KOMMISSIONENS BESLUT (EU, Euratom) 2015/444

av den 13 mars 2015

om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 249,

med beaktande av fördraget om upprättandet av Europeiska atomenergigemenskapen, särskilt artikel 106,

med beaktande av protokoll nr 7 om Europeiska unionens immunitet och privilegier som är fogat till fördragen, särskilt artikel 18, och

av följande skäl:

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL 1

GRUNDLÄGGANDE PRINCIPER OCH MINIMINORMER

Artikel 1

Definitioner

I detta beslut gäller följande definitioner:

1.    kommissionsavdelning : kommissionens generaldirektorat eller avdelningar, eller en kommissionsledamots kansli.

2.    kryptoprodukter : kryptoalgoritmer, maskinvara för kryptering och programvarumoduler, och produkter som innehåller tillämpningsdetaljer med tillhörande dokumentation och nyckelmaterial.

3.    beslut att uppgifter inte längre ska vara säkerhetsskyddsklassificerade : borttagande av varje säkerhetsskyddsklassificering.

4.    Flernivåförsvar : tillämpningen av ett spektrum av säkerhetsåtgärder som organiseras som multipla försvarsskikt.

5.    Handling : registrerad information, oavsett fysisk form eller egenskaper.

6.    inplacering på lägre säkerhetsskyddsklassificeringsnivå : sänkning av nivån på säkerhetsskyddsklassificeringen.

7.    hantering av säkerhetsskyddsklassificerade EU-uppgifter : all hantering som säkerhetsskyddsklassificerade EU-uppgifter kan utsättas för under hela sin livscykel; detta omfattar deras upprättande, registrering, behandling, befordran, inplacering på lägre säkerhetsskyddsklassificeringsnivå samt beslut om att uppgifterna inte längre ska vara säkerhetsskyddsklassificerade och förstöring; i samband med kommunikations- och informationssystem omfattar detta också insamling, visning, överföring och förvaring.

8.    Innehavare : vederbörligen bemyndigad person som konstaterats ha behovsenlig behörighet och som förfogar över en säkerhetsskyddsklassificerad EU-uppgift och därmed ansvarar för dess skydd.

9.    Genomförandebestämmelser : en uppsättning regler eller säkerhetsmeddelanden som antagits i enlighet med kapitel 5 i kommissionens beslut (EU, Euratom) 2015/443 (8).

10.    materiel : varje medium, databärare eller maskin eller utrustning som tillverkats eller håller på att tillverkas.

11.    Upphovsman : EU-institution, EU-byrå eller EU-organ, medlemsstat, tredjestat eller internationell organisation under vars behörighet säkerhetsskyddsklassificerade uppgifter har upprättats och/eller införts i unionens strukturer.

12.    Lokaler : fast egendom eller därmed likställd egendom i kommissionens ägo eller besittning.

13.    process för säkerhetsriskhantering : hela processen att fastställa, kontrollera och minimera ovissa händelser som kan påverka säkerheten hos en organisation eller något av de system den använder; den omfattar all riskrelaterad verksamhet, inklusive bedömning, hantering, acceptans och kommunikation.

14.    Tjänsteföreskrifter : tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkoren för övriga anställda i Europeiska unionen, såsom de fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (9).

15.    Hot : en potentiell orsak till en oönskad incident som kan ge upphov till skador i en organisation eller något av de system den använder; sådana hot kan vara oavsiktliga eller avsiktliga (uppsåtliga) och kännetecknas av hotande element, potentiella mål och angreppsmetoder.

16.    sårbarhet : alla sorters svagheter som kan utnyttjas genom ett eller flera hot; sårbarhet kan vara en försummelse eller höra samman med brister i kontrollernas styrka, fullständighet eller konsekvens och kan gälla teknik, förfaranden, fysiska förhållanden, organisation eller drift.

Artikel 2

Syfte och tillämpningsområde

1.   I detta beslut fastställs grundläggande principer och miniminormer för säkerhet för att skydda säkerhetsskyddsklassificerade EU-uppgifter.

2.   Detta beslut ska tillämpas på alla kommissionens avdelningar och lokaler.

3.   Utan hinder av särskilda beteckningar för vissa grupper av anställda, ska detta beslut tillämpas på ledamöterna av kommissionen, kommissionens personal som omfattas av tjänsteföreskrifterna och anställningsvillkoren för övriga anställda i Europeiska gemenskaperna, nationella experter som är utstationerade vid kommissionen (nationella experter), tjänsteleverantörer och deras anställda, praktikanter samt var och en som har tillträde till kommissionens byggnader eller andra tillgångar, eller på uppgifter som hanteras av kommissionen.

4.   Bestämmelserna i detta beslut ska inte påverka tillämpningen av beslut 2002/47/EG, EKSG, Euratom eller beslut 2004/563/EG, Euratom.

Artikel 3

Definition av säkerhetsskyddsklassificerade EU-uppgifter, säkerhetsskyddsklassificeringsnivå och säkerhetsskyddsmarkeringar

1.   Med säkerhetsskyddsklassificerade EU-uppgifter avses uppgifter eller materiel som placerats på en EU-säkerhetsskyddsklassificeringsnivå och vars obehöriga röjande skulle kunna åsamka Europeiska unionens eller en eller flera av dess medlemsstaters väsentliga intressen olika grader av skada.

2.   Säkerhetsskyddsklassificerade EU-uppgifter ska placeras in på en av följande säkerhetsskyddsklassificeringsnivåer:

a)   TRES SECRET UE/EU TOP SECRET: uppgifter och materiel vars obehöriga röjande skulle kunna medföra synnerligt men för Europeiska unionens eller en eller flera medlemsstaters väsentliga intressen.

b)   SECRET UE/EU SECRET: uppgifter och materiel vars obehöriga röjande skulle kunna medföra betydande men för Europeiska unionens eller en eller flera medlemsstaters väsentliga intressen.

c)   CONFIDENTIEL UE/EU CONFIDENTIAL: uppgifter och materiel vars obehöriga röjande skulle kunna medföra ett inte obetydligt men för Europeiska unionens eller en eller flera medlemsstaters väsentliga intressen.

d)   RESTREINT UE/EU RESTRICTED: uppgifter och materiel vars obehöriga röjande skulle kunna medföra endast ringa men för Europeiska unionens eller en eller flera medlemsstaters intressen.

3.   Säkerhetsskyddsklassificerade EU-uppgifter ska förses med en säkerhetsskyddsmarkering i enlighet med punkt 2. De kan vara försedda med ytterligare markeringar, som inte är säkerhetsskyddsmarkeringar, utan avsedda att ange vilket verksamhetsområde de avser, fastställa upphovsmannen, begränsa utlämning, begränsa användningen eller ange villkor för utlämnande.

Artikel 4

Regler för säkerhetsskyddsklassificeringen

1.   Varje kommissionsledamot eller kommissionsavdelning ska se till att säkerhetsskyddsklassificerade EU-uppgifter som ledamoten eller avdelningen har givit upphov till placeras på en lämplig säkerhetsskyddsklassificeringsnivå, tydligt identifieras som säkerhetsskyddsklassificerade uppgifter och endast behåller sin säkerhetsskyddsklassificeringsnivå så länge som krävs.

2.   Utan att det påverkar tillämpningen av artikel 26 får säkerhetsskyddsklassificerade EU-uppgifter inte inplaceras på en lägre säkerhetsskyddsklassificeringsnivå och uppgifterna får inte upphöra att vara säkerhetsskyddsklassificerade, och inte heller får några av de markeringar som avses i artikel 3.2 ändras eller avlägsnas utan föregående skriftligt medgivande från upphovsmannen.

3.   I tillämpliga fall ska genomförandebestämmelser om hantering av säkerhetsskyddsklassificerade EU-uppgifter, inklusive en praktisk handbok om säkerhetsskyddsklassificering, antas i enlighet med artikel 60 nedan.

Artikel 5

Skydd av säkerhetsskyddsklassificerade uppgifter

1.   Säkerhetsskyddsklassificerade EU-uppgifter ska skyddas i enlighet med detta beslut och dess tillämpningsföreskrifter.

2.   En innehavare av säkerhetsskyddsklassificerade EU-uppgifter ska vara ansvarig för att skydda dessa uppgifter på ett sätt som är förenligt med detta beslut och dess tillämpningsföreskrifter, i enlighet med de bestämmelser som anges i kapitel 4 nedan.

3.   Om medlemsstaterna för in säkerhetsskyddsklassificerade uppgifter med en nationell säkerhetsklassificering i kommissionens strukturer eller nät, ska kommissionen skydda uppgifterna i enlighet med kraven för säkerhetsskyddsklassificerade EU-uppgifter på motsvarande nivå i enlighet med jämförelsetabellen för säkerhetsskyddsklassificeringsnivåer i bilaga I.

4.   En sammanställning av säkerhetsskyddsklassificerade EU-uppgifter kan motivera skydd på en nivå motsvarande en högre säkerhetsskyddsklassificeringsnivå än de enskilda ingående delarna.

Artikel 6

Hantering av säkerhetsrisker

1.   Säkerhetsåtgärder för att skydda säkerhetsskyddsklassificerade EU-uppgifter under hela deras livscykel ska motsvara uppgifternas eller materielens säkerhetsskyddsklassificeringsnivå, form och volym, läge och konstruktion för de utrymmen där de säkerhetsskyddsklassificerade EU-uppgifterna förvaras och det lokalt bedömda hotet från fientlig och/eller brottslig verksamhet, inklusive spionage, sabotage och terroristverksamhet.

2.   Beredskapsplaner ska beakta behovet att skydda säkerhetsskyddsklassificerade EU-uppgifter i krislägen för att förhindra obehörig tillgång eller röjande, eller att riktighet eller tillgänglighet går förlorad.

3.   Åtgärder av förebyggande och återställande karaktär för att reducera effekterna av haverier eller tillbud avseende hanteringen och lagringen av säkerhetsskyddsklassificerade EU-uppgifter ska ingå i alla avdelningars beredskapsplaner.

Artikel 7

Genomförande av detta beslut

1.   Vid behov ska tillämpningsföreskrifter för att komplettera eller understödja detta beslut antas i enlighet med artikel 60 nedan.

2.   Kommissionens avdelningar ska vidta alla nödvändiga åtgärder inom sitt ansvarsområde för att säkerställa att detta beslut och relevanta tillämpningsföreskrifter tillämpas i samband med hantering eller lagring av säkerhetsskyddsklassificerade EU-uppgifter eller andra säkerhetsskyddsklassificerade uppgifter.

3.   De säkerhetsåtgärder som vidtas för att genomföra detta beslut ska vara förenliga med kommissionens säkerhetsprinciper enligt artikel 3 i beslut (EU, Euratom) nr 2015/443.

4.   Generaldirektören för personal och säkerhet ska inrätta kommissionens säkerhetsmyndighet inom generaldirektoratet för personal och säkerhet. Kommissionens säkerhetsmyndighet ska ha de befogenheter som anges i detta beslut och dess tillämpningsföreskrifter.

5.   Inom varje kommissionsavdelning ska den lokalt säkerhetsansvariga som avses i artikel 20 i beslut (EU, Euratom) nr 2015/443 ha följande övergripande ansvar för att skydda säkerhetsskyddsklassificerade EU-uppgifter i enlighet med detta beslut, i nära samarbete med generaldirektoratet för personal och säkerhet:

Artikel 8

Överträdelse av säkerhetsbestämmelserna och röjande av säkerhetsskyddsklassificerade EU-uppgifter

1.   En överträdelse av säkerhetsbestämmelserna inträffar som resultat av en handling eller försummelse som begåtts av en person och som står i strid med säkerhetsbestämmelserna i detta beslut och dess tillämpningsföreskrifter.

2.   Röjande av säkerhetsskyddsklassificerade EU-uppgifter inträffar när dessa som resultat av en säkerhetsöverträdelse helt eller delvis har lämnats ut till obehöriga.

3.   Överträdelser av säkerhetsbestämmelserna eller misstänkta överträdelser av säkerhetsbestämmelserna ska omedelbart rapporteras till kommissionens säkerhetsmyndighet.

4.   Om det är känt eller om det föreligger rimliga skäl att anta att säkerhetsskyddsklassificerade EU-uppgifter har röjts eller förlorats, ska en säkerhetsundersökning genomföras i enlighet med artikel 13 i beslut (EU, Euratom) nr 2015/443.

5.   Alla nödvändiga åtgärder ska vidtas för att

6.   Den som är ansvarig för en överträdelse av säkerhetsbestämmelserna kan komma att underkastas disciplinära åtgärder i enlighet med tjänsteföreskrifterna. Den som är ansvarig för röjande eller förlust av säkerhetsskyddsklassificerade EU-uppgifter ska underkastas disciplinära och/eller rättsliga åtgärder enligt tillämpliga lagar och andra författningar.

KAPITEL 2

PERSONALSÄKERHET

Artikel 9

Definitioner

I detta kapitel gäller följande definitioner:

1.    bemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter : ett beslut som kommissionens säkerhetsmyndighet har fattat på grundval av en positiv bedömning från en behörig myndighet i en medlemsstat om att en kommissionstjänsteman, en annan anställd vid kommissionen eller en nationell expert, under förutsättning att personens behovsenliga behörighet har fastställts och denne har fått vederbörlig information om sitt ansvar, beviljas tillgång till säkerhetsskyddsklassificerade EU-uppgifter upp till en angiven nivå (CONFIDENTIEL UE/EU CONFIDENTIAL eller högre) till och med ett angivet datum; sådana personer sägs vara ”säkerhetsbemyndigade”.

2.    Personalsäkerhetsbemyndigade : tillämpning av åtgärder som ska garantera att tillgång till säkerhetsskyddsklassificerade EU-uppgifter endast beviljas personer som

3.    Personalsäkerhetsgodkännande : ett utlåtande från en medlemsstats behöriga myndighet vilket görs efter genomförande av en säkerhetsprövning som utförs av en medlemsstats behöriga myndigheter och i vilket det intygas att en person får beviljas tillgång till säkerhetsskyddsklassificerade EU-uppgifter upp till en angiven nivå (CONFIDENTIEL UE/EU CONFIDENTIAL eller högre) till och med ett angivet datum.

4.    intyg om personalsäkerhetsgodkännande : ett intyg utfärdat av en behörig myndighet där det fastställs att en person är säkerhetsprövad och innehar ett giltigt nationellt personalsäkerhetsgodkännande eller ett säkerhetsbemyndigande som utfärdats av kommissionens säkerhetsmyndighet, vilket visar vilken nivå av säkerhetsskyddsklassificerade EU-uppgifter som personen kan få tillgång till (CONFIDENTIEL UE/EU CONFIDENTIAL eller högre), giltighetsdatum för personalsäkerhetsgodkännandet eller personalsäkerhetsbemyndigandet samt vilket datum själva intyget löper ut.

5.    Säkerhetsprövning : utredningsförfarande som den behöriga nationella myndigheten genomfört i en medlemsstat i enlighet med sina nationella lagar och andra författningar för att kunna lämna en försäkran om att inget negativt är känt som hindrar att personen ges ett personalsäkerhetsgodkännande upp till en angiven nivå (CONFIDENTIEL UE/EU CONFIDENTIAL eller högre).

Artikel 10

Grundläggande principer

1.   En person får beviljas tillgång till säkerhetsskyddsklassificerade EU-uppgifter när

2.   Alla personer som för sina arbetsuppgifter kan behöva ha tillgång till säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre ska säkerhetsbemyndigas för respektive säkerhetsskyddsklassificeringsnivå innan de ges tillgång till sådana säkerhetsskyddsklassificerade EU-uppgifter. Den berörda personen ska ge sitt skriftliga medgivande till att genomgå förfarandet för säkerhetsgodkännande av personal. Underlåtenhet att göra detta innebär att vederbörande inte kan tilldelas en tjänst, funktion eller uppgift som medför att denne får tillgång till information på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre.

3.   Förfarandena för personalsäkerhetsgodkännande ska utformas på ett sådant sätt att det kan fastställas om en person med beaktande av vederbörandes lojalitet, tillförlitlighet och pålitlighet kan få tillgång till säkerhetsskyddsklassificerad EU-information.

4.   En persons lojalitet, tillförlitlighet och pålitlighet för säkerhetsgodkännande för tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre ska fastställas genom en säkerhetsprövning som utförs av de behöriga myndigheterna i en medlemsstat i enlighet med dess lagar och andra författningar.

5.   Kommissionens säkerhetsmyndighet ska ensam ansvara för att kontakta nationella säkerhetsmyndigheter eller andra behöriga nationella myndigheter i samband med alla frågor som rör säkerhetsgodkännande. Alla kontakter mellan kommissionen och dess personal och de nationella tillsynsmyndigheterna och andra behöriga myndigheter ska ske via kommissionens säkerhetsmyndighet.

Artikel 11

Förfarande för säkerhetsbemyndigande

1.   Varje generaldirektör eller avdelningschef inom kommissionen ska fastställa vilka funktioner inom den egna avdelningen som är av sådan natur att de som utför dessa funktioner behöver ha tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre för att kunna utföra sina uppgifter, och därför måste vara säkerhetsbemyndigade.

2.   Så snart det är känt att en person kommer att tillsättas på en tjänst som kräver tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre, ska den lokalt säkerhetsansvariga vid den berörda kommissionsavdelningen underrätta kommissionens säkerhetsmyndighet, som i sin tur till personen i fråga ska översända det frågeformulär för säkerhetsgodkännande som utfärdats av den nationella säkerhetsmyndigheten i den medlemsstat i vilken personen var medborgare när han eller hon utsågs till en tjänst vid institutionerna. Den berörda personen ska lämna skriftligt medgivande till att genomgå förfarandet för säkerhetsgodkännande och så snart som möjligt återsända det ifyllda formuläret till kommissionens säkerhetsmyndighet.

3.   Kommissionens säkerhetsmyndighet ska vidarebefordra det ifyllda frågeformuläret för säkerhetsgodkännande till den nationella säkerhetsmyndigheten i den medlemsstat i vilken personen var medborgare när han eller hon utsågs till en tjänst vid institutionerna, tillsammans med en begäran om säkerhetsprövning för den nivå för säkerhetsskyddsklassificerade EU-uppgifter som personen kommer behöva ha tillgång till.

4.   När kommissionens säkerhetsmyndighet har kännedom om information som är relevant för en säkerhetsprövning och som avser en person som har ansökt om ett säkerhetsgodkännande, ska den i enlighet med tillämpliga regler och föreskrifter meddela behörig nationell säkerhetsmyndighet detta.

5.   Efter det att säkerhetsprövningen har slutförts, och så snart som möjligt efter det att kommissionens säkerhetsmyndighet har mottagit underrättelse från den berörda nationella säkerhetsmyndigheten om dess samlade bedömning av vad som framkommit vid säkerhetsprövningen, gäller att kommissionens säkerhetsmyndighet

6.   Säkerhetsprövningen, och de resultat som framkommit, ska omfattas av gällande relevanta lagar och andra författningar i den berörda medlemsstaten, även i fråga om överklagande. Beslut av kommissionens säkerhetsmyndighet ska kunna överklagas i enlighet med tjänsteföreskrifterna.

7.   Kommissionens ska godta ett eventuellt bemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter som beviljats av någon annan av unionens institutioner, organ eller byråer, så länge detta fortfarande gäller. Bemyndigandet ska omfatta den berörda personens samtliga uppdrag inom kommissionen. Den unionsinstitution, det unionsorgan eller den unionsbyrå där personen tillträder sin tjänst kommer att meddela relevant nationell säkerhetsmyndighet om bytet av arbetsgivare.

8.   Om en persons tjänstgöringstid inte påbörjas inom tolv månader efter det att resultatet av säkerhetsprövningen meddelats kommissionens säkerhetsmyndighet, eller om det uppstår ett avbrott på tolv månader i personens tjänstgöring, och vederbörande under tiden inte har varit anställd av kommissionen eller någon annan av unionens institutioner, organ eller byråer, ska kommissionens säkerhetsmyndighet ta upp saken med den berörda nationella säkerhetsmyndigheten för att få bekräftelse på huruvida säkerhetsprövningen fortfarande är giltig och tillämplig.

9.   Om kommissionens säkerhetsmyndighet får kännedom om en säkerhetsrisk som avser en person med en giltig säkerhetsprövning, ska säkerhetsmyndigheten i enlighet med tillämpliga bestämmelser meddela detta till den behöriga nationella säkerhetsmyndigheten.

10.   Om en nationell säkerhetsmyndighet meddelar kommissionens säkerhetsmyndighet att det inte längre finns stöd för den positiva bedömning som gjorts i överensstämmelse med punkt 5 a av en person med ett giltigt bemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter får kommissionens säkerhetsmyndighet be den behöriga nationella säkerhetsmyndigheten om ytterligare klargöranden i överensstämmelse med nationella lagar och andra författningar. Om de negativa uppgifterna bekräftas av den berörda nationella säkerhetsmyndigheten, ska säkerhetsbemyndigandet återkallas och personen uteslutas från tillgång till säkerhetsskyddsklassificerade EU-uppgifter och från tjänster där sådan tillgång är möjlig eller där personen i fråga kan äventyra säkerheten.

11.   Alla beslut om att återkalla eller tillfälligt upphäva bemyndigandet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter för en person som omfattas av detta beslut och, i förekommande fall, skälen till detta, ska meddelas den berörda personen, som kan begära att bli hörd av kommissionens säkerhetsmyndighet. Information från en nationell säkerhetsmyndighet ska omfattas av gällande relevanta lagar och andra författningar i den berörda medlemsstaten. Beslut som fattas av kommissionens säkerhetsmyndighet i detta sammanhang ska kunna överklagas i enlighet med tjänsteföreskrifterna.

12.   Kommissionens avdelningar ska se till att nationella experter som utstationeras till dem för en tjänst som kräver tillgång till säkerhetsskyddsklassificerade EU-uppgifter, innan de tillträder denna tjänst, uppvisar ett giltigt personalsäkerhetsgodkännande eller intyg om personalsäkerhetsgodkännande, i enlighet med nationella lagar och andra författningar, för kommissionens säkerhetsmyndighet, som på grundval därav beviljar ett bemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter upp till den säkerhetsklassificeringsnivå som motsvarar den som avses i det nationella säkerhetsgodkännandet, som maximalt får gälla så länge som utstationeringen varar.

13.   Kommissionsledamöter som har tillgång till säkerhetsskyddsklassificerade EU-uppgifter i kraft av sina arbetsuppgifter på grundval av fördraget, ska informeras om sina säkerhetsskyldigheter när det gäller skyddet av säkerhetsskyddsklassificerade EU-uppgifter.

14.   Kommissionens säkerhetsmyndighet ska i enlighet med detta beslut föra register över säkerhetsgodkännanden och säkerhetsbemyndiganden som beviljats för tillgång till säkerhetsskyddsklassificerade EU-uppgifter. Dessa register ska åtminstone omfatta uppgifter om vilken säkerhetsskyddsklassificeringsnivå för EU-uppgifter personen kan få tillgång till, datum för utfärdandet av säkerhetsgodkännandet och dess giltighetstid.

15.   Kommissionens säkerhetsmyndighet får utfärda ett intyg om personalsäkerhetsgodkännande som visar vilken nivå för säkerhetsskyddsklassificerade EU-uppgifter som personen kan få tillgång till (CONFIDENTIEL UE/EU CONFIDENTIAL eller högre), giltighetsdatum för relevant bemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter samt vilket datum själva intyget löper ut.

16.   Efter det ursprungliga beviljandet av säkerhetsbemyndiganden och under förutsättning att personen oavbrutet har tjänstgjort vid Europeiska kommissionen eller någon annan av unionens institutioner, organ eller byråer och har ett fortsatt behov av tillgång till säkerhetsskyddsklassificerade EU-uppgifter, ska säkerhetsbemyndigandet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter ses över och eventuellt förlängas i princip vart femte år från och med den dag då resultatet av den senaste säkerhetsundersökning på vilken godkännandet grundades meddelades.

17.   Kommissionens säkerhetsmyndighet får förlänga giltighetstiden för det befintliga säkerhetsbemyndigandet med upp till 12 månader, om det inte har inkommit någon negativ information från en nationell säkerhetsmyndighet eller annan behörig nationell myndighet inom en period av två månader från den dag då begäran om förlängning med tillhörande frågeformulär om säkerhetsprövning översändes. Om den berörda säkerhetsmyndigheten eller en annan behörig nationell myndighet vid slutet av denna 12-månadersperiod ännu inte har meddelat kommissionen sin ståndpunkt, ska personen tilldelas uppgifter som inte kräver säkerhetsbemyndigande.

Artikel 12

Genomgångar om säkerhetsbemyndigande

1.   Efter att ha deltagit i den genomgång om säkerhetsbemyndigande som anordnats av kommissionens säkerhetsmyndighet, ska alla personer som har beviljats ett säkerhetsbemyndigande skriftligen bekräfta att de känner till sina åligganden när det gäller skyddet av säkerhetsskyddsklassificerade EU-uppgifter och följderna av att säkerhetsskyddsklassificerade EU-uppgifter röjs. Ett register över sådana skriftliga bekräftelser ska föras av kommissionens säkerhetsmyndighet.

2.   Alla som är behöriga att ha tillgång till eller som har till uppgift att hantera säkerhetsskyddsklassificerade EU-uppgifter ska inledningsvis göras medvetna om och regelbundet informeras om hot mot säkerheten, och de ska omedelbart rapportera misstänkta eller ovanliga kontakter eller aktiviteter till kommissionens säkerhetsmyndighet.

3.   Alla som slutar en anställning för vilken det krävs tillgång till säkerhetsskyddsklassificerade EU-uppgifter ska göras medvetna om och vid behov skriftligt bekräfta sina åligganden när det gäller det fortsatta skyddet av säkerhetsskyddsklassificerade EU-uppgifter.

Artikel 13

Tillfälliga säkerhetsbemyndiganden

1.   I undantagsfall får kommissionens säkerhetsmyndighet, då detta är välmotiverat, ligger i tjänstens intresse och sker i avvaktan på en fullständig säkerhetsprövning, efter samråd med den nationella säkerhetsmyndigheten i den medlemsstat där personen är medborgare och om inte annat följer av resultatet av de inledande kontrollerna för att verifiera att inga relevanta negativa uppgifter har framkommit, bevilja personer tillfälligt bemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter för en viss funktion, utan att detta påverkar tillämpningen av bestämmelserna om förlängning av säkerhetsgodkännanden. Sådana tillfälliga bemyndiganden för tillgång till säkerhetsskyddsklassificerade EU-uppgifter ska vara giltiga under en sammanhängande period på högst sex månader och får inte medge tillgång till information på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET.

2.   Efter att ha blivit informerade i enlighet med artikel 12.1 ska alla personer som har beviljats ett tillfälligt säkerhetsbemyndigande skriftligen bekräfta att de känner till sina åligganden när det gäller skyddet av säkerhetsskyddsklassificerade EU-uppgifter och följderna av att säkerhetsskyddsklassificerade EU-uppgifter röjs. Ett register över sådana skriftliga bekräftelser ska föras av kommissionens säkerhetsmyndighet.

Artikel 14

Närvaro vid säkerhetsskyddsklassificerade möten som organiseras av kommissionen

1.   Kommissionsavdelningar som ansvarar för att organisera möten där uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre diskuteras ska, genom sin lokalt säkerhetsansvariga eller genom mötesarrangören, underrätta kommissionens säkerhetsmyndighet i god tid om datum, klockslag och plats för samt deltagarna i sådana möten.

2.   Om inte annat följer av bestämmelserna i artikel 11.13 får personer som utsetts att delta i möten som organiseras av kommissionen och vid vilka uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre diskuteras endast göra detta efter bekräftelse av att de erhållit säkerhetsbemyndigande eller säkerhetsgodkännande. Rätt att delta i sådana säkerhetsskyddsklassificerade möten ska nekas för personer för vilka kommissionens säkerhetsmyndighet inte har fått ett intyg om personalsäkerhetsgodkännande eller annat bevis på säkerhetsgodkännande, eller för deltagare från kommissionen som inte redan har ett säkerhetsbemyndigande.

3.   Innan ett säkerhetsskyddsklassificerat möte organiseras ska den ansvariga mötesorganisatören eller den lokalt säkerhetsansvariga vid den kommissionsavdelning som organiserar mötet begära att externa deltagare överlämnar ett intyg om personalsäkerhetsgodkännande eller annat bevis på säkerhetsgodkännande till kommissionens säkerhetsmyndighet. Kommissionens säkerhetsmyndighet ska underrätta den lokalt säkerhetsansvariga eller mötesorganisatören om intyg om personalsäkerhetsgodkännande eller annat bevis på personalsäkerhetsgodkännande som mottagits. I tillämpliga fall får en konsoliderad namnförteckning användas där säkerhetsgodkännandet styrks på lämpligt sätt.

4.   Om kommissionens säkerhetsmyndighet underrättas av behöriga myndigheter om att ett personalsäkerhetsbemyndigande återkallas för en person vars arbetsuppgifter kräver närvaro vid möten som organiseras av kommissionen, ska kommissionens säkerhetsmyndighet meddela den lokalt säkerhetsansvariga vid den kommissionsavdelning som ansvarar för att organisera mötet.

Artikel 15

Potentiell tillgång till säkerhetsskyddsklassificerade EU-uppgifter

Kurirer, vakter och ledsagare ska säkerhetsgodkännas för respektive sekretessnivå eller prövas på annat lämpligt sätt i enlighet med nationella lagar och andra författningar samt informeras om säkerhetsförfaranden för skyddet av säkerhetsskyddsklassificerade EU-uppgifter och om sina åligganden att skydda information som har anförtrotts till dem.

KAPITEL 3

FYSISK SÄKERHET SOM SYFTAR TILL ATT SKYDDA SÄKERHETSSKYDDSKLASSIFICERADE UPPGIFTER

Artikel 16

Grundprinciper

1.   Fysiska säkerhetsåtgärder ska vara utformade för att förhindra intrång i smyg eller genom tvång, avskräcka, hindra och avslöja otillåtna handlingar och möjliggöra olika behandling av personalen med avseende på deras tillgång till säkerhetsskyddsklassificerade EU-uppgifter utifrån principen om behovsenlig behörighet. Sådana åtgärder ska fastställas utifrån en riskhanteringsprocess, i enlighet med detta beslut och dess tillämpningsföreskrifter.

2.   Fysiska säkerhetsåtgärder ska särskilt vara utformade för att hindra obehörig tillgång till säkerhetsskyddsklassificerade EU-uppgifter genom att man

3.   Åtgärder för fysisk säkerhet ska vidtas i alla lokaler, byggnader, kontor, rum och andra utrymmen i vilka säkerhetsskyddsklassificerade EU-uppgifter hanteras eller förvaras, inklusive utrymmen som inhyser de kommunikations- och informationssystem som avses i kapitel 5.

4.   Utrymmen där säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre förvaras ska fastställas som säkerhetsutrymmen i enlighet med detta kapitel och ackrediteras av kommissionens myndighet för säkerhetsackreditering.

5.   Endast utrustning eller anordningar som godkänts av kommissionens säkerhetsmyndighet ska användas för att skydda säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre.

Artikel 17

Fysiska säkerhetskrav och säkerhetsåtgärder

1.   Fysiska säkerhetsåtgärder ska väljas på grundval av en hotbedömning som görs av kommissionens säkerhetsmyndighet, i förekommande fall i samråd med andra avdelningar inom kommissionen, andra EU-institutioner, -byråer och -organ och/eller behöriga myndigheter i medlemsstaterna. Kommissionen ska tillämpa ett riskhanteringsförfarande för skydd av säkerhetsskyddsklassificerade EU-uppgifter i sina lokaler för att garantera att det erbjuds en fysisk skyddsnivå som står i proportion till den bedömda risken. I samband med riskhanteringsprocessen ska alla relevanta faktorer beaktas, särskilt

2.   Kommissionens säkerhetsmyndighet ska med tillämpning av begreppet flernivåförsvar fastställa en lämplig kombination av fysiska säkerhetsåtgärder som ska tillämpas. För detta ändamål ska kommissionens säkerhetsmyndighet utarbeta minimistandarder, normer och kriterier som fastställs i tillämpningsföreskrifterna.

3.   Kommissionens säkerhetsmyndighet ska ha rätt att i avskräckande syfte utföra kontroller vid in- eller utpassering mot otillåtet införande av materiel eller otillåtet bortförande av någon form av säkerhetsskyddsklassificerade EU-uppgifter från utrymmen eller byggnader.

4.   När det finns en risk för att utomstående kan se säkerhetsskyddsklassificerade EU-uppgifter, även oavsiktligt, ska berörda kommissionsavdelningar vidta lämpliga åtgärder, såsom de definierats av kommissionens säkerhetsmyndighet, för att motverka denna risk.

5.   För nya anläggningar ska de fysiska säkerhetskraven och deras funktionsspecifikationer fastställas i samråd med kommissionens säkerhetsmyndighet i samband med planeringen och utformningen av anläggningarna. För befintliga anläggningar ska de fysiska säkerhetskraven tillämpas i enlighet med de minimistandarder, normer och kriterier som fastställs i tillämpningsföreskrifterna.

Artikel 18

Utrustning för fysiskt skydd av säkerhetsskyddsklassificerade EU-uppgifter

1.   Två slag av fysiskt skyddade utrymmen ska skapas för att fysiskt skydda säkerhetsskyddsklassificerade EU-uppgifter, nämligen

2.   Kommissionens myndighet för säkerhetsackreditering ska fastställa om ett utrymme uppfyller kraven för att betecknas som administrativt utrymme, säkrat utrymme eller tekniskt säkrat utrymme.

3.   När det gäller administrativa utrymmen ska

4.   När det gäller säkrade utrymmen ska

5.   När tillträde till ett säkrat utrymme i praktiken innebär direkt tillgång till de säkerhetsskyddsklassificerade uppgifter som finns där, ska dessutom följande krav gälla:

6.   Säkrade utrymmen som skyddas mot avlyssning ska betecknas som tekniskt säkrade utrymmen. Följande ytterligare krav ska gälla:

7.   Trots vad som sägs i punkt 6 d ska all slags kommunikationsutrustning och elektrisk eller elektronisk utrustning innan denna används i utrymmen där det hålls möten eller utförs arbete som omfattar uppgifter på säkerhetsskyddsklassificeringsnivån SECRET UE/EU SECRET och högre och där hotet mot säkerhetsskyddsklassificerade EU-uppgifter bedöms vara allvarligt, först undersökas av kommissionens säkerhetsmyndighet, som ska försäkra sig om att inga begripliga uppgifter oavsiktligt eller olagligt kan föras ut från det säkrade utrymmet genom sådan utrustning.

8.   Säkrade utrymmen där tjänstgörande personal inte vistas 24 timmar om dygnet ska, när så är lämpligt, inspekteras efter den normala arbetstidens slut och med slumpvis valda mellanrum utanför normal arbetstid, utom när system för upptäckt av intrång har installerats.

9.   Säkrade utrymmen och tekniskt säkrade utrymmen får tillfälligt inrättas inom ett administrativt utrymme för ett sekretessbelagt möte eller liknande ändamål.

10.   Den lokalt säkerhetsansvariga vid den berörda kommissionsavdelningen ska utarbeta säkra driftsmetoder (SecOPs) för varje säkrat utrymme under dennes ansvar, vilka i enlighet med bestämmelserna i detta beslut och dess tillämpningsföreskrifter anger följande:

11.   Valv ska byggas inom det säkrade utrymmet. Väggarna, golven, taken, fönstren och de låsförsedda dörrarna ska godkännas av kommissionens säkerhetsmyndighet och erbjuda skydd motsvarande ett säkerhetsskåp som godkänts för förvaring av säkerhetsskyddsklassificerade EU-uppgifter med motsvarande sekretessgrad.

Artikel 19

Fysiska skyddsåtgärder för hantering och förvar av säkerhetsskyddsklassificerade EU-uppgifter

1.   Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får hanteras

2.   Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska förvaras i lämpliga låsbara kontorsmöbler i ett administrativt eller säkrat utrymme. De får tillfälligt lagras utanför ett administrativt eller säkrat utrymme, förutsatt att innehavaren har åtagit sig att följa de kompensationsåtgärder som anges i tillämpningsföreskrifterna.

3.   Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET får hanteras

4.   Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET ska förvaras i ett säkrat utrymme i ett säkerhetsskåp eller valv.

5.   Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET ska hanteras i ett säkrat utrymme som inrättats och drivs av kommissionens säkerhetsmyndighet, och som har ackrediterats till den säkerhetsnivån av kommissionens myndighet för säkerhetsackreditering.

6.   Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET ska förvaras i ett säkrat utrymme som har ackrediterats till den säkerhetsnivån av kommissionens myndighet för säkerhetsackreditering; förvaringen ska ske under på ett av följande sätt:

Artikel 20

Kontroll av nycklar och kombinationer som används för att skydda säkerhetsskyddsklassificerade EU-uppgifter

1.   Förfaranden för hantering av nycklar och kombinationer för kontor, rum, valv och säkerhetsskåp ska fastställas i tillämpningsföreskrifter i enlighet med artikel 60. Dessa förfaranden ska vara avsedda att skydda mot obehörigt tillträde.

2.   Kombinationer ska memoreras av lägsta möjliga antal personer som behöver känna till dem. Kombinationer för säkerhetsskåp och valv avsedda för förvaring av säkerhetsskyddsklassificerade EU-uppgifter ska ändras

KAPITEL 4

HANTERING AV SÄKERHETSSKYDDSKLASSIFICERADE EU-UPPGIFTER

Artikel 21

Grundprinciper

1.   Alla handlingar som innehåller säkerhetsskyddsklassificerade EU-uppgifter bör hanteras i enlighet med kommissionens policy för dokumenthantering och bör således registreras, klassificeras, bevaras och slutligen elimineras, samplas eller överföras till de historiska arkiven i enlighet med den gemensamma bevarandeförteckningen för kommissionens akter.

2.   Uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre ska registreras för säkerhetsändamål innan de lämnas ut och när de tas emot. Uppgifter på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET ska registreras i de därför avsedda registren.

3.   Inom kommissionen ska ett system för registrering av säkerhetsskyddsklassificerade EU-uppgifter inrättas i enlighet med bestämmelserna i artikel 27.

4.   Kommissionsavdelningar och kommissionsutrymmen inom vilka säkerhetsskyddsklassificerade EU-uppgifter hanteras eller förvaras ska inspekteras med jämna mellanrum av kommissionens säkerhetsmyndighet.

5.   Säkerhetsskyddsklassificerade EU-uppgifter ska transporteras mellan enheter och utrymmen utanför fysiskt skyddade områden på följande sätt:

Artikel 22

Säkerhetsskyddsklassificeringsnivåer och säkerhetsskyddsmarkeringar

1.   Uppgifter ska säkerhetsskyddsklassificeras när deras konfidentialitet behöver skyddas, i enlighet med artikel 3.1.

2.   Den som är upphovsman till säkerhetsskyddsklassificerade EU-uppgifter ska vara ansvarig för fastställandet av uppgifternas säkerhetsskyddsklassificeringsnivå i enlighet med relevanta tillämpningsföreskrifter, standarder och riktlinjer för säkerhetsskyddsklassificering och för den första spridningen av uppgifterna.

3.   Säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter ska fastställas i enlighet med artikel 3.2 och relevanta tillämpningsföreskrifter.

4.   Säkerhetsskyddsklassificeringsnivån ska anges klart och korrekt, oberoende av huruvida de säkerhetsskyddsklassificerade EU-uppgifterna är i pappersform eller i muntlig, elektronisk eller någon annan form.

5.   Enstaka delar av en viss handling (dvs. sidor, stycken, avsnitt, bilagor, tillägg och annat bifogat material) kan kräva inplacering på en annan säkerhetsskyddsklassificeringsnivå och ska i så fall markeras i enlighet med detta, även när de förvaras i elektronisk form.

6.   Den övergripande säkerhetsskyddsklassificeringsnivån för en handling eller en datafil ska vara minst lika hög som den del som fått den högsta säkerhetsskyddsklassificeringsnivån. När uppgifter från olika källor sammanställs, ska den slutliga produkten ses över för att dess övergripande säkerhetsskyddsklassificeringsnivå ska kunna fastställas, eftersom den kan motivera en högre säkerhetsskyddsklassificeringsnivå än säkerhetsskyddsklassificeringsnivån för de enskilda delarna.

7.   I största möjliga utsträckning ska handlingar som innehåller delar på olika säkerhetsskyddsklassificeringsnivåer struktureras så att delar på olika säkerhetsskyddsklassificeringsnivå vid behov lätt kan identifieras och avskiljas.

8.   Ett brev eller en not som åtföljs av bifogade handlingar ska ha samma säkerhetsskyddsklassificeringsnivå som den högsta säkerhetsskyddsklassificeringsnivån hos bilagorna. Upphovsmannen ska tydligt ange på vilken nivå de ska säkerhetsskyddsklassificeras när de skilts från de bifogade handlingarna med hjälp av en lämplig markering, t.ex. följande:

Artikel 23

Markeringar

Utöver de säkerhetsskyddsklassificeringsnivåer som anges i artikel 3.2 får säkerhetsskyddsklassificerade EU-uppgifter förses med ytterligare markeringar, till exempel följande:

Artikel 24

Förkortade säkerhetsskyddsmarkeringar

1.   Standardiserade förkortade säkerhetsskyddsmarkeringar får användas för att ange säkerhetsskyddsklassificeringsnivån för enskilda stycken i en text. Förkortade säkerhetsskyddsmarkeringar får inte ersätta de fullständiga säkerhetsskyddsmarkeringarna.

2.   Följande standardförkortningar får användas i säkerhetsskyddsklassificerade EU-handlingar för att ange säkerhetsskyddsklassificeringsnivån för avsnitt eller textstycken vars storlek är mindre än en sida:

Artikel 25

Upprättande av säkerhetsskyddsklassificerade EU-handlingar

1.   När en säkerhetsskyddsklassificerad EU-handling upprättas ska

2.   Om det inte är möjligt att tillämpa punkt 1 på de säkerhetsskyddsklassificerade EU-uppgifterna ska andra lämpliga åtgärder vidtas i enlighet med tillämpningsföreskrifter.

Artikel 26

Inplacering på lägre säkerhetsskyddsklassificeringsnivå och beslut om att uppgifter inte längre ska vara säkerhetsskyddsklassificerade

1.   I samband med att de upprättas ska upphovsmannen om möjligt ange huruvida de säkerhetsskyddsklassificerade EU-uppgifterna kan inplaceras på en lägre säkerhetsskyddsklassificeringsnivå eller huruvida beslut om att uppgifterna inte längre ska vara säkerhetsskyddsklassificerade kan meddelas vid en viss tidpunkt eller efter en särskild händelse.

2.   Varje kommissionsavdelning ska regelbundet se över säkerhetsskyddsklassificerade EU-uppgifter för vilka det åligger upphovsmannen att förvissa sig om att säkerhetsskyddsklassificeringsnivån fortfarande gäller. Ett system för att minst vart femte år se över säkerhetsskyddsklassificeringsnivån för registrerade säkerhetsskyddsklassificerade EU-uppgifter som har sitt ursprung i kommissionen ska fastställas genom tillämpningsföreskrifter. En sådan översyn är inte nödvändig om upphovsmannen redan från början har angett att uppgifterna automatiskt kommer att inplaceras på en lägre säkerhetsskyddsklassificeringsnivå eller att beslut om att uppgifterna inte längre behöver vara säkerhetsskyddsklassificerade kommer att meddelas och uppgifterna har märkts i enlighet med detta.

3.   Uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som har sitt ursprung i kommissionen kommer automatiskt att förlora sin säkerhetsskyddsklassificering efter trettio år, i enlighet med förordning (EEG, Euratom) nr 354/83, ändrad genom rådets förordning (EG, Euratom) nr 1700/2003 (10).

Artikel 27

Systemet för registrering av säkerhetsskyddsklassificerade EU-uppgifter inom kommissionen

1.   Utan att det påverkar tillämpningen av artikel 52.5 ska det, inom varje kommissionsavdelning där säkerhetsskyddsklassificerade EU-uppgifter hanteras eller förvaras på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och SECRET UE/EU SECRET, inrättas en lokal registreringsenhet med ansvar för säkerhetsskyddsklassificerade EU-uppgifter för att säkerställa att uppgifterna hanteras i enlighet med detta beslut.

2.   Den registreringsenhet som förvaltas av generalsekretariatet ska fungera som kommissionens centrala registreringsenhet med ansvar säkerhetsskyddsklassificerade EU-uppgifter. Den ska fungera som

3.   Inom kommissionen ska kommissionens säkerhetsmyndighet utse en registreringsenhet som ska fungera som central myndighet för mottagning eller avsändning av uppgifter på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET. Om det är nödvändigt får underenheter utses för att hantera dessa uppgifter för registreringsändamål.

4.   Underenheterna får inte överföra handlingar på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET direkt till andra underenheter som är underställda samma centrala registreringsenhet för TRES SECRET UE/EU TOP SECRET eller externt utan uttryckligt godkännande från den senare.

5.   Registreringsenheter för säkerhetsskyddsklassificerade EU-uppgifter ska inrättas som säkrade utrymmen enligt definitionen i kapitel 3, och ackrediteras av kommissionens myndighet för säkerhetsackreditering.

Artikel 28

Kontrolltjänsteman för registreringsenheten

1.   Varje registreringsenhet med ansvar för säkerhetsskyddsklassificerade EU-uppgifter ska förvaltas av en kontrolltjänsteman för registreringsenheten.

2.   Kontrolltjänstemannen ska ha erhållit vederbörligt säkerhetsgodkännande.

3.   Kontrolltjänstemannen ska stå under överinseende av den lokalt säkerhetsansvariga inom respektive avdelning vid kommissionen när det gäller tillämpningen av bestämmelser om hantering av handlingar som innehåller säkerhetsskyddsklassificerade EU-uppgifter och efterlevnaden av relevanta säkerhetsbestämmelser, standarder och riktlinjer.

4.   Inom ramen för sin roll att sköta den registreringsenhet för säkerhetsklassificerade EU-uppgifter som den lokalt säkerhetsansvariga har anförtrotts ansvaret för, ska denne åta sig följande övergripande uppgifter i enlighet med detta beslut och relevanta tillämpningsföreskrifter, standarder och riktlinjer:

Artikel 29

Registrering av säkerhetsskyddsklassificerade eu-uppgifter för säkerhetsändamål

1.   I detta beslut avses med registrering för säkerhetsändamål (nedan kallat registrering) tillämpning av förfaranden som innebär registrering av livscykeln för säkerhetsskyddsklassificerade EU-uppgifter, inbegripet deras spridning.

2.   All information och all materiel på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och högre ska registreras i de därför avsedda registren när de anländer till eller lämnar en organisatorisk enhet.

3.   När säkerhetsskyddsklassificerade EU-uppgifter hanteras eller förvaras med hjälp av ett kommunikations- och informationssystem, får registreringsförfarandena utföras genom processer i själva kommunikations- och informationssystemet.

4.   Mer detaljerade bestämmelser om registrering av säkerhetsskyddsklassificerade EU-uppgifter för säkerhetsändamål ska fastställas i tillämpningsföreskrifter.

Artikel 30

Kopiering och översättning av säkerhetsskyddsklassificerade EU-handlingar

1.   Handlingar på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET får inte kopieras eller översättas utan föregående skriftligt medgivande från upphovsmannen.

2.   Om upphovsmannen till handlingar på säkerhetsskyddsklassificeringsnivån SECRET UE/EU SECRET och lägre inte har angett begränsning för kopiering eller översättning, får sådana handlingar kopieras eller översättas på uppdrag av innehavaren.

3.   De säkerhetsåtgärder som ska tillämpas på originalhandlingen ska även tillämpas på kopior och översättningar av denna.

Artikel 31

Befordran av säkerhetsskyddsklassificerade eu-uppgifter

1.   Säkerhetsskyddsklassificerade EU-uppgifter ska befordras på ett sådant sätt att de skyddas från obehörigt röjande.

2.   Befordran av säkerhetsskyddsklassificerade EU-uppgifter ska omfattas av skyddsåtgärder, som ska

3.   Dessa skyddsåtgärder ska fastställas i detalj i tillämpningsföreskrifter eller, i fråga om projekt och program som avses i artikel 42, som en integrerad del av säkerhetsanvisningarna för det berörda programmet eller projektet.

4.   Tillämpningsföreskrifterna eller säkerhetsanvisningarna ska innehålla bestämmelser som står i proportion till säkerhetsskyddsklassificeringsnivån för de säkerhetsskyddsklassificerade EU-uppgifterna när det gäller

5.   När säkerhetsskyddsklassificerade EU-uppgifter befordras via elektroniska medier får de skyddsåtgärder som fastställs i relevanta tillämpningsföreskrifter, oaktat vad som sägs i artikel 21.5, kompletteras med lämpliga tekniska motåtgärder som godkänts av kommissionens säkerhetsmyndighet för att minimera risken för att uppgifterna går förlorade eller röjs.

Artikel 32

Förstöring av säkerhetsskyddsklassificerade EU-uppgifter

1.   Säkerhetsskyddsklassificerade EU-handlingar som inte längre behövs får förstöras, under hänsyn tagen till arkivregler och till kommissionens regler och föreskrifter om dokumenthantering och arkivering, särskilt den gemensamma förteckningen för bevarande av kommissionens handlingar.

2.   Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och högre ska förstöras av kontrolltjänstemannen vid den ansvariga registreringsenheten för säkerhetsskyddsklassificerade EU-uppgifter på instruktion från innehavaren eller en behörig myndighet. Kontrolltjänstemannen ska uppdatera diarier och annan registreringsinformation i enlighet med detta.

3.   För handlingar på säkerhetsskyddsklassificeringsnivån SECRET UE/EU SECRET eller TRES SECRET UE/EU TOP SECRET ska sådan förstöring utföras av kontrolltjänstemannen i närvaro av ett vittne som har säkerhetsgodkänts för minst den säkerhetsskyddsklassificeringsnivå som anges på handlingen som ska förstöras.

4.   Registratorn och vittnet, om den senares närvaro krävs, ska underteckna ett förstöringsintyg som ska arkiveras vid registreringsenheten. Kontrolltjänstemannen vid den ansvariga registreringsenheten för säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET ska bevara förstöringsintyg för handlingar på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET i minst tio år och för handlingar på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och SECRET UE/EU SECRET i minst fem år.

5.   Säkerhetsskyddsklassificerade handlingar, inklusive sådana på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, ska förstöras enligt metoder som ska fastställas i tillämpningsföreskrifter och som uppfyller relevanta EU-standarder eller likvärdiga standarder.

6.   Lagringsmedier för datorer som använts för att lagra säkerhetsskyddsklassificerade EU-uppgifter ska förstöras i enlighet med förfaranden som fastställs i tillämpningsföreskrifter.

Artikel 33

Förstöring av säkerhetsskyddsklassificerade EU-uppgifter i nödsituationer

1.   Kommissionsavdelningar som innehar säkerhetsskyddsklassificerade EU-uppgifter ska utarbeta planer på grundval av lokala förhållanden för att skydda säkerhetsskyddsklassificerad EU-materiel vid en kris, inklusive nödvändig förstöring i en nödsituation samt planer för evakuering. De ska utfärda de anvisningar som bedöms nödvändiga för att förhindra att säkerhetsskyddsklassificerade EU-uppgifter faller i händerna på obehöriga.

2.   Arrangemangen för att skydda och/eller förstöra materiel med beteckningarna CONFIDENTIEL UE/EU CONFIDENTIAL respektive SECRET UE/EU SECRET vid en kris får under inga omständigheter inverka ogynnsamt på skyddet eller förstöringen av materiel med beteckningen TRÈS SECRET UE/EU TOP SECRET, inklusive krypteringsutrustning, vars behandling ska prioriteras framför alla andra åtgärder.

3.   I nödsituationer ska säkerhetsskyddsklassificerade EU-uppgifter, om det föreligger omedelbar risk för obehörigt röjande, förstöras av innehavaren på ett sådant sätt att de varken helt eller delvis kan rekonstrueras. Upphovsmannen och den registreringsenhet som uppgifterna härrör från ska informeras om att de registrerade säkerhetsskyddsklassificerade EU-uppgifterna på grund av nödsituationen har förstörts.

4.   Mer detaljerade bestämmelser om förstöring av säkerhetsskyddsklassificerade EU-uppgifter ska fastställas i tillämpningsföreskrifter.

KAPITEL 5

SKYDD AV SÄKERHETSSKYDDSKLASSIFICERADE EU-UPPGIFTER I KOMMUNIKATIONS- OCH INFORMATIONSSYSTEM

Artikel 34

Grundläggande principer för informationssäkring

1.   Med informationssäkring på området kommunikations- och informationssystem avses säkerställande av att dessa system kommer att skydda den information de hanterar och fungera som de ska när det krävs, under kontroll av behöriga användare.

2.   Effektiv informationssäkring ska garantera lämpliga nivåer för följande:

3.   Informationssäkring ska grundas på en riskhanteringsprocess.

Artikel 35

Definitioner

I detta kapitel gäller följande definitioner:

a)    ackreditering : formellt tillstånd och godkännande som beviljas ett kommunikations- och informationssystem av myndigheten för säkerhetsackreditering att bearbeta säkerhetsskyddsklassificerade EU-uppgifter i systemets driftsmiljö, efter formellt godkännande och korrekt genomförande av skyddsplanen.

b)    ackrediteringsprocess : de steg och åtgärder som krävs innan myndigheten för säkerhetsackreditering kan bevilja ackreditering; dessa steg och åtgärder ska anges i en standard för ackrediteringsförfarandet.

c)    kommunikations- och informationssystem : varje system som gör det möjligt att hantera information i elektronisk form; ett kommunikations- och informationssystem ska innefatta alla de resurser som krävs för att det ska fungera, inklusive infrastruktur, organisation, personal och informationsresurser.

d)    kvarstående risk : den risk som kvarstår efter det att säkerhetsåtgärder har vidtagits, med tanke på att alla hot inte kan motverkas och alla sårbarheter inte kan elimineras.

e)    risk : potentialen för att ett givet hot kommer att utnyttja intern och extern sårbarhet hos en organisation eller något av de system den använder och därigenom skada organisationen och dess materiella eller immateriella tillgångar; den kan mätas som en kombination av sannolikheten att hot uppträder och följderna därav.

f)    riskacceptans : ett beslut efter riskhanteringen om att godta att en kvarstående risk fortfarande existerar.

g)    riskbedömning : identifiering av hot och sårbarheter och utförande av en därmed sammanhängande riskanalys, dvs. en analys av sannolikhet och konsekvenser.

h)    riskkommunikation : utveckling av medvetenheten om risker bland systemanvändargrupper, information till tillståndsmyndigheter om sådana risker och rapportering av dessa risker till driftsmyndigheter.

i)    riskhantering : mildra, undanröja, reducera (genom en lämplig kombination av tekniska, fysiska, organisatoriska eller procedurmässiga åtgärder), överföra eller övervaka risken.

Artikel 36

Kommunikations- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter

1.   Kommunikations- och informationssystem ska hantera säkerhetsskyddsklassificerade EU-uppgifter i enlighet med informationssäkringsbegreppet.

2.   För system som hanterar säkerhetsskyddsklassificerade EU-uppgifter innebär efterlevnad av kommissionens säkerhetspolicy för informationssystem, såsom denna beskrivs i kommissionens beslut K(2006) 3602 (11), att

3.   All personal som arbetar med utformning, utveckling, testning, drift, förvaltning eller användning av kommunikations- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter ska underrätta kommissionens myndighet för säkerhetsackreditering om alla potentiella säkerhetsbrister, incidenter, överträdelser av säkerhetsbestämmelser eller röjanden som kan påverka skyddet av kommunikations- och informationssystemet och/eller säkerhetsskyddsklassificerade EU-uppgifter i systemet.

4.   Om de säkerhetsskyddsklassificerade EU-uppgifterna skyddas med hjälp av kryptoprodukter, ska dessa produkter godkännas i enlighet med följande:

5.   När säkerhetsskyddsklassificerade EU-uppgifter överförs, behandlas och lagras på elektronisk väg ska godkända kryptoprodukter användas. Trots detta krav får specifika förfaranden i krissituationer eller i specifika tekniska konfigurationer tillämpas efter godkännande av kommissionens kryptogodkännande myndighet.

6.   Säkerhetsåtgärder ska genomföras för att skydda system som hanterar uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre mot att uppgifterna komprometteras genom oavsiktliga elektromagnetiska läckor (tempestsäkerhetsåtgärder). Sådana säkerhetsåtgärder ska motsvara spridningsrisken och uppgifternas säkerhetsskyddsklassificeringsnivå.

7.   Kommissionens säkerhetsmyndighet ska fungera som följande:

8.   Kommissionen säkerhetsmyndighet ska för varje system utse den driftsansvariga myndigheten för informationssäkring.

9.   Ansvaret för de uppgifter som beskrivs i punkterna 7 och 8 kommer att fastställas i tillämpningsföreskrifter.

Artikel 37

Ackreditering av kommunikations- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter

1.   Alla kommunikations- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter ska genomgå ett ackrediteringsförfarande som bygger på principerna om informationssäkring, och vars detaljnivå måste stå i proportion till den skyddsnivå som krävs.

2.   Till ackrediteringsförfarandet hör att kommissionens myndighet för säkerhetsackreditering formellt validerar säkerhetsplanen för det berörda kommunikations- och informationssystemet för att säkerställa att

3.   Kommissionens säkerhetsmyndighet ska utfärda ett ackrediteringsutlåtande som fastställer den högsta säkerhetsskyddsklassificeringsnivån för de säkerhetsskyddsklassificerade EU-uppgifter som får hanteras i systemet och motsvarande driftsvillkor. Detta påverkar inte de uppgifter som anförtrotts styrelsen för säkerhetsackreditering enligt artikel 11 i Europaparlamentets och rådets förordning (EU) nr 512/2014 (12).

4.   En gemensam styrelse för säkerhetsackreditering ska ansvara för ackreditering av kommissionens kommunikations- och informationssystem som involverar flera parter. Den ska bestå av en företrädare för respektive medverkande parts myndighet för säkerhetsackreditering, och ha en företrädare för kommissionens myndighet för säkerhetsackreditering som ordförande.

5.   Ackrediteringsförfarandet ska bestå av en rad uppgifter för vars genomförande de medverkande parterna ska ansvara. Ansvaret för att förbereda ackrediteringsakter och ackrediteringsunderlag ska helt och hållet åligga ägaren av det berörda kommunikations- och informationssystemet.

6.   Ackrediteringsansvaret ska helt och hållet åligga kommissionens myndighet för säkerhetsackreditering som, när som helst under kommunikation- och informationssystemets livscykel ska ha rätt att

7.   Ackrediteringsförfarandet ska fastställas i en standard för ackrediteringsförfarandet för kommunikations- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter, vilken ska antas i enlighet med artikel 10.3 i kommissionens beslut K(2006) 3602.

Artikel 38

Nödlägen

1.   Trots bestämmelserna i detta kapitel får de särskilda förfaranden som beskrivs nedan tillämpas i en nödsituation, exempelvis under en överhängande eller faktisk kris, konflikt, eller krigssituationer eller under exceptionella operativa omständigheter.

2.   Säkerhetsskyddsklassificerade EU-uppgifter får överföras med användning av kryptoprodukter som har godkänts för en lägre sekretessgrad eller utan kryptering med godkännande av den behöriga myndigheten, om en eventuell försening skulle förorsaka större skada än den skada som uppkommer genom ett röjande av det säkerhetsskyddsklassificerade materialet och om

3.   Säkerhetsskyddsklassificerade EU-uppgifter som överförs under de omständigheter som anges i punkt 1 får inte vara försedda med någon märkning eller några tecken som skiljer dem från ett meddelande som inte är sekretessbelagt eller som kan skyddas genom någon tillgänglig kryptoprodukt. Mottagarna ska utan dröjsmål underrättas om säkerhetsskyddsklassificeringsnivån på annat sätt.

4.   En rapport ska därefter överlämnas till den behöriga myndigheten och till kommissionen grupp av säkerhetsexperter.

KAPITEL 6

INDUSTRISÄKERHET

Artikel 39

Grundprinciper

1.   Med industrisäkerhet avses tillämpningen av åtgärder för att garantera skydd av säkerhetsskyddsklassificerade EU-uppgifter

2.   Sådana kontrakt eller bidragsavtal ska inte omfatta uppgifter på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET.

3.   Om inte något annat anges ska bestämmelserna i detta kapitel avseende säkerhetsskyddsklassificerade kontrakt och entreprenörer som måste underteckna säkerhetsskyddsavtal även gälla med avseende på säkerhetsskyddsklassificerade underleverantörskontrakt eller underleverantörer.

Artikel 40

Definitioner

I detta kapitel gäller följande definitioner:

a)    säkerhetsskyddsklassificerat kontrakt : ett sådant ramavtal eller avtal som avses i rådets förordning (EG, Euratom) nr 1605/2002 (13), och som kommissionen eller någon av dess avdelningar har ingått med en entreprenör om leverans av lös eller fast egendom, utförande av byggentreprenader eller tillhandahållande av tjänster, där genomförandet kräver eller inbegriper upprättande, hantering eller lagring av säkerhetsskyddsklassificerade EU-uppgifter.

b)    underentreprenörskontrakt som kräver säkerhetsskyddsavtal : kontrakt som en av kommissionens eller en av kommissionens avdelningars leverantörer ingår med en annan leverantör (dvs. underleverantören) om leverans av lös eller fast egendom, utförande av byggentreprenader eller tillhandahållande av tjänster, där genomförandet kräver eller inbegriper upprättande, hantering eller lagring av säkerhetsskyddsklassificerade EU-uppgifter,

c)    säkerhetsskyddsklassificerat bidragsavtal : ett avtal varigenom kommissionen beviljar ett bidrag, i den mening som avses i del I avdelning VI i förordning (EG, Euratom) nr 1605/2002, och vars genomförande kräver eller inbegriper upprättande, hantering eller lagring av säkerhetsskyddsklassificerade EU-uppgifter.

d)    utsedd säkerhetsmyndighet : en myndighet som är ansvarig inför medlemsstatens nationella säkerhetsmyndighet och som ansvarar för att informera industrienheter eller andra enheter om den nationella strategin i alla frågor rörande industrisäkerhet och för att ge ledning och bistånd vid dess genomförande. Den utsedda säkerhetsmyndighetens verksamhet får utföras av den nationella säkerhetsmyndigheten eller av någon annan behörig myndighet.

Artikel 41

Förfarande för säkerhetsskyddsklassificerade kontrakt eller bidragsavtal

1.   Varje kommissionsavdelning som är upphandlande myndighet ska se till att de minimistandarder för industrisäkerhet som fastställs i detta kapitel blir föremål för hänvisning i eller införlivas med kontraktet, och att de följs när industrienheter och andra enheter tilldelas säkerhetsskyddsklassificerade kontrakt eller bidragsavtal.

2.   Vid tillämpningen av punkt 1 ska de behöriga avdelningarna inom kommissionen samråda med generaldirektoratet för personal och säkerhet, särskilt dess direktorat för säkerhet, och se till att standardkontrakt och standardunderleverantörskontrakt respektive standardbidragsavtal omfattar bestämmelser som avspeglar de grundläggande principer och minimistandarder för skydd av säkerhetsskyddsklassificerade EU-uppgifter som leverantörer och underleverantörer respektive mottagare av bidrag inom ramen för bidragsavtal ska följa.

3.   Kommissionen ska ha ett nära samarbete med den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig myndighet i den berörda medlemsstaten.

4.   När en upphandlande myndighet har för avsikt att inleda ett förfarande för att ingå ett säkerhetsskyddsklassificerat kontrakt eller bidragsavtal, ska den under alla etapper av förfarandet samråda med kommissionens säkerhetsmyndighet om frågor som rör förfarandets säkerhetsskyddsklassificerade natur och inslag.

5.   Mallar och standarder för säkerhetsskyddsklassificerade kontrakt och underleverantörskontrakt, säkerhetsskyddsklassificerade bidragsavtal, meddelanden om upphandling, vägledning om under vilka omständigheter säkerhetsgodkännande av verksamhetsställe (Facility Security Clearance) krävs, säkerhetsanvisningar för program eller projekt, säkerhetsskyddsöverenskommelser, besök, överföring och befordran av säkerhetsskyddsklassificerade EU-uppgifter inom ramen för säkerhetsskyddsklassificerade kontrakt eller bidragsavtal ska fastställas i tillämpningsföreskrifter för industriell säkerhet, efter samråd med kommissionens grupp av säkerhetsexperter.

6.   Kommissionen får ingå säkerhetsskyddsklassificerade kontrakt eller bidragsavtal som innebär att ekonomiska aktörer som är registrerade i en medlemsstat eller en tredjestat med vilken ett avtal eller ett administrativt arrangemang har ingåtts i enlighet med artikel 7 i detta beslut anförtros uppgifter som involverar eller innebär tillgång till eller hantering eller lagring av säkerhetsskyddsklassificerade EU-uppgifter.

Artikel 42

Säkerhetsinslag i ett säkerhetsskyddsklassificerat kontrakt eller bidragsavtal

1.   Säkerhetsskyddsklassificerade kontrakt eller bidragsavtal ska ha följande säkerhetsrelaterade inslag:

Säkerhetsanvisningar för program eller projekt

Säkerhetsskyddsöverenskommelse

2.   Både säkerhetsanvisningarna och säkerhetsöverenskommelsen ska omfatta en handbok om säkerhetsskyddsklassificering som obligatoriskt säkerhetsinslag:

Artikel 43

Tillgång till säkerhetskyddsklassificerade EU-uppgifter för entreprenörers och stödmottagares personal

Den upphandlande eller beviljande myndigheten ska se till att det säkerhetsskyddsklassificerade kontraktet eller bidragsavtalet innehåller bestämmelser om att personal hos entreprenörer, underentreprenörer eller bidragsmottagare som för att kunna genomföra det säkerhetsskyddsklassificerade kontraktet eller bidragsavtalet måste ha tillgång till säkerhetsskyddsklassificerade EU-uppgifter ska beviljas sådan tillgång endast om vederbörande

Artikel 44

Intyg om säkerhetsgodkännande av verksamhetsställe

1.   Säkerhetsgodkännande av verksamhetsställe är ett administrativt beslut av en nationell säkerhetsmyndighet, en utsedd säkerhetsmyndighet eller någon annan behörig säkerhetsmyndighet om att ett verksamhetsställe ur säkerhetsperspektiv kan erbjuda tillräckligt säkerhetsskydd av säkerhetsskyddsklassificerade EU-uppgifter på en specificerad säkerhetsskyddsklassificeringsnivå.

2.   Ett säkerhetsgodkännande av verksamhetsställe som beviljas av den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig säkerhetsmyndighet i en medlemsstat i syfte att visa, i enlighet med nationella lagar och andra författningar, att en ekonomisk aktör har förmåga att skydda säkerhetsskyddsklassificerade EU-uppgifter på lämplig säkerhetsskyddsklassificeringsnivå (CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET) inom sina anläggningar, ska lämnas till kommissionens säkerhetsmyndighet, som ska vidarebefordra det till den kommissionsavdelning som fungerar som upphandlande eller beviljande myndighet, innan en anbudssökande, anbudsgivare eller entreprenör, eller bidragssökande eller bidragsmottagare får ges eller beviljas tillgång till säkerhetsskyddsklassificerade EU-uppgifter.

3.   I förekommande fall ska den upphandlande myndigheten, genom kommissionens säkerhetsmyndighet, underrätta vederbörlig nationell säkerhetsmyndighet, utsedd säkerhetsmyndighet eller någon annan behörig säkerhetsmyndighet att det krävs ett säkerhetsgodkännande av verksamhetsställe för att genomföra kontraktet. Det ska krävas ett säkerhetsgodkännande av verksamhetsställe eller ett personalsäkerhetsgodkännande när säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET måste tillhandahållas under upphandlings- eller bidragstilldelningsförfarandets gång.

4.   Den upphandlande eller bidragsbeviljande myndigheten får inte tilldela en vald anbudsgivare eller deltagare ett säkerhetskyddsklassificerat kontrakt eller bidragsavtal innan den har fått bekräftat från den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig myndighet i den medlemsstat där den berörda entreprenören eller underentreprenören är registrerad att ett giltigt intyg om säkerhetsgodkännande av verksamhetsställe har utfärdats, om ett sådant krävs.

5.   När kommissionens säkerhetsmyndighet har underrättats av den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller en annan behörig säkerhetsmyndighet som har utfärdat ett säkerhetsgodkännande av verksamhetsställe om eventuella ändringar med avseende på detta godkännande, ska den underrätta den kommissionsavdelning som fungerar som upphandlande eller bidragsbeviljande myndighet. Vid eventuell underentreprenad ska den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig säkerhetsmyndighet underrättas om detta.

6.   Återkallande av ett säkerhetsgodkännande av verksamhetsställe av en nationell säkerhetsmyndighet eller en utsedd säkerhetsmyndighet eller någon annan behörig säkerhetsmyndighet ska utgöra tillräcklig grund för att den upphandlande eller bidragsbeviljande myndigheten ska kunna säga upp kontraktet eller utestänga en anbudssökande, anbudsgivare eller sökande från förfarandet. En bestämmelse om detta ska ingå i de standardkontrakt och standardbidragsavtal som ska utarbetas.

Artikel 45

Bestämmelser om säkerhetsskyddsklassificerade kontrakt och bidragsavtal

1.   När säkerhetsskyddsklassificerade EU-uppgifter lämnas till en anbudssökande, en anbudsgivare eller en sökande under ett upphandlingsförfarande, ska inbjudan att lämna anbud eller inbjudan att lämna förslag innehålla en bestämmelse som förpliktigar anbudssökanden, anbudsgivaren eller den sökande som inte inkommer med ett anbud eller ett förslag eller som inte väljs ut att återlämna alla säkerhetsskyddsklassificerade handlingar inom en viss tid.

2.   Den upphandlande eller beviljande myndigheten ska, genom kommissionens säkerhetsmyndighet, underrätta den behöriga nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig säkerhetsmyndighet om att ett säkerhetsskyddsklassificerat kontrakt eller bidragsavtal har tilldelats, och om de uppgifter som berörs, t.ex. namnet på entreprenören (entreprenörerna) eller bidragsmottagaren (bidragsmottagarna) kontraktets löptid och den högsta säkerhetsskyddsklassificeringsnivån.

3.   När sådana kontrakt eller bidragsavtal upphör att gälla ska den upphandlande eller beviljande myndigheten omedelbart anmäla detta till kommissionens säkerhetsmyndighet, den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig säkerhetsmyndighet i den medlemsstat där entreprenören eller bidragsmottagaren är registrerad.

4.   Som en allmän regel ska entreprenören eller bidragsmottagaren, när det säkerhetsskyddsklassificerade kontraktet eller bidragsavtalet upphör att gälla eller en bidragsmottagare avslutar sitt deltagande, vara skyldig att återlämna alla säkerhetsskyddsklassificerade EU-uppgifter som innehas av denne.

5.   Särskilda bestämmelser för förfogandet över säkerhetsskyddsklassificerade EU-uppgifter under fullgörandet av ett säkerhetsskyddsklassificerat kontrakt eller bidragsavtal eller sedan det upphört att gälla ska fastställas i säkerhetsskyddsöverenskommelsen.

6.   Om entreprenören eller bidragsmottagaren har rätt att behålla säkerhetsskyddsklassificerade EU-uppgifter sedan det säkerhetsskyddsklassificerade kontraktet har upphört att gälla, ska minimistandarderna i detta beslut fortsätta att uppfyllas och konfidentialiteten för de säkerhetsskyddsklassificerade EU-uppgifterna ska skyddas av entreprenören eller bidragsmottagaren.

Artikel 46

Särskilda bestämmelser om säkerhetsskyddsklassificerade kontrakt

1.   De villkor av relevans för skyddet av säkerhetsskyddsklassificerade EU-uppgifter på vilka entreprenören får anlita underentreprenörer ska fastställas i anbudsinfordran och i det säkerhetsskyddsklassificerade kontraktet.

2.   En entreprenör ska inhämta tillstånd från den upphandlande myndigheten, innan delar av kontraktet läggs ut på en underentreprenör. Inga underleverantörsavtal som innebär tillgång till säkerhetsskyddsklassificerade EU-uppgifter får tilldelas underentreprenörer som är registrerade i ett tredjeland, såvida det inte finns ett regelverk om informationssäkerhet i enlighet med kapitel 7.

3.   Entreprenören ska vara ansvarig för att se till att all underentreprenad utförs i enlighet med miniminormerna i detta beslut och får inte lämna ut säkerhetsskyddsklassificerade EU-uppgifter till en underentreprenör utan föregående skriftligt medgivande från den upphandlande myndigheten.

4.   När det gäller säkerhetsskyddsklassificerade EU-uppgifter som upprättats eller hanterats av entreprenören, ska kommissionen anses vara upphovsman, och upphovsmannens rättigheter ska utövas av den upphandlande myndigheten.

Artikel 47

Besök med anknytning till säkerhetsskyddsklassificerade kontrakt

1.   När personal vid kommissionen eller hos entreprenörer eller bidragsmottagare begär tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET i varandras lokaler för att genomföra ett säkerhetsskyddsklassificerat kontrakt eller bidragsavtal, ska besök anordnas tillsammans med de berörda nationella säkerhetsmyndigheterna, de utsedda säkerhetsmyndigheterna eller andra behöriga säkerhetsmyndigheter. Kommissionens säkerhetsmyndighet ska informeras om sådana besök. När det gäller särskilda program eller projekt får dock de nationella säkerhetsmyndigheterna, de utsedda säkerhetsmyndigheterna eller någon annan behörig säkerhetsmyndighet även enas om ett förfarande varigenom sådana besök kan anordnas direkt.

2.   Alla besökare ska inneha ett lämpligt säkerhetsgodkännande och ha behovsenlig behörighet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter med anknytning till det säkerhetsskyddsklassificerade kontraktet.

3.   Besökare ska enbart ges tillgång till säkerhetsskyddsklassificerade EU-uppgifter som har samband med besökets syfte.

4.   Närmare bestämmelser ska fastställas i tillämpningsföreskrifter.

5.   Det ska vara obligatoriskt att följa bestämmelserna om besök i samband med säkerhetsskyddsklassificerade kontrakt i detta beslut och i de tillämpningsföreskrifter som avses i punkt 4.

Artikel 48

Översändande och befordran av säkerhetsskyddsklassificerade EU-uppgifter i samband med säkerhetsskyddsklassificerade kontrakt eller bidragsavtal

1.   Överföring av säkerhetsskyddsklassificerade EU-uppgifter på elektronisk väg ska omfattas av tillämpliga bestämmelser i kapitel 5 i detta beslut.

2.   När det gäller befordran av säkerhetsskyddsklassificerade EU-uppgifter ska tillämpliga bestämmelser i kapitel 4 i detta beslut och i dess tillämpningsföreskrifter gälla, i enlighet med nationella lagar och andra författningar.

3.   Följande principer ska gälla vid fastställandet av säkerhetsarrangemangen för transport av säkerhetsskyddsklassificerad materiel som frakt:

Artikel 49

Överföring av säkerhetsskyddsklassificerade EU-uppgifter till entreprenörer eller bidragsmottagare i tredjestater

Säkerhetsskyddsklassificerade EU-uppgifter ska överföras till entreprenörer och bidragsmottagare i tredjestater i enlighet med säkerhetsbestämmelser som överenskommits mellan kommissionens säkerhetsmyndighet, i egenskap av upphandlande eller bidragsbeviljande myndighet, och den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig säkerhetsmyndighet i den berörda tredjestat där entreprenören eller bidragsmottagaren är registrerad.

Artikel 50

Hantering av uppgifter som placerats på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED i samband med säkerhetsskyddsklassificerade kontrakt eller bidragsavtal

1.   Skydd av säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som hanteras eller lagras enligt säkerhetsskyddsklassificerade kontrakt eller bidragsavtal ska vara grundade på principerna om proportionalitet och kostnadseffektivitet.

2.   Inget säkerhetsgodkännande av verksamhetsställe eller personalsäkerhetsgodkännande ska krävas inom ramen för säkerhetsskyddsklassificerade kontrakt eller bidragsavtal som inbegriper hantering av uppgifter som inplacerats på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

3.   När ett kontrakt eller bidragsavtal inbegriper hantering av uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED i ett kommunikations- och informationssystem som drivs av en entreprenör, ska den upphandlande eller bidragsbeviljande myndigheten, efter samråd med kommissionens säkerhetsmyndighet, se till att kontraktet eller bidragsavtalet specificerar de nödvändiga tekniska och administrativa kraven för ackreditering eller godkännande av kommunikations- och informationssystemet i proportion till den uppskattade risken, med beaktande av alla relevanta faktorer. Kommissionens säkerhetsmyndighet och den berörda nationella säkerhetsmyndigheten eller utsedda säkerhetsmyndigheten ska enas om omfattningen av ackrediteringen eller godkännandet av ett sådant system.

KAPITEL 7

UTBYTE AV SÄKERHETSSKYDDSKLASSIFICERADE EU-UPPGIFTER MED UNIONENS ÖVRIGA INSTITUTIONER, BYRÅER, ORGAN OCH KONTOR, MED MEDLEMSSTATER OCH MED TREDJESTATER OCH INTERNATIONELLA ORGANISATIONER

Artikel 51

Grundprinciper

1.   Om kommissionen eller någon av dess avdelningar fastställer att det finns ett behov av utbyte av säkerhetsskyddsklassificerade EU-uppgifter med unionens övriga institutioner, byråer, organ eller kontor, eller med en tredjestat eller internationell organisation, ska nödvändiga åtgärder vidtas för att inrätta en lämplig rättslig eller administrativ ram för detta ändamål, vilket kan inbegripa informationssäkerhetsavtal eller administrativa överenskommelser som ingåtts i enlighet med relevanta regler.

2.   Utan att det påverkar tillämpningen av artikel 57 ska säkerhetsskyddsklassificerade EU-uppgifter endast utbytas med unionens övriga institutioner, byråer, organ eller kontor, eller med en tredjestat eller internationell organisation, under förutsättning att en lämplig rättslig eller administrativ ram finns på plats och att det föreligger tillräckliga garantier för att institutionen, byrån, organet eller kontoret i fråga, eller den berörda tredjestaten eller internationella organisationen, tillämpar likvärdiga grundläggande principer och minimistandarder för skydd av säkerhetsskyddsklassificerade uppgifter.

Artikel 52

Utbyte av säkerhetsskyddsklassificerade EU-uppgifter med unionens övriga institutioner, byråer, organ och kontor

1.   Före ingåendet av ett administrativt arrangemang för utbyte av säkerhetsskyddsklassificerade EU-uppgifter med en annan av unionens institutioner, byråer, organ eller kontor ska kommissionen försäkra sig om att institutionen, byrån, organet eller kontoret i fråga

2.   Generaldirektoratet för personal och säkerhet ska i nära samarbete med andra behöriga kommissionsavdelningar fungera som huvudansvarig avdelning inom kommissionen för ingående av administrativa arrangemang för utbyte av säkerhetsskyddsklassificerade EU-uppgifter med unionens övriga institutioner, byråer, organ eller kontor.

3.   Administrativa arrangemang ska i princip ha formen av en skriftväxling, och undertecknas av generaldirektören för personal och säkerhet på kommissionens vägnar.

4.   Före ingåendet av ett administrativt arrangemang om utbyte av säkerhetsskyddsklassificerade EU-uppgifter ska kommissionens säkerhetsmyndighet genomföra ett utvärderingsbesök för att bedöma den rättsliga ramen för skydd av säkerhetsskyddsklassificerade EU-uppgifter och kontrollera ändamålsenligheten av de åtgärder som genomförs för att skydda säkerhetsskyddsklassificerade EU-uppgifter. Den administrativa överenskommelsen ska träda i kraft och säkerhetsskyddsklassificerade EU-uppgifter utbytas endast om resultatet av detta utvärderingsbesök är tillfredsställande och de rekommendationer som lämnats efter besöket har följts. Regelbundna uppföljningsbesök ska genomföras för att kontrollera att det administrativa arrangemanget följs och att de säkerhetsåtgärder som införts fortsätter att uppfylla de grundläggande principer och de minimistandarder som man kommit överens om.

5.   Inom kommissionen ska den registreringsenhet för säkerhetsskyddsklassificerade EU-uppgifter som förvaltas av generalsekretariatet som regel fungera som huvudsaklig kontaktpunkt för in- och utförsel när det gäller utbyte av säkerhetsskyddsklassificerade uppgifter med andra av unionens institutioner, byråer, organ och kontor. När det av säkerhetsskäl eller av organisatoriska eller operativa skäl är mer lämpligt för att skydda säkerhetsskyddsklassificerade EU-uppgifter, ska lokala registreringsenheter för säkerhetsskyddsklassificerade EU-uppgifter, som inrättats inom kommissionens avdelningar i enlighet med detta beslut och dess tillämpningsföreskrifter, fungera som kontaktpunkt för in- och utförsel för säkerhetsskyddsklassificerade uppgifter rörande frågor som omfattas av de berörda kommissionsavdelningarnas behörighet.

6.   Kommissionens grupp av säkerhetsexperter ska underrättas om ingåendet av administrativa arrangemang i enlighet med punkt 2.

Artikel 53

Utbyte av säkerhetsskyddsklassificerade EU-uppgifter med medlemsstater

1.   Säkerhetsskyddsklassificerade EU-uppgifter får utbytas med och lämnas ut till medlemsstater under förutsättning att dessa skyddar uppgifterna i enlighet med de krav som gäller för säkerhetsskyddsklassificerade uppgifter med en nationell säkerhetsskyddsklassificering på motsvarande nivå i enlighet med jämförelsetabellen för säkerhetsskyddsklassificeringsnivåer i bilaga I.

2.   Om medlemsstaterna för in säkerhetsskyddsklassificerade uppgifter med en nationell säkerhetsklassificering i kommissionens strukturer eller nät, ska kommissionen skydda uppgifterna i enlighet med kraven för säkerhetsskyddsklassificerade EU-uppgifter på motsvarande nivå i enlighet med jämförelsetabellen för säkerhetsskyddsklassificeringsnivåer i bilaga I.

Artikel 54

Utbyte av säkerhetsskyddsklassificerade EU-uppgifter med tredjestater och internationella organisationer

1.   När kommissionen fastställer att det finns ett långsiktigt behov av utbyte av säkerhetsskyddsklassificerade uppgifter med tredjestater eller internationella organisationer, ska nödvändiga åtgärder vidtas för att inrätta en lämplig rättslig eller administrativ ram för detta ändamål, vilket kan inbegripa informationssäkerhetsavtal eller administrativa överenskommelser som ingåtts i enlighet med relevanta regler.

2.   Sådana informationssäkerhetsavtal och administrativa arrangemang som avses i punkt 1 ska innehålla bestämmelser som sörjer för att säkerhetsskyddsklassificerade EU-uppgifter som tredjestater eller internationella organisationer får, skyddas på ett sätt som är lämpligt med avseende på deras säkerhetsskyddsklassificeringsnivå och enligt minimistandarder som motsvarar de som fastställs i detta beslut.

3.   Kommissionen får ingå administrativa arrangemang i enlighet med artikel 56 om säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter generellt inte är högre än RESTREINT UE/EU RESTRICTED.

4.   Sådana administrativa överenskommelser om utbyte av säkerhetsskyddsklassificerade uppgifter som avses i punkt 3 ska innehålla bestämmelser som sörjer för att säkerhetsskyddsklassificerade EU-uppgifter som tredjestater eller internationella organisationer mottar skyddas på ett sätt som är lämpligt med avseende på deras säkerhetsskyddsklassificeringsnivå och i enlighet med minimistandarder som motsvarar de som fastställs i detta beslut. Kommissionens grupp av säkerhetsexperter ska höras om ingåendet av informationssäkerhetsavtal eller administrativa arrangemang.

5.   Beslutet att lämna ut säkerhetsskyddsklassificerade EU-uppgifter med upphov i kommissionen till en tredjestat eller internationell organisation ska fattas av berörd kommissionsavdelning, i egenskap av upphovsman inom kommissionen till uppgifterna, från fall till fall med hänsyn till uppgifternas natur och innehåll, mottagarens behovsenliga behörighet och den fördel som unionen vinner därigenom. Om det inte är kommissionen som är upphovsman till de säkerhetsskyddsklassificerade uppgifterna, och kommissionens inte heller är upphovsman till eventuellt källmaterial de kan innehålla, ska den kommissionsavdelning som innehar de säkerhetsskyddsklassificerade uppgifterna först söka upphovsmannens skriftliga medgivande till att lämna ut uppgifterna. Om upphovsmannen inte kan fastställas ska den kommissionsavdelning som innehar dessa säkerhetsskyddsklassificerade uppgifter överta upphovsmannens ansvar efter samråd med kommissionens grupp av säkerhetsexperter.

Artikel 55

Informationssäkerhetsavtal

1.   Informationssäkerhetsavtal med tredjeländer eller internationella organisationer ska ingås i enlighet med artikel 218 i EUF-fördraget.

2.   Informationssäkerhetsavtal ska

3.   När ett behov av att utbyta säkerhetsskyddsklassificerad information har fastställts i enlighet med artikel 51.1 ska kommissionen i lämpliga fall samråda med utrikestjänsten, rådets generalsekretariat och andra unionsinstitutioner och unionsorgan i syfte att avgöra om en rekommendation enligt artikel 218.3 i EUF-fördraget bör avges.

4.   Säkerhetsskyddsklassificerade EU-uppgifter får inte utbytas i elektronisk form, såvida detta inte uttryckligen föreskrivs i informationssäkerhetsavtalet eller i de tekniska genomförandebestämmelserna.

5.   Inom kommissionen ska den registreringsenhet för säkerhetsskyddsklassificerade EU-uppgifter som förvaltas av generalsekretariatet som regel fungera som huvudsaklig kontaktpunkt för in- och utpassering när det gäller utbyte av säkerhetsskyddsklassificerade uppgifter med tredjestater och internationella organisationer. När det av säkerhetsskäl eller av organisatoriska eller operativa skäl är mer lämpligt för att skydda säkerhetsskyddsklassificerade EU-uppgifter, ska lokala registreringsenheter för säkerhetsskyddsklassificerade EU-uppgifter, som inrättats inom kommissionens avdelningar i enlighet med detta beslut och dess tillämpningsföreskrifter, fungera som kontaktpunkt för in- och utpassering för säkerhetsskyddsklassificerade uppgifter rörande frågor som omfattas av de berörda kommissionsavdelningarnas behörighet.

6.   För att bedöma ändamålsenligheten av säkerhetsbestämmelserna, säkerhetsstrukturerna och säkerhetsförfarandena i den berörda tredjestaten eller internationella organisationen ska kommissionen, i samarbete med andra av unionens institutioner, byråer eller organ, delta i utvärderingsbesök, i samförstånd med den berörda tredjestaten eller internationella organisationen. Sådana utvärderingsbesök ska utvärdera

Artikel 56

Administrativa överenskommelser

1.   När det, inom en unionspolitisk eller unionsrättslig ram, föreligger ett långsiktigt behov av att utbyta säkerhetsskyddsklassificerade uppgifter som i regel inte ligger över säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED med en tredjestat eller internationell organisation, och när kommissionens säkerhetsmyndighet, efter samråd med kommissionens grupp av säkerhetsexperter, har fastställt särskilt att den parten inte har ett tillräckligt utvecklat säkerhetssystem för att ingå ett informationssäkerhetsavtal, får kommissionen besluta om att ingå ett administrativt arrangemang med de berörda myndigheterna i tredjestaten eller den internationella organisationen i fråga.

2.   Sådana administrativa arrangemang ska i princip ha formen av en skriftväxling.

3.   Ett utvärderingsbesök ska genomföras före ingåendet av avtalet. Kommissionen grupp av säkerhetsexperter ska underrättas om resultatet av utvärderingsbesöket. Om det finns exceptionella skäl för ett brådskande utbyte av säkerhetsskyddsklassificerade uppgifter, får säkerhetsskyddsklassificerade EU-uppgifter lämnas ut under förutsättning att alla ansträngningar görs för att genomföra ett utvärderingsbesök snarast möjligt.

4.   Inga säkerhetsskyddsklassificerade EU-uppgifter får utbytas på elektronisk väg, såvida detta inte uttryckligen föreskrivs i den administrativa överenskommelsen.

Artikel 57

Ad hoc-utlämning av säkerhetsskyddsklassificerade EU-uppgifter i undantagsfall

1.   Om inget informationssäkerhetsavtal eller administrativt arrangemang finns på plats, och om kommissionen eller någon av dess avdelningar slår fast att det, inom unionens politiska och rättsliga ramar, finns ett exceptionellt behov av att lämna ut säkerhetsskyddsklassificerade EU-uppgifter till en tredjestat eller en internationell organisation, ska kommissionens säkerhetsmyndighet i möjligaste mån kontrollera med säkerhetsmyndigheterna i den berörda tredjestaten eller internationella organisationen att dess säkerhetsbestämmelser, säkerhetsstrukturer och säkerhetsförfaranden garanterar att de säkerhetsskyddsklassificerade EU-uppgifter som kommer att lämnas ut till denna skyddas enligt standarder som är minst lika stränga som dem som fastställs i detta beslut.

2.   Beslutet att lämna ut säkerhetsskyddsklassificerade EU-uppgifter till den berörda tredjestaten eller internationella organisationen ska, efter samråd med kommissionens grupp av säkerhetsexperter, fattas av kommissionen på grundval av ett förslag från den kommissionsledamot som ansvarar för säkerhetsfrågor.

3.   Efter kommissionens beslut att lämna ut säkerhetsskyddsklassificerade EU-uppgifter ska den behöriga kommissionsavdelningen, med förbehåll för att upphovsmannen, inklusive upphovsmännen till källmaterial som uppgifterna kan innehålla, lämnar sitt skriftliga samtycke, översända uppgifterna i fråga, som ska vara försedda med en markering om att uppgifterna får lämnas ut samt om vilken tredjestat eller internationell organisation de har lämnats ut till. Före eller vid den faktiska utlämningen ska den berörda tredje parten skriftligen åta sig att skydda de mottagna säkerhetsskyddsklassificerade EU-uppgifterna i enlighet med de grundläggande principer och miniminormer som anges i detta beslut.

KAPITEL 8

SLUTBESTÄMMELSER

Artikel 58

Ersättande av föregående beslut

Genom detta beslut upphävs och ersätts kommissionens beslut 2001/844/EG, EKSG, Euratom (14).

Artikel 59

Säkerhetsskyddsklassificerade uppgifter som upprättats före ikraftträdandet av detta beslut

1.   Alla säkerhetsskyddsklassificerade EU-uppgifter som klassificerats i enlighet med beslut 2001/844/EG, EKSG, Euratom ska även fortsättningsvis skyddas i enlighet med relevanta bestämmelser i det här beslutet.

2.   Alla säkerhetsskyddsklassificerade uppgifter som innehades av kommissionen den dag då kommissionens beslut 2001/844/EG, EKSG, Euratom trädde i kraft, med undantag för säkerhetsskyddsklassificerade Euratom-uppgifter, ska

Artikel 60

Tillämpningsföreskrifter och säkerhetsmeddelanden

1.   Om nödvändigt kommer antagandet av tillämpningsföreskrifter för detta beslut att bli föremål för ett separat beslut om delegering från kommissionen till den ledamot av kommissionen som ansvarar för säkerhetsfrågor, i full överensstämmelse med den interna arbetsordningen.

2.   Efter att ha bemyndigats genom ovannämnda kommissionsbeslut, får den ledamot av kommissionen som ansvarar för säkerhetsfrågor utarbeta säkerhetsmeddelanden om fastställande av riktlinjer för säkerhet och bästa praxis inom ramen för detta beslut och dess tillämpningsföreskrifter.

3.   Kommissionen får delegera de uppgifter som anges i punkterna 1 och 2 i denna artikel till generaldirektören för personal och säkerhet genom ett separat beslut om delegering, i full överensstämmelse med den interna arbetsordningen.

Artikel 61

Ikraftträdande

Detta beslut träder i kraft dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

(1)  Se överenskommelsen om säkerhet mellan Belgiens regering och Europaparlamentet, rådet, kommissionen, Europeiska ekonomiska och sociala kommittén, Regionkommittén och europeiska investeringsbanken av den 31 december 2004 (Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité), säkerhetsavtalet mellan kommissionen och Luxemburgs regering av den 20 januari 2007 (Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois) och avtalet mellan Italiens regering och Europeiska atomenergigemenskapen (Euratom) av den 22 juli 1959 (Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale).

(2)  Kommissionens beslut 2002/47/EG, EKSG, Euratom av den 23 januari 2002 om ändring av dess arbetsordning (EGT L 21, 24.1.2002, s. 23).

(3)  Kommissionens beslut 2004/563/EG, Euratom av den 7 juli 2004 om ändring av dess arbetsordning (EUT L 251, 27.7.2004, s. 9).

(4)  Förordning (Euratom) nr 3 av den 31 juli 1958 om genomförandet av artikel 24 i fördraget om upprättandet av Europeiska atomenergigemenskapen (EGT 17, 6.10.1958, s. 406/58).

(5)  Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).

(6)  Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

(7)  Rådets förordning (EEG, Euratom) nr 354/83 av den 1 februari 1983 om öppnandet för allmänheten av Europeiska ekonomiska gemenskapens och Europeiska atomenergigemenskapens historiska arkiv (EGT L 43, 15.2.1983, s. 1).

(8)  Kommissionens beslut (EU, Euratom) 2015/443 av den 13 mars 2015 om säkerhet inom kommissionen (se sidan 41 i detta nummer av EUT).

(9)  Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (anställningsvillkor för övriga anställda) (EGT L 56, 4.3.1968, s. 1).

(10)  Rådets förordning (EG, Euratom) nr 1700/2003 av den 22 september 2003 om ändring av förordning (EEG, Euratom) nr 354/83 om öppnandet för allmänheten av Europeiska ekonomiska gemenskapens och Europeiska atomenergigemenskapens historiska arkiv (EUT L 243, 27.9.2003, s. 1).

(11)  K(2006) 3602 av den 16 augusti 2006 om säkerheten i de IT-system som används av Europeiska kommissionen.

(12)  Europaparlamentets och rådets förordning (EU) nr 512/2014 av den 16 april 2014 om ändring av förordning (EU) nr 912/2010 om inrättande av en europeisk sjösäkerhetsbyrå (EUT L 150, 20.5.2014, s. 72).

(13)  Rådets förordning (EG, Euratom) nr 1605/2002 av den 25 juni 2002 med budgetförordning för Europeiska gemenskapernas allmänna budget (EGT L 248, 16.9.2002, s. 1).

(14)  Kommissionens beslut 2001/844/EG, EKSG, Euratom av den 29 november 2001 om ändring av de interna stadgarna (EGT L 317, 3.12.2001, s. 1).