationella organisationens behöriga säkerhetsmyndighet. Sådana bestämmelser ska ta hänsyn till den skyddsnivå som erbjuds genom befintliga säkerhetsbestämmelser, säkerhetsstrukturer och säkerhetsförfaranden i den berörda tredjestaten eller internationella organisationen. De ska godkännas av säkerhetskommittén.

7.

Säkerhetsskyddsklassificerade EU-uppgifter får inte utbytas i elektronisk form, såvida detta inte uttryckligen föreskrivs i informationssäkerhetsavtalet eller i de tekniska genomförandebestämmelserna.

8.

Informationssäkerhetsavtal ska innehålla bestämmelser om att generalsekretariatets säkerhetsavdelning och Europeiska kommissionens säkerhetsdirektorat, innan säkerhetsskyddsklassificerade uppgifter lämnas ut i enlighet med avtalet, ska vara eniga om att den mottagande parten på lämpligt sätt kan skydda de uppgifter som den får.

9.

När rådet ingår ett informationssäkerhetsavtal med en tredje part ska en registreringsenhet utses hos varje part som huvudsaklig kontaktpunkt för in- och utpassering av säkerhetsskyddsklassificerade uppgifter.

10.

För att bedöma ändamålsenligheten av säkerhetsbestämmelserna, säkerhetsstrukturerna och säkerhetsförfarandena i den berörda tredjestaten eller internationella organisationen ska generalsekretariatets säkerhetsavdelning, tillsammans med Europeiska kommissionens säkerhetsdirektorat, genomföra utvärderingsbesök i samförstånd med den berörda tredjestaten eller internationella organisationen. Utvärderingsbesöken ska genomföras i enlighet med relevanta bestämmelser i bilaga III och innebära en utvärdering av

11.

Den grupp som genomför utvärderingsbesök på EU:s vägnar ska bedöma om säkerhetsbestämmelserna och säkerhetsförfarandena i den berörda tredjestaten eller internationella organisationen är tillräckliga för att skydda säkerhetsskyddsklassificerade EU-uppgifter på en viss nivå.

12.

Resultaten av besöken ska redovisas i en rapport, på grundval av vilken säkerhetskommittén ska fastställa den övre säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter som får utlämnas som papperskopia, och eventuellt elektroniskt, till den berörda tredje parten samt eventuella särskilda villkor för utbytet med den parten.

13.

Allt ska göras för att ett fullständigt säkerhetsutvärderingsbesök ska kunna genomföras hos den berörda tredjestaten eller internationella organisationen, så att det går att klargöra det befintliga säkerhetssystemets egenskaper och effektivitet, innan säkerhetskommittén godkänner genomförandebestämmelserna. Om detta visar sig vara omöjligt ska säkerhetskommittén erhålla en så fullständig rapport som möjligt från generalsekretariatets säkerhetsavdelning grundad på den information denna har tillgång till, för att upplysa säkerhetskommittén om de tillämpliga säkerhetsbestämmelserna och det sätt på vilket säkerheten organiseras hos den berörda tredjestaten eller internationella organisationen.

14.

Säkerhetskommittén får besluta att inga säkerhetsskyddsklassificerade EU-uppgifter får lämnas ut förrän resultatet av ett utvärderingsbesök har behandlats, eller att de endast får lämnas ut upp till en viss säkerhetsskyddsklassificeringsnivå, eller föreskriva om andra särskilda villkor för utlämningen av säkerhetsskyddsklassificerade EU-uppgifter till den berörda tredjestaten eller internationella organisationen. Generalsekretariatets säkerhetsavdelning ska anmäla detta till den berörda tredjestaten eller internationella organisationen.

15.

Generalsekretariatets säkerhetsavdelning ska i samförstånd med den berörda tredjestaten eller internationella organisationen med jämna mellanrum göra uppföljande utvärderingsbesök för att kontrollera att de tillämpade lösningarna fortfarande motsvarar de överenskomna miniminormerna.

16.

När informationssäkerhetsavtalet har trätt i kraft och säkerhetsskyddsklassificerade uppgifter utbyts med den berörda tredjestaten eller internationella organisationen, får säkerhetskommittén besluta att ändra den högsta säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter som får lämnas ut i pappersform eller i elektronisk form, särskilt mot bakgrund av ett uppföljande utvärderingsbesök.

17.

När det föreligger ett långsiktigt behov av att utbyta säkerhetsskyddsklassificerade uppgifter som i regel inte ligger över säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED med en tredjestat eller internationell organisation, och när säkerhetskommittén har fastställt att den parten inte har ett tillräckligt utvecklat säkerhetssystem för att ingå ett informationssäkerhetsavtal, får generalsekreteraren, med förbehåll för rådets godkännande, ingå en administrativ överenskommelse med de berörda myndigheterna i den aktuella tredjestaten eller internationella organisationen.

18.

När ramar för utbyte av säkerhetsskyddsklassificerade EU-uppgifter snabbt behöver införas av operativa skäl, får rådet undantagsvis besluta att en administrativ överenskommelse ska ingås för utbyte av information på en högre säkerhetsskyddsklassificeringsnivå.

19.

Administrativa överenskommelser ska i princip ha formen av en skriftväxling.

20.

Ett utvärderingsbesök enligt punkt 10 ska genomföras, och rapporten ska översändas till och godkännas av säkerhetskommittén innan säkerhetsskyddsklassificerade EU-uppgifter lämnas ut till den berörda tredjestaten eller internationella organisationen. Om det kommer till rådets kännedom att det finns exceptionella skäl för ett brådskande utbyte av säkerhetsskyddsklassificerade uppgifter, får säkerhetsskyddsklassificerade uppgifter dock lämnas ut under förutsättning att alla ansträngningar görs för att ett sådant utvärderingsbesök snarast möjligt ska kunna genomföras.

21.

Inga säkerhetsskyddsklassificerade EU-uppgifter får utbytas på elektronisk väg, såvida detta inte uttryckligen föreskrivs i den administrativa överenskommelsen.

22.

Ramavtal om deltagande reglerar tredjestaters eller internationella organisationers deltagande i GSFP-insatser. Sådana avtal ska inkludera bestämmelser om utlämning av säkerhetsskyddsklassificerade EU-uppgifter som framställts för GSFP-insatser till de bidragande tredjeländerna eller internationella organisationerna. Den högsta säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter som får utbytas ska vara RESTREINT UE/EU RESTRICTED för civila GSFP-insatser of CONFIDENTIEL UE/EU CONFIDENTIAL för militära GSFP-insatser, såvida inte något annat anges i det beslut genom vilket varje GSFP-insats upprättas.

23.

Ad hoc-avtal om deltagande som ingås för en särskild GSFP-insats ska inkludera bestämmelser om utlämning av säkerhetsskyddsklassificerade EU-uppgifter som framställts för den insatsen till den bidragande tredjestaten eller internationella organisationen. Den högsta säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter som får utbytas ska vara RESTREINT UE/EU RESTRICTED för civila GSFP-insatser of CONFIDENTIEL UE/EU CONFIDENTIAL för militära GSFP-insatser, såvida inte något annat anges i det beslut genom vilket varje GSFP-insats upprättas.

24.

Administrativa ad hoc-överenskommelser om en tredjestats eller internationell organisations deltagande i en bestämd GSFP-insats får omfatta bland annat utlämning av säkerhetsskyddsklassificerade EU-uppgifter som framställts för insatsen till tredjestaten eller den internationella organisationen. Sådana administrativa ad hoc-överenskommelser ska ingås i enlighet med de förfaranden som anges i punkterna 17 och 18 i avsnitt IV. Den högsta säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter som får utbytas ska vara RESTREINT UE/EU RESTRICTED för civila GSFP-insatser of CONFIDENTIEL UE/EU CONFIDENTIAL för militära GSFP-insatser, såvida inte något annat anges i det beslut genom vilket varje GSFP-insats upprättas.

25.

Inga arrangemang för genomförande eller utvärderingsbesök krävs före genomförandet av bestämmelserna om utlämning av säkerhetsskyddsklassificerade EU-uppgifter inom ramen för punkterna 22, 23 och 24.

26.

Om den värdstat på vars territorium GSFP-insatsen genomförs saknar gällande informationssäkerhetsavtal eller administrativ överenskommelse med EU om utbyte av säkerhetsskyddsklassificerade uppgifter, får en administrativ ad hoc-överenskommelse ingås om det föranleds av ett bestämt och omedelbart operativ behov. Denna möjlighet ska föreskrivas i beslutet om GSFP-insatsens inrättande. De säkerhetsskyddsklassificerade EU-uppgifter som lämnas ut under sådana omständigheter får endast vara sådana som framställts för GSFP-insatsen och är placerad på en säkerhetsskyddsklassificeringsnivå som inte överstiger RESTREINT UE/EU RESTRICTED. Enligt en sådan administrativ ad hoc-överenskommelse ska värdstaten åta sig att skydda säkerhetsskyddsklassificerade EU-uppgifter enligt miniminormer som inte är mindre stränga än dem som fastställs i detta beslut.

27.

I de bestämmelser om säkerhetsskyddsklassificerade uppgifter som ska ingå i ramavtal om deltagande, ad hoc-avtal om deltagande och administrativa ad hoc-överenskommelser som det hänvisas till i punkterna 22–24 ska det föreskrivas att den berörda tredjestaten eller internationella organisationen ser till att dess personal som avdelats för eventuella insatser skyddar säkerhetsskyddsklassificerade EU-uppgifter i enlighet med rådets säkerhetsbestämmelser och ytterligare riktlinjer utfärdade av de behöriga myndigheterna, inbegripet insatsens befälsordning.

28.

Om ett informationssäkerhetsavtal därefter ingås mellan EU och en bidragande tredjestat eller internationell organisation, ska informationssäkerhetsavtalet ha företräde framför ett eventuellt ramavtal om deltagande, ett ad hoc-avtal om deltagande eller en administrativ ad hoc-överenskommelse när det gäller utbyte och hantering av säkerhetsskyddsklassificerade EU-uppgifter.

29.

Utbyte av säkerhetsskyddsklassificerade EU-uppgifter på elektronisk väg ska inte tillåtas enligt ett ramavtal om deltagande, ett ad hoc-avtal om deltagande eller en administrativ ad hoc-överenskommelse med en tredjestat eller internationell organisation, såvida inte detta uttryckligen föreskrivs i det avtal eller den överenskommelse som berörs.

30.

Säkerhetsskyddsklassificerade EU-uppgifter som har framställts för en GSFP-insats får lämnas ut till personal som avdelats för denna insats av tredjestater och internationella organisationer i enlighet med punkterna 22–29. När sådan personal beviljas tillgång till säkerhetsskyddsklassificerade EU-uppgifter i en GSFP-insats, lokaler eller i kommunikations- och informationssystem, ska åtgärder vidtas (däribland registrering av säkerhetsskyddsklassificerade EU-uppgifter som lämnas ut) för att minska risken för att uppgifter förloras eller röjs. Sådana åtgärder ska fastställas i relevanta planerings- eller uppdragshandlingar.

31.

Om inga ramar har inrättats i enlighet med avsnitten III–V och om rådet eller ett av dess förberedande organ slår fast att det finns ett exceptionellt behov av att lämna ut säkerhetsskyddsklassificerade EU-uppgifter till en tredjestat eller en internationell organisation, ska generalsekretariatet

32.

Om säkerhetskommittén utfärdar en rekommendation att lämna ut säkerhetsskyddsklassificerade EU-uppgifter, ska ärendet föreläggas Coreper för beslut om sådan utlämning.

33.

Om säkerhetskommittén i sin rekommendation inte tillstyrker att de säkerhetsskyddsklassificerade EU-uppgifterna lämnas ut ska

34.

Om det bedöms vara lämpligt och upphovsmannen i förväg och i skriftlig form lämnar sitt samtycke till detta, får Coreper besluta att de säkerhetsskyddsklassificerade uppgifterna endast delvis får lämnas ut eller endast om de först placeras på en lägre säkerhetsskyddsklassificeringsnivå eller inte längre ska vara säkerhetsskyddsklassificerade, eller att de ska lämnas ut utan hänvisning till källan eller den ursprungliga EU-säkerhetsskyddsklassificeringsnivån.

35.

Efter ett beslut om att lämna ut säkerhetsskyddsklassificerade EU-uppgifter ska generalsekretariatet översända den berörda handlingen, som ska ha en markering om att uppgifterna får lämnas ut samt om vilken tredjestat eller internationell organisation de har lämnats ut till. Före eller vid den faktiska utlämningen ska den berörda tredje parten skriftligen åta sig att skydda de mottagna säkerhetsskyddsklassificerade EU-uppgifterna i enlighet med de grundläggande principer och miniminormer som anges i detta beslut.

36.

När ramar föreligger i enlighet med punkt 2 för utbyte av säkerhetsskyddsklassificerade uppgifter med en tredjestat eller internationella organisation, ska rådet fatta beslut om att bemyndiga generalsekreteraren att lämna ut säkerhetsskyddsklassificerade EU-uppgifter, i enlighet med principen om upphovsmannens samtycke, till den berörda tredjestaten eller internationella organisationen.

37.

När ramar föreligger i enlighet med punkt 3 för utbyte av säkerhetsskyddsklassificerade uppgifter med en tredjestat eller internationella organisation, ska generalsekreteraren bemyndigas att utlämna säkerhetsskyddsklassificerade EU-uppgifter, i enlighet med beslutet om inrättande av GSFP-insatsen och med principen om upphovsmannens samtycke.

38.

Generalsekreteraren får delegera sådana bemyndiganden till högre tjänstemän vid generalsekretariatet eller till andra personer under dennes överinseende.

Autorité nationale de Sécurité

SPF Affaires étrangères, Commerce extérieur et Coopération au Développement

15, rue des Petits Carmes

1000 Bruxelles BELGIEN

Telephone Secretariat: +32/2/501 45 42

Fax: +32/2/501 45 96

E-mail: nvo-ans@diplobel.fed.be

Politiets Efterretningstjeneste

(Danish Security Intelligence Service)

Klausdalsbrovej 1

DK-2860 Søborg

Telephone: +45/33/14 88 88

Fax: +45/33/43 01 90

Forsvarets Efterretningstjeneste

(Danish Defence Intelligence Service)

Kastellet 30

DK-2100 Copenhagen Ø

Telephone: +45/33/32 55 66

Fax: +45/33/93 13 20

State Commission on Information Security

90 Cherkovna Str.

BG-1505 Sofia

Telephone: +359/2/921 5911

Fax: +359/2/987 3750

E-mail: dksi@government.bg

Website: www.dksi.bg

Bundesministerium des Innern

Referat ÖS III 3

Alt-Moabit 101 D

D-11014 Berlin

Telephone: +49/30/18 681 0

Fax: +49/30/18 681 1441

E-mail: oesIII3@bmi.bund.de

Národní bezpečnostní úřad

(National Security Authority)

Na Popelce 2/16

CZ-150 06 Praha 56

Telephone: +420/257 28 33 35

Fax: +420/257 28 31 10

E-mail: czech.nsa@nbu.cz

Website: www.nbu.cz

National Security Authority Department

Estonian Ministry of Defence

Sakala 1

EE-15094 Tallinn

Telephone: +372/7170 113, +372/7170 117

Fax: +372/7170 213

E-mail: nsa@kmin.ee

National Security Authority

Department of Foreign Affairs

76-78 Harcourt Street

Dublin 2 Ireland

Telephone: +353/1/ 478 08 22

Fax: +353/1/ 408 29 59

Autoridad Nacional de Seguridad

Oficina Nacional de Seguridad

Avenida Padre Huidobro s/n

E-28023 Madrid

Telephone: +34/91/372 50 00

Fax: +34/91/372 58 08

E-mail: nsa-sp@areatec.com

Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ)

Διακλαδική Διεύθυνση Στρατιωτικών Πληροφοριών (ΔΔΣΠ)

Διεύθυνση Ασφαλείας και Αντιπληροφοριών

ΣΤΓ 1020 -Χολαργός (Αθήνα)

Ελλάδα

Τηλέφωνα: +30/210/657 20 45 (ώρες γραφείου)

+30/210/657 20 09 (ώρες γραφείου)

Φαξ: +30/210/653 62 79

+30/210/657 76 12

Hellenic National Defence General Staff (HNDGS)

Military Intelligence Sectoral Directorate

Security Counterintelligence Directorate

GR-STG 1020 Holargos – Athens

Telephone: +30/210/657 20 45

+30/210/657 20 09

Fax: +30/210/653 62 79

+30/210/657 76 12

Secrétariat général de la défense et de la sécurité nationale

Sous-direction Protection du secret (SGDSN/PSD)

51 Boulevard de la Tour-Maubourg

F-75700 Paris 07 SP

Telephone: +33/1/71 75 81 77

Fax: +33/1/71 75 82 00

Presidenza del Consiglio dei Ministri

Autorità Nazionale per la Sicurezza

D.I.S. - U.C.Se.

Via di Santa Susanna, 15

I-00187 Roma

Telephone: +39/06/611 742 66

Fax: +39/06/488 52 73

National Security Authority

Constitution Protection Bureau of the Republic of Latvia

P.O.Box 286

LV-1001, Riga

Telephone: +371/6702 54 18

Fax: +371/6702 54 54

Email: ndi@sab.gov.lv

ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ

ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ

Εθνική Αρχή Ασφάλειας (ΕΑΑ)

Υπουργείο Άμυνας

Λεωφόρος Εμμανουήλ Ροΐδη 4

1432 Λευκωσία, Κύπρος

Τηλέφωνα: +357/22/80 75 69, +357/22/80 76 43, +357/22/80 77 64

Τηλεομοιότυπο: +357/22/30 23 51

Ministry of Defence

Minister's Military Staff

National Security Authority (NSA)

4 Emanuel Roidi street

CY-1432 Nicosia

Telephone: +357/22/80 75 69, +357/22/80 76 43, +357 /22/80 77 64

Fax: +357/22/30 23 51

E-mail: cynsa@mod.gov.cy

Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija

(The Commission for Secrets Protection Coordination of the Republic of Lithuania

National Security Authority)

Gedimino 40/1

LT-01110 Vilnius

Telephone: +370/5/266 32 01, +370/5/266 32 02

Fax: +370/5/266 32 00

E-mail: nsa@vsd.lt

Autorité nationale de Sécurité

Boîte postale 2379

L-1023 Luxembourg

Telephone: +352/2478 22 10 central

+352/2478 22 53 direct

Fax: +352/2478 22 43

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Postbus 20010

NL-2500 EA Den Haag

Telephone: +31/70/320 44 00

Fax: +31/70/320 07 33

Ministerie van Defensie

Beveiligingsautoriteit

Postbus 20701

NL-2500 ES Den Haag

Telephone: +31/70/318 70 60

Fax: +31/70/318 75 22

Nemzeti Biztonsági Felügyelet

(National Security Authority)

P.O. Box 2

HU-1357 Budapest

Telephone: +361/346 96 52

Fax: +361/346 96 58

E-mail: nbf@nbf.hu

Website: www.nbf.hu

Ministry of Justice and Home Affairs

P.O. Box 146

MT-Valletta

Telephone: +356/21 24 98 44

Fax: +356/25 69 53 21

Informationssicherheitskommission

Bundeskanzleramt

Ballhausplatz 2

A-1014 Wien

Telephone: +43/1/531 15 25 94

Fax: +43/1/531 15 26 15

E-mail: ISK@bka.gv.at

Agencja Bezpieczeństwa Wewnętrznego – ABW

(Internal Security Agency)

2A Rakowiecka St.

PL-00-993 Warszawa

Telephone: +48/22/585 73 60

Fax: +48/22/585 85 09

E-mail: nsa@abw.gov.pl

Website: www.abw.gov.pl

Służba Kontrwywiadu Wojskowego

(Military Counter-Intelligence Service)

Classified Information Protection Buremu

Oczki 1

PL-02-007 Warszawa

Telephone: +48/22/684 12 47

Fax: +48/22/684 10 76

E-mail: skw@skw.gov.pl

Oficiul Registrului Național al Informațiilor Secrete de Stat

(Romanian NSA - ORNISS

National Registry Office for Classified Information)

4 Mures Street

RO-012275 Bucharest

Telephone: +40/21/224 58 30

Fax: +40/21/224 07 14

E-mail: nsa.romania@nsa.ro

Website: www.orniss.ro

Presidência do Conselho de Ministros

Autoridade Nacional de Segurança

Rua da Junqueira, 69

P-1300-342 Lisboa

Telephone: +351/ 213 031 710

Fax: +351/ 213 031 711

Urad Vlade RS za varovanje tajnih podatkov

Gregorčičeva 27

SVN-1000 Ljubljana

Telephone: +386/1/478 13 90

Fax: +386/1/478 13 99

Národný bezpečnostný úrad

(National Security Authority)

Budatínska 30

P.O. Box 16

SVK-850 07 Bratislava

Telephone: +421/2/68 69 23 14

Fax: +421/2/63 82 40 05

Website: www.nbusr.sk

Utrikesdepartementet

(Ministry for Foreign Affairs)

SSSB

S-103 39 Stockholm

Telephone: +46/8/405 10 00

Fax: +46/8/723 11 76

E-mail: ud-nsa@foreign.ministry.se

National Security Authority

Ministry for Foreign Affairs

P.O. Box 453

FI-00023 Government

Telephone 1: + 358/9/160 56487

Telephone 2: +358/9/160 56484

Fax: + 358/9/160 55140

E-mail: NSA@formin.fi

UK National Security Authority

Room 335, 3rd Floor

70 Whitehall

London

SW1A 2AS

Telephone 1: + 44/20/7276 5649

Telephone 2: + 44/20/7276 5497

Fax: + 44/20/7276 5651

Email: UK-NSA@cabinet-office.x.gsi.gov.uk