17.3.2015

Europeiska unionens officiella tidning

L 72/8

RÅDETS BESLUT (EU) 2015/438

av den 2 mars 2015

om fastställande av den ståndpunkt som ska intas på Europeiska unionens vägnar i den gemensamma kommitté som inrättats enligt avtalet mellan Europeiska unionen och Ukraina om förenklat utfärdande av viseringar med avseende på antagandet av gemensamma riktlinjer för genomförande av avtalet

EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 77.2 a jämförd med artikel 218.9,

med beaktande av Europeiska kommissionens förslag, och

av följande skäl:

(1)	I artikel 12 i avtalet mellan Europeiska unionen och Ukraina om förenklat utfärdande av viseringar (1) (nedan kallat avtalet) inrättas en gemensam kommitté. Det föreskrivs att den gemensamma kommittén i synnerhet ska ha till uppgift att övervaka genomförandet av avtalet.

(2)	Avtalet mellan Europeiska unionen och Ukraina om ändring av avtalet mellan Europeiska unionen och Ukraina om förenklat utfärdande av viseringar (2) (nedan kallat ändringsavtalet) trädde i kraft den 1 juli 2013.

(3)	Europaparlamentets och rådets förordning (EG) nr 810/2009 (3) fastställde förfaranden och villkor för utfärdande av viseringar för transitering genom medlemsstaternas territorium eller för planerade vistelser på medlemsstaternas territorium på högst 90 dagar under en 180-dagarsperiod.

(4)

Inom ramen för sitt ansvar noterade den gemensamma kommittén behovet av gemensamma riktlinjer för att säkerställa att medlemsstaternas konsulat genomför avtalet på ett fullt ut harmoniserat sätt, och för att klargöra förhållandet mellan bestämmelserna i avtalet och de avtalsslutande parternas bestämmelser som fortsätter att gälla för viseringsfrågor som inte omfattas av avtalet.

(5)

Den gemensamma kommittén antog sådana riktlinjer den 25 november 2009 genom sitt beslut nr 1/2009. Dessa riktlinjer bör anpassas till de nya bestämmelserna i det avtal som infördes genom ändringsavtalet och till förändringar i unionens interna lagstiftning om viseringspolitiken. För tydlighetens skull är det lämpligt att ersätta dessa riktlinjer.

(6)	Den ståndpunkt som ska intas på unionens vägnar i den gemensamma kommittén beträffande antagandet av de gemensamma riktlinjerna för genomförande av avtalet bör fastställas.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Den ståndpunkt som ska intas på unionens vägnar i den gemensamma kommitté som inrättats genom artikel 12 i avtalet mellan Europeiska unionen och Ukraina om förenklat utfärdande av viseringar när det gäller antagandet av gemensamma riktlinjer för avtalets genomförande ska grunda sig på det utkast till beslut av gemensamma kommittén som åtföljer detta beslut.

Artike 2

Detta beslut träder i kraft samma dag som det antas.

Utfärdat i Bryssel den 2 mars 2015.

På rådets vägnar

D. REIZNIECE-OZOLA

Ordförande

(1) EUT L 332, 18.12.2007, s. 68.

(2) EUT L 168, 20.6.2013, s. 11.

(3) Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex) (EUT L 243, 15.9.2009, s. 1).

UTKAST TILL

BESLUT nr …/2014 AV DEN GEMENSAMMA KOMMITTÉ SOM INRÄTTATS GENOM AVTALET MELLAN EUROPEISKA UNIONEN OCH UKRAINA OM FÖRENKLAT UTFÄRDANDE AV VISERINGAR

av den

med avseende på antagandet av gemensamma riktlinjer för genomförande av avtalet

GEMENSAMMA KOMMITTÉN HAR BESLUTAT FÖLJANDE

med beaktande av avtalet mellan Europeiska unionen och Ukraina om förenklat utfärdande av viseringar (nedan kallat avtalet), särskilt artikel 12, och

med beaktande av att avtalet trädde i kraft den 1 januari 2008.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

De gemensamma riktlinjer för genomförande av avtalet mellan Europeiska unionen och Ukraina om förenklat utfärdande av viseringar fastställs i bilagan till detta beslut.

Artikel 2

Gemensamma kommitténs beslut nr 1/2009 upphävs.

Artikel 3

Detta beslut träder i kraft samma dag som det antas.

Utfärdat i

För Europeiska unionen

För Ukraina

BILAGA

GEMENSAMMA RIKTLINJER FÖR GENOMFÖRANDET AV AVTALET MELLAN EUROPEISKA UNIONEN OCH UKRAINA OM FÖRENKLAT UTFÄRDANDE AV VISERINGAR

Syftet med avtalet mellan Europeiska unionen och Ukraina om förenklat utfärdande av viseringar, som trädde i kraft den 1 januari 2008, ändrat genom avtalet mellan Europeiska unionen och Ukraina av den 23 juli 2012, som trädde i kraft den 1 juli 2013 (nedan kallat avtalet) är att, på ömsesidig grundval, förenkla förfarandena för utfärdande av viseringar för vistelser på högst 90 dagar per 180-dagarsperiod för medborgare i Ukraina.

Genom avtalet fastställs, på ömsesidig grundval, rättsligt bindande rättigheter och skyldigheter för att förenkla förfarandena för utfärdande av viseringar för ukrainska medborgare.

Dessa riktlinjer, som antagits av den gemensamma kommitté som inrättas genom artikel 12 i avtalet (nedan kallad den gemensamma kommittén), syftar till att säkerställa en korrekt och harmoniserad tillämpning av bestämmelserna i avtalet av de diplomatiska och konsulära beskickningarna i medlemsstaterna. Dessa riktlinjer utgör inte en del av avtalet och är därför inte rättsligt bindande. Det rekommenderas ändå att diplomatisk och konsulär personal följer dem konsekvent vid tillämpningen av bestämmelserna i avtalet.

Dessa riktlinjer är avsedda att uppdateras mot bakgrund av de erfarenheter som görs vid genomförandet av avtalet och den gemensamma kommittén ansvarar för detta. De riktlinjer som antogs av den gemensamma kommittén den 25 november 2009 har anpassats i enlighet med avtalet mellan Europeiska unionen och Ukraina om ändring av avtalet mellan Europeiska gemenskapen och Ukraina om förenklat utfärdande av viseringar (nedan kallat ändringsavtalet) och med ny unionslagstiftning såsom Europaparlamentets och rådets förordning (EG) nr 810/2009 (1) (viseringskodex).

I. ALLMÄNNA FRÅGOR

1.1 Syfte och tillämpningsområde.

I artikel 1 i avtalet anges följande: ”Syftet med detta avtal är att förenkla utfärdandet av viseringar för vistelser som är avsedda att vara högst 90 dagar per 180-dagarsperiod för medborgare i Ukraina.”

Avtalet gäller alla ukrainska medborgare som ansöker om visering för kortare vistelse, oberoende av i vilket land de är bosatta.

I artikel 1.2 i avtalet anges följande: ”Ukraina får endast återinföra kravet på visering för medborgare eller för vissa kategorier av medborgare i samtliga medlemsstater; inte för medborgare eller för vissa kategorier av medborgare i enskilda medlemsstater. Om Ukraina återinför kravet på visering för EU-medborgare eller vissa kategorier av EU-medborgare kommer samma förenklade viseringsförfaranden som beviljas ukrainska medborgare enligt detta avtal, automatiskt, på ömsesidig grundval, att tillämpas på EU-medborgare.”

Enligt de beslut som fattats av Ukrainas regering är alla EU-medborgare från och med den 1 maj 2005, respektive den 1 januari 2008, befriade från viseringskravet när de reser till Ukraina för högst en 90-dagarsperiod eller transiterar genom Ukrainas territorium. Denna bestämmelse påverkar inte rätten för Ukrainas regering att ändra dessa beslut.

1.2 Avtalets räckvidd.

I artikel 2 i avtalet anges följande:

”1. De förenklade viseringsförfaranden som föreskrivs i detta avtal ska endast vara tillämpliga på medborgare i Ukraina i den mån dessa inte är undantagna från viseringskravet genom bestämmelser i Europeiska unionens eller medlemsstaternas lagar och andra författningar, detta avtal eller andra internationella avtal.

2. Den nationella lagstiftningen i Ukraina eller medlemsstaterna eller Europeiska unionens lagstiftning ska vara tillämplig på frågor som inte omfattas av bestämmelserna i detta avtal, såsom vägran att utfärda visering, erkännande av resedokument, bevis för att det finns tillräckliga medel för uppehället samt avvisnings- och utvisningsåtgärder.”

Utan att det påverkar tillämpningen av artikel 10 (som föreskriver ett undantag från viseringskravet för innehavare av diplomatpass och biometriska tjänstepass från Ukraina), påverkar avtalet inte befintliga bestämmelser om viseringskrav och undantag från viseringskrav. Medlemsstaterna får t.ex. enligt artikel 4 i rådets förordning (EG) nr 539/2001 (2) föreskriva undantag från viseringskravet för civil besättning på fartyg och luftfartyg.

Schengenbestämmelser, eller i tillämpliga fall nationell lagstiftning, ska även fortsättningsvis vara tillämpliga på alla frågor som inte omfattas av avtalet, såsom avslag på ansökan om visering, erkännande av resedokument, bevis för att det finns tillräckliga medel för uppehället samt avvisnings- och utvisningsåtgärder. Detta gäller även Schengenbestämmelserna för att avgöra vilken Schengen-medlemsstat som är ansvarig för handläggningen av viseringsansökan. En ukrainsk medborgare bör därför även fortsättningsvis ansöka om visering hos konsulatet för den medlemsstat som utgör hans eller hennes huvudmål. Om det inte finns något huvudmål bör ansökan göras på konsulatet för den medlemsstat i Schengenområdet som personen först reser in i.

Även om de villkor som anges i avtalet är uppfyllda, till exempel att sökanden har tillhandahållit dokument som styrker resans syfte för de kategorier som avses i artikel 4, kan utfärdandet av viseringen fortfarande avslås om de villkor som anges i artikel 5 i Europaparlamentets och rådets förordning (EG) nr 562/2006 (3) (nedan kallad kodexen om Schengengränserna) inte är uppfyllda, dvs. att personen inte innehar en giltig resehandling, finns registrerad i SIS, anses utgöra en risk för allmän ordning, inre säkerhet, osv.

Andra möjligheter för flexibilitet i utfärdandet av viseringar i enlighet med viseringskodexen fortsätter att gälla. Till exempel kan viseringar för flera inresor med en lång giltighetstid – upp till fem år – utfärdas till andra kategorier av personer än de som anges i artikel 5 i avtalet, om villkoren i viseringskodexen är uppfyllda (se. artikel 24.2 i viseringskodexen). På samma sätt kommer bestämmelserna i viseringskodexen för sänkt eller inte uttagen viseringsavgift fortsätta att gälla (se. II.2.1.1.).

1.3 Typer av viseringar som omfattas av avtalet.

I artikel 3 d i avtalet definieras ”visering” som ”ett tillstånd som utfärdats av en medlemsstat eller ett beslut som har fattats av en medlemsstat och som krävs för

—	inresa för en planerad vistelse i den medlemsstaten eller i flera medlemsstater om sammanlagt högst 90 dagar,

—	inresa för transitering genom den medlemsstatens eller flera medlemsstaters territorium,”.

Följande typer av viseringar omfattas av avtalet:

—	visering för kortare vistelse (”c-visering”).

De förenklade viseringsförfaranden som föreskrivs i avtalet gäller både enhetliga viseringar som gäller inom medlemsstaternas hela territorium och viseringar med territoriellt begränsad giltighet.

1.4 Beräkning av den längd på vistelsen som medges enligt viseringen, och särskilt frågan om hur sexmånadersperioden ska fastställas.

I den senaste ändringen av kodexen om Schengengränserna har begreppet kortare vistelser omdefinierats. Den nuvarande definitionen lyder: ”90 dagar under en 180-dagarsperiod, vilket innebär att den 180-dagarsperiod som föregår varje dag av vistelsen ska beaktas”.

Inresedagen ska räknas som den första dagen av vistelsen inom medlemsstaternas territorium och utresedagen ska räknas som den sista dagen av vistelsen inom medlemsstaternas territorium. Begreppet ”en” innebär att man tillämpar en ”rörlig” 180-dagars referensperiod, som går ut på att man går bakåt i tiden och räknar varje dag av vistelsen under den senaste 180-dagarsperioden, för att kontrollera om kravet på 90 dagar av 180 dagar fortsätter att uppfyllas. Det betyder att en bortavaro under en oavbruten 90-dagarsperiod ger rätt till en ny vistelse på upp till 90 dagar.

Definitionen trädde i kraft den 18 oktober 2013. Hjälp med beräkning av vistelse (short-stay calculator) finns på följande internetadress: http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/borders-and-visas/border-crossing/index_en.htm

Exempel på beräkning av en vistelses längd på grundval av den nya definitionen:

En person som innehar en visering för flera inresor med ett års giltighet (18.4.2014–18.4.2015) reser in för första gången den 19 april 2014 och stannar i 3 dagar. Han reser sedan in igen den 18 juni 2014 och stannar i 86 dagar. Vilken är situationen de specifika datumen? När kommer denna person att få resa in igen?

Den 11 september 2014: Under de senaste 180 dagarna (16.3.2014–11.9.2014) hade personen stannat i 3 dagar (19–21.4.2014) plus 86 dagar (18.6.2014–11.9.2014) = 89 dagar = Inte längre än tillåtet. Personen får fortfarande stanna i högst 1 dag.

Från och med den 16 oktober 2014: Personen kan beviljas inresa för en vistelse av 3 ytterligare dagar (den 16.10.2014 blir vistelsen den 19.4.2014 irrelevant (utanför 180-dagarsperioden); den 17.10.2014 blir vistelsen den 20.4.2014 irrelevant (utanför 180-dagarsperioden, osv.).

Från och med den 15 december 2014: Personen kan beviljas inresa för en vistelse av 86 ytterligare dagar (den 15.12.2014 blir vistelsen den 18.6.2014 irrelevant (utanför 180-dagarsperioden); den 16.12.2014 blir vistelsen den 19.6.2014 irrelevant, osv.).

1.5 Situationen för de medlemsstater som ännu inte tillämpar Schengenregelverket fullt ut, de medlemsstater som inte deltar i EU:s gemensamma viseringspolitik och associerade länder.

Medlemsstater som anslöt sig till unionen 2004 (Tjeckien, Estland, Cypern, Lettland, Litauen, Ungern, Malta, Polen, Slovenien och Slovakien), 2007 (Bulgarien och Rumänien) och 2013 (Kroatien) är bundna av avtalet från och med dess ikraftträdande.

Endast Bulgarien, Cypern Kroatien och Rumänien tillämpar ännu inte Schengenregelverket fullt ut. De kommer att fortsätta att utfärda nationella viseringar med en giltighetstid som inskränker sig till deras nationella territorium. När dessa medlemsstater fullt ut genomför Schengenregelverket kommer de att fortsätta att tillämpa avtalet.

Den nationella lagstiftningen fortsätter att tillämpas på alla frågor som inte omfattas av avtalet fram till dagen då Schengenregelverket genomförs fullt ut i dessa medlemsstater. Från och med den dagen ska Schengenbestämmelserna eller nationell lagstiftning vara tillämpliga på frågor som inte omfattas av avtalet.

Bulgarien, Cypern, Kroatien och Rumänien har tillstånd att erkänna uppehållstillstånd, D-viseringar och viseringar för kortare vistelse som utfärdats av Schengenmedlemsstaterna och de associerade länderna för kortare vistelser på deras territorium.

Enligt artikel 21 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 om gradvis avskaffande av kontroller vid de gemensamma gränserna måste alla Schengenmedlemsstater erkänna de viseringar för längre vistelse och uppehållstillstånd som de andra Schengenmedlemsstaterna har utfärdat som giltiga för korta vistelser på varandras territorier. Schengenmedlemsstaterna godtar uppehållstillstånd, D-viseringar och viseringar för kortare vistelse för associerade länder för inresa och kortare vistelser och vice versa.

Avtalet gäller inte Danmark, Förenade kungariket och Irland men innehåller gemensamma förklaringar om att det är önskvärt att dessa medlemsstater ingår bilaterala avtal med Ukraina om förenklade viseringsförfaranden.

Ett bilateralt avtal om förenklade viseringsförfaranden mellan Danmark och Ukraina trädde i kraft den 1 mars 2009. Inga förhandlingar om förenklade viseringsförfaranden har ägt rum mellan Ukraina, Förenade kungariket och Irland.

Avtalet gäller inte Island, Liechtenstein, Norge och Schweiz, trots att dessa länder är associerade till Schengenavtalet, men innehåller gemensamma förklaringar om att det är önskvärt att dessa Schengenländer ingår bilaterala avtal med Ukraina om förenklade viseringsförfaranden.

Norge undertecknade ett bilateralt avtal om förenklade viseringsförfaranden den 13 februari 2008. Detta avtal trädde i kraft den 1 september 2011.

Schweiz avslutade förhandlingarna om ett bilateralt avtal om förenklade viseringsförfaranden i november 2011. Island har uppgett att förhandlingar med Ukraina har inletts.

1.6 Avtalet/bilaterala avtal.

I artikel 13.1 i avtalet fastställs följande:

”1. Detta avtal ska från och med sitt ikraftträdande ha företräde framför bestämmelserna i alla bilaterala eller multilaterala avtal eller arrangemang som ingåtts mellan enskilda medlemsstater och Ukraina, i den mån bestämmelserna i de sistnämnda avtalen eller arrangemangen omfattar frågor som tas upp i detta avtal.”

Från och med den dag då avtalet trädde i kraft upphörde bestämmelser i gällande bilaterala avtal mellan medlemsstaterna och Ukraina om frågor som tas upp i avtalet att gälla. I enlighet med unionsrättenmåste medlemsstaterna vidta nödvändiga åtgärder för att undanröja oförenligheter mellan sina bilaterala avtal och avtalet.

I artikel 13.2 i avtalet fastställs dock följande:

”2. Bestämmelserna i bilaterala avtal eller ordningar mellan enskilda medlemsstater och Ukraina som ingåtts före avtalets ingående och som undantar innehavare av tjänstepass utan biometriska uppgifter från kravet på visering, ska fortsätta att gälla utan att det påverkar de berörda medlemsstaternas eller Ukrainas rätt att säga upp eller avbryta tillämpningen av dessa bilaterala avtal eller arrangemang.”

Följande medlemsstater har ett bilateralt avtal med Ukraina om undantag från viseringskravet för innehavare av tjänstepass: Bulgarien, Cypern, Kroatien, Lettland, Litauen, Polen, Rumänien, Slovakien och Ungern.

I den utsträckning som dessa bilaterala avtal täcker biometriska tjänstepass har artikel 10.2 i avtalet företräde framför dessa bilaterala avtal, i enlighet med artikel 13.1 i avtalet. I enlighet med artikel 13.2 i avtalet ska dessa bilaterala avtal, vilka ingicks före ikraftträdandet av ändringsavtalet, fortsätta att gälla i den mån de omfattar innehavare av tjänstepass utan biometriska uppgifter, utan att det påverkar de berörda medlemsstaternas eller Ukrainas rätt att säga upp eller avbryta dessa bilaterala avtal eller arrangemang. Undantaget från viseringskravet för innehavare av tjänstepass utan biometriska uppgifter som beviljas av en medlemsstat gäller endast för resor på denna medlemsstats territorium och inte resor till andra Schengenmedlemsstater.

Om en medlemsstat har ingått ett bilateralt avtal eller arrangemang med Ukraina om frågor som inte omfattas av avtalet, ska undantaget fortsätta att gälla efter ikraftträdandet avavtalet.

1.7 Europeiska gemenskapens förklaring om tillträde för viseringssökande och harmonisering av upplysningar om förfaranden för utfärdande av visering för kortare vistelse samt dokument som måste bifogas en ansökan om visering för kortare vistelse.

I enlighet med den förklaring från Europeiska gemenskapen som åtföljer avtalet, har det utarbetats gemensam grundläggande information om viseringssökandes tillträde till medlemsstaternas diplomatiska beskickningar och konsulat och om förfaranden och villkor för utfärdande av viseringar och giltigheten hos de viseringar som utfärdas, för att säkerställa att de sökande får sammanhängande och enhetlig information. Denna information finns på webbplatsen för EU:s delegation i Ukraina: http://eeas.europa.eu/delegations/ukraine/index_en.htm

Medlemsstaternas diplomatiska beskickningar och konsulat uppmanas att sprida denna information (på informationstavlor, i broschyrer, på webbplatser osv.) och att även sprida tydlig information om villkoren för utfärdande av viseringar, medlemsstaternas representation i Ukraina och den harmoniserade EU-förteckningen över styrkande dokument.

II. RIKTLINJER OM SÄRSKILDA BESTÄMMELSER

2.1 Bestämmelser som gäller för alla viseringssökande

Obs. Det erinras om att de förenklade förfaranden som anges nedan avseende handläggningsavgift, handläggningstiden för viseringsansökningar, avresa i händelse av förlorade eller stulna dokument, och förlängning av visering under exceptionella omständigheter tillämpas på alla ukrainska viseringssökande och viseringsinnehavare.

2.1.1 Handläggningsavgift för visering.

I artikel 6.1 i avtalet fastställs följande:

”Avgiften för handläggning av ukrainska medborgares viseringsansökningar ska vara 35 EUR. Detta belopp får omprövas i enlighet med det förfarande som föreskrivs i artikel 14.4.”

I enlighet med artikel 6.1 är avgiften för handläggning av en viseringsansökan 35 EUR. Denna avgift kommer att gälla alla ukrainska viseringssökande (inklusive turister) och rör viseringar för kortare vistelser, oavsett antalet inresor. Den gäller också viseringsansökningar som lämnas in vid de yttre gränserna.

I artikel 6.2 i avtalet fastställs följande:

”Om Ukraina återinför viseringskravet för EU-medborgare får den viseringsavgift som tas ut av Ukraina inte vara högre än 35 EUR eller, om avgiften omprövas i enlighet med det förfarande som föreskrivs i artikel 14.4, det belopp som överenskommits.”

I artikel 6.3 i avtalet fastställs följande:

”Medlemsstaterna ska ta ut en avgift på 70 EUR för handläggningen av viseringar när den viseringssökande, på grundval av avståndet mellan sökandens hemvist och den ort där ansökan lämnats in, har begärt att ett beslut om ansökan ska fattas inom tre dagar efter det att den lämnats in och konsulatet har godtagit denna begäran.”

En avgift på 70 EUR ska tas ut för handläggningen av viseringsansökningar när viseringsansökan och styrkande handlingar har lämnats in av en viseringssökande vars bosättningsort är i ett oblast (region) i vilken den medlemsstat till vilken den sökande vill resa inte har någon konsulär representation (dvs. om det i oblastet varken finns konsulat, viseringscentrum eller konsulat för en annan medlemsstat som har ingått representationsavtal med den medlemsstat dit sökanden vill resa), och när den diplomatiska eller konsulära beskickningen har gått med på att fatta beslut om viseringsansökan inom tre dagar. Uppgifter om den viseringssökandes bosättningsort ges i viseringsansökan.

I princip syftar artikel 6.3 i avtalet till att underlätta ansökan om visering för sökanden som är bosatta långt ifrån konsulatet. Om det krävs en lång resa för att ansöka om visering är målet att utfärda den snabbt, så att den sökande kan få sin visering utan att behöva företa samma långa resa en gång till.

Av de skäl som anges ovan ska i de fall där den ”normala” handläggningstiden för en viseringsansökan för en viss diplomatisk eller konsulär beskickning tar tre dagar eller mindre, ska standardavgiften på 35 EUR tas ut.

För diplomatiska och konsulära beskickningar som har ett system för tidsbeställning ska den tid som krävs för att få en tid inte räknas med i handläggningstiden (se även II.2.1.2).

I artikel 6.4 i avtalet fastställs följande:

”4. Utan att tillämpningen av punkt 5 påverkas, får avgiften för handläggning av viseringsansökningar inte tas ut för följande kategorier av personer:

Nära anhöriga – makar, barn (även adopterade), föräldrar (även förmyndare), far- och morföräldrar samt barnbarn – till medborgare i Ukraina som är lagligen bosatta inom medlemsstaternas territorium eller medborgare i Europeiska unionen som är bosatta inom den medlemsstats territorium där de är medborgare.”

(Obs. I denna punkt fastställs situationen för ukrainska nära anhöriga som reser till medlemsstaterna för att besöka ukrainska medborgare som är lagligen bosatta i medlemsstaterna eller EU-medborgare som är bosatta inom den medlemsstats territorium där de är medborgare. För ukrainska viseringssökande som är familjemedlemmar till en unionsmedborgare, i den mening som avses i artikel 5.2 i Europaparlementets och rådets direktiv 2004/38/EG (4), ska viseringar utfärdas kostnadsfritt så snart som möjligt och på grundval av ett påskyndat förfarande.)

”b)	Medlemmar i officiella delegationer som, efter en offentlig inbjudan ställd till Ukraina, ska delta i möten, samråd, förhandlingar eller utbytesprogram, eller i evenemang som anordnas av mellanstatliga organisationer inom en av medlemsstaternas territorium.

c)	Ledamöter i nationella och regionala regeringar och parlament, författningsdomstolar och högsta domstolar, om de inte är undantagna från viseringskravet genom detta avtal.

d)	Elever, studenter, forskarstuderande och medföljande lärare som reser i studie- eller utbildningssyfte.

e)	Funktionshindrade personer och personer som, vid behov, medföljer dem.” (Obs. För att bli befriad från viseringsavgiften måste bevis på att varje viseringssökande ingår i denna kategori läggas fram.)

”f)

Personer som har uppvisat dokument vilka styrker att de måste företa sin resa av humanitära skäl, vilket inbegriper brådskande medicinsk behandling varvid också en medföljande person ska befrias från avgifterna, eller för att närvara vid en nära anhörigs begravning eller för att besöka en nära anhörig som är allvarligt sjuk.

g)	Deltagare i internationella idrottsevenemang och persomer som åtföljer dem.” (Obs. Endast åtföljande personer som reser av yrkesmässiga skäl omfattas.; supportrar ska alltså inte anses som åtföljande personer.)

”h)	Personer som deltar i vetenskapliga, kulturella och konstnärliga verksamheter, inklusive utbytesprogram som anordnas av universitet och andra.

i)	Deltagare i officiella utbytesprogram som anordnas av vänorter och andra kommunala enheter.

j)	Journalister och medföljande teknisk personal. (Obs. Journalister som omfattas av artikel 4.1 e i avtalet omfattas av denna punkt.)

k)	Pensionstagare.” (Obs. För att bli befriad från viseringsavgiften måste viseringssökande i denna kategori lägga fram bevis på att de är pensionärer.)

”l)	Chaufförer som utför internationell gods- och passagerartransport till medlemsstaternas territorier i fordon registrerade i Ukraina.

m)	Medlemmar i tåg-, kylvagns- och lokomotivbesättningar på tåg i internationell trafik som färdas till medlemsstaternas territorier.

n)	Barn under 18 år och underhållsberättigade barn under 21 år.” (Obs. För att bli befriad från viseringsavgiften måste viseringssökande för denna kategori lägga fram bevis som styrker deras ålder. Om de är under 21 år måste de dessutom bevisa att de är underhållsberättigade).

”o)	Företrädare för religiösa samfund.

p)	Fria yrkesutövare som deltar i internationella utställningar, konferenser, symposier, seminarier eller andra liknande evenemang som anordnas inom medlemsstaternas territorier.

q)	Personer upp till 25 års ålder som deltar i seminarier, konferenser, sportevenemang, kultur- eller utbildningsevenemang som anordnas av ideella organisationer.

r)	Företrädare för organisationer i det civila samhället som reser i syfte att delta i utbildning, seminarier och konferenser, även inom ramen för utbytesprogram.

s)	Deltagare i Europeiska unionens officiella gränsöverskridande samarbetsprogram som det europeiska grannskaps- och partnerskapsinstrumentet.

Första stycket ska tillämpas även då syftet med resan är transitering.”

Andra stycket i artikel 6.4 i avtalet gäller dock endast om syftet med resan till tredjelandet motsvarar ett av de ändamål som anges i artikel 6.4 a–s, t.ex. om transitering krävs för att delta i ett seminarium, besöka familjemedlemmar, delta i ett utbytesprogram för det civila samhällets organisationer osv. i tredjelandet.

För ovannämnda kategorier av personer tas ingen avgift alls ut. Dessutom är det enligt artikel 16 i viseringskodexen tillåtet att ”i enskilda fall avstå från att ta ut viseringsavgiften eller sänka den om en sådan åtgärd syftar till att främja kultur- eller idrottsintressen, utrikespolitiska, utvecklingspolitiska och andra väsentliga allmänintressen eller av humanitära skäl.”

Denna regel kan dock inte tillämpas för att avstå från att ta ut viseringsavgiften på 70 EUR för handläggningen av viseringar i enskilda fall när viseringsansökan och styrkande handlingar har lämnats in av en viseringssökande vars bosättningsort ligger långt ifrån medlemsstatens diplomatiska eller konsulära beskickning och som tillhör en av de kategorier som anges i artikel 6.4 i avtalet som är undantagna från att erlägga viseringsavgift.

Det bör också erinras om att person kategorier som är undantagna från att erlägga viseringsavgift ändå kan komma att behöva betala en serviceavgift om medlemsstaten samarbetar med en extern tjänsteleverantör.

I artikel 6.5 i avtalet fastställs följande:

”5. Om en medlemsstat samarbetar med en extern tjänsteleverantör i syfte att utfärda viseringar får leverantören ta ut en serviceavgift. Avgiften ska stå i proportion till den externa tjänsteleverantörens kostnader för att utföra sina uppgifter och ska inte vara högre än 30 EUR. Medlemsstaterna ska se till att möjligheten för samtliga sökande att lämna in sina ansökningar direkt på konsulaten kvarstår. Om de sökande måste beställa tid för ett besök för att ge in sin ansökan ska besöket i regel äga rum inom två veckor från den dag då besöket begärdes.”

En bibehållen möjlighet för alla kategorier av viseringssökande att lämna sina viseringsansökningar direkt till konsulatet i stället för via en extern tjänsteleverantör innebär att det måste finnas ett verkligt val mellan dessa båda alternativ. Även om den direkta tillgången till konsulatet inte behöver vara organiserad på samma sätt och på liknande villkor som tillgången till den externa tjänsteleverantören får dessa villkor dock inte vara utformade så att de i praktiken omöjliggör en direkt tillgång. Även om det är godtagbart med olika långa väntetider för att få en besökstid när det gäller direkt tillgång, får väntetiden för tidsbeställning aldrig vara så lång att den i praktiken omöjliggör en direkt tillgång.

2.1.2 Handläggningstiden för viseringsansökningar

I artikel 7 i avtalet föreskrivs följande:

”1. Medlemsstaternas beskickningar och konsulat ska fatta ett beslut med anledning av ansökan om utfärdande av en visering inom tio kalenderdagar från dagen för mottagandet av ansökan och de dokument som krävs för utfärdande av viseringen.

2. Tidsfristen för att fatta ett beslut med anledning av en viseringsansökan får förlängas upp till 30 kalenderdagar i enskilda fall, särskilt när det krävs en ytterligare prövning av ansökan.

3. Tidsfristen för att fatta ett beslut med anledning av en viseringsansökan får i brådskande fall förkortas till två arbetsdagar eller ännu kortare tid.”

Beslut om viseringsansökningar ska i princip fattas inom tio kalenderdagar från dagen för mottagandet av den fullständiga ansökan och styrkande handlingar.

Denna period får förlängas till 30 kalenderdagar om ytterligare prövning krävs, t.ex. för samråd med de centrala myndigheterna.

Dessa tidsfrister börja löpa först när ansökan är fullständig, dvs. från och med den dag då viseringsansökan och styrkande handlingar har mottagits.

För diplomatiska och konsulära beskickningar som har ett system för tidsbeställning, ska den tid som krävs för att få en besökstid inte räknas med i handläggningstiden. När en besökstid ges ska hänsyn tas till om den viseringssökande hävdar att det är ett brådskande fall, i enlighet med artikel 7.3 i avtalet. Besök för att ge in sin ansökan ska i regel äga rum inom två veckor från den dag då besöket begärdes (se. artikel 6.5 i avtalet). Längre tid än så bör vara ett undantag även under perioder med hög belastning. Den gemensamma kommittén kommer att övervaka denna fråga noga. Medlemsstaterna ska sträva efter att se till att erbjuda besökstider så snart som möjligt för medlemmar i officiella delegationer i Ukraina som vill lämna in ansökningar till diplomatiska beskickningar och konsulat, företrädesvis inom två arbetsdagar, i brådskande fall då inbjudan har skickats ut sent.

Beslutet om att förkorta tidsfristen för ett beslut med anledning av en viseringsansökan enligt artikel 7.3 i avtalet fattas av den konsulära tjänstemannen.

2.1.3 Förlängning av visering vid exceptionella omständigheter

I artikel 9 i avtalet anges följande:

”Medborgare i Ukraina som på grund av force majeure inte kan lämna medlemsstaternas territorium senast vid den tidpunkt som anges i deras viseringar ska utan kostnad få sin visering förlängd i enlighet med den lagstiftning som tillämpas av den mottagande staten så länge som krävs för att de ska kunna återvända till den stat där de har sin hemvist.”

När det gäller möjligheten att förlänga giltighetstiden för viseringen vid force majeure – t.ex. för sjukhusvistelse på grund av oförutsedda skäl/plötslig sjukdom/olycka – om innehavaren av viseringen saknar möjlighet att lämna medlemsstatens territorium före den dag som anges i viseringen, ska bestämmelserna i artikel 33.1 i viseringskodexen tillämpas så länge de är förenliga med avtalet (t.ex. ska den förlängda viseringen vara en enhetlig visering som ger tillträde till samtliga Schengenmedlemsstater för vilka viseringen var giltig vid tidpunkten för utfärdandet). Enligt avtalet förlängs viseringen utan kostnad vid force majeure.

2.2 Regler som gäller för vissa kategorier av viseringssökande.

2.2.1 Dokument som styrker syftet med resan.

För alla kategorier av personer som förtecknas i artikel 4.1 i avtalet, inklusive chaufförer som utför internationella gods- och passagerartransporter, kommer endast de nedan angivna dokumenten att begäras för styrkande av syftet med resan. För dessa kategorier av sökande ska inga andra handlingar för att styrka syftet med vistelsen begäras in. Såsom anges i artikel 4.3 i avtalet kommer ingen annan motivering, inbjudan eller validering gällande resans syfte att krävas.

Om tvivel kvarstår i enskilda fall gällande det verkliga syftet med resan ska den viseringssökande kallas till en (ytterligare) djupgående intervju på ambassaden/konsulatet där han/hon kan utfrågas om det faktiska syftet med resan eller avsikten att återvända – se. artikel 21.8 i viseringskodexen. I sådana enskilda fall kan kompletterande dokument tillhandahållas av den viseringssökande eller undantagsvis begäras av den konsulära tjänstemannen. Den gemensamma kommittén kommer att noga övervaka frågan.

För de kategorier av personer som inte nämns i artikel 4.1 i avtalet ska de nuvarande reglerna fortsätta att gälla avseende dokument som styrker syftet med resan. Samma sak gäller för dokument som rör föräldrars samtycke för resor för barn under 18 år.

Schengenreglerna eller nationell lagstiftning ska vara tillämpliga på frågor som inte omfattas av bestämmelserna i avtalet, såsom erkännande av resehandlingar, medicinsk reseförsäkring och garantier för återvändande och tillräckliga medel för uppehälle (se. I.1.2).

I linje med Europeiska unionens förklaring beträffande dokument som måste bifogas en ansökan om visering för kortare vistelse som bifogas ändringsavtalet ”[kommer] Europeiska unionen att upprätta en harmoniserad förteckning över styrkande handlingar enligt artikel 48.1 a i viseringskodexen för att se till att sökandena från Ukraina i princip ombeds lämna in samma styrkande dokument”. Medlemsstaternas konsulat uppmanas att inom det lokala Schengensamarbetet se till att ukrainska viseringssökande får sammanhängande och enhetlig grundläggande information och i princip ombeds att lämna in samma styrkande dokument, oavsett vilken medlemsstats konsultat som de ansöker vid.

I princip ska den inbjudan eller det intyg om det dokument som krävs enligt artikel 4.1 i avtalet lämnas in tillsammans med viseringsansökan. Konsulatet kan dock inleda prövningen av viseringsansökan på grundval av fax eller kopior av inbjudan eller intyget avseende dokumentet. Konsulatet får begära originaldokumentet om det är en första ansökan och ska begära det i enskilda fall om det råder tvivel.

Då de nedanstående förteckningarna över myndigheter ibland även innehåller namnet på den person som får underteckna de relevanta inbjudningarna/intygen bör de ukrainska myndigheterna informera det lokala Schengensamarbetet när dessa personer byts ut.

I artikel 4 i avtalet föreskrivs följande:

”1. För följande kategorier av medborgare i Ukraina ska följande dokument vara tillräckliga för att motivera syftet med resan till den andra partens territorium:

För medlemmar i officiella delegationer som, efter en offentlig inbjudan ställd till Ukraina, ska delta i möten, samråd, förhandlingar eller utbytesprogram, eller i evenemang som anordnas av mellanstatliga organisationer inom en av medlemsstaternas territorium:

—	En skrivelse avfattad av en behörig myndighet i Ukraina som bekräftar att den sökande är medlem av dess delegation och reser till den andra partens territorium för att delta i ovannämnda evenemang, tillsammans med en kopia av den officiella inbjudan.”

Sökandens namn måste anges i den skrivelse som utfärdas av den behöriga myndigheten som bekräftar att personen ingår i den delegationen och reser till den andra partens territorium för att delta i det officiella mötet. Sökandens namn måste inte nödvändigtvis också anges i den officiella inbjudan att delta i mötet, även om detta kan vara fallet när den officiella inbjudan riktar sig till en viss person.

Denna bestämmelse ska tillämpas på alla medlemmar i officiella delegationer oavsett vilka pass (icke-biometriska tjänstepass eller vanliga pass) som de innehar.

”b)

För affärsmän och företrädare för näringslivsorganisationer:

—

En skriftlig inbjudan från en som värd agerande juridisk person eller företag, eller ett kontor eller en filial till dessa, statliga och lokala myndigheter i medlemsstaterna eller en kommitté som anordnar handels- och industriutställningar, konferenser och symposier vilka hålls inom medlemsstaternas territorier.

För chaufförer som utför internationell gods- och passagerartransport till medlemsstaternas territorier i fordon som är registrerade i Ukraina:

—	En skriftlig inbjudan från en nationell sammanslutning av transportföretag i Ukraina som ansvarar för internationell vägtransport, med angivelse av resornas syfte, varaktighet, bestämmelseorter och frekvens.”

De behöriga myndigheter som tillhandahåller internationella vägtransporter och ansvarar för uppgifter om resornas syfte, varaktighet, bestämmelseorter och frekvens för de chaufförer som utför internationella gods- och passagerartransporter till medlemsstaternas territorier i fordon som är registrerade i Ukraina är följande:

Association of International Road Carriers of Ukraine (AsMAP/”АсМАП”)

AsMAPs postadress är:

11, Shorsa str.

Kyiv, 03150, Ukraina

Tjänstemän som har rätt att underteckna inbjudningar:

Kostiuchenko Leonid, ordförande för AsMAP i Ukraina.

Dokil' Leonid – vice ordförande för AsMAP i Ukraina.

Kuchynskiy Yurii – vice ordförande för AsMAP i Ukraina.

Det statliga företaget ”Service on International Road Carriages” (”SIRC”)

SIRC:s postadress är:

57, av. Nauka

Kyiv, 03083, Ukraina

Tfn. +38 044 524 21 01

Fax +38 044 524 00 70

Tjänstemän som har rätt att underteckna inbjudningar:

Tkachenko Anatolij – Direktör för SIRC;

Neronov Oleksandr – Förste biträdande direktör för SIRC.

Ukrainian Road Transport and Logistics Union

Postadressen för Ukrainian Road Transport and Logistics Union är:

28, Predslavinska str.

Kyiv, 03150, Ukraina

Tfn/fax + 38 044 528 71 30/+ 38 044 528 71 46/+ 38 044 529 44 40

Tjänsteman som har rätt att underteckna ansökningar:

Lypovskiy Vitalij – unionens ordförande

All-Ukrainian Association of Automobile Carriers (AAAC) (Всеукраїнська асоціація автомобільних перевізників)

AAAC:s postadress är:

139, Velyka Vasylkivska str.

Kyiv, 03150, Ukraina

Tfn/fax +38044-538-75–05, +38044-529-25–21

Tjänstemän som har rätt att underteckna inbjudningar:

Reva Vitalii (Віталій Рева) – ordförande för AAAC

Glavatskyi Petro (Петро Главатський) – vice ordförande för AAAC

e-post: vaap@i.com.ua

All-Ukrainian Association of Automobile Carriers (AAAC) (Всеукраїнська асоціація автомобільних перевізників)

AAAC:s postadress är:

3, Rayisy Okipnoyi str.

Kyiv, 02002, Ukraina

Tfn/fax +38044-517-44–31, +38044-516-47–26

Tjänstemän som har rätt att underteckna inbjudningar:

Vakulenko Volodymyr (Вакуленко Володимир Мiхайлавiч) – vice ordförande för AAAC

Ukrainska statliga företaget ”Ukrinteravtoservice” (Українське державне підприємство по обслуговуванню іноземних та вітчизняних автотранспортних засобів ”Укрінтеравтосервіс”)

Ukrinteravtoservices postadress är:

57, av. Nauky

Kyiv, 03083, Ukraina

Tjänstemän som har rätt att underteckna inbjudningar:

Dobrohod Serhii (Доброход Сергій Олександрович) – Generaldirektör för Ukrinteravtservice (tfn +38 044 524-09-99; mobil: +38 050 463-89-32);

Kubalska Svitlana (Кубальська Світлана Сергіївна) – Vice generaldirektör för Ukrinteravtoservice (tfn +38 044 524-09-99; mobil: +38 050 550-82-62).

Med hänsyn till de nuvarande problemen med denna kategori av viseringssökande ska den gemensamma kommittén noga övervaka genomförandet av denna bestämmelse.

”d)

För medlemmar i tåg-, kylvagns- och lokomotivbesättningar på tåg i internationell trafik som färdas till medlemsstaternas territorier.

—	En skriftlig inbjudan från det behöriga järnvägsföretaget i Ukraina med angivande av resornas syfte, längd och frekvens.”

Den behöriga myndigheten på området för järnvägstransporter i Ukraina är den statliga förvaltningen av järnvägstransporter i Ukraina (”Ukrzaliznytsia”/”Укрзалізниця”).

Ukrzaliznytsias postadress är:

5–7 Tverskaya str.

Kyiv, 03680, Ukraina

Enligt kompetensfördelningen i Ukrzaliznytsias ledning är de tjänstemän som ansvarar för att ge information om syfte, varaktighet och frekvens för resor för medlemmar i tåg-, kylvagns- och lokomotivbesättningar på internationella tåg som reser till EU-medlemsstaternas territorium följande:

Bolobolin Serhii (Болоболін Сергій Петрович) – Förste generaldirektör för Ukrzaliznytsia (tfn +38 044 465 00 10);

Serhiyenko Mykola (Сергієнко Микола Іванович) – Förste vice generaldirekör för Ukrzaliznytsia (tfn +38 044 465 00 01);

Zhurakivskyy Vitaliy (Жураківський Віталій Олександрович) – förste vice generaldirektör för Ukrzaliznytsia (tfn +38 044 465 00 41);

Slipchenko Oleksiy (Сліпченко Олексій Леонтійович) – Vice generaldirektör för Ukrzaliznytsia (tfn +38 044 465 00 14);

Naumenko Petro (Науменко Петро Петрович) – Vice generaldirektör för Ukrzaliznytsia (tfn +38 044 465 00 12);

Chekalov Pavlo (Чекалов Павло Леонтійович) – Vice generaldirektör för Ukrzaliznytsia (tfn +38 044 465 00 13);

Matviiv Igor – Chef för Ukrzaliznytsias avdelning för internationella förbindelser (tfn +38 044 465 04 25).

”e)

För journalister och medföljande teknisk personal:

—

Ett intyg eller annat dokument utfärdat av en yrkesorganisation eller sökandens arbetsgivare som styrker att den berörda personen är en kvalificerad journalist samt anger att syftet med resan är att utföra journalistiskt arbete eller som styrker att personen ingår i den medföljande tekniska personalen.”

Denna kategori omfattar inte frilansande journalister.

De intyg eller dokument som styrker att sökanden är en kvalificerad journalist och det originaldokument som utfärdats av dennes arbetsgivare som anger att syftet med resan är att utföra journalistiskt arbete eller som styrker att personen ingår i den medföljande tekniska personalen måste läggas fram.

Den behöriga ukrainska yrkesorganisation som styrker att den berörda personen är en kvalificerad journalist är:

National Union of Journalists of Ukraine (NUJU) (”Національна спілка журналістів України”, НСЖУ).

NUJU utfärdar nationella och internationella journalistkort och presskort enligt den standard som fastställts av Internationella journalistfederationen till kvalificerade anställda inom massmedia.

NUJU:s postadress är:

27-a Khreschatyk str.

Kyiv, 01001, Ukraina

NUJU:s bemyndigade person är:

Nalyvaiko Oleg Igorovych (Наливайко Олег Ігорович) – Chef för NUJU

Tfn/Fax +38044-234-20–96; +38044-234-49–60; +38044-234-52–09;

e-post: spilka@nsju.org; admin@nsju.org

Independent Media Union of Ukraine (IMUU) (”Незалежна медіа-профспілка України”).

IMUU:s postadress är:

Office 25,

27 – A, Khreshchatyk Str.,

Kyiv, 01001, Ukraina

De bemyndigade personerna är:

Lukanov Yurii (Луканов Юрій Вадимович) – Chef för IMUU

Vynnychuk Oksana (Оксана Винничук) – Verkställande sekreterare för IMUU

Tfn +38050-356-57 58

e-post: secretar@profspilka.org.ua

”f)

För personer som deltar i vetenskapliga, kulturella och konstnärliga verksamheter, inklusive utbytesprogram som anordnas av universitet och andra

—	En skriftlig inbjudan från värdorganisationen att delta i dessa verksamheter.

För elever, studenter, forskarstuderande och medföljande lärare som reser i studie- eller utbildningssyfte, även inom ramen för utbytesprogram och annan skolrelaterad verksamhet:

—	En skriftlig inbjudan eller ett intyg om inskrivning från det universitet eller den högskola eller skola som agerar som värd, eller studentkort eller intyg för de kurser som ska bevistas.”

Studentkort kan endast godtas som styrkande handling om det har utfärdats av det universitet eller den högskola eller skola som agerar värd och där studierna eller utbildningen ska äga rum.

”h)

För deltagare i internationella idrottsevenemang och medföljande personal:

—	En skriftlig inbjudan från värdorganisationen; behöriga myndigheter, nationella idrottsförbund eller nationella olympiska kommittéer i medlemsstaterna.”

Förteckningen över medföljande personal vid internationella idrottsevenemang kommer att vara begränsad till dem som följer med idrottare av yrkesmässiga skäl i sin professionella kapacitet: tränare, massörer, managers, medicinsk personal och chefer för idrottsföreningar. Supportrar ska inte anses som medföljande personal.

”i)

För deltagare i officiella utbytesprogram som anordnas av vänorter och andra kommunala enheter:

—	En skriftlig inbjudan från förvaltningschefen eller borgmästaren på dessa orter eller andra kommunala enheter.”

Den förvaltningschef eller borgmästare på orten eller andra kommunala enheter som är behörig att utfärda den skriftliga inbjudan är förvaltningschefen eller borgmästaren i den värdort eller värdkommun där vänortsverksamheten kommer att äga rum. Denna kategori omfattar endast officiell vänortsverksamhet.

”j)

För nära anhöriga – makar/makor, barn (även adopterade), föräldrar (även förmyndare), far- och morföräldrar samt barnbarn – vilka besöker medborgare i Ukraina som är lagligen bosatta inom medlemsstaternas territorium eller medborgare i Europeiska unionen som är bosatta inom den medlemsstats territorium där de är medborgare:

—	En skriftlig inbjudan från värdpersonen.”

I denna punkt fastställs situationen för ukrainska nära anhöriga som reser till medlemsstaterna för att besöka ukrainska medborgare som är lagligen bosatta i medlemsstaterna eller EU-medborgare som är bosatta inom den medlemsstats territorium där de är medborgare.

Att den inbjudande personens underskrift är äkta måste bevisas av den behöriga myndigheten i enlighet med den nationella lagstiftningen i bosättningslandet.

Det är också nödvändigt att styrka den inbjudande personens lagliga vistelse och familjebandet, t.ex. genom att tillsammans med den skriftliga inbjudan från värdpersonen lämna kopior av dokument som förklarar personens status, t.ex. en kopia av uppehållstillståndet och som bekräftar familjebandet.

Denna bestämmelse gäller också för anhöriga till personal vid diplomatiska beskickningar och konsulat som reser för att besöka sin familj i upp till 90 dagar på medlemsstaternas territorium med undantag förutom kravet att styrka laglig vistelse och familjeband.

I Europeiska unionens förklaring beträffande förenklade förfaranden för familjemedlemmar, som åtföljer ändringsavtalet, anges följande: ”I syfte att underlätta rörligheten för ett större antal personer som har familjeband (särskilt syskon och deras barn) med medborgare i Ukraina som är lagligen bosatta inom medlemsstaternas territorier eller med EU-medborgare som är bosatta på den medlemsstats territorium där de är medborgare, uppmanar Europeiska unionen medlemsstaternas konsulat att fullt ut utnyttja de befintliga möjligheterna i viseringskodexen att förenkla utfärdandet av viseringar för denna personkategori, framför allt genom förenklade krav på dokumentation för de sökande, befrielse från handläggningsavgifter och, i tillämpliga fall, utfärdande av viseringar för flera inresor.”

”k)

För anhöriga som ska delta i begravningsceremonier:

—	Ett officiellt dokument som bekräftar dödsfallet samt en bekräftelse på den sökandes släktband eller annat förhållande till den gravsatte.”

I avtalet anges inte vilket lands myndigheter som ska utfärda ovannämnda officiella dokument: landet i vilket begravningsceremonin ska äga rum eller landet i vilket den person som ska delta i begravningsceremonin är bosatt. Det bör godtas att de behöriga myndigheterna i båda dessa länder kan utfärda sådana officiella dokument.

Ovannämnda officiella dokument som bekräftar dödsfallet samt den sökandes släktband eller annat förhållande till den avlidna måste föreläggas, t.ex. födelse- eller äktenskapsbevis.

”l)

För besök på militära och civila begravningsplatser:

—	Ett officiellt dokument som bekräftar att graven finns och underhålls samt den sökandes släktband eller annat förhållande till den gravsatte.”

I avtalet anges inte vilket lands myndigheter som ska utfärda ovannämnda officiella dokument: landet i vilket graven finns eller landet i vilket den person som vill besöka graven är bosatt. Det bör godtas att de behöriga myndigheterna i båda dessa länder kan utfärda sådana officiella dokument.

Ovannämnda officiella dokument som bekräftar att graven finns och underhålls samt den sökandes släktband eller annat förhållande till den gravsatte måste framläggas.

I enlighet med Europeiska gemenskapens förklaring om utfärdande av viseringar för kortare vistelse för besök på militära och civila begravningsplatser som åtföljer avtalet ska viseringar för kortare vistelse för personer som besöker militära och civila begravningsplatser i allmänhet utfärdas för en period av upp till 14 dagar.

”m)

För besök av medicinska skäl och medföljande personer vilkas närvaro är nödvändig:

—	Ett officiellt dokument från den medicinska inrättningen som bekräftar att det finns ett behov av läkarvård vid den inrättningen och av medföljande personer samt bevis för tillräckliga ekonomiska medel att betala läkarvården.”

Det dokument från den medicinska inrättningen som bekräftar att det finns ett behov av läkarvård vid den inrättningen samt bevis för tillräckliga ekonomiska medel att betala läkarvården, ska lämnas in och bör också bekräfta att det är nödvändigt att ha medföljande personer.

”n)

För företrädare för organisationer i det civila samhället som reser i syfte att delta i utbildning, seminarier och konferenser, även inom ramen för utbytesprogram:

—	En skriftlig inbjudan från värdorganisationen, en bekräftelse på att personen företräder organisationen i det civila samhället samt ett intyg på inrättandet av organisationen i fråga från relevant register, som utfärdats av en statlig myndighet i enlighet med nationell lagstiftning.”

Det dokument som styrker att en organisation i det civila samhället är registrerad i Ukraina är en skrivelse utfärdad av ukrainska statens registreringtjänst med uppgifter från registret över offentliga organisationer.

”o)

För fria yrkesutövare som deltar i internationella utställningar, konferenser, symposier, seminarier eller andra liknande evenemang som anordnas inom medlemsstaternas territorium.

—	En skriftlig inbjudan från värdorganisationen som bekräftar att personen i fråga deltar i evenemanget.

För företrädare för religiösa samfund:

—	En skriftlig inbjudan från ett religiöst samfund i Ukraina med angivelse av resornas syfte, varaktighet och frekvens.”

Det dokument som styrker registreringen av ett religiöst samfund i Ukraina är ett utdrag ur det enhetliga statliga registret över juridiska enheter och enskilda företagare med information som visar att ett rättssubjekt till organisatorisk och rättslig form är ett religiöst samfund.

”q)

För deltagare i Europeiska unionens officiella gränsöverskridande samarbetsprogram som det europeiska grannskaps- och partnerskapsinstrumentet (EGPI):

—	En skriftlig inbjudan från värdorganisationen.”

Obs. Avtalet ger inte upphov till några nya ansvarsregler för de fysiska eller juridiska personer som utfärdat de skriftliga inbjudningarna. EU-lagstiftningen och nationella lagar gäller vid felaktiga utfärdande av sådana inbjudningar.

2.2.2 Utfärdande av viseringar för flera inresor

I fall där den viseringssökande måste resa ofta eller regelbundet till medlemsstaternas territorium ska viseringar för kortare vistelse för flera inresor utfärdas, under förutsättning att den sammanlagda längden av dessa besök inte överstiger 90 dagar per 180-dagarsperiod.

I artikel 5.1 i avtalet anges följande:

”1. Medlemsstaternas beskickningar och konsulat ska utfärda viseringar för flera inresor med en giltighetstid på fem år för följande kategorier av personer:

a)	Ledamöter i nationella och regionala regeringar och parlament, författningsdomstolen och högsta domstolen, nationella och regionala åklagare och biträdande åklagare om dessa inte är undantagna från viseringskravet genom detta avtal när de utövar sina ämbeten.

b)	Ständiga medlemmar av officiella delegationer som, efter en officiell inbjudan ställd till Ukraina, regelbundet kommer att delta i möten, samråd, förhandlingar eller utbytesprogram eller i evenemang som anordnas inom medlemsstaternas territorium av mellanstatliga organisationer.

Makar och barn (även adopterade), som är under 21 år eller som är underhållsberättigade, samt föräldrar (även förmyndare), vilka besöker ukrainska medborgare som är lagligen bosatta inom medlemsstaternas territorium eller medborgare i Europeiska unionen som är bosatta inom den medlemsstats territorium där de är medborgare.

d)	Affärsmän och företrädare för näringslivsorganisationer som regelbundet reser till medlemsstaterna.

e)	Journalister och medföljande teknisk personal.

Om behovet eller avsikten att resa ofta eller regelbundet uppenbart avser en kortare period, ska giltighetstiden för en visering för flera inresor, trots bestämmelserna i första stycket, begränsas till perioden i fråga särskilt då

—	mandattiden för de personer som avses i led a,

—	ämbetstiden för medlemmar av officiella delegationer som avses i led b,

—	giltighetstiden för uppehållstillståndet för medborgare i Ukraina som är lagligen bosatta i Europeiska unionen och som avses i led c,

—	längden på förordnandet som företrädare för en företagsorganisation eller av anställningsavtalet för de personer som avses i led d,

—	anställningsavtalets giltighetstid för de personer som avses i led e,

är mindre än fem år.”

För dessa kategorier av personer, med beaktande av deras yrkesmässiga status eller familjeband till en ukrainsk medborgare som är lagligen bosatt inom medlemsstaternas territorium eller EU-medborgare som är bosatt inom den medlemsstats territorium där de är medborgare, är det motiverat att som regel utfärda viseringar för flera inresor med en giltighetstid på fem år. I den ursprungliga versionen av avtalet gav uttrycket ”med en giltighetstid på upp till fem år” utrymme för konsulaten att besluta om viseringens giltighetstid, då endast den längsta giltighetstiden angavs. Enligt ändringsavtalet har detta utrymme för skönsmässig bedömning försvunnit i och med den nya lydelsen ”med en giltighetstid på fem år”, som föreskriver att om sökanden uppfyller alla krav i artikel 5.1 i avtalet ska ”medlemsstaternas beskickningar och konsulat utfärda viseringar för flera inresor med en giltighetstid på fem år”.

För personer som omfattas av artikel 5.1 a i avtalet ska en bekräftelse lämnas avseende deras yrkesställning och längden på deras mandat.

Denna bestämmelse ska inte tillämpas på personer som omfattas av artikel 5.1 a i avtalet om de är undantagna från viseringskraven genom avtalet, dvs. om de är innehavare av diplomatpass och biometriska tjänstepass.

För personer som omfattas av artikel 5.1 b i avtalet måste styrkande dokument lämnas avseende deras permanenta ställning som medlem i delegationen och deras behov att delta i möten, samråd, förhandlingar eller utbytesprogram.

För personer som omfattas av artikel 5.1 c i avtalet måste styrkande dokument lämnas avseende den inbjudande personens lagliga vistelse (se. II.2.2.1).

För personer som omfattas av artikel 5.1 d och 5.1 e i avtalet ska styrkande dokument lämnas avseende deras yrkesställning och varaktigheten av deras verksamhet.

I artikel 5.2 i avtalet föreskrivs följande:

”2. Medlemsstaternas beskickningar och konsulat ska utfärda viseringar för flera inresor med en giltighetstid på ett år för följande kategorier av personer, förutsatt att dessa under det föregående året har erhållit minst en visering, som de har använt i enlighet med lagstiftningen om inresa till och vistelse inom den besökta statens territorium:

a)	Chaufförer som utför internationell gods- och passagerartransport till medlemsstaternas territorier i fordon registrerade i Ukraina.

b)	Medlemmar i tåg-, kylvagns- och lokomotivbesättningar på tåg i internationell trafik som färdas till medlemsstaternas territorier.

c)	Personer som deltar i vetenskapliga, kulturella och konstnärliga verksamheter, inklusive utbytesprogram som anordnas av universitet och andra, och som regelbundet reser till medlemsstaterna.

d)	Deltagare i internationella idrottsevenemang och medföljande personal.

e)	Deltagare i officiella utbytesprogram som anordnas av vänorter och andra kommunala enheter.

f)	För företrädare för organisationer i det civila samhället som regelbundet reser till medlemsstaterna i syfte att delta i utbildning, seminarier och konferenser, även inom ramen för utbytesprogram.

g)	Deltagare i Europeiska unionens officiella gränsöverskridande samarbetsprogram som det europeiska grannskaps- och partnerskapsinstrumentet (EGPI).

h)	Studenter och forskarstuderande som regelbundet reser i studie- eller utbildningssyfte, inbegripet inom ramen för utbytesprogram.

i)	Företrädare för religiösa samfund.

j)	För fria yrkesutövare som deltar i internationella utställningar, konferenser, symposier, seminarier eller andra liknande evenemang som anordnas inom medlemsstaternas territorium.

k)	Personer som regelbundet måste resa av medicinska skäl och medföljande personer vilkas närvaro är nödvändig.

I den ursprungliga versionen av avtalet gav uttrycket ”med en giltighetstid på upp till ett år” utrymme för konsulaten att besluta om viseringens giltighetstid, då endast den längsta giltighetstiden angavs. Enligt ändringsavtalet har detta utrymme för skönsmässig bedömning försvunnit i och med den nya lydelsen ”med en giltighetstid på ett år”, som föreskriver att om sökanden uppfyller alla krav i artikel 5.2 i avtalet ska ska ”medlemsstaternas beskickningar och konsulat utfärda viseringar för flera inresor med en giltighetstid på ett år”. Noteras bör att en visering för flera inresor med en giltighetstid på ett år ska utfärdas till viseringssökande i ovannämnda kategorier om den viseringssökande under föregående år (12 månader) har erhållit minst en Schengenvisering och har använt den i enlighet med lagstiftningen om inresa och vistelse i den stat (de stater) som besöktes (t.ex. personen har inte stannat för länge) och om det finns skäl för att ansöka om en visering för flera inresor. En Schengenvisering som erhållits under tidigare år kan ha utfärdats av en annan Schengenstat än den där sökanden har ansökt om den nya viseringen. I fall där det inte är motiverat att utfärda en visering som gäller ett år (till exempel om utbytesprogrammet är på mindre än ett år, eller om personen inte behöver resa ofta eller regelbundet på helårsbasis) kommer viseringens giltighetstid att vara mindre än ett år, men under förutsättning att övriga villkor för utfärdande av visering är uppfyllda.

I artikel 5.3 och 5.4 i avtalet föreskrivs följande:

”3. Medlemsstaternas beskickningar och konsulat ska utfärda viseringar för flera inresor med en giltighetstid på minst två år och högst fem år till de kategorier av personer som anges i punkt 2 i denna artikel, förutsatt att dessa under de senaste två åren har använt ettåriga viseringar för flera inresor i enlighet med lagstiftningen om inresa till och vistelse inom den besökta statens territorium om inte behovet eller avsikten att resa ofta eller regelbundet uppenbart avser en kortare period, då giltighetstiden för en visering för flera inresor ska begränsas till den perioden.

4. Den sammanlagda vistelsen på medlemsstaternas territorium för de personer som avses i punkterna 1–3 i denna artikel får inte överstiga 90 dagar per 180-dagarsperiod.”

Viseringar för flera inresor som är giltiga i två till fem år ska utfärdas för de kategorier som nämns i artikel 5.2 i avtalet, förutsatt att de under de senaste två åren har använt de ettåriga Schengenviseringarna för flera inresor i enlighet med lagstiftningen om inresa och vistelse på territoriet/territorierna i den/de besökta staten/staterna och att behovet av att resa ofta eller regelbundet inte uppenbart är begränsat till en kortare period. Det bör noteras att en visering med en giltighetstid på två till fem år endast ska utfärdas om den viseringssökande har fått minst två viseringar med en giltighetstid på ett år utfärdade under de föregående två åren, och om han eller hon har använt dessa viseringar i enlighet med lagstiftningen om inresa och vistelse på territoriet/territorierna i den/de besökta staten/staterna. Medlemsstaternas beskickningar och konsulat ska, på grundval av en bedömning av varje viseringsansökan, besluta om giltighetstiden för dessa viseringar, dvs. från två till femår.

Vad gäller definitionen av kriterierna i artikel 5.2 i avtalet: ”förutsatt att ... det finns skäl för att ansöka om en visering för flera inresor” och artikel 5.3 i avtalet: ”förutsatt att … skälen för att ansöka om en visering för flera inresor fortfarande är giltiga”, ska kriterierna som fastställs i artikel 24.2 a i viseringskodexen för utfärdande av denna typ av viseringar gälla, dvs. att personen måste resa ofta till en eller flera medlemsstater, t.ex. på tjänsteresa.

Det finns ingen skyldighet att utfärda en visering för flera inresor om sökanden inte använde sig av den tidigare viseringen. En sådan visering kan dock utfärdas om den tidigare viseringen inte användes till följd av omständigheter som den sökande inte råder över. Till exempel en lång frånvaro från sin anställning som långtradarchaufför på grund av sjukdom.

Se. II.2.2.1 vad gäller dokument som styrker resans syfte för utfärdandet av viseringar för flera inresor för de kategorier som nämns i artikel 5 i avtalet.

2.2.3 Innehavare av diplomatpass och tjänstepass:

I artikel 10 i avtalet anges följande:

”1. Medborgare i Ukraina som innehar ett giltigt diplomatpass ska få resa in på, lämna och transitera genom medlemsstaternas territorium utan visering.

2. Medborgare i Ukraina som innehar ett giltigt biometriskt tjänstepass får resa in till, lämna och transitera genom medlemsstaternas territorier utan visering.

3. De personer som avses i punkterna 1 och 2 i denna artikel får vistas på medlemsstaternas territorium under en period på högst 90 dagar per 180-dagarsperiod.”

Befintliga bilaterala avtal eller överenskommelser om undantag från viseringskravet för innehavare av icke-biometriska pass ska fortsätta att gälla, om inte de inte sagts upp eller tillämpningen av dem har avbrutits (se. I.1.6).

Utstationering av diplomater i medlemsstaterna regleras inte i avtalet. De vanliga ackrediteringsförfarandena gäller.

III. STATISTIK

För att den gemensamma kommittén effektivt ska kunna övervaka avtalet ska medlemsstaternas diplomatiska beskickningar och konsulat var sjätte månad lämna statistik till kommissionen, särskilt vad gäller följande, angivet per månad:

—	Typer av viseringar som utfärdas till de olika kategorier som omfattas av avtalet.

—	Antalet avslag på viseringsansökningar för de olika kategorier som omfattas av avtalet.

—	Procent av de sökande som kallas till personliga intervjuer per kategori.

—	Femårsviseringar för flera inresor som utfärdats för ukrainska medborgare (per land).

—	procent av viseringar som utfärdats kostnadsfritt till de olika personkategorier som omfattas av avtalet.

(1) Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex) (EUT L 243, 15.9.2009, s. 1).

(2) Rådets förordning (EG) nr 539/2001 av den 15 mars 2001 om fastställande av förteckningen över tredje länder vars medborgare är skyldiga att inneha visering när de passerar de yttre gränserna och av förteckningen över de tredje länder vars medborgare är undantagna från detta krav (EGT L 81, 21.3.2001, s. 1).

(3) Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna) (EUT L 105, 13.4.2006, s. 1).

(4) Europaparlamentets och rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG (EUT L 158, 30.4.2004, s. 77).

17.3.2015

Europeiska unionens officiella tidning

L 72/41

KOMMISSIONENS BESLUT (EU, Euratom) 2015/443

av den 13 mars 2015

om säkerhet inom kommissionen

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 249,

med beaktande av fördraget om upprättandet av Europeiska atomenergigemenskapen,

med beaktande av protokoll nr 7 om Europeiska unionens immunitet och privilegier som är fogat till fördragen, särskilt artikel 18, och

av följande skäl:

(1)

Syftet med säkerhetsarbetet inom kommissionen är att göra det möjligt för kommissionen att arbeta i en trygg och säker miljö genom att skapa en sammanhållen, integrerad strategi när det gäller dess säkerhet, tillhandahålla lämpliga skyddsnivåer för personer, tillgångar och information i proportion till de identifierade riskerna, och säkerställa att säkerheten fungerar effektivt när den väl behövs.

(2)	Kommissionen, liksom andra internationella organ, står inför stora hot och utmaningar på säkerhetsområdet, särskilt när det gäller terrorism, it-attacker och politiskt och affärsrelaterat spionage.

(3)	Europeiska kommissionen har ingått avtal om säkerhetsfrågor för sina viktigaste verksamhetsställen med Belgiens, Luxemburgs och Italiens regeringar (1). I dessa instrument bekräftas att kommissionen är ansvarig för sin egen säkerhet.

(4)

För att garantera säkerheten för personer, egendom och information kan kommissionen behöva vidta åtgärder på områden som omfattas av de grundläggande rättigheter som kommer till uttryck i stadgan om de grundläggande rättigheterna och i den europeiska konventionen om de mänskliga rättigheterna, och som erkänts av domstolen.

(5)	Varje sådan åtgärd bör därför vägas mot betydelsen av de intressen som den är avsedd att skydda, vara proportionell och säkerställa full respekt för grundläggande rättigheter, särskilt rätten till personlig integritet och skydd av personuppgifter.

(6)

Inom ett system som förpliktar sig att följa rättsstatsprincipen och respekten för de grundläggande rättigheterna har kommissionen att sträva efter en lämplig nivå av säkerhet för sin personal, sina tillgångar och sin information på ett sätt som säkerställer att den kan bedriva sin verksamhet, samtidigt som man inte begränsar de grundläggande rättigheterna utöver vad som är strikt nödvändigt.

(7)	Säkerheten inom kommissionen ska vara baserad på principerna om lagenlighet, öppenhet, proportionalitet och ansvarighet.

(8)

Anställda som har till uppgift att vidta säkerhetsåtgärder bör inte på något sätt missgynnas på grund av sina insatser, såvida de inte har handlat i strid med sitt uppdrag eller brutit mot lagstiftningen, och i det hänseendet är detta beslut att betrakta som en instruktion i den mening som avses i tjänsteföreskrifterna.

(9)

Kommissionen bör vidta lämpliga åtgärder för att främja och stärka sin säkerhetskultur, och därigenom främja ett mer effektivt tillhandahållande av säkerhet, förbättra säkerhetsstyrningen, stärka nätverken och samarbetet med berörda myndigheter på internationell, europeisk och nationell nivå samt förbättra övervakningen och kontrollen av genomförandet av säkerhetsåtgärder.

(10)

Inrättandet av Europeiska utrikestjänsten såsom ett i funktionellt hänseende autonomt organ inom unionen har haft en betydande inverkan på kommissionens säkerhetsintressen. Det förutsätter således att regler och förfaranden för samarbete om säkerhet och trygghet upprättas mellan Europeiska utrikestjänsten och Europeiska kommissionen, i synnerhet med avseende på uppfyllandet av kommissionens aktsamhetsplikt gentemot kommissionspersonal vid unionens delegationer.

(11)

Kommissionens säkerhetsstrategi bör genomföras på ett sätt som är förenligt med andra interna processer och förfaranden som kan involvera säkerhetsaspekter. Till dessa hör bland annat systemet för driftskontinuitet, som syftar till att upprätthålla kommissionens kritiska funktioner vid driftsstörningar, och Argus-processen för samordning vid multisektoriella kriser.

(12)

Trots de åtgärder som redan finns vid tidpunkten för antagandet av detta beslut och som har anmälts till Europeiska datatillsynsmannen (2), ska alla åtgärder enligt beslutet som inbegriper behandling av personuppgifter omfattas av tillämpningsföreskrifter i enlighet med artikel 21, vilka ska föreskriva lämpligt skydd för de registrerade.

(13)	Därför behöver kommissionen se över, uppdatera och konsolidera den befintliga rättsliga grunden för säkerhet vid kommissionen.

(14)	Kommissionens beslut (94) 2129 (3) bör därför upphävas.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL 1

ALLMÄNNA BESTÄMMELSER

Artikel 1

Definitioner

I detta beslut gäller följande definitioner:

1. tillgångar : all lös och fast egendom som tillhör kommissionen.

2. kommissionsavdelning : generaldirektorat eller avdelning inom kommissionen, eller en kommissionsledamots kansli.

3. kommunikations- och informationssystem : system som gör det möjligt att hantera information i elektronisk form, även de resurser som krävs för att driva dessa system, inklusive infrastruktur, organisation, personal och informationsresurser.

4. kontroll av risker : varje säkerhetsåtgärd som rimligen kan förväntas ge effektiv kontroll av en säkerhetsrisk genom förebyggande, begränsning, undvikande eller överföring.

5. krissituation : omständigheter, händelser, tillbud eller nödsituationer (eller en följd eller kombination av dessa) som innebär ett stort eller omedelbart hot mot säkerheten inom kommissionen, oavsett ursprung.

6. data : information i en form som medger att den meddelas, registreras eller bearbetas.

7. säkerhetsansvarig kommissionsledamot : kommissionsledamot som ansvarar för generaldirektoratet för personal och säkerhet.

8. personuppgifter : uppgifter enligt definitionen i artikel 2 a i Europaparlamentets och rådets förordning (EG) nr 45/2001 (4).

9. lokaler : fast egendom eller därmed likställd egendom i kommissionens ägo eller besittning.

10. förebyggande av risk : säkerhetsåtgärder som rimligen kan förväntas förhindra, försena eller stoppa en säkerhetsrisk.

11. säkerhetsrisk : kombinationen av hotnivå, graden av sårbarhet och de möjliga konsekvenserna av en händelse.

12. säkerhet inom kommissionen : säkerheten för personer, tillgångar och information inom kommissionen, särskilt fysisk integritet för personer och tillgångar; integritet, sekretess samt tillgång till information och kommunikations- och informationssystem samt förutsättningar för att kommissionens arbete ska kunna fungera obehindrat.

13. säkerhetsåtgärd : åtgärder som vidtas i enlighet med detta beslut i syfte att kontrollera säkerhetsrisker.

14. tjänsteföreskrifterna : tjänsteföreskrifterna för tjänstemännen i Europeiska unionen, fastställda genom rådets förordning (EEG, Euratom, EKSG) nr 259/68 (5) och dess ändringsakter.

15. säkerhetshot : en händelse eller ett förhållande som skäligen kan förväntas påverka säkerheten i negativ riktning om inte åtgärder vidtas för att få hotet under kontroll.

16. omedelbart säkerhetshot : ett säkerhetshot som uppkommer helt utan varning eller med mycket kort förvarning.

17. allvarligt säkerhetshot : ett säkerhetshot som, om inga åtgärder vidtas, rimligen kan förväntas leda till dödsfall, allvarlig personskada, betydande skada på egendom, röjande av mycket känslig information eller störningar av it-system eller väsentliga delar av kommissionens operativa förmåga.

18. sårbarhet : alla typer av sårbarhet som rimligen kan förväntas ha en negativ inverkan på säkerheten inom kommissionen, om sårbarheten utnyttjas i samband med ett eller flera hot.

Artikel 2

Syfte

1. I detta beslut fastställs mål, grundläggande principer, organisation och ansvar med avseende på säkerhet inom kommissionen.

2. Detta beslut ska vara tillämpligt på alla kommissionens avdelningar och samtliga kommissionslokaler. Kommissionsanställda vid unionens delegationer ska omfattas av Europeiska utrikestjänstens säkerhetsbestämmelser (6).

3. Utan hinder av särskilda beteckningar för vissa grupper av anställda, ska detta beslut tillämpas på ledamöterna av kommissionen, kommissionens personal som omfattas av tjänsteföreskrifterna och anställningsvillkoren för övriga anställda i Europeiska gemenskaperna, på nationella experter som är utstationerade vid kommissionen (nationella experter), på tjänsteleverantörer och deras anställda, på praktikanter samt på var och en som har tillträde till kommissionens byggnader eller andra tillgångar, eller på uppgifter som hanteras av kommissionen.

4. Bestämmelserna i detta beslut ska inte påverka tillämpningen av kommissionens beslut 2002/47/EG, EKSG, Euratom (7) eller av kommissionens beslut 2004/563/EG, Euratom (8), kommissionens beslut K(2006) 1623 (9) och kommissionens beslut K(2006) 3602 (10).

KAPITEL 2

PRINCIPER

Artikel 3

Principer för säkerhet inom kommissionen

1. Vid genomförandet av detta beslut ska kommissionen följa fördragen och särskilt stadgan om de grundläggande rättigheterna och protokoll nr 7 om Europeiska unionens immunitet och privilegier, de instrument som anges i skäl 2, tillämpliga regler i nationell lagstiftning samt villkoren i detta beslut. Om så krävs ska ett säkerhetsmeddelande i den mening som avses i artikel 21.2 utfärdas för vägledning i detta hänseende.

2. Säkerheten inom kommissionen ska vara baserad på principerna om lagenlighet, öppenhet, proportionalitet och ansvarighet.

3. Principen om lagenlighet innebär ett krav på strikt efterlevnad av de rättsliga ramarna vid genomförandet av detta beslut och ett behov av anpassning till de rättsliga kraven.

4. Alla säkerhetsåtgärder ska vidtas öppet såvida det inte finns skäl att anta att en sådan öppenhet skulle minska deras verkan. Den som en säkerhetsåtgärd riktar sig ska i förväg underrättas om orsakerna till och följderna av den aktuella åtgärden, såvida det inte finns skäl att anta att tillhandahållandet av sådan information skulle minska verkan av åtgärden. I detta fall ska den som säkerhetsåtgärden riktar sig till informeras efter det att risken för försämrad effekt av åtgärden har upphört.

5. Kommissionens avdelningar ska se till att säkerhetsfrågor beaktas redan från början när de utarbetar och genomför kommissionens politik, beslut, program, projekt och verksamheter på områden som de ansvarar för. För detta ändamål ska de redan under de tidigaste förberedelserna involvera generaldirektoratet för personal och säkerhet i allmänhet och kommissionens informationssäkerhetschef när det gäller it-system.

6. Kommissionen ska, i lämpliga fall, eftersträva samarbete med behöriga myndigheter i värdmedlemsstaten, i andra medlemsstater och i andra av EU:s institutioner, byråer eller organ och om möjligt ta hänsyn till åtgärder som dessa myndigheter har vidtagit eller planerat för att bemöta en viss säkerhetsrisk.

Artikel 4

Skyldighet att följa relevanta bestämmelser

1. Det ska vara obligatoriskt att följa detta beslut och dess tillämpningsföreskrifter samt instruktioner som lämnas av bemyndigad personal.

2. Bristande efterlevnad av säkerhetsbestämmelserna kan leda till disciplinära åtgärder i enlighet med fördragen och tjänsteföreskrifterna, till kontraktsenliga sanktioner och/eller till rättsliga åtgärder enligt nationella lagar och andra författningar.

KAPITEL 3

TILLHANDAHÅLLANDE AV SÄKERHET

Artikel 5

Bemyndigad personal

1. Endast personal som, med hänsyn till dess aktuella arbetsuppgifter, erhållit ett formellt bemyndigande av generaldirektören för personal och säkerhet, kan ges befogenhet att vidta en eller flera av följande åtgärder:

1)	Bära sidovapen.

2)	Utföra sådana säkerhetsundersökningar som avses i artikel 13.

3)	Vidta sådana säkerhetsåtgärder som avses i artikel 12 i enlighet med vad som anges i det formella bemyndigandet.

2. De bemyndiganden som avses i punkt 1 ska ges för en period som inte får vara längre än den period under vilken personen i fråga innehar den post eller den funktion som bemyndigandet gäller. Bemyndigandena ska ges i enlighet med tillämpliga bestämmelser i artikel 3.1.

3. För bemyndigad personal utgör detta beslut en instruktion i den mening som avses i artikel 21 i tjänsteföreskrifterna.

Artikel 6

Allmänna bestämmelser om säkerhetsåtgärder

1. I samband med att skyddsåtgärder vidtas ska kommissionen särskilt se till att i möjligaste mån

endast söka stöd eller bistånd från den berörda staten under förutsättning att denna stat är en medlemsstat i Europeiska unionen eller, om inte, är part i den europeiska konventionen om de mänskliga rättigheterna eller garanterar rättigheter som åtminstone motsvarar de rättigheter som garanteras i den konventionen,

b)	endast överföra uppgifter om enskilda till sådana mottagare, utöver gemenskapsinstitutionerna och gemenskapsorganen, som inte omfattas av nationell lagstiftning som antagits i enlighet med Europaparlamentets och rådets direktiv 95/46/EG (11), i enlighet med artikel 9 i förordning (EG) nr 45/2001;

när en enskild person utgör ett hot mot säkerheten, ska eventuella säkerhetsåtgärder riktas mot den individen, som kan komma att åläggas att bära de kostnader som uppkommer. Dessa säkerhetsåtgärder får endast riktas mot andra personer om ett omedelbart eller allvarligt hot mot säkerheten måste fås under kontroll och följande villkor är uppfyllda:

a)	De planerade åtgärderna mot den individ som utgör ett säkerhetshot kan inte vidtas eller kommer sannolikt inte att få avsedd verkan.

b)	Kommissionen kan inte få säkerhetshotet under kontroll genom sina egna åtgärder eller saknar förmåga att göra detta i tid.

c)	Åtgärden medför inte en oproportionerligt stor fara för den andra personen och dennes rättigheter.

2. Säkerhetsdirektoratet vid kommissionens generaldirektoratet för personal och säkerhet ska upprätta en översikt över säkerhetsåtgärder som kan komma att kräva ett beslut av domstol i enlighet med lagar och andra författningar i de medlemsstater i vilka kommissionen har lokaler.

3. Säkerhetsdirektoratet vid kommissionens generaldirektoratet för personal och säkerhet kan anlita en entreprenör för att, under ledning och överinseende av kommissionens säkerhetsdirektorat, utföra uppgifter som rör säkerhet.

Artikel 7

Säkerhetsåtgärder rörande personer

1. En lämplig skyddsnivå ska tillförsäkras personer som vistas i kommissionens lokaler, varvid hänsyn ska tas till säkerhets- och skyddskrav.

2. Vid omfattande säkerhetsrisker ska generaldirektoratet för personal och säkerhet tillhandahålla närskydd för ledamöter av kommissionen och annan personal, om en riskbedömning har visat att ett sådant skydd är nödvändigt för att garantera deras säkerhet.

3. Vid omfattande säkerhetsrisker får kommissionen besluta om evakuering av sina lokaler.

4. Offer för olyckor i eller attacker mot kommissionens lokaler ska erhålla hjälp.

5. I syfte att förebygga och begränsa säkerhetsrisker ska bemyndigad personal ha rätt att utföra säkerhetskontroller på personer som omfattas av detta beslut, för att fastställa huruvida det skulle innebära en säkerhetsrisk att ge dessa personer tillträde till kommissionens lokaler eller tillgång till kommissionens information. För detta ändamål får bemyndigad personal, under förutsättning att det sker i enlighet med förordning (EG) nr 45/2001 och de bestämmelser som avses i artikel 3.1

a)	använda sig alla informationskällor som är tillgängliga för kommissionen, utan att göra avkall på kravet att kontrollera informationskällans tillförlitlighet,

b)	skaffa sig tillgång till den personalakt eller de uppgifter i övrigt som kommissionen innehar med avseende på personer som den har anställt eller har för avsikt att anställa, eller med avseende på entreprenörers personal när det är vederbörligen motiverat.

Artikel 8

Säkerhetsåtgärder avseende fysisk säkerhet och tillgångar

1. Säkerheten för tillgångar ska säkerställas med hjälp av lämpliga fysiska och tekniska skyddsåtgärder och motsvarande förfaranden, nedan kallade ”fysisk säkerhet”, vilket skapar ett system i flera skikt.

2. Åtgärder får antas i enlighet med denna artikel för att skydda personer eller information inom kommissionen samt för att skydda tillgångar.

3. Målen för den fysiska säkerheten ska vara följande:

—	Förebygga våld riktat mot kommissionens ledamöter eller andra personer som omfattas av detta beslut.

—	Förhindra spionage och avlyssning som syftar till att komma åt känslig eller säkerhetsskyddsklassificerad information.

—	Förebygga stöld, vandalism, sabotage och andra våldsamma handlingar som syftar till att skada eller förstöra kommissionens byggnader och tillgångar.

—	Möjliggöra utredning av säkerhetsincidenter, bl.a. genom kontroller av in- och utpasseringsloggar, inspelningar från övervakningskameror, inspelningar av telefonsamtal och liknande uppgifter som avses i artikel 22.2 samt av andra informationskällor.

4. Fysisk säkerhet ska omfatta följande:

—	En tillträdespolicy som gäller för alla personer eller fordon som behöver tillträde till kommissionens lokaler, och även omfattar parkeringsplatser.

—	Ett system för tillträdeskontroll bestående av vakter, teknisk utrustning och tekniska åtgärder, informationssystem eller en kombination av dessa inslag.

5. För att garantera fysisk säkerhet kan följande åtgärder vidtas:

—	Registrering av när en person, ett fordon, varor och utrustning anländer till respektive lämnar kommissionens lokaler.

—	Identitetskontroller i de egna lokalerna.

—	Inspektion av fordon, varor och utrustning med hjälp av visuella eller tekniska hjälpmedel.

—	Förhindrande av att obehöriga personer, fordon och varor kommer in i kommissionens lokaler.

Artikel 9

Säkerhetsåtgärder rörande information

1. Informationssäkerhet omfattar all information som handhas av kommissionen.

2. Informationssäkerheten ska, oavsett form, bygga på en avvägning mellan öppenhet, proportionalitet, ansvarighet och effektivitet, och behovet av att skydda information mot obehörig tillgång, användning, förändring eller förstörelse samt obehörigt röjande.

3. Informationssäkerhet ska syfta till att skydda konfidentialitet, integritet och tillgänglighet.

4. Därför ska riskhanteringsprocesser användas för att klassificera informationstillgångar och utarbeta proportionerliga skyddsåtgärder, förfaranden och standarder, inklusive riskdämpande åtgärder.

5. Dessa allmänna principer som ligger till grund för informationssäkerheten ska tillämpas särskilt med avseende på följande:

a)	Säkerhetsskyddsklassificerade EU-uppgifter, dvs. uppgifter eller materiel som placerats på en EU-säkerhetsskyddsklassificeringsnivå och vars obehöriga röjande skulle kunna åsamka Europeiska unionens eller en eller flera av dess medlemsstaters väsentliga intressen olika grader av skada.

Känsliga icke-säkerhetsskyddsklassificerade uppgifter, dvs. uppgifter eller materiel som kommissionen måste skydda på grund av rättsliga förpliktelser som fastställs i fördragen eller i rättsakter som antagits för att genomföra dessa, och/eller på grund av uppgifternas eller materielens känslighet. Känsliga, icke-säkerhetsskyddsklassificerade uppgifter inbegriper, men är inte begränsade till, upplysningar eller materiel som omfattas av tystnadsplikt enligt artikel 339 i EUF-fördraget, uppgifter som omfattas av de intressen som skyddas i artikel 4 i Europaparlamentets och rådets förordning (EG) nr 1049/2001 (12), jämförd med relevant rättspraxis från Europeiska unionens domstol, samt personuppgifter som omfattas av förordning (EG) nr 45/2001.

6. Känsliga, icke-säkerhetsskyddsklassificerade uppgifter ska omfattas av regler om hantering och lagring. De ska endast lämnas ut till personer som har behovsenlig behörighet. När det anses nödvändigt för ett effektivt skydd av deras konfidentialitet ska denna typ av uppgifter förses med en säkerhetsmarkering och motsvarande hanteringsanvisningar som har godkänts av generaldirektören för personal och säkerhet. Om informationen hanteras eller lagras i kommunikations- och informationssystem, ska den även skyddas i enlighet med kommissionens beslut (2006) 3602, tillämpningsföreskrifterna till detta och motsvarande standarder.

7. Varje person som är ansvarig för röjande eller förlust av säkerhetsskyddsklassificerade EU-uppgifter eller känsliga icke-sekretessbelagda uppgifter, som identifierats som sådana i bestämmelserna om uppgifternas hantering och lagring, kan bli föremål för disciplinära åtgärder i enlighet med tjänsteföreskrifterna. Sådana disciplinära åtgärder ska inte påverka eventuella vidare rättsliga eller straffrättsliga förfaranden vid behöriga nationella myndigheter i medlemsstaterna i enlighet med deras lagar och andra författningar, och inte heller eventuella avtalsvillkor om påföljder.

Artikel 10

Säkerhetsåtgärder med avseende på kommunikations- och informationssystem

1. Alla kommunikations- och informationssystem som används av kommissionen ska uppfylla kraven enligt kommissionens säkerhetspolitik för informationssystem, såsom denna följer av kommissionens beslut K (2006) 3602, dess tillämpningsföreskrifter och motsvarande säkerhetsstandarder.

2. Kommissionen ägande, förvaltning och användning av kommunikations- och informationssystem ska innebära att andra av EU:s institutioner, byråer, organ eller andra organisationer endast ges tillgång till dessa system under förutsättning att de kan lämna rimliga garantier för att deras informationssystem omfattas av skydd på en nivå som motsvarar kommissionens säkerhetspolitik för informationssystem enligt kommissionens beslut K(2006) 3602, dess tillämpningsföreskrifter och motsvarande säkerhetsstandarder. Kommissionen ska övervaka efterlevnaden av dessa krav och vid allvarliga eller upprepade överträdelser ha rätt att förbjuda tillgång till systemen.

Artikel 11

Kriminalteknisk analys av it-säkerhet

Generaldirektoratet för personal och säkerhet ska särskilt ansvara för att utföra kriminalteknisk analys i samarbete med kommissionens berörda avdelningar för att stödja sådana säkerhetsutredningar som avses i artikel 13, som rör kontraspionage, dataläckage, it-angrepp och it-säkerhet.

Artikel 12

Säkerhetsåtgärder rörande personer och föremål

1. För att garantera säkerheten inom kommissionen och förebygga och kontrollera risker, får personal som bemyndigats i enlighet med artikel 5, i överensstämmelse med principerna i artikel 3 bland annat vidta en eller flera av följande skyddsåtgärder:

a)	Säkra platser och bevisning, inbegripet in- och utpasseringsloggar samt inspelningar från övervakningskameror, i händelse av incidenter eller uppförande som kan medföra administrativa, disciplinära, civilrättsliga eller straffrättsliga förfaranden.

Begränsade åtgärder riktade mot personer som utgör ett säkerhetshot, inbegripet att beordra personer att lämna kommissionens lokaler samt eskortera personer från kommissionens lokaler, förbjuda personer att vistas i kommissionens lokaler under en period, som bestäms i enlighet med kriterier som ska fastställas i tillämpningsföreskrifter.

c)	Begränsade åtgärder avseende föremål som utgör ett hot mot säkerheten, inbegripet avlägsnande, beslag och bortskaffande av föremål.

d)	Genomsökning av kommissionens lokaler, inbegripet kontor i sådana lokaler.

e)	Kontroller av kommunikations- och informationssystem och utrustning som hör till sådana system, uppgifter om telefon- och telekommunikationstrafik, loggfiler, användarkonton osv.

f)	Andra specifika säkerhetsåtgärder med motsvarande verkan i syfte att förhindra eller få säkerhetsrisker under kontroll, särskilt inom ramen för kommissionens rättigheter som hyresvärd eller som arbetsgivare i enlighet med tillämplig nationell lagstiftning.

2. I undantagsfall får sådan personal vid direktoratet för säkerhet inom kommissionens generaldirektorat för personal och säkerhet som bemyndigats i enlighet med artikel 5 vidta nödvändiga brådskande åtgärder, under strikt tillämpning av de principer som fastställs i artikel 3. Efter att ha vidtagit sådana åtgärder ska de så snart som möjligt underrätta direktören för kommissionens säkerhetsdirektorat, som ska begära lämpligt mandat från generaldirektören för personal och säkerhet, som bekräftar de vidtagna åtgärderna och godkänner eventuella ytterligare åtgärder och ska vid behov samråda med behöriga nationella myndigheter.

3. Säkerhetsåtgärder i enlighet med denna artikel ska dokumenteras vid den tidpunkt när de vidtas eller, om det föreligger en överhängande risk eller en krissituation, inom rimlig tid efter det att de har vidtagits. I det senare fallet ska dokumentationen också omfatta de faktorer på vilka bedömningen av förekomsten av en överhängande risk eller en krissituation grundades. Dokumentationen får vara kortfattad, men bör vara utformad så att den person som är föremål för åtgärden har möjlighet att utöva sin rätt till försvar och skydd av personuppgifter i enlighet med förordning nr 45/2001, och så att det finns möjlighet att kontrollera åtgärdens lagenlighet. Ingen information om specifika säkerhetsåtgärder som rör en medlem av personalen ska ingå i den personens personalakt.

4. I samband med att säkerhetsåtgärder vidtas i enlighet med led b ska kommissionen dessutom säkerställa att den enskilde ges möjlighet att kontakta en advokat eller en person som han eller hon har förtroende för samt uppmärksammas på sin rätt att vända sig till Europeiska datatillsynsmannen.

Artikel 13

Undersökningar

1. Säkerhetsundersökningar får genomföras i följande fall, utan att det påverkar tillämpningen av artikel 86 och bilaga IX till tjänsteföreskrifterna eller eventuella särskilda överenskommelser mellan kommissionen och Europeiska utrikestjänsten, såsom den särskilda överenskommelse som undertecknades den 28 maj 2014 mellan Europeiska kommissionens generaldirektorat för personal och säkerhet och Europeiska utrikestjänsten om aktsamhetsplikt gentemot kommissionspersonal vid unionens delegationer:

a)	Vid incidenter som påverkar säkerheten vid kommissionen, inklusive misstänkta brott.

b)	Vid risk för att känsliga icke-sekretessbelagda uppgifter, säkerhetsskyddsklassificerade EU-uppgifter eller sekretessbelagd Euroatom-information läcks, används på felaktigt sätt eller röjs.

c)	I samband med åtgärder som rör kontraspionage och terrorismbekämpning.

d)	Vid allvarliga it-incidenter.

2. Beslutet att inleda en säkerhetsundersökning ska fattas av generaldirektören för personal och säkerhet som också är mottagare av undersökningsrapporten.

3. Säkerhetsundersökningarna ska endast utföras av särskild utsedd personal vid generaldirektoratet för personal och säkerhet, vederbörligen bemyndigad i enlighet med artikel 5.

4. Den bemyndigade personalen ska utöva sina befogenheter att utföra säkerhetsundersökningar på ett oberoende sätt och ha de befogenheter som anges i artikel 12.

5. Bemyndigad personal med befogenhet att utföra säkerhetsundersökningar får samla in information från alla tillgängliga källor som har samband med eventuella administrativa eller straffrättsliga överträdelser som begåtts inom kommissionens lokaler eller involverar personer som avses i artikel 2.3, antingen som offer eller förövare av sådana överträdelser.

6. Generaldirektoratet för personal och säkerhet ska underrätta de behöriga myndigheterna i värdmedlemsstaten eller andra berörda medlemsstater när så är lämpligt, i synnerhet om undersökningen har gett upphov till brottsmisstanke. I detta sammanhang får generaldirektoratet för personal och säkerhet, när så är lämpligt eller nödvändigt, bistå myndigheterna i värdmedlemsstaten eller andra berörda medlemsstater.

7. Vid allvarliga it-incidenter ska generaldirektoratet för informationsteknik ha ett nära samarbete med generaldirektoratet för personal och säkerhet i syfte att tillhandahålla stöd i alla tekniska frågor. Generaldirektoratet för personal och säkerhet ska, i samråd med generaldirektoratet för informationsteknik, besluta när det är lämpligt att informera de behöriga myndigheterna i värdlandet eller andra berörda medlemsstater. De samordningstjänster som tillhandahålls av organisationen för incidenthantering för EU:s institutioner, organ och byråer (Cert-EU) kommer att användas för att ge stöd till andra av EU:s institutioner och organ som kan vara berörda.

8. Säkerhetsundersökningar ska dokumenteras.

Artikel 14

Avgränsning av befogenheter vid säkerhetsundersökningar och andra typer av utredningar

1. Om direktoratet för säkerhet inom kommissionens generaldirektorat för personal och säkerhet genomför sådana säkerhetsundersökningar som avses i artikel 13, och om dessa undersökningar faller inom behörigheten för Europeiska byrån för bedrägeribekämpning (Olaf) eller kommissionens utrednings- och disciplinbyrå, ska direktoratet kontakta dessa organ, särskilt för att inte äventyra senare åtgärder som kan komma att vidtas av Olaf eller kommissionens utrednings- och disciplinbyrå. Direktoratet för säkerhet inom kommissionens generaldirektorat för personal och säkerhet ska i lämpliga fall inbjuda Olaf eller kommissionens utrednings- och disciplinbyrå att delta i undersökningen.

2. De säkerhetsutredningar som avses i artikel 13 ska inte påverka befogenheterna för Olaf och kommissionens utrednings- och disciplinbyrå enligt de bestämmelser som styr dessa organs verksamhet. Direktoratet för säkerhet inom kommissionens generaldirektoratet för personal och säkerhet får uppmanas att bidra med tekniskt stöd till undersökningar som inletts av Olaf eller kommissionens utrednings- och disciplinbyrå.

3. Direktoratet för säkerhet vid kommissionens generaldirektorat för personal och säkerhet kan uppmanas att bistå Olaf:s anställda när dessa ges tillträde till kommissionens lokaler i enlighet med artikel 3.5 och 4.4 i Europaparlamentets och rådet förordning (EU, Euratom) nr 883/2013 (13), i syfte att underlätta de senares arbete. Direktoratet för säkerhet ska vidarebefordra information om sådana framställningar om bistånd till generalsekreteraren och generaldirektören för generaldirektoratet för personal och säkerhet eller, om undersökningen utförs i kommissionslokaler som används av kommissionsledamöter eller generalsekreteraren, till kommissionens ordförande och den kommissionsledamot som ansvarar för personalfrågor.

4. Om ett ärende kan omfattas av behörighetsområdet för såväl direktoratet för säkerhet inom kommissionens generaldirektorat för personal och säkerhet som kommissionens utrednings- och disciplinbyrå, ska direktoratet för säkerhet, utan att det påverkar tillämpningen av artikel 22 a i tjänsteföreskrifterna, i ett så tidigt skede som möjligt meddela huruvida det finns skäl som motiverar att kommissionens utrednings- och disciplinbyrå tar upp saken till behandling, i samband med att det rapporterar till generaldirektören för personal och säkerhet i enlighet med artikel 13. Detta skede ska särskilt anses vara nått när ett omedelbart hot mot säkerheten har upphört. Generaldirektören för personal och säkerhet ska fatta beslut om detta.

5. Om ett ärende kan omfattas av behörighetsområdet för såväl direktoratet för säkerhet inom kommissionens generaldirektorat för personal och säkerhet som Olaf, ska direktoratet för säkerhet utan dröjsmål rapportera till generaldirektören för personal och säkerhet, och i ett så tidigt skede som möjligt informera Olafs generaldirektör. Detta skede ska särskilt anses vara nått när ett omedelbart hot mot säkerheten har upphört.

Artikel 15

Säkerhetsinspektioner

1. Generaldirektoratet för personal och säkerhet ska utföra säkerhetsinspektioner för att kontrollera att kommissionens avdelningar och enskilda personer följer detta beslut och dess tillämpningsföreskrifter, samt utforma rekommendationer vid behov.

2. Generaldirektoratet för personal och säkerhet ska vid behov genomföra säkerhetsinspektioner eller besök för säkerhetsövervakning eller säkerhetsutvärdering i syfte att kontrollera huruvida sådana aspekter av säkerheten för kommissionens personal, tillgångar och information som omfattas av ansvarsområdet för andra av unionens institutioner, byråer eller organ eller för medlemsstater, tredjeländer eller internationella organisationer, skyddas på lämpligt sätt i enlighet med säkerhetsbestämmelser, föreskrifter och standarder som minst motsvarar de som tillämpas av kommissionen. När så är lämpligt, ska dessa säkerhetsinspektioner, i en anda av gott samarbete mellan förvaltningar, även omfatta inspektioner inom ramen för utbytet av sekretessbelagda uppgifter med andra av unionens institutioner, organ och byråer eller med medlemsstater, tredjeländer eller internationella organisationer.

3. Denna artikel ska i tillämpliga delar tillämpas med avseende på kommissionspersonal vid unionens delegationer, utan att det påverkar eventuella särskilda överenskommelser mellan kommissionen och Europeiska utrikestjänsten, såsom den särskilda överenskommelse som undertecknades den 28 maj 2014 mellan Europeiska kommissionens generaldirektorat för personal och säkerhet och Europeiska utrikestjänsten om aktsamhetsplikt gentemot kommissionspersonal vid unionens delegationer.

Artikel 16

Beredskapsnivåer och hantering av krissituationer

1. Generaldirektoratet för personal och säkerhet ska ansvara för att vidta lämpliga beredskapsåtgärder som förberedelse för eller svar på hot och incidenter som påverkar säkerheten vid kommissionen, samt för åtgärder som krävs för att hantera krissituationer.

2. De beredskapsåtgärder som avses i punkt 1 ska stå i proportion till säkerhetshotets omfattning. Nivån på beredskapsåtgärderna ska fastställas i nära samarbete med behöriga avdelningar inom andra av unionens institutioner, byråer och organ och med behöriga myndigheter i den medlemsstat eller de medlemsstater där kommissionen har lokaler.

3. Generaldirektoratet för personal och säkerhet ska vara kontaktpunkt för frågor om beredskapsnivåer och hantering av krissituationer.

KAPITEL 4

ORGANISATION

Artikel 17

Allmänna skyldigheter för kommissionens avdelningar

1. Det ansvar som åligger kommissionens avdelningar enligt detta beslut ska utövas av generaldirektoratet för personal och säkerhet under överinseende och ansvar av den kommissionsledamot som ansvarar för säkerhetsfrågor.

2. De särskilda arrangemangen när det gäller it-säkerhet fastställs i beslut (2006) 3602.

3. Ansvaret för att genomföra detta beslut och dess tillämpningsföreskrifter och för den fortlöpande efterlevnaden får delegeras till andra avdelningar inom kommissionen om ett decentraliserat säkerhetsarbete erbjuder betydande effektivitetsfördelar eller resurs- eller tidsbesparingar, t.ex. på grund av de berörda avdelningarnas geografiska belägenhet.

4. I de fall där punkt 3 är tillämplig ska generaldirektoratet för personal och säkerhet, och vid behov generaldirektören för informationsteknik, ingå avtal med enskilda kommissionsavdelningar och fastställa tydliga roller och ansvarsområden för genomförandet och övervakningen av säkerhetsstrategier.

Artikel 18

Generaldirektoratet för personal och säkerhet

1. Generaldirektoratet för personal och säkerhet ska särskilt ansvara för att

1)	utveckla kommissionens säkerhetspolitik, tillämpningsföreskrifter och säkerhetsmeddelanden,

2)	samla in information i syfte att bedöma säkerhetshot och säkerhetsrisker och alla andra frågor som kan påverka säkerheten inom kommissionen,

3)	tillhandahålla elektronisk övervakning och elektroniskt skydd för alla kommissionens verksamhetsställen, med vederbörlig hänsyn till hotbedömningar och indikationer på olaglig verksamhet som riktar sig mot kommissionens intressen,

4)	tillhandahålla en ständigt tillgänglig larmcentral som kommissionens avdelningar och personal kan vända sig till i säkerhets- och trygghetsrelaterade frågor,

genomföra säkerhetsåtgärder som syftar till att minska säkerhetsriskerna samt utveckla och driva lämpliga kommunikations- och informationssystem som täcker dess operativa behov, särskilt på områdena fysisk säkerhet, fysisk tillträdeskontroll, beviljande av säkerhetsbemyndiganden och hantering av känslig information och säkerhetsskyddsklassificerad EU-information,

6)	öka medvetenheten, organisera övningar och tillhandahålla fortbildning och rådgivning i allt som rör säkerhet vid kommissionen, i syfte att främja en god säkerhetskultur och skapa en pool av personal med lämplig utbildning i säkerhetsfrågor.

2. Generaldirektoratet för personal och säkerhet ska, utan att det påverkar andra kommissionsavdelningars behörighet och befogenheter, säkerställa yttre förbindelser

1)	med säkerhetsavdelningarna vid EU:s övriga institutioner, byråer och organ i frågor som rör säkerheten för personer, tillgångar och information inom kommissionen,

2)	med säkerhets-, underrättelse- och säkerhetsbedömningsavdelningar, inbegripet nationella säkerhetsmyndigheter i medlemsstaterna, i tredjeländer och vid internationella organisationer och organ i frågor som kan påverka säkerheten för personer, tillgångar och information inom kommissionen,

3)	med polisen och andra räddningstjänster rörande alla rutinmässiga och akuta frågor som påverkar kommissionens säkerhet,

4)	med säkerhetsmyndigheterna vid andra av unionens institutioner, organ och byråer, i medlemsstaterna och i tredjeländer när det gäller insatser vid it-attacker med potentiell inverkan på säkerheten inom kommissionen,

5)	när det gäller mottagande, bedömning och spridning av underrättelser om spioneri- och terroristhot som påverkar säkerheten inom kommissionen,

6)	när det gäller frågor som rör sekretessbelagda uppgifter, i enlighet med närmare specifikationer i kommissionens beslut (EU, Euratom) 2015/444 (14).

3. Generaldirektoratet för personal och säkerhet ska ansvara för att överföring av uppgifter i enlighet med denna artikel, inklusive överföring av personuppgifter, sker på ett säkert sätt.

Artikel 19

Kommissionens grupp av säkerhetsexperter (ComSEG)

Det ska inrättas en kommissionsgrupp av säkerhetsexperter med uppdrag att bistå kommissionen, när så är lämpligt, i frågor som rör dess interna säkerhetspolitik och närmare bestämt skydd av säkerhetsskyddsklassificerade EU-uppgifter.

Artikel 20

Lokalt säkerhetsansvariga

1. Varje kommissionsavdelning eller kansli ska utse en lokalt säkerhetsansvarig som ska vara huvudkontaktpunkt mellan sin avdelning eller sitt kansli och generaldirektoratet för personal och säkerhet i alla frågor som rör säkerheten inom kommissionen. Vid behov får en eller flera ställföreträdande lokalt säkerhetsansvariga utses. Den lokalt säkerhetsansvariga ska vara tjänsteman eller tillfälligt anställd.

2. Som huvudsaklig kontaktpunkt för säkerheten inom sin kommissions- eller kabinettsavdelning ska den lokalt säkerhetsansvariga regelbundet rapportera till generaldirektoratet för personal och säkerhet och till sina överordnade om säkerhetsfrågor som berör hans kommissionsavdelning, vilket ska ske utan dröjsmål vid eventuella säkerhetsincidenter, inbegripet sådana där säkerhetsskyddsklassificerade EU-uppgifter eller känslig icke-säkerhetsskyddsklassificerad information kan ha äventyrats.

3. När det gäller frågor som rör säkerhet i kommunikations- och informationssystem, ska den lokalt säkerhetsansvariga samarbeta med den säkerhetsansvariga för de lokala datasystemen (LISO) på sin kommissionsavdelning, vars roll och ansvarsområden fastställs i beslut K(2006) 3602.

4. Denne ska bidra till säkerhetsutbildning och informationsinsatser som är inriktade på de särskilda behoven för personal, entreprenörer och andra personer som arbetar under ledning av hans eller hennes kommissionsavdelning.

5. Den lokalt säkerhetsansvariga får, på begäran av generaldirektoratet för personal och säkerhet, tilldelas särskilda uppgifter vid omfattande eller omedelbara säkerhetsrisker eller nödsituationer. Generaldirektören eller direktören för personalfrågor vid den lokalt säkerhetsansvarigas generaldirektorat ska underrättas om dessa särskilda uppgifter av generaldirektoratet för personal och säkerhet.

6. Den lokalt säkerhetsansvarigas ansvarsområde ska inte påverka den roll och det ansvar som tilldelats säkerhetsansvariga för de lokala it-systemen, arbetsmiljöansvariga, kontrolltjänstemän för register eller någon annan funktion som medför ansvar när det gäller säkerhetsfrågor. Den lokalt säkerhetsansvariga ska samarbeta med dessa andra personer med säkerhetsansvar för att säkerställa en enhetlig och konsekvent syn på säkerhet och ett effektivt flöde av information om frågor som rör säkerheten vid kommissionen.

7. Den lokalt säkerhetsansvariga ska ha direkt kontakt med sin generaldirektör eller avdelningschef och informera sina direkt överordnade. Han eller hon ska ha säkerhetsbemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter, åtminstone upp till nivån SECRET UE/EU SECRET.

8. För att främja utbyte av information och bästa praxis, ska generaldirektoratet för personal och säkerhet minst två gånger per år organisera ett sammanträde för lokalt säkerhetsansvariga. De lokalt säkerhetsansvariga ska vara skyldiga att delta i dessa sammanträden.

KAPITEL 5

GENOMFÖRANDE

Artikel 21

Tillämpningsföreskrifter och säkerhetsmeddelanden

1. Om nödvändigt kommer antagandet av tillämpningsföreskrifter för detta beslut att bli föremål för ett separat beslut om delegering från kommissionen till den ledamot av kommissionen som ansvarar för säkerhetsfrågor, i full överensstämmelse med den interna arbetsordningen.

2. Efter att ha bemyndigats genom ovannämnda kommissionsbeslut, får den ledamot av kommissionen som ansvarar för säkerhetsfrågor utarbeta säkerhetsmeddelanden om fastställande av riktlinjer för säkerhet och bästa praxis inom ramen för detta beslut och dess tillämpningsföreskrifter.

3. Kommissionen får delegera de uppgifter som anges i punkterna 1 och 2 i denna artikel till generaldirektören för personal och säkerhet genom ett separat beslut om delegering, i full överensstämmelse med den interna arbetsordningen.

KAPITEL 6

ÖVRIGA BESTÄMMELSER OCH SLUTBESTÄMMELSER

Artikel 22

Behandling av personuppgifter

1. Kommissionen ska behandla personuppgifter som behövs för att genomföra detta beslut i enlighet med förordning (EG) nr 45/2001.

2. Utan att det påverkar de åtgärder som redan har vidtagits vid tidpunkten för antagandet av detta beslut och anmälts till Europeiska datatillsynsmannen (15), ska varje åtgärd enligt detta beslut som inbegriper behandling av personuppgifter, t.ex. rörande in- och utpasseringsloggar, inspelningar från övervakningskameror, inspelningar av telefonsamtal till jourtjänster eller samordningscentral och liknande uppgifter, som krävs av säkerhetsskäl eller som krisåtgärd, omfattas av tillämpningsföreskrifter i enlighet med artikel 21, med lämpliga skyddsinslag för registrerade.

3. Generaldirektören för generaldirektoratet för personal och säkerhet ska ansvara för att all behandling av personuppgifter inom ramen för detta beslut sker på ett säkert sätt.

4. Dessa tillämpningsföreskrifter ska antas efter samråd med uppgiftsskyddsombudet och den europeiska datatillsynsmannen i enlighet med förordning (EG) nr 45/2001.

Artikel 23

Öppenhet

Kommissionens tjänstemän och övriga personer som berörs ska informeras om detta beslut och dess tillämpningsföreskrifter.

Artikel 24

Upphävande av tidigare beslut

Beslut (94) 2129 ska upphöra att gälla.

Artikel 25

Ikraftträdande

Detta beslut träder i kraft dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Bryssel den 13 mars 2015.

På kommissionens vägnar

Jean-Claude JUNCKER

Ordförande

(1) Se överenskommelsen om säkerhet mellan Belgiens regering och Europaparlamentet, rådet, kommissionen, Europeiska ekonomiska och sociala kommittén, Regionkommittén och Europeiska investeringsbanken av den 31 december 2004 (Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité), säkerhetsavtalet mellan kommissionen och Luxemburgs regering av den 20 januari 2007 (Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois) och avtalet mellan Italiens regering och Europeiska atomenergigemenskapen (Euratom) av den 22 juli 1959 (Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale).

(2) DPO- 914.2, DPO- 93.7, DPO- 153.3, DPO- 870.3, DPO- 2831.2, DPO- 1162.4, DPO- 151.3, DPO- 3302.1, DPO- 508.6, DPO- 2638.3, DPO- 544.2, DPO- 498.2, DPO- 2692.2, DPO- 2823.2.

(3) Kommissionens beslut K (94) 2129 av den 8 september 1994 om säkerhetsavdelningens uppgifter.

(4) Europaparlamentets och rådets förordning (EG) nr 45/2001 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 8.12.2001, s. 1).

(5) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (anställningsvillkor för övriga anställda) (EGT L 56, 4.3.1968, s. 1).

(6) Beslut av unionens höga representant för utrikes frågor och säkerhetspolitik 2013/C 190/01 av den 19 april 2013 om Europeiska utrikestjänstens säkerhetsbestämmelser (EUT C 190, 29.6.2013, s. 1).

(7) Kommissionens beslut 2002/47/EG, EKSG, Euratom av den 23 januari 2002 om ändring av dess arbetsordning (EGT L 21, 24.1.2002, s. 23), varigenom bestämmelserna om dokumenthantering fogas som en bilaga till kommissionens arbetsordning.

(8) Kommissionens beslut 2004/563/EG, EKSG, Euratom av den 7 juli 2004 om ändring av dess arbetsordning (EUT L 251, 27.7.2004, s. 9), varigenom bestämmelserna om elektroniska och digitala handlingar fogas som en bilaga till kommissionens arbetsordning.

(9) K(2006) 1623 av den 21 april 2006 om en harmoniserad policy vad avser hälsa och säkerhet i arbetet för hela kommissionens personal.

(10) K(2006) 3602 av den 16 augusti 2006 om säkerheten i de IT-system som används av Europeiska kommissionen.

(11) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

(12) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).

(13) Europaparlamentets och rådets förordning (EU, Euratom) nr 883/2013 av den 11 september 2013 om utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1073/1999 och rådets förordning (Euratom) nr 1074/1999 (EUT L 248, 18.9.2013, s. 1).

(14) Kommissionens beslut (EU, Euratom) 2015/444 av den 13 mars 2015 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (se sidan 53 i detta nummer av EUT).

(15) DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.

17.3.2015

Europeiska unionens officiella tidning

L 72/53

KOMMISSIONENS BESLUT (EU, Euratom) 2015/444

av den 13 mars 2015

om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 249,

med beaktande av fördraget om upprättandet av Europeiska atomenergigemenskapen, särskilt artikel 106,

med beaktande av protokoll nr 7 om Europeiska unionens immunitet och privilegier som är fogat till fördragen, särskilt artikel 18, och

av följande skäl:

(1)	Kommissionens säkerhetsbestämmelser om skydd av säkerhetskyddsklassificerade EU-uppgifter bör ses över och uppdateras, med hänsyn till den institutionella, organisatoriska, driftsmässiga och tekniska utvecklingen.

(2)	Europeiska kommissionen har ingått avtal om säkerhetsfrågor för sina viktigaste verksamhetsställen med Belgiens, Luxemburgs och Italiens regeringar (1).

(3)	Kommissionen, rådet och Europeiska utrikestjänsten (nedan kallad utrikestjänsten) är fast beslutna ett tillämpa likvärdiga säkerhetsnormer för skyddet av säkerhetsskyddsklassificerade EU-uppgifter.

(4)	Det är viktigt att Europaparlamentet och andra av EU:s institutioner, byråer, organ eller kontor ansluter sig till de principer, normer och regler för skydd av säkerhetsskyddsklassificerade uppgifter som är nödvändiga för att skydda unionens och medlemsstaternas intressen.

(5)

De risker som de säkerhetsskyddsklassificerade EU-uppgifterna utsätts för ska hanteras genom en process. Processen ska syfta till att identifiera kända säkerhetsrisker, fastställa säkerhetsåtgärder som ska minska riskerna till en acceptabel nivå i enlighet med de grundläggande principer och miniminormer som anges i detta beslut och till att tillämpa åtgärderna i enlighet med begreppet flernivåförsvar. Åtgärdernas effektivitet ska utvärderas kontinuerligt.

(6)	Inom kommissionen innebär fysisk säkerhet för att skydda säkerhetsskyddsklassificerade uppgifter tillämpning av fysiska och tekniska skyddsåtgärder som är avsedda att hindra obehörig tillgång till säkerhetsskyddsklassificerade EU-uppgifter.

(7)

Hanteringen av säkerhetsskyddsklassificerade EU-uppgifter innebär tillämpning av administrativa åtgärder som är avsedda att kontrollera säkerhetsskyddsklassificerade EU-uppgifter genom hela deras livscykel i syfte att komplettera de åtgärder som anges i kapitlen 2, 3 och 5 i detta beslut och därigenom avskräcka, upptäcka och avhjälpa avsiktligt eller oavsiktligt röjande eller förlust av dessa uppgifter. Sådana åtgärder gäller särskilt upprättande, lagring, registrering, kopiering, översättning, inplacering på lägre säkerhetsskyddsklassificeringsnivå, hävande av säkerhetsskyddsklassificering, befordran och förstöring av säkerhetsskyddsklassificerade EU-uppgifter, och kompletterar kommissionens allmänna bestämmelser om dokumenthantering (beslut 2002/47/EG, EKSG, Euratom (2) och 2004/563/EG, Euratom (3)).

(8)

Bestämmelserna i detta beslut påverkar inte tillämpningen av

a)	förordning (Euratom) nr 3/ (4),

b)	Europaparlamentets och rådets förordning (EG) nr 1049/2001 (5),

c)	Europaparlamentets och rådets förordning (EG) nr 45/2001 (6),

d)	förordning (EEG, Euratom) nr 354/83 (7).

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL 1

GRUNDLÄGGANDE PRINCIPER OCH MINIMINORMER

Artikel 1

Definitioner

I detta beslut gäller följande definitioner:

1. kommissionsavdelning : kommissionens generaldirektorat eller avdelningar, eller en kommissionsledamots kansli.

2. kryptoprodukter : kryptoalgoritmer, maskinvara för kryptering och programvarumoduler, och produkter som innehåller tillämpningsdetaljer med tillhörande dokumentation och nyckelmaterial.

3. beslut att uppgifter inte längre ska vara säkerhetsskyddsklassificerade : borttagande av varje säkerhetsskyddsklassificering.

4. Flernivåförsvar : tillämpningen av ett spektrum av säkerhetsåtgärder som organiseras som multipla försvarsskikt.

5. Handling : registrerad information, oavsett fysisk form eller egenskaper.

6. inplacering på lägre säkerhetsskyddsklassificeringsnivå : sänkning av nivån på säkerhetsskyddsklassificeringen.

7. hantering av säkerhetsskyddsklassificerade EU-uppgifter : all hantering som säkerhetsskyddsklassificerade EU-uppgifter kan utsättas för under hela sin livscykel; detta omfattar deras upprättande, registrering, behandling, befordran, inplacering på lägre säkerhetsskyddsklassificeringsnivå samt beslut om att uppgifterna inte längre ska vara säkerhetsskyddsklassificerade och förstöring; i samband med kommunikations- och informationssystem omfattar detta också insamling, visning, överföring och förvaring.

8. Innehavare : vederbörligen bemyndigad person som konstaterats ha behovsenlig behörighet och som förfogar över en säkerhetsskyddsklassificerad EU-uppgift och därmed ansvarar för dess skydd.

9. Genomförandebestämmelser : en uppsättning regler eller säkerhetsmeddelanden som antagits i enlighet med kapitel 5 i kommissionens beslut (EU, Euratom) 2015/443 (8).

10. materiel : varje medium, databärare eller maskin eller utrustning som tillverkats eller håller på att tillverkas.

11. Upphovsman : EU-institution, EU-byrå eller EU-organ, medlemsstat, tredjestat eller internationell organisation under vars behörighet säkerhetsskyddsklassificerade uppgifter har upprättats och/eller införts i unionens strukturer.

12. Lokaler : fast egendom eller därmed likställd egendom i kommissionens ägo eller besittning.

13. process för säkerhetsriskhantering : hela processen att fastställa, kontrollera och minimera ovissa händelser som kan påverka säkerheten hos en organisation eller något av de system den använder; den omfattar all riskrelaterad verksamhet, inklusive bedömning, hantering, acceptans och kommunikation.

14. Tjänsteföreskrifter : tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkoren för övriga anställda i Europeiska unionen, såsom de fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (9).

15. Hot : en potentiell orsak till en oönskad incident som kan ge upphov till skador i en organisation eller något av de system den använder; sådana hot kan vara oavsiktliga eller avsiktliga (uppsåtliga) och kännetecknas av hotande element, potentiella mål och angreppsmetoder.

16. sårbarhet : alla sorters svagheter som kan utnyttjas genom ett eller flera hot; sårbarhet kan vara en försummelse eller höra samman med brister i kontrollernas styrka, fullständighet eller konsekvens och kan gälla teknik, förfaranden, fysiska förhållanden, organisation eller drift.

Artikel 2

Syfte och tillämpningsområde

1. I detta beslut fastställs grundläggande principer och miniminormer för säkerhet för att skydda säkerhetsskyddsklassificerade EU-uppgifter.

2. Detta beslut ska tillämpas på alla kommissionens avdelningar och lokaler.

3. Utan hinder av särskilda beteckningar för vissa grupper av anställda, ska detta beslut tillämpas på ledamöterna av kommissionen, kommissionens personal som omfattas av tjänsteföreskrifterna och anställningsvillkoren för övriga anställda i Europeiska gemenskaperna, nationella experter som är utstationerade vid kommissionen (nationella experter), tjänsteleverantörer och deras anställda, praktikanter samt var och en som har tillträde till kommissionens byggnader eller andra tillgångar, eller på uppgifter som hanteras av kommissionen.

4. Bestämmelserna i detta beslut ska inte påverka tillämpningen av beslut 2002/47/EG, EKSG, Euratom eller beslut 2004/563/EG, Euratom.

Artikel 3

Definition av säkerhetsskyddsklassificerade EU-uppgifter, säkerhetsskyddsklassificeringsnivå och säkerhetsskyddsmarkeringar

1. Med säkerhetsskyddsklassificerade EU-uppgifter avses uppgifter eller materiel som placerats på en EU-säkerhetsskyddsklassificeringsnivå och vars obehöriga röjande skulle kunna åsamka Europeiska unionens eller en eller flera av dess medlemsstaters väsentliga intressen olika grader av skada.

2. Säkerhetsskyddsklassificerade EU-uppgifter ska placeras in på en av följande säkerhetsskyddsklassificeringsnivåer:

a) TRES SECRET UE/EU TOP SECRET: uppgifter och materiel vars obehöriga röjande skulle kunna medföra synnerligt men för Europeiska unionens eller en eller flera medlemsstaters väsentliga intressen.

b) SECRET UE/EU SECRET: uppgifter och materiel vars obehöriga röjande skulle kunna medföra betydande men för Europeiska unionens eller en eller flera medlemsstaters väsentliga intressen.

c) CONFIDENTIEL UE/EU CONFIDENTIAL: uppgifter och materiel vars obehöriga röjande skulle kunna medföra ett inte obetydligt men för Europeiska unionens eller en eller flera medlemsstaters väsentliga intressen.

d) RESTREINT UE/EU RESTRICTED: uppgifter och materiel vars obehöriga röjande skulle kunna medföra endast ringa men för Europeiska unionens eller en eller flera medlemsstaters intressen.

3. Säkerhetsskyddsklassificerade EU-uppgifter ska förses med en säkerhetsskyddsmarkering i enlighet med punkt 2. De kan vara försedda med ytterligare markeringar, som inte är säkerhetsskyddsmarkeringar, utan avsedda att ange vilket verksamhetsområde de avser, fastställa upphovsmannen, begränsa utlämning, begränsa användningen eller ange villkor för utlämnande.

Artikel 4

Regler för säkerhetsskyddsklassificeringen

1. Varje kommissionsledamot eller kommissionsavdelning ska se till att säkerhetsskyddsklassificerade EU-uppgifter som ledamoten eller avdelningen har givit upphov till placeras på en lämplig säkerhetsskyddsklassificeringsnivå, tydligt identifieras som säkerhetsskyddsklassificerade uppgifter och endast behåller sin säkerhetsskyddsklassificeringsnivå så länge som krävs.

2. Utan att det påverkar tillämpningen av artikel 26 får säkerhetsskyddsklassificerade EU-uppgifter inte inplaceras på en lägre säkerhetsskyddsklassificeringsnivå och uppgifterna får inte upphöra att vara säkerhetsskyddsklassificerade, och inte heller får några av de markeringar som avses i artikel 3.2 ändras eller avlägsnas utan föregående skriftligt medgivande från upphovsmannen.

3. I tillämpliga fall ska genomförandebestämmelser om hantering av säkerhetsskyddsklassificerade EU-uppgifter, inklusive en praktisk handbok om säkerhetsskyddsklassificering, antas i enlighet med artikel 60 nedan.

Artikel 5

Skydd av säkerhetsskyddsklassificerade uppgifter

1. Säkerhetsskyddsklassificerade EU-uppgifter ska skyddas i enlighet med detta beslut och dess tillämpningsföreskrifter.

2. En innehavare av säkerhetsskyddsklassificerade EU-uppgifter ska vara ansvarig för att skydda dessa uppgifter på ett sätt som är förenligt med detta beslut och dess tillämpningsföreskrifter, i enlighet med de bestämmelser som anges i kapitel 4 nedan.

3. Om medlemsstaterna för in säkerhetsskyddsklassificerade uppgifter med en nationell säkerhetsklassificering i kommissionens strukturer eller nät, ska kommissionen skydda uppgifterna i enlighet med kraven för säkerhetsskyddsklassificerade EU-uppgifter på motsvarande nivå i enlighet med jämförelsetabellen för säkerhetsskyddsklassificeringsnivåer i bilaga I.

4. En sammanställning av säkerhetsskyddsklassificerade EU-uppgifter kan motivera skydd på en nivå motsvarande en högre säkerhetsskyddsklassificeringsnivå än de enskilda ingående delarna.

Artikel 6

Hantering av säkerhetsrisker

1. Säkerhetsåtgärder för att skydda säkerhetsskyddsklassificerade EU-uppgifter under hela deras livscykel ska motsvara uppgifternas eller materielens säkerhetsskyddsklassificeringsnivå, form och volym, läge och konstruktion för de utrymmen där de säkerhetsskyddsklassificerade EU-uppgifterna förvaras och det lokalt bedömda hotet från fientlig och/eller brottslig verksamhet, inklusive spionage, sabotage och terroristverksamhet.

2. Beredskapsplaner ska beakta behovet att skydda säkerhetsskyddsklassificerade EU-uppgifter i krislägen för att förhindra obehörig tillgång eller röjande, eller att riktighet eller tillgänglighet går förlorad.

3. Åtgärder av förebyggande och återställande karaktär för att reducera effekterna av haverier eller tillbud avseende hanteringen och lagringen av säkerhetsskyddsklassificerade EU-uppgifter ska ingå i alla avdelningars beredskapsplaner.

Artikel 7

Genomförande av detta beslut

1. Vid behov ska tillämpningsföreskrifter för att komplettera eller understödja detta beslut antas i enlighet med artikel 60 nedan.

2. Kommissionens avdelningar ska vidta alla nödvändiga åtgärder inom sitt ansvarsområde för att säkerställa att detta beslut och relevanta tillämpningsföreskrifter tillämpas i samband med hantering eller lagring av säkerhetsskyddsklassificerade EU-uppgifter eller andra säkerhetsskyddsklassificerade uppgifter.

3. De säkerhetsåtgärder som vidtas för att genomföra detta beslut ska vara förenliga med kommissionens säkerhetsprinciper enligt artikel 3 i beslut (EU, Euratom) nr 2015/443.

4. Generaldirektören för personal och säkerhet ska inrätta kommissionens säkerhetsmyndighet inom generaldirektoratet för personal och säkerhet. Kommissionens säkerhetsmyndighet ska ha de befogenheter som anges i detta beslut och dess tillämpningsföreskrifter.

5. Inom varje kommissionsavdelning ska den lokalt säkerhetsansvariga som avses i artikel 20 i beslut (EU, Euratom) nr 2015/443 ha följande övergripande ansvar för att skydda säkerhetsskyddsklassificerade EU-uppgifter i enlighet med detta beslut, i nära samarbete med generaldirektoratet för personal och säkerhet:

a)	Behandla ansökningar om säkerhetsgodkännande av personal.

b)	Bidra till säkerhetsutbildning och genomgångar om säkerhetsmedvetenhet.

c)	Utöva tillsyn över avdelningens kontrolltjänsteman för registret.

d)	Rapportera om överträdelser av säkerhetsbestämmelserna och röjande av säkerhetsskyddsklassificerade EU-uppgifter.

e)	Ansvara för reservnycklar och nedtecknade uppgifter om varje kombination.

f)	Utföra andra uppgifter som hör samman med skyddet av säkerhetsskyddsklassificerade EU-uppgifter eller som fastställs i tillämpningsföreskrifter.

Artikel 8

Överträdelse av säkerhetsbestämmelserna och röjande av säkerhetsskyddsklassificerade EU-uppgifter

1. En överträdelse av säkerhetsbestämmelserna inträffar som resultat av en handling eller försummelse som begåtts av en person och som står i strid med säkerhetsbestämmelserna i detta beslut och dess tillämpningsföreskrifter.

2. Röjande av säkerhetsskyddsklassificerade EU-uppgifter inträffar när dessa som resultat av en säkerhetsöverträdelse helt eller delvis har lämnats ut till obehöriga.

3. Överträdelser av säkerhetsbestämmelserna eller misstänkta överträdelser av säkerhetsbestämmelserna ska omedelbart rapporteras till kommissionens säkerhetsmyndighet.

4. Om det är känt eller om det föreligger rimliga skäl att anta att säkerhetsskyddsklassificerade EU-uppgifter har röjts eller förlorats, ska en säkerhetsundersökning genomföras i enlighet med artikel 13 i beslut (EU, Euratom) nr 2015/443.

5. Alla nödvändiga åtgärder ska vidtas för att

a)	underrätta upphovsmannen,

b)	se till att personal som inte direkt berörs av brottet utreder ärendet för att fastställa fakta,

c)	bedöma den potentiella skada som åsamkats unionens eller medlemsstaternas intressen,

d)	vidta lämpliga åtgärder för att förhindra ett upprepande, och

e)	underrätta lämpliga myndigheter om de vidtagna åtgärderna.

6. Den som är ansvarig för en överträdelse av säkerhetsbestämmelserna kan komma att underkastas disciplinära åtgärder i enlighet med tjänsteföreskrifterna. Den som är ansvarig för röjande eller förlust av säkerhetsskyddsklassificerade EU-uppgifter ska underkastas disciplinära och/eller rättsliga åtgärder enligt tillämpliga lagar och andra författningar.

KAPITEL 2

PERSONALSÄKERHET

Artikel 9

Definitioner

I detta kapitel gäller följande definitioner:

1. bemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter : ett beslut som kommissionens säkerhetsmyndighet har fattat på grundval av en positiv bedömning från en behörig myndighet i en medlemsstat om att en kommissionstjänsteman, en annan anställd vid kommissionen eller en nationell expert, under förutsättning att personens behovsenliga behörighet har fastställts och denne har fått vederbörlig information om sitt ansvar, beviljas tillgång till säkerhetsskyddsklassificerade EU-uppgifter upp till en angiven nivå (CONFIDENTIEL UE/EU CONFIDENTIAL eller högre) till och med ett angivet datum; sådana personer sägs vara ”säkerhetsbemyndigade”.

2. Personalsäkerhetsbemyndigade : tillämpning av åtgärder som ska garantera att tillgång till säkerhetsskyddsklassificerade EU-uppgifter endast beviljas personer som

a)	har behovsenlig behörighet,

b)	i förekommande fall har säkerhetsbemyndigats för relevant säkerhetsskyddsklassificeringsnivå, och

c)	har upplysts om sitt ansvar.

3. Personalsäkerhetsgodkännande : ett utlåtande från en medlemsstats behöriga myndighet vilket görs efter genomförande av en säkerhetsprövning som utförs av en medlemsstats behöriga myndigheter och i vilket det intygas att en person får beviljas tillgång till säkerhetsskyddsklassificerade EU-uppgifter upp till en angiven nivå (CONFIDENTIEL UE/EU CONFIDENTIAL eller högre) till och med ett angivet datum.

4. intyg om personalsäkerhetsgodkännande : ett intyg utfärdat av en behörig myndighet där det fastställs att en person är säkerhetsprövad och innehar ett giltigt nationellt personalsäkerhetsgodkännande eller ett säkerhetsbemyndigande som utfärdats av kommissionens säkerhetsmyndighet, vilket visar vilken nivå av säkerhetsskyddsklassificerade EU-uppgifter som personen kan få tillgång till (CONFIDENTIEL UE/EU CONFIDENTIAL eller högre), giltighetsdatum för personalsäkerhetsgodkännandet eller personalsäkerhetsbemyndigandet samt vilket datum själva intyget löper ut.

5. Säkerhetsprövning : utredningsförfarande som den behöriga nationella myndigheten genomfört i en medlemsstat i enlighet med sina nationella lagar och andra författningar för att kunna lämna en försäkran om att inget negativt är känt som hindrar att personen ges ett personalsäkerhetsgodkännande upp till en angiven nivå (CONFIDENTIEL UE/EU CONFIDENTIAL eller högre).

Artikel 10

Grundläggande principer

1. En person får beviljas tillgång till säkerhetsskyddsklassificerade EU-uppgifter när

1.	personens behovsenliga behörighet fastställts,

2.	personen har informerats om säkerhetsbestämmelserna om skydd av säkerhetsskyddsklassificerade EU-uppgifter och relevanta normer och riktlinjer samt bekräftat sitt ansvar i fråga om skyddet av sådana uppgifter,

3.	för uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre vederbörande har säkerhetsbemyndigats för den berörda nivån, eller på annat sätt vederbörligen bemyndigats i kraft av sina arbetsuppgifter i enlighet med nationella lagar och andra författningar.

2. Alla personer som för sina arbetsuppgifter kan behöva ha tillgång till säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre ska säkerhetsbemyndigas för respektive säkerhetsskyddsklassificeringsnivå innan de ges tillgång till sådana säkerhetsskyddsklassificerade EU-uppgifter. Den berörda personen ska ge sitt skriftliga medgivande till att genomgå förfarandet för säkerhetsgodkännande av personal. Underlåtenhet att göra detta innebär att vederbörande inte kan tilldelas en tjänst, funktion eller uppgift som medför att denne får tillgång till information på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre.

3. Förfarandena för personalsäkerhetsgodkännande ska utformas på ett sådant sätt att det kan fastställas om en person med beaktande av vederbörandes lojalitet, tillförlitlighet och pålitlighet kan få tillgång till säkerhetsskyddsklassificerad EU-information.

4. En persons lojalitet, tillförlitlighet och pålitlighet för säkerhetsgodkännande för tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre ska fastställas genom en säkerhetsprövning som utförs av de behöriga myndigheterna i en medlemsstat i enlighet med dess lagar och andra författningar.

5. Kommissionens säkerhetsmyndighet ska ensam ansvara för att kontakta nationella säkerhetsmyndigheter eller andra behöriga nationella myndigheter i samband med alla frågor som rör säkerhetsgodkännande. Alla kontakter mellan kommissionen och dess personal och de nationella tillsynsmyndigheterna och andra behöriga myndigheter ska ske via kommissionens säkerhetsmyndighet.

Artikel 11

Förfarande för säkerhetsbemyndigande

1. Varje generaldirektör eller avdelningschef inom kommissionen ska fastställa vilka funktioner inom den egna avdelningen som är av sådan natur att de som utför dessa funktioner behöver ha tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre för att kunna utföra sina uppgifter, och därför måste vara säkerhetsbemyndigade.

2. Så snart det är känt att en person kommer att tillsättas på en tjänst som kräver tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre, ska den lokalt säkerhetsansvariga vid den berörda kommissionsavdelningen underrätta kommissionens säkerhetsmyndighet, som i sin tur till personen i fråga ska översända det frågeformulär för säkerhetsgodkännande som utfärdats av den nationella säkerhetsmyndigheten i den medlemsstat i vilken personen var medborgare när han eller hon utsågs till en tjänst vid institutionerna. Den berörda personen ska lämna skriftligt medgivande till att genomgå förfarandet för säkerhetsgodkännande och så snart som möjligt återsända det ifyllda formuläret till kommissionens säkerhetsmyndighet.

3. Kommissionens säkerhetsmyndighet ska vidarebefordra det ifyllda frågeformuläret för säkerhetsgodkännande till den nationella säkerhetsmyndigheten i den medlemsstat i vilken personen var medborgare när han eller hon utsågs till en tjänst vid institutionerna, tillsammans med en begäran om säkerhetsprövning för den nivå för säkerhetsskyddsklassificerade EU-uppgifter som personen kommer behöva ha tillgång till.

4. När kommissionens säkerhetsmyndighet har kännedom om information som är relevant för en säkerhetsprövning och som avser en person som har ansökt om ett säkerhetsgodkännande, ska den i enlighet med tillämpliga regler och föreskrifter meddela behörig nationell säkerhetsmyndighet detta.

5. Efter det att säkerhetsprövningen har slutförts, och så snart som möjligt efter det att kommissionens säkerhetsmyndighet har mottagit underrättelse från den berörda nationella säkerhetsmyndigheten om dess samlade bedömning av vad som framkommit vid säkerhetsprövningen, gäller att kommissionens säkerhetsmyndighet

får bevilja bemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter för den berörda personen och godkänna tillgång till säkerhetsskyddsklassificerade EU-uppgifter upp till den relevanta säkerhetsskyddsklassificeringsnivån till och med ett datum som angetts av henne eller honom, dock högst 5 år, när säkerhetsprövningen resulterar i en försäkran om att ingenting negativt är känt som skulle kunna leda till ett ifrågasättande av personens lojalitet, tillförlitlighet och pålitlighet och

ska, när säkerhetsprövningen inte resulterar i en sådan försäkran, i enlighet med tillämpliga regler och föreskrifter underrätta den berörda personen, som kan begära att bli hörd av kommissionens säkerhetsmyndighet, som i sin tur får uppmana den behöriga nationella säkerhetsmyndigheten att lämna eventuella ytterligare förtydliganden som den kan tillhandahålla enligt nationella lagar och andra författningar. Om resultatet av säkerhetsprövningen bekräftas ska bemyndigandet att få tillgång till säkerhetsskyddsklassificerade EU-uppgifter inte utfärdas.

6. Säkerhetsprövningen, och de resultat som framkommit, ska omfattas av gällande relevanta lagar och andra författningar i den berörda medlemsstaten, även i fråga om överklagande. Beslut av kommissionens säkerhetsmyndighet ska kunna överklagas i enlighet med tjänsteföreskrifterna.

7. Kommissionens ska godta ett eventuellt bemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter som beviljats av någon annan av unionens institutioner, organ eller byråer, så länge detta fortfarande gäller. Bemyndigandet ska omfatta den berörda personens samtliga uppdrag inom kommissionen. Den unionsinstitution, det unionsorgan eller den unionsbyrå där personen tillträder sin tjänst kommer att meddela relevant nationell säkerhetsmyndighet om bytet av arbetsgivare.

8. Om en persons tjänstgöringstid inte påbörjas inom tolv månader efter det att resultatet av säkerhetsprövningen meddelats kommissionens säkerhetsmyndighet, eller om det uppstår ett avbrott på tolv månader i personens tjänstgöring, och vederbörande under tiden inte har varit anställd av kommissionen eller någon annan av unionens institutioner, organ eller byråer, ska kommissionens säkerhetsmyndighet ta upp saken med den berörda nationella säkerhetsmyndigheten för att få bekräftelse på huruvida säkerhetsprövningen fortfarande är giltig och tillämplig.

9. Om kommissionens säkerhetsmyndighet får kännedom om en säkerhetsrisk som avser en person med en giltig säkerhetsprövning, ska säkerhetsmyndigheten i enlighet med tillämpliga bestämmelser meddela detta till den behöriga nationella säkerhetsmyndigheten.

10. Om en nationell säkerhetsmyndighet meddelar kommissionens säkerhetsmyndighet att det inte längre finns stöd för den positiva bedömning som gjorts i överensstämmelse med punkt 5 a av en person med ett giltigt bemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter får kommissionens säkerhetsmyndighet be den behöriga nationella säkerhetsmyndigheten om ytterligare klargöranden i överensstämmelse med nationella lagar och andra författningar. Om de negativa uppgifterna bekräftas av den berörda nationella säkerhetsmyndigheten, ska säkerhetsbemyndigandet återkallas och personen uteslutas från tillgång till säkerhetsskyddsklassificerade EU-uppgifter och från tjänster där sådan tillgång är möjlig eller där personen i fråga kan äventyra säkerheten.

11. Alla beslut om att återkalla eller tillfälligt upphäva bemyndigandet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter för en person som omfattas av detta beslut och, i förekommande fall, skälen till detta, ska meddelas den berörda personen, som kan begära att bli hörd av kommissionens säkerhetsmyndighet. Information från en nationell säkerhetsmyndighet ska omfattas av gällande relevanta lagar och andra författningar i den berörda medlemsstaten. Beslut som fattas av kommissionens säkerhetsmyndighet i detta sammanhang ska kunna överklagas i enlighet med tjänsteföreskrifterna.

12. Kommissionens avdelningar ska se till att nationella experter som utstationeras till dem för en tjänst som kräver tillgång till säkerhetsskyddsklassificerade EU-uppgifter, innan de tillträder denna tjänst, uppvisar ett giltigt personalsäkerhetsgodkännande eller intyg om personalsäkerhetsgodkännande, i enlighet med nationella lagar och andra författningar, för kommissionens säkerhetsmyndighet, som på grundval därav beviljar ett bemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter upp till den säkerhetsklassificeringsnivå som motsvarar den som avses i det nationella säkerhetsgodkännandet, som maximalt får gälla så länge som utstationeringen varar.

13. Kommissionsledamöter som har tillgång till säkerhetsskyddsklassificerade EU-uppgifter i kraft av sina arbetsuppgifter på grundval av fördraget, ska informeras om sina säkerhetsskyldigheter när det gäller skyddet av säkerhetsskyddsklassificerade EU-uppgifter.

14. Kommissionens säkerhetsmyndighet ska i enlighet med detta beslut föra register över säkerhetsgodkännanden och säkerhetsbemyndiganden som beviljats för tillgång till säkerhetsskyddsklassificerade EU-uppgifter. Dessa register ska åtminstone omfatta uppgifter om vilken säkerhetsskyddsklassificeringsnivå för EU-uppgifter personen kan få tillgång till, datum för utfärdandet av säkerhetsgodkännandet och dess giltighetstid.

15. Kommissionens säkerhetsmyndighet får utfärda ett intyg om personalsäkerhetsgodkännande som visar vilken nivå för säkerhetsskyddsklassificerade EU-uppgifter som personen kan få tillgång till (CONFIDENTIEL UE/EU CONFIDENTIAL eller högre), giltighetsdatum för relevant bemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter samt vilket datum själva intyget löper ut.

16. Efter det ursprungliga beviljandet av säkerhetsbemyndiganden och under förutsättning att personen oavbrutet har tjänstgjort vid Europeiska kommissionen eller någon annan av unionens institutioner, organ eller byråer och har ett fortsatt behov av tillgång till säkerhetsskyddsklassificerade EU-uppgifter, ska säkerhetsbemyndigandet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter ses över och eventuellt förlängas i princip vart femte år från och med den dag då resultatet av den senaste säkerhetsundersökning på vilken godkännandet grundades meddelades.

17. Kommissionens säkerhetsmyndighet får förlänga giltighetstiden för det befintliga säkerhetsbemyndigandet med upp till 12 månader, om det inte har inkommit någon negativ information från en nationell säkerhetsmyndighet eller annan behörig nationell myndighet inom en period av två månader från den dag då begäran om förlängning med tillhörande frågeformulär om säkerhetsprövning översändes. Om den berörda säkerhetsmyndigheten eller en annan behörig nationell myndighet vid slutet av denna 12-månadersperiod ännu inte har meddelat kommissionen sin ståndpunkt, ska personen tilldelas uppgifter som inte kräver säkerhetsbemyndigande.

Artikel 12

Genomgångar om säkerhetsbemyndigande

1. Efter att ha deltagit i den genomgång om säkerhetsbemyndigande som anordnats av kommissionens säkerhetsmyndighet, ska alla personer som har beviljats ett säkerhetsbemyndigande skriftligen bekräfta att de känner till sina åligganden när det gäller skyddet av säkerhetsskyddsklassificerade EU-uppgifter och följderna av att säkerhetsskyddsklassificerade EU-uppgifter röjs. Ett register över sådana skriftliga bekräftelser ska föras av kommissionens säkerhetsmyndighet.

2. Alla som är behöriga att ha tillgång till eller som har till uppgift att hantera säkerhetsskyddsklassificerade EU-uppgifter ska inledningsvis göras medvetna om och regelbundet informeras om hot mot säkerheten, och de ska omedelbart rapportera misstänkta eller ovanliga kontakter eller aktiviteter till kommissionens säkerhetsmyndighet.

3. Alla som slutar en anställning för vilken det krävs tillgång till säkerhetsskyddsklassificerade EU-uppgifter ska göras medvetna om och vid behov skriftligt bekräfta sina åligganden när det gäller det fortsatta skyddet av säkerhetsskyddsklassificerade EU-uppgifter.

Artikel 13

Tillfälliga säkerhetsbemyndiganden

1. I undantagsfall får kommissionens säkerhetsmyndighet, då detta är välmotiverat, ligger i tjänstens intresse och sker i avvaktan på en fullständig säkerhetsprövning, efter samråd med den nationella säkerhetsmyndigheten i den medlemsstat där personen är medborgare och om inte annat följer av resultatet av de inledande kontrollerna för att verifiera att inga relevanta negativa uppgifter har framkommit, bevilja personer tillfälligt bemyndigande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter för en viss funktion, utan att detta påverkar tillämpningen av bestämmelserna om förlängning av säkerhetsgodkännanden. Sådana tillfälliga bemyndiganden för tillgång till säkerhetsskyddsklassificerade EU-uppgifter ska vara giltiga under en sammanhängande period på högst sex månader och får inte medge tillgång till information på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET.

2. Efter att ha blivit informerade i enlighet med artikel 12.1 ska alla personer som har beviljats ett tillfälligt säkerhetsbemyndigande skriftligen bekräfta att de känner till sina åligganden när det gäller skyddet av säkerhetsskyddsklassificerade EU-uppgifter och följderna av att säkerhetsskyddsklassificerade EU-uppgifter röjs. Ett register över sådana skriftliga bekräftelser ska föras av kommissionens säkerhetsmyndighet.

Artikel 14

Närvaro vid säkerhetsskyddsklassificerade möten som organiseras av kommissionen

1. Kommissionsavdelningar som ansvarar för att organisera möten där uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre diskuteras ska, genom sin lokalt säkerhetsansvariga eller genom mötesarrangören, underrätta kommissionens säkerhetsmyndighet i god tid om datum, klockslag och plats för samt deltagarna i sådana möten.

2. Om inte annat följer av bestämmelserna i artikel 11.13 får personer som utsetts att delta i möten som organiseras av kommissionen och vid vilka uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre diskuteras endast göra detta efter bekräftelse av att de erhållit säkerhetsbemyndigande eller säkerhetsgodkännande. Rätt att delta i sådana säkerhetsskyddsklassificerade möten ska nekas för personer för vilka kommissionens säkerhetsmyndighet inte har fått ett intyg om personalsäkerhetsgodkännande eller annat bevis på säkerhetsgodkännande, eller för deltagare från kommissionen som inte redan har ett säkerhetsbemyndigande.

3. Innan ett säkerhetsskyddsklassificerat möte organiseras ska den ansvariga mötesorganisatören eller den lokalt säkerhetsansvariga vid den kommissionsavdelning som organiserar mötet begära att externa deltagare överlämnar ett intyg om personalsäkerhetsgodkännande eller annat bevis på säkerhetsgodkännande till kommissionens säkerhetsmyndighet. Kommissionens säkerhetsmyndighet ska underrätta den lokalt säkerhetsansvariga eller mötesorganisatören om intyg om personalsäkerhetsgodkännande eller annat bevis på personalsäkerhetsgodkännande som mottagits. I tillämpliga fall får en konsoliderad namnförteckning användas där säkerhetsgodkännandet styrks på lämpligt sätt.

4. Om kommissionens säkerhetsmyndighet underrättas av behöriga myndigheter om att ett personalsäkerhetsbemyndigande återkallas för en person vars arbetsuppgifter kräver närvaro vid möten som organiseras av kommissionen, ska kommissionens säkerhetsmyndighet meddela den lokalt säkerhetsansvariga vid den kommissionsavdelning som ansvarar för att organisera mötet.

Artikel 15

Potentiell tillgång till säkerhetsskyddsklassificerade EU-uppgifter

Kurirer, vakter och ledsagare ska säkerhetsgodkännas för respektive sekretessnivå eller prövas på annat lämpligt sätt i enlighet med nationella lagar och andra författningar samt informeras om säkerhetsförfaranden för skyddet av säkerhetsskyddsklassificerade EU-uppgifter och om sina åligganden att skydda information som har anförtrotts till dem.

KAPITEL 3

FYSISK SÄKERHET SOM SYFTAR TILL ATT SKYDDA SÄKERHETSSKYDDSKLASSIFICERADE UPPGIFTER

Artikel 16

Grundprinciper

1. Fysiska säkerhetsåtgärder ska vara utformade för att förhindra intrång i smyg eller genom tvång, avskräcka, hindra och avslöja otillåtna handlingar och möjliggöra olika behandling av personalen med avseende på deras tillgång till säkerhetsskyddsklassificerade EU-uppgifter utifrån principen om behovsenlig behörighet. Sådana åtgärder ska fastställas utifrån en riskhanteringsprocess, i enlighet med detta beslut och dess tillämpningsföreskrifter.

2. Fysiska säkerhetsåtgärder ska särskilt vara utformade för att hindra obehörig tillgång till säkerhetsskyddsklassificerade EU-uppgifter genom att man

a)	ser till att säkerhetsskyddsklassificerade EU-uppgifter hanteras och förvaras på lämpligt sätt,

b)	möjliggör olika behandling av personalen med avseende på tillgången till säkerhetsskyddsklassificerade EU-uppgifter på grundval av principen om behovsenlig behörighet och, där så är lämpligt, säkerhetsbemyndigande,

c)	avskräcker, hindrar och avslöjar otillåtna handlingar, och

d)	förhindrar och försenar intrång i smyg eller genom tvång.

3. Åtgärder för fysisk säkerhet ska vidtas i alla lokaler, byggnader, kontor, rum och andra utrymmen i vilka säkerhetsskyddsklassificerade EU-uppgifter hanteras eller förvaras, inklusive utrymmen som inhyser de kommunikations- och informationssystem som avses i kapitel 5.

4. Utrymmen där säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre förvaras ska fastställas som säkerhetsutrymmen i enlighet med detta kapitel och ackrediteras av kommissionens myndighet för säkerhetsackreditering.

5. Endast utrustning eller anordningar som godkänts av kommissionens säkerhetsmyndighet ska användas för att skydda säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre.

Artikel 17

Fysiska säkerhetskrav och säkerhetsåtgärder

1. Fysiska säkerhetsåtgärder ska väljas på grundval av en hotbedömning som görs av kommissionens säkerhetsmyndighet, i förekommande fall i samråd med andra avdelningar inom kommissionen, andra EU-institutioner, -byråer och -organ och/eller behöriga myndigheter i medlemsstaterna. Kommissionen ska tillämpa ett riskhanteringsförfarande för skydd av säkerhetsskyddsklassificerade EU-uppgifter i sina lokaler för att garantera att det erbjuds en fysisk skyddsnivå som står i proportion till den bedömda risken. I samband med riskhanteringsprocessen ska alla relevanta faktorer beaktas, särskilt

a)	de säkerhetsskyddsklassificerade EU-uppgifternas säkerhetsskyddsklassificeringsnivå,

b)	de säkerhetsskyddsklassificerade EU-uppgifternas form och volym, med beaktande av att stora mängder eller en sammanställning av säkerhetsskyddsklassificerade EU-uppgifter kan göra det nödvändigt att tillämpa striktare skyddsåtgärder,

c)	omgivningarna kring och strukturen på byggnaderna eller området där de säkerhetsskyddsklassificerade EU-uppgifterna förvaras, och

d)	det bedömda hotet från underrättelsetjänster med unionen, dess institutioner, organ eller byråer eller medlemsstaterna som måltavla och det hot som sabotage eller terrorism samt omstörtande eller annan brottslig verksamhet bedöms medföra.

2. Kommissionens säkerhetsmyndighet ska med tillämpning av begreppet flernivåförsvar fastställa en lämplig kombination av fysiska säkerhetsåtgärder som ska tillämpas. För detta ändamål ska kommissionens säkerhetsmyndighet utarbeta minimistandarder, normer och kriterier som fastställs i tillämpningsföreskrifterna.

3. Kommissionens säkerhetsmyndighet ska ha rätt att i avskräckande syfte utföra kontroller vid in- eller utpassering mot otillåtet införande av materiel eller otillåtet bortförande av någon form av säkerhetsskyddsklassificerade EU-uppgifter från utrymmen eller byggnader.

4. När det finns en risk för att utomstående kan se säkerhetsskyddsklassificerade EU-uppgifter, även oavsiktligt, ska berörda kommissionsavdelningar vidta lämpliga åtgärder, såsom de definierats av kommissionens säkerhetsmyndighet, för att motverka denna risk.

5. För nya anläggningar ska de fysiska säkerhetskraven och deras funktionsspecifikationer fastställas i samråd med kommissionens säkerhetsmyndighet i samband med planeringen och utformningen av anläggningarna. För befintliga anläggningar ska de fysiska säkerhetskraven tillämpas i enlighet med de minimistandarder, normer och kriterier som fastställs i tillämpningsföreskrifterna.

Artikel 18

Utrustning för fysiskt skydd av säkerhetsskyddsklassificerade EU-uppgifter

1. Två slag av fysiskt skyddade utrymmen ska skapas för att fysiskt skydda säkerhetsskyddsklassificerade EU-uppgifter, nämligen

a)	administrativa utrymmen och

b)	säkrade utrymmen (inklusive tekniskt säkrade utrymmen).

2. Kommissionens myndighet för säkerhetsackreditering ska fastställa om ett utrymme uppfyller kraven för att betecknas som administrativt utrymme, säkrat utrymme eller tekniskt säkrat utrymme.

3. När det gäller administrativa utrymmen ska

a)	en synlig yttre gräns upprättas som gör att personer och om möjligt fordon kan kontrolleras;

b)	obeledsagat tillträde ska endast beviljas personer som har fått vederbörligt tillstånd av kommissionens säkerhetsmyndighet eller en annan behörig myndighet, och

c)	övriga personer alltid ledsagas eller genomgå likvärdiga kontroller.

4. När det gäller säkrade utrymmen ska

a)	en synlig yttre gräns upprättas genom vilken alla in- och utpasseringar kontrolleras med hjälp av ett passerkort eller ett system för personigenkänning,

b)	obeledsagat tillträde endast beviljas personer som har erhållit säkerhetsgodkännande och fått särskilt tillstånd att vistas i utrymmet enligt principen om behovsenlig behörighet,

c)	övriga personer alltid ledsagas eller genomgå likvärdiga kontroller.

5. När tillträde till ett säkrat utrymme i praktiken innebär direkt tillgång till de säkerhetsskyddsklassificerade uppgifter som finns där, ska dessutom följande krav gälla:

a)	Den högsta säkerhetsskyddsklassificeringsnivån för de uppgifter som normalt sett finns i området ska vara klart angiven.

b)	Alla besökare måste ha särskilt tillstånd för tillträde till området, ska alltid ledsagas och ska ha erhållit vederbörligt säkerhetsgodkännande, såvida åtgärder inte vidtas för att garantera att ingen tillgång till säkerhetsskyddsklassificerade EU-uppgifter är möjlig.

6. Säkrade utrymmen som skyddas mot avlyssning ska betecknas som tekniskt säkrade utrymmen. Följande ytterligare krav ska gälla:

a)	Utrymmena ska vara utrustade med ett system för upptäckt av intrång, vara låsta när de är tomma och bevakas när någon vistas där. Nycklar ska handhas i enlighet med artikel 20.

b)	Alla personer och all materiel som kommer in i dessa utrymmen ska kontrolleras.

c)	Utrymmena ska vara föremål för regelbundna fysiska och/eller tekniska inspektioner av kommissionens säkerhetsmyndighet. Sådana inspektioner ska också genomföras efter eventuellt obehörigt intrång eller misstanke om sådant intrång.

d)	Utrymmena får inte vara utrustade med otillåtna kommunikationslinjer, otillåtna telefoner eller annan otillåten kommunikationsutrustning och elektrisk eller elektronisk utrustning.

7. Trots vad som sägs i punkt 6 d ska all slags kommunikationsutrustning och elektrisk eller elektronisk utrustning innan denna används i utrymmen där det hålls möten eller utförs arbete som omfattar uppgifter på säkerhetsskyddsklassificeringsnivån SECRET UE/EU SECRET och högre och där hotet mot säkerhetsskyddsklassificerade EU-uppgifter bedöms vara allvarligt, först undersökas av kommissionens säkerhetsmyndighet, som ska försäkra sig om att inga begripliga uppgifter oavsiktligt eller olagligt kan föras ut från det säkrade utrymmet genom sådan utrustning.

8. Säkrade utrymmen där tjänstgörande personal inte vistas 24 timmar om dygnet ska, när så är lämpligt, inspekteras efter den normala arbetstidens slut och med slumpvis valda mellanrum utanför normal arbetstid, utom när system för upptäckt av intrång har installerats.

9. Säkrade utrymmen och tekniskt säkrade utrymmen får tillfälligt inrättas inom ett administrativt utrymme för ett sekretessbelagt möte eller liknande ändamål.

10. Den lokalt säkerhetsansvariga vid den berörda kommissionsavdelningen ska utarbeta säkra driftsmetoder (SecOPs) för varje säkrat utrymme under dennes ansvar, vilka i enlighet med bestämmelserna i detta beslut och dess tillämpningsföreskrifter anger följande:

a)	Sekretessgraden för de säkerhetsskyddsklassificerade EU-uppgifter som får hanteras och förvaras i utrymmet.

b)	Den övervakning och de skyddsåtgärder som ska upprätthållas.

c)	Vilka personer som får ges obeledsagat tillträde till utrymmet i kraft av behovsenlig behörighet och säkerhetsbemyndigande.

d)	Vid behov, förfaranden för ledsagare eller för skydd av säkerhetsskyddsklassificerade EU-uppgifter när besökare beviljas tillträde till utrymmet.

e)	Andra relevanta åtgärder och förfaranden.

11. Valv ska byggas inom det säkrade utrymmet. Väggarna, golven, taken, fönstren och de låsförsedda dörrarna ska godkännas av kommissionens säkerhetsmyndighet och erbjuda skydd motsvarande ett säkerhetsskåp som godkänts för förvaring av säkerhetsskyddsklassificerade EU-uppgifter med motsvarande sekretessgrad.

Artikel 19

Fysiska skyddsåtgärder för hantering och förvar av säkerhetsskyddsklassificerade EU-uppgifter

1. Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får hanteras

a)	i ett säkrat utrymme,

b)	i ett administrativt utrymme, förutsatt att de säkerhetsskyddsklassificerade EU-uppgifterna skyddas från tillträde av obehöriga, eller

utanför ett säkrat eller administrativt utrymme, förutsatt att innehavaren befordrar de säkerhetsskyddsklassificerade EU-uppgifterna i enlighet med artikel 31 och har åtagit sig att följa de kompensationsåtgärder som fastställs i tillämpningsföreskrifterna för att garantera att säkerhetsskyddsklassificerade EU-uppgifter skyddas från att obehöriga får tillgång till dem.

2. Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska förvaras i lämpliga låsbara kontorsmöbler i ett administrativt eller säkrat utrymme. De får tillfälligt lagras utanför ett administrativt eller säkrat utrymme, förutsatt att innehavaren har åtagit sig att följa de kompensationsåtgärder som anges i tillämpningsföreskrifterna.

3. Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET får hanteras

a)	i ett säkrat utrymme,

b)	i ett administrativt utrymme, förutsatt att de säkerhetsskyddsklassificerade EU-uppgifterna skyddas från att obehöriga får tillgång till dem, eller

utanför ett säkrat eller administrativt utrymme förutsatt att innehavaren

i)	har åtagit sig att vidta kompensationsåtgärder i enlighet med tillämpningsföreskrifterna för att se till att de säkerhetsskyddsklassificerade EU-uppgifterna skyddas från att obehöriga får tillgång till dem,

ii)	alltid har de säkerhetsskyddsklassificerade EU-uppgifterna under sin personliga kontroll, och

iii)	om dokumenten är i pappersform, har meddelat den behöriga registreringsenheten detta.

4. Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET ska förvaras i ett säkrat utrymme i ett säkerhetsskåp eller valv.

5. Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET ska hanteras i ett säkrat utrymme som inrättats och drivs av kommissionens säkerhetsmyndighet, och som har ackrediterats till den säkerhetsnivån av kommissionens myndighet för säkerhetsackreditering.

6. Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET ska förvaras i ett säkrat utrymme som har ackrediterats till den säkerhetsnivån av kommissionens myndighet för säkerhetsackreditering; förvaringen ska ske under på ett av följande sätt:

I ett säkerhetsskåp, i enlighet med bestämmelserna i artikel 18, med en eller flera av följande kompletterande kontroller:

1.	Kontinuerligt skydd eller kontroll av personal eller vakthavande personal som erhållit säkerhetsgodkännande.

2.	Ett godkänt system för upptäckt av intrång i kombination med säkerhetspersonal redo att ingripa om det skulle behövas. eller

b)	Ett valv utrustat med system för upptäckt av intrång i kombination med säkerhetspersonal redo att ingripa om det skulle behövas.

Artikel 20

Kontroll av nycklar och kombinationer som används för att skydda säkerhetsskyddsklassificerade EU-uppgifter

1. Förfaranden för hantering av nycklar och kombinationer för kontor, rum, valv och säkerhetsskåp ska fastställas i tillämpningsföreskrifter i enlighet med artikel 60. Dessa förfaranden ska vara avsedda att skydda mot obehörigt tillträde.

2. Kombinationer ska memoreras av lägsta möjliga antal personer som behöver känna till dem. Kombinationer för säkerhetsskåp och valv avsedda för förvaring av säkerhetsskyddsklassificerade EU-uppgifter ska ändras

a)	vid mottagande av ett nytt säkerhetsskåp,

b)	vid varje byte av personal som känner till kombinationen,

c)	vid röjande eller vid misstanke om detta,

d)	när ett lås har genomgått underhållsarbete eller reparation, och

e)	minst var tolfte månad.

KAPITEL 4

HANTERING AV SÄKERHETSSKYDDSKLASSIFICERADE EU-UPPGIFTER

Artikel 21

Grundprinciper

1. Alla handlingar som innehåller säkerhetsskyddsklassificerade EU-uppgifter bör hanteras i enlighet med kommissionens policy för dokumenthantering och bör således registreras, klassificeras, bevaras och slutligen elimineras, samplas eller överföras till de historiska arkiven i enlighet med den gemensamma bevarandeförteckningen för kommissionens akter.

2. Uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre ska registreras för säkerhetsändamål innan de lämnas ut och när de tas emot. Uppgifter på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET ska registreras i de därför avsedda registren.

3. Inom kommissionen ska ett system för registrering av säkerhetsskyddsklassificerade EU-uppgifter inrättas i enlighet med bestämmelserna i artikel 27.

4. Kommissionsavdelningar och kommissionsutrymmen inom vilka säkerhetsskyddsklassificerade EU-uppgifter hanteras eller förvaras ska inspekteras med jämna mellanrum av kommissionens säkerhetsmyndighet.

5. Säkerhetsskyddsklassificerade EU-uppgifter ska transporteras mellan enheter och utrymmen utanför fysiskt skyddade områden på följande sätt:

a)	Som allmän regel ska säkerhetsskyddsklassificerade EU-uppgifter överföras elektroniskt med kryptoprodukter som godkänts i enlighet med kapitel 5.

Om produkterna i led a inte används, ska säkerhetsskyddsklassificerade EU-uppgifter överföras antingen

i)	på elektroniska medier (t.ex. USB-minnen, cd-skivor, hårddiskar) som skyddas med kryptoprodukter som godkänts i enlighet med kapitel 5, eller

ii)	i enlighet med vad som föreskrivs i tillämpningsföreskrifter, i alla övriga fall.

Artikel 22

Säkerhetsskyddsklassificeringsnivåer och säkerhetsskyddsmarkeringar

1. Uppgifter ska säkerhetsskyddsklassificeras när deras konfidentialitet behöver skyddas, i enlighet med artikel 3.1.

2. Den som är upphovsman till säkerhetsskyddsklassificerade EU-uppgifter ska vara ansvarig för fastställandet av uppgifternas säkerhetsskyddsklassificeringsnivå i enlighet med relevanta tillämpningsföreskrifter, standarder och riktlinjer för säkerhetsskyddsklassificering och för den första spridningen av uppgifterna.

3. Säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter ska fastställas i enlighet med artikel 3.2 och relevanta tillämpningsföreskrifter.

4. Säkerhetsskyddsklassificeringsnivån ska anges klart och korrekt, oberoende av huruvida de säkerhetsskyddsklassificerade EU-uppgifterna är i pappersform eller i muntlig, elektronisk eller någon annan form.

5. Enstaka delar av en viss handling (dvs. sidor, stycken, avsnitt, bilagor, tillägg och annat bifogat material) kan kräva inplacering på en annan säkerhetsskyddsklassificeringsnivå och ska i så fall markeras i enlighet med detta, även när de förvaras i elektronisk form.

6. Den övergripande säkerhetsskyddsklassificeringsnivån för en handling eller en datafil ska vara minst lika hög som den del som fått den högsta säkerhetsskyddsklassificeringsnivån. När uppgifter från olika källor sammanställs, ska den slutliga produkten ses över för att dess övergripande säkerhetsskyddsklassificeringsnivå ska kunna fastställas, eftersom den kan motivera en högre säkerhetsskyddsklassificeringsnivå än säkerhetsskyddsklassificeringsnivån för de enskilda delarna.

7. I största möjliga utsträckning ska handlingar som innehåller delar på olika säkerhetsskyddsklassificeringsnivåer struktureras så att delar på olika säkerhetsskyddsklassificeringsnivå vid behov lätt kan identifieras och avskiljas.

8. Ett brev eller en not som åtföljs av bifogade handlingar ska ha samma säkerhetsskyddsklassificeringsnivå som den högsta säkerhetsskyddsklassificeringsnivån hos bilagorna. Upphovsmannen ska tydligt ange på vilken nivå de ska säkerhetsskyddsklassificeras när de skilts från de bifogade handlingarna med hjälp av en lämplig markering, t.ex. följande:

CONFIDENTIEL UE/EU CONFIDENTIAL

Utan bilaga/bilagor RESTREINT UE/EU RESTRICTED

Artikel 23

Markeringar

Utöver de säkerhetsskyddsklassificeringsnivåer som anges i artikel 3.2 får säkerhetsskyddsklassificerade EU-uppgifter förses med ytterligare markeringar, till exempel följande:

a)	En markering som anger upphovsman.

b)	Delgivningsbegränsning, kodord eller akronymer som anger vilket verksamhetsområde som handlingen rör, särskild spridning grundad på principen om behovsenlig behörighet eller begränsad användning.

c)	Markering om att uppgifter får lämnas ut.

d)	I förekommande fall ett datum eller en särskild händelse efter vilken uppgifterna får inplaceras på en lägre säkerhetsskyddsklassificeringsnivå eller inte längre ska vara säkerhetsskyddsklassificerade.

Artikel 24

Förkortade säkerhetsskyddsmarkeringar

1. Standardiserade förkortade säkerhetsskyddsmarkeringar får användas för att ange säkerhetsskyddsklassificeringsnivån för enskilda stycken i en text. Förkortade säkerhetsskyddsmarkeringar får inte ersätta de fullständiga säkerhetsskyddsmarkeringarna.

2. Följande standardförkortningar får användas i säkerhetsskyddsklassificerade EU-handlingar för att ange säkerhetsskyddsklassificeringsnivån för avsnitt eller textstycken vars storlek är mindre än en sida:

TRES SECRET UE/EU TOP SECRET	TS-UE/EU-TS
SECRET UE/EU SECRET	S-UE/EU-S
CONFIDENTIEL UE/EU CONFIDENTIAL	C-UE/EU-C
RESTREINT UE/EU RESTRICTED	R-UE/EU-R

Artikel 25

Upprättande av säkerhetsskyddsklassificerade EU-handlingar

1. När en säkerhetsskyddsklassificerad EU-handling upprättas ska

a)	varje sida tydligt märkas med säkerhetsskyddsklassificeringsnivån,

b)	varje sida numreras,

c)	handlingen förses med ett registreringsnummer och en ämnesuppgift som inte i sig är en säkerhetsskyddsklassificerad uppgift, om den inte getts en sådan märkning,

d)	handlingen dateras,

e)	handlingar på säkerhetsskyddsklassificeringsnivån SECRET UE/EU SECRET eller högre ha ett exemplarnummer på varje sida, om de sänds ut i flera exemplar.

2. Om det inte är möjligt att tillämpa punkt 1 på de säkerhetsskyddsklassificerade EU-uppgifterna ska andra lämpliga åtgärder vidtas i enlighet med tillämpningsföreskrifter.

Artikel 26

Inplacering på lägre säkerhetsskyddsklassificeringsnivå och beslut om att uppgifter inte längre ska vara säkerhetsskyddsklassificerade

1. I samband med att de upprättas ska upphovsmannen om möjligt ange huruvida de säkerhetsskyddsklassificerade EU-uppgifterna kan inplaceras på en lägre säkerhetsskyddsklassificeringsnivå eller huruvida beslut om att uppgifterna inte längre ska vara säkerhetsskyddsklassificerade kan meddelas vid en viss tidpunkt eller efter en särskild händelse.

2. Varje kommissionsavdelning ska regelbundet se över säkerhetsskyddsklassificerade EU-uppgifter för vilka det åligger upphovsmannen att förvissa sig om att säkerhetsskyddsklassificeringsnivån fortfarande gäller. Ett system för att minst vart femte år se över säkerhetsskyddsklassificeringsnivån för registrerade säkerhetsskyddsklassificerade EU-uppgifter som har sitt ursprung i kommissionen ska fastställas genom tillämpningsföreskrifter. En sådan översyn är inte nödvändig om upphovsmannen redan från början har angett att uppgifterna automatiskt kommer att inplaceras på en lägre säkerhetsskyddsklassificeringsnivå eller att beslut om att uppgifterna inte längre behöver vara säkerhetsskyddsklassificerade kommer att meddelas och uppgifterna har märkts i enlighet med detta.

3. Uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som har sitt ursprung i kommissionen kommer automatiskt att förlora sin säkerhetsskyddsklassificering efter trettio år, i enlighet med förordning (EEG, Euratom) nr 354/83, ändrad genom rådets förordning (EG, Euratom) nr 1700/2003 (10).

Artikel 27

Systemet för registrering av säkerhetsskyddsklassificerade EU-uppgifter inom kommissionen

1. Utan att det påverkar tillämpningen av artikel 52.5 ska det, inom varje kommissionsavdelning där säkerhetsskyddsklassificerade EU-uppgifter hanteras eller förvaras på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och SECRET UE/EU SECRET, inrättas en lokal registreringsenhet med ansvar för säkerhetsskyddsklassificerade EU-uppgifter för att säkerställa att uppgifterna hanteras i enlighet med detta beslut.

2. Den registreringsenhet som förvaltas av generalsekretariatet ska fungera som kommissionens centrala registreringsenhet med ansvar säkerhetsskyddsklassificerade EU-uppgifter. Den ska fungera som

—	lokal registreringsenhet med ansvar för säkerhetsskyddsklassificerade EU-uppgifter,

—	registreringsenhet med ansvar för säkerhetsskyddsklassificerade EU-uppgifter för kommissionsledamöters privata kontor, såvida inte dessa har en särskild lokal registreringsenhet för säkerhetsskyddsklassificerade EU-uppgifter,

—	registreringsenhet med ansvar för säkerhetsskyddsklassificerade EU-uppgifter för generaldirektorat eller avdelningar som inte har någon lokal registreringsenhet,

—

huvudsaklig kontaktpunkt för in- och utpassering av alla uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED och upp till SECRET UE/EU SECRET som utbyts mellan kommissionen och dess avdelningar och tredjeländer och internationella organisationer och, när så föreskrivs enligt särskilda arrangemang, andra av unionens institutioner, organ och byråer.

3. Inom kommissionen ska kommissionens säkerhetsmyndighet utse en registreringsenhet som ska fungera som central myndighet för mottagning eller avsändning av uppgifter på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET. Om det är nödvändigt får underenheter utses för att hantera dessa uppgifter för registreringsändamål.

4. Underenheterna får inte överföra handlingar på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET direkt till andra underenheter som är underställda samma centrala registreringsenhet för TRES SECRET UE/EU TOP SECRET eller externt utan uttryckligt godkännande från den senare.

5. Registreringsenheter för säkerhetsskyddsklassificerade EU-uppgifter ska inrättas som säkrade utrymmen enligt definitionen i kapitel 3, och ackrediteras av kommissionens myndighet för säkerhetsackreditering.

Artikel 28

Kontrolltjänsteman för registreringsenheten

1. Varje registreringsenhet med ansvar för säkerhetsskyddsklassificerade EU-uppgifter ska förvaltas av en kontrolltjänsteman för registreringsenheten.

2. Kontrolltjänstemannen ska ha erhållit vederbörligt säkerhetsgodkännande.

3. Kontrolltjänstemannen ska stå under överinseende av den lokalt säkerhetsansvariga inom respektive avdelning vid kommissionen när det gäller tillämpningen av bestämmelser om hantering av handlingar som innehåller säkerhetsskyddsklassificerade EU-uppgifter och efterlevnaden av relevanta säkerhetsbestämmelser, standarder och riktlinjer.

4. Inom ramen för sin roll att sköta den registreringsenhet för säkerhetsklassificerade EU-uppgifter som den lokalt säkerhetsansvariga har anförtrotts ansvaret för, ska denne åta sig följande övergripande uppgifter i enlighet med detta beslut och relevanta tillämpningsföreskrifter, standarder och riktlinjer:

—	Handha verksamhet som avser registrering, bevarande, mångfaldigande, översättning, överföring, avsändande och förstöring av säkerhetsskyddsklassificerade EU-uppgifter eller överföring av sådana uppgifter till de historiska arkiven.

—	Regelbundet kontrollera behovet av att bibehålla säkerhetsskyddsklassificeringen av uppgifterna.

—	Utföra eventuella andra uppgifter i samband med skyddet av säkerhetsskyddsklassificerade EU-uppgifter som fastställs i tillämpningsföreskrifter.

Artikel 29

Registrering av säkerhetsskyddsklassificerade eu-uppgifter för säkerhetsändamål

1. I detta beslut avses med registrering för säkerhetsändamål (nedan kallat registrering) tillämpning av förfaranden som innebär registrering av livscykeln för säkerhetsskyddsklassificerade EU-uppgifter, inbegripet deras spridning.

2. All information och all materiel på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och högre ska registreras i de därför avsedda registren när de anländer till eller lämnar en organisatorisk enhet.

3. När säkerhetsskyddsklassificerade EU-uppgifter hanteras eller förvaras med hjälp av ett kommunikations- och informationssystem, får registreringsförfarandena utföras genom processer i själva kommunikations- och informationssystemet.

4. Mer detaljerade bestämmelser om registrering av säkerhetsskyddsklassificerade EU-uppgifter för säkerhetsändamål ska fastställas i tillämpningsföreskrifter.

Artikel 30

Kopiering och översättning av säkerhetsskyddsklassificerade EU-handlingar

1. Handlingar på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET får inte kopieras eller översättas utan föregående skriftligt medgivande från upphovsmannen.

2. Om upphovsmannen till handlingar på säkerhetsskyddsklassificeringsnivån SECRET UE/EU SECRET och lägre inte har angett begränsning för kopiering eller översättning, får sådana handlingar kopieras eller översättas på uppdrag av innehavaren.

3. De säkerhetsåtgärder som ska tillämpas på originalhandlingen ska även tillämpas på kopior och översättningar av denna.

Artikel 31

Befordran av säkerhetsskyddsklassificerade eu-uppgifter

1. Säkerhetsskyddsklassificerade EU-uppgifter ska befordras på ett sådant sätt att de skyddas från obehörigt röjande.

2. Befordran av säkerhetsskyddsklassificerade EU-uppgifter ska omfattas av skyddsåtgärder, som ska

—	stå i proportion till säkerhetsskyddsklassificeringsnivån för de säkerhetsskyddsklassificerade EU-uppgifter som befordras, och

—

vara anpassade till de särskilda förutsättningarna för deras befordran, särskilt med hänsyn till om uppgifterna befordras

—	inom en kommissionsbyggnad eller ett autonomt komplex av kommissionsbyggnader,

—	mellan kommissionsbyggnader som är belägna i samma medlemsstat,

—	inom unionen,

—	från unionen till ett tredjeland, och

—	vara anpassade till uppgifternas natur och form.

3. Dessa skyddsåtgärder ska fastställas i detalj i tillämpningsföreskrifter eller, i fråga om projekt och program som avses i artikel 42, som en integrerad del av säkerhetsanvisningarna för det berörda programmet eller projektet.

4. Tillämpningsföreskrifterna eller säkerhetsanvisningarna ska innehålla bestämmelser som står i proportion till säkerhetsskyddsklassificeringsnivån för de säkerhetsskyddsklassificerade EU-uppgifterna när det gäller

—	typen av befordran, till exempel personligt överlämnande, befordran per diplomatisk eller militär kurir, befordran med posttjänster eller kommersiella kurirtjänster,

—	paketering av uppgifterna,

—	tekniska motåtgärder för uppgifter som befordras via elektroniska medier,

—	någon annan procedurmässig, fysisk eller elektronisk åtgärd,

—	registreringsförfaranden,

—	användning av säkerhetsgodkänd personal.

5. När säkerhetsskyddsklassificerade EU-uppgifter befordras via elektroniska medier får de skyddsåtgärder som fastställs i relevanta tillämpningsföreskrifter, oaktat vad som sägs i artikel 21.5, kompletteras med lämpliga tekniska motåtgärder som godkänts av kommissionens säkerhetsmyndighet för att minimera risken för att uppgifterna går förlorade eller röjs.

Artikel 32

Förstöring av säkerhetsskyddsklassificerade EU-uppgifter

1. Säkerhetsskyddsklassificerade EU-handlingar som inte längre behövs får förstöras, under hänsyn tagen till arkivregler och till kommissionens regler och föreskrifter om dokumenthantering och arkivering, särskilt den gemensamma förteckningen för bevarande av kommissionens handlingar.

2. Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och högre ska förstöras av kontrolltjänstemannen vid den ansvariga registreringsenheten för säkerhetsskyddsklassificerade EU-uppgifter på instruktion från innehavaren eller en behörig myndighet. Kontrolltjänstemannen ska uppdatera diarier och annan registreringsinformation i enlighet med detta.

3. För handlingar på säkerhetsskyddsklassificeringsnivån SECRET UE/EU SECRET eller TRES SECRET UE/EU TOP SECRET ska sådan förstöring utföras av kontrolltjänstemannen i närvaro av ett vittne som har säkerhetsgodkänts för minst den säkerhetsskyddsklassificeringsnivå som anges på handlingen som ska förstöras.

4. Registratorn och vittnet, om den senares närvaro krävs, ska underteckna ett förstöringsintyg som ska arkiveras vid registreringsenheten. Kontrolltjänstemannen vid den ansvariga registreringsenheten för säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET ska bevara förstöringsintyg för handlingar på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET i minst tio år och för handlingar på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och SECRET UE/EU SECRET i minst fem år.

5. Säkerhetsskyddsklassificerade handlingar, inklusive sådana på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, ska förstöras enligt metoder som ska fastställas i tillämpningsföreskrifter och som uppfyller relevanta EU-standarder eller likvärdiga standarder.

6. Lagringsmedier för datorer som använts för att lagra säkerhetsskyddsklassificerade EU-uppgifter ska förstöras i enlighet med förfaranden som fastställs i tillämpningsföreskrifter.

Artikel 33

Förstöring av säkerhetsskyddsklassificerade EU-uppgifter i nödsituationer

1. Kommissionsavdelningar som innehar säkerhetsskyddsklassificerade EU-uppgifter ska utarbeta planer på grundval av lokala förhållanden för att skydda säkerhetsskyddsklassificerad EU-materiel vid en kris, inklusive nödvändig förstöring i en nödsituation samt planer för evakuering. De ska utfärda de anvisningar som bedöms nödvändiga för att förhindra att säkerhetsskyddsklassificerade EU-uppgifter faller i händerna på obehöriga.

2. Arrangemangen för att skydda och/eller förstöra materiel med beteckningarna CONFIDENTIEL UE/EU CONFIDENTIAL respektive SECRET UE/EU SECRET vid en kris får under inga omständigheter inverka ogynnsamt på skyddet eller förstöringen av materiel med beteckningen TRÈS SECRET UE/EU TOP SECRET, inklusive krypteringsutrustning, vars behandling ska prioriteras framför alla andra åtgärder.

3. I nödsituationer ska säkerhetsskyddsklassificerade EU-uppgifter, om det föreligger omedelbar risk för obehörigt röjande, förstöras av innehavaren på ett sådant sätt att de varken helt eller delvis kan rekonstrueras. Upphovsmannen och den registreringsenhet som uppgifterna härrör från ska informeras om att de registrerade säkerhetsskyddsklassificerade EU-uppgifterna på grund av nödsituationen har förstörts.

4. Mer detaljerade bestämmelser om förstöring av säkerhetsskyddsklassificerade EU-uppgifter ska fastställas i tillämpningsföreskrifter.

KAPITEL 5

SKYDD AV SÄKERHETSSKYDDSKLASSIFICERADE EU-UPPGIFTER I KOMMUNIKATIONS- OCH INFORMATIONSSYSTEM

Artikel 34

Grundläggande principer för informationssäkring

1. Med informationssäkring på området kommunikations- och informationssystem avses säkerställande av att dessa system kommer att skydda den information de hanterar och fungera som de ska när det krävs, under kontroll av behöriga användare.

2. Effektiv informationssäkring ska garantera lämpliga nivåer för följande:

Autenticitet	:	Garanti för att uppgifterna är riktiga och härrör från pålitliga källor.
Tillgänglighet	:	Egenskapen att finnas tillgänglig och vara användbar för en behörig enhet.
Konfidentialitet	:	Egenskapen att uppgifter skyddas mot insyn av obehöriga personer, enheter eller processer.
Riktighet	:	Egenskapen att säkersälla att uppgifter och tillgångar är exakta och fullständiga.
Oavvislighet	:	Möjlighet att bevisa att en åtgärd eller händelse har ägt rum så att denna händelse eller åtgärd inte senare kan förnekas.

3. Informationssäkring ska grundas på en riskhanteringsprocess.

Artikel 35

Definitioner

I detta kapitel gäller följande definitioner:

a) ackreditering : formellt tillstånd och godkännande som beviljas ett kommunikations- och informationssystem av myndigheten för säkerhetsackreditering att bearbeta säkerhetsskyddsklassificerade EU-uppgifter i systemets driftsmiljö, efter formellt godkännande och korrekt genomförande av skyddsplanen.

b) ackrediteringsprocess : de steg och åtgärder som krävs innan myndigheten för säkerhetsackreditering kan bevilja ackreditering; dessa steg och åtgärder ska anges i en standard för ackrediteringsförfarandet.

c) kommunikations- och informationssystem : varje system som gör det möjligt att hantera information i elektronisk form; ett kommunikations- och informationssystem ska innefatta alla de resurser som krävs för att det ska fungera, inklusive infrastruktur, organisation, personal och informationsresurser.

d) kvarstående risk : den risk som kvarstår efter det att säkerhetsåtgärder har vidtagits, med tanke på att alla hot inte kan motverkas och alla sårbarheter inte kan elimineras.

e) risk : potentialen för att ett givet hot kommer att utnyttja intern och extern sårbarhet hos en organisation eller något av de system den använder och därigenom skada organisationen och dess materiella eller immateriella tillgångar; den kan mätas som en kombination av sannolikheten att hot uppträder och följderna därav.

f) riskacceptans : ett beslut efter riskhanteringen om att godta att en kvarstående risk fortfarande existerar.

g) riskbedömning : identifiering av hot och sårbarheter och utförande av en därmed sammanhängande riskanalys, dvs. en analys av sannolikhet och konsekvenser.

h) riskkommunikation : utveckling av medvetenheten om risker bland systemanvändargrupper, information till tillståndsmyndigheter om sådana risker och rapportering av dessa risker till driftsmyndigheter.

i) riskhantering : mildra, undanröja, reducera (genom en lämplig kombination av tekniska, fysiska, organisatoriska eller procedurmässiga åtgärder), överföra eller övervaka risken.

Artikel 36

Kommunikations- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter

1. Kommunikations- och informationssystem ska hantera säkerhetsskyddsklassificerade EU-uppgifter i enlighet med informationssäkringsbegreppet.

2. För system som hanterar säkerhetsskyddsklassificerade EU-uppgifter innebär efterlevnad av kommissionens säkerhetspolicy för informationssystem, såsom denna beskrivs i kommissionens beslut K(2006) 3602 (11), att

a)	metoden för planering, utförande, kontroll, handling (Plan-Do-Check-Act) ska tillämpas vid genomförandet av säkerhetsstrategin för informationssystem under informationssystemets hela livscykel,

b)	säkerhetsbehovet ska fastställas genom en konsekvensanalys,

c)	informationssystem och data i dessa ska genomgå en formell klassificering av tillgångar,

d)	alla obligatoriska säkerhetsåtgärder som fastställts genom strategin för säkerhet i informationssystem måste genomföras,

e)	en riskhanteringsprocess, bestående av följande åtgärder, ska tillämpas: identifiering av hot och sårbarhet, riskbedömning, riskhantering, riskacceptans och riskkommunikation,

f)	en säkerhetsplan, inklusive säkerhetspolicy och säkra driftsmetoder, ska definieras, genomföras, kontrolleras och granskas.

3. All personal som arbetar med utformning, utveckling, testning, drift, förvaltning eller användning av kommunikations- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter ska underrätta kommissionens myndighet för säkerhetsackreditering om alla potentiella säkerhetsbrister, incidenter, överträdelser av säkerhetsbestämmelser eller röjanden som kan påverka skyddet av kommunikations- och informationssystemet och/eller säkerhetsskyddsklassificerade EU-uppgifter i systemet.

4. Om de säkerhetsskyddsklassificerade EU-uppgifterna skyddas med hjälp av kryptoprodukter, ska dessa produkter godkännas i enlighet med följande:

a)	Företräde ska ges till produkter som har godkänts av rådet eller av rådets generalsekreterare, i egenskap av rådets kryptogodkännande myndighet, på rekommendation av kommissionens grupp av säkerhetsexperter.

b)	När det är motiverat av särskilda operativa skäl får kommissionens kryptogodkännande myndighet, på rekommendation av kommissionens grupp av säkerhetsexperter, frångå det krav som anges under a och ge tillfälligt godkännande för en viss period.

5. När säkerhetsskyddsklassificerade EU-uppgifter överförs, behandlas och lagras på elektronisk väg ska godkända kryptoprodukter användas. Trots detta krav får specifika förfaranden i krissituationer eller i specifika tekniska konfigurationer tillämpas efter godkännande av kommissionens kryptogodkännande myndighet.

6. Säkerhetsåtgärder ska genomföras för att skydda system som hanterar uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre mot att uppgifterna komprometteras genom oavsiktliga elektromagnetiska läckor (tempestsäkerhetsåtgärder). Sådana säkerhetsåtgärder ska motsvara spridningsrisken och uppgifternas säkerhetsskyddsklassificeringsnivå.

7. Kommissionens säkerhetsmyndighet ska fungera som följande:

—	Myndighet för informationssäkring.

—	Myndighet för säkerhetsackreditering.

—	Tempestmyndighet.

—	Kryptogodkännande myndighet.

—	Kryptodistribueringsmyndighet.

8. Kommissionen säkerhetsmyndighet ska för varje system utse den driftsansvariga myndigheten för informationssäkring.

9. Ansvaret för de uppgifter som beskrivs i punkterna 7 och 8 kommer att fastställas i tillämpningsföreskrifter.

Artikel 37

Ackreditering av kommunikations- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter

1. Alla kommunikations- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter ska genomgå ett ackrediteringsförfarande som bygger på principerna om informationssäkring, och vars detaljnivå måste stå i proportion till den skyddsnivå som krävs.

2. Till ackrediteringsförfarandet hör att kommissionens myndighet för säkerhetsackreditering formellt validerar säkerhetsplanen för det berörda kommunikations- och informationssystemet för att säkerställa att

a)	den riskhanteringsprocess som avses i artikel 36.2 har genomförts på korrekt sätt,

b)	systemägaren medvetet har godtagit eventuellt kvarstående risk, och

c)	en tillräckligt hög skyddsnivå för de säkerhetsskyddsklassificerade EU-uppgifterna och systemen har uppnåtts i enlighet med detta beslut.

3. Kommissionens säkerhetsmyndighet ska utfärda ett ackrediteringsutlåtande som fastställer den högsta säkerhetsskyddsklassificeringsnivån för de säkerhetsskyddsklassificerade EU-uppgifter som får hanteras i systemet och motsvarande driftsvillkor. Detta påverkar inte de uppgifter som anförtrotts styrelsen för säkerhetsackreditering enligt artikel 11 i Europaparlamentets och rådets förordning (EU) nr 512/2014 (12).

4. En gemensam styrelse för säkerhetsackreditering ska ansvara för ackreditering av kommissionens kommunikations- och informationssystem som involverar flera parter. Den ska bestå av en företrädare för respektive medverkande parts myndighet för säkerhetsackreditering, och ha en företrädare för kommissionens myndighet för säkerhetsackreditering som ordförande.

5. Ackrediteringsförfarandet ska bestå av en rad uppgifter för vars genomförande de medverkande parterna ska ansvara. Ansvaret för att förbereda ackrediteringsakter och ackrediteringsunderlag ska helt och hållet åligga ägaren av det berörda kommunikations- och informationssystemet.

6. Ackrediteringsansvaret ska helt och hållet åligga kommissionens myndighet för säkerhetsackreditering som, när som helst under kommunikation- och informationssystemets livscykel ska ha rätt att

a)	kräva att ett ackrediteringsförfarande tillämpas,

b)	granska eller inspektera systemet,

c)	om driftsvillkoren inte längre är uppfyllda, kräva fastställande och ett effektivt genomförande av en plan för förbättrad säkerhet inom en väldefinierad tidsplan, och kunna återkalla tillståndet att använda kommunikations- och informationssystemet tills driftsvillkoren är uppfyllda igen.

7. Ackrediteringsförfarandet ska fastställas i en standard för ackrediteringsförfarandet för kommunikations- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter, vilken ska antas i enlighet med artikel 10.3 i kommissionens beslut K(2006) 3602.

Artikel 38

Nödlägen

1. Trots bestämmelserna i detta kapitel får de särskilda förfaranden som beskrivs nedan tillämpas i en nödsituation, exempelvis under en överhängande eller faktisk kris, konflikt, eller krigssituationer eller under exceptionella operativa omständigheter.

2. Säkerhetsskyddsklassificerade EU-uppgifter får överföras med användning av kryptoprodukter som har godkänts för en lägre sekretessgrad eller utan kryptering med godkännande av den behöriga myndigheten, om en eventuell försening skulle förorsaka större skada än den skada som uppkommer genom ett röjande av det säkerhetsskyddsklassificerade materialet och om

a)	sändaren och mottagaren saknar den kryptoutrustning som krävs, och

b)	det säkerhetsskyddsklassificerade materialet inte kan befordras i tid på något annat sätt.

3. Säkerhetsskyddsklassificerade EU-uppgifter som överförs under de omständigheter som anges i punkt 1 får inte vara försedda med någon märkning eller några tecken som skiljer dem från ett meddelande som inte är sekretessbelagt eller som kan skyddas genom någon tillgänglig kryptoprodukt. Mottagarna ska utan dröjsmål underrättas om säkerhetsskyddsklassificeringsnivån på annat sätt.

4. En rapport ska därefter överlämnas till den behöriga myndigheten och till kommissionen grupp av säkerhetsexperter.

KAPITEL 6

INDUSTRISÄKERHET

Artikel 39

Grundprinciper

1. Med industrisäkerhet avses tillämpningen av åtgärder för att garantera skydd av säkerhetsskyddsklassificerade EU-uppgifter

inom ramen för säkerhetsskyddsklassificerade kontrakt, av

i)	anbudssökande eller anbudsgivare under upphandlingsförfarandet,

ii)	entreprenörer eller underentreprenörer under hela löptiden av säkerhetsskyddsklassificerade kontrakt,

inom ramen för säkerhetsskyddsklassificerade bidragsavtal, av

i)	de sökande under förfaranden för tilldelning av bidrag,

ii)	mottagare under hela livscykeln för säkerhetsskyddsklassificerade bidragsavtal.

2. Sådana kontrakt eller bidragsavtal ska inte omfatta uppgifter på säkerhetsskyddsklassificeringsnivån TRES SECRET UE/EU TOP SECRET.

3. Om inte något annat anges ska bestämmelserna i detta kapitel avseende säkerhetsskyddsklassificerade kontrakt och entreprenörer som måste underteckna säkerhetsskyddsavtal även gälla med avseende på säkerhetsskyddsklassificerade underleverantörskontrakt eller underleverantörer.

Artikel 40

Definitioner

I detta kapitel gäller följande definitioner:

a) säkerhetsskyddsklassificerat kontrakt : ett sådant ramavtal eller avtal som avses i rådets förordning (EG, Euratom) nr 1605/2002 (13), och som kommissionen eller någon av dess avdelningar har ingått med en entreprenör om leverans av lös eller fast egendom, utförande av byggentreprenader eller tillhandahållande av tjänster, där genomförandet kräver eller inbegriper upprättande, hantering eller lagring av säkerhetsskyddsklassificerade EU-uppgifter.

b) underentreprenörskontrakt som kräver säkerhetsskyddsavtal : kontrakt som en av kommissionens eller en av kommissionens avdelningars leverantörer ingår med en annan leverantör (dvs. underleverantören) om leverans av lös eller fast egendom, utförande av byggentreprenader eller tillhandahållande av tjänster, där genomförandet kräver eller inbegriper upprättande, hantering eller lagring av säkerhetsskyddsklassificerade EU-uppgifter,

c) säkerhetsskyddsklassificerat bidragsavtal : ett avtal varigenom kommissionen beviljar ett bidrag, i den mening som avses i del I avdelning VI i förordning (EG, Euratom) nr 1605/2002, och vars genomförande kräver eller inbegriper upprättande, hantering eller lagring av säkerhetsskyddsklassificerade EU-uppgifter.

d) utsedd säkerhetsmyndighet : en myndighet som är ansvarig inför medlemsstatens nationella säkerhetsmyndighet och som ansvarar för att informera industrienheter eller andra enheter om den nationella strategin i alla frågor rörande industrisäkerhet och för att ge ledning och bistånd vid dess genomförande. Den utsedda säkerhetsmyndighetens verksamhet får utföras av den nationella säkerhetsmyndigheten eller av någon annan behörig myndighet.

Artikel 41

Förfarande för säkerhetsskyddsklassificerade kontrakt eller bidragsavtal

1. Varje kommissionsavdelning som är upphandlande myndighet ska se till att de minimistandarder för industrisäkerhet som fastställs i detta kapitel blir föremål för hänvisning i eller införlivas med kontraktet, och att de följs när industrienheter och andra enheter tilldelas säkerhetsskyddsklassificerade kontrakt eller bidragsavtal.

2. Vid tillämpningen av punkt 1 ska de behöriga avdelningarna inom kommissionen samråda med generaldirektoratet för personal och säkerhet, särskilt dess direktorat för säkerhet, och se till att standardkontrakt och standardunderleverantörskontrakt respektive standardbidragsavtal omfattar bestämmelser som avspeglar de grundläggande principer och minimistandarder för skydd av säkerhetsskyddsklassificerade EU-uppgifter som leverantörer och underleverantörer respektive mottagare av bidrag inom ramen för bidragsavtal ska följa.

3. Kommissionen ska ha ett nära samarbete med den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig myndighet i den berörda medlemsstaten.

4. När en upphandlande myndighet har för avsikt att inleda ett förfarande för att ingå ett säkerhetsskyddsklassificerat kontrakt eller bidragsavtal, ska den under alla etapper av förfarandet samråda med kommissionens säkerhetsmyndighet om frågor som rör förfarandets säkerhetsskyddsklassificerade natur och inslag.

5. Mallar och standarder för säkerhetsskyddsklassificerade kontrakt och underleverantörskontrakt, säkerhetsskyddsklassificerade bidragsavtal, meddelanden om upphandling, vägledning om under vilka omständigheter säkerhetsgodkännande av verksamhetsställe (Facility Security Clearance) krävs, säkerhetsanvisningar för program eller projekt, säkerhetsskyddsöverenskommelser, besök, överföring och befordran av säkerhetsskyddsklassificerade EU-uppgifter inom ramen för säkerhetsskyddsklassificerade kontrakt eller bidragsavtal ska fastställas i tillämpningsföreskrifter för industriell säkerhet, efter samråd med kommissionens grupp av säkerhetsexperter.

6. Kommissionen får ingå säkerhetsskyddsklassificerade kontrakt eller bidragsavtal som innebär att ekonomiska aktörer som är registrerade i en medlemsstat eller en tredjestat med vilken ett avtal eller ett administrativt arrangemang har ingåtts i enlighet med artikel 7 i detta beslut anförtros uppgifter som involverar eller innebär tillgång till eller hantering eller lagring av säkerhetsskyddsklassificerade EU-uppgifter.

Artikel 42

Säkerhetsinslag i ett säkerhetsskyddsklassificerat kontrakt eller bidragsavtal

1. Säkerhetsskyddsklassificerade kontrakt eller bidragsavtal ska ha följande säkerhetsrelaterade inslag:

Säkerhetsanvisningar för program eller projekt

a)	Säkerhetsanvisningar för program eller projekt: en förteckning över säkerhetsförfaranden som tillämpas på ett särskilt program eller projekt för att standardisera säkerhetsförfaranden. Den kan bli föremål för översyn under hela program- eller projekttiden.

Generaldirektoratet för personal och säkerhet ska utarbeta allmänna säkerhetsanvisningar för program eller projekt; de kommissionsavdelningar som ansvarar för program eller projekt som innebär hantering eller lagring av säkerhetsklassificerade EU-uppgifter kan vid behov utarbeta särskilda säkerhetsanvisningar för program eller projekt, som ska bygga på de allmänna säkerhetsanvisningarna.

Särskilda säkerhetsanvisningar för program eller projekt ska utarbetas bland annat för program och projekt som kännetecknas av sin stora räckvidd, omfattning eller komplexitet, eller av att ett stort antal entreprenörer, stödmottagare och andra berörda parter och intressenter berörs, och dessa uppvisar stora skillnader sinsemellan, exempelvis när det gäller rättslig ställning. Särskilda säkerhetsanvisningar för program eller projekt ska utarbetas av den eller de kommissionsavdelningar som förvaltar programmet eller projektet i fråga, i nära samarbete med generaldirektoratet för personal och säkerhet.

d)	Generaldirektoratet för personal och säkerhet ska överlämna både de allmänna och de särskilda säkerhetsanvisningarna för synpunkter till kommissionens grupp av säkerhetsexperter.

Säkerhetsskyddsöverenskommelse

En säkerhetsskyddsöverenskommelse är särskilda kontraktsvillkor, som utfärdas av den upphandlande myndigheten och som utgör en integrerad del av varje säkerhetsskyddsklassificerat kontrakt som ger tillgång upphov till säkerhetsskyddsklassificerade EU-uppgifter, och i vilka säkerhetskraven eller de delar av kontraktet som behöver omfattas av säkerhetsskydd fastställs.

b)	De kontraktsspecifika säkerhetskraven ska anges i en säkerhetsskyddsöverenskommelse. Säkerhetsskyddsöverenskommelsen ska när så är lämpligt omfatta handboken om säkerhetsklassificering och utgöra en integrerad del av kontraktet eller bidragsavtalet i fråga.

Säkerhetsskyddsöverenskommelsen ska innehålla bestämmelser om att entreprenören eller mottagaren ska uppfylla de minimistandarder som fastställs i detta beslut. Den upphandlande myndigheten ska se till att det av säkerhetsskyddsöverenskommelsen framgår att underlåtenhet att iaktta dessa minimistandarder kan utgöra tillräcklig grund för att häva kontraktet eller bidragsavtalet.

2. Både säkerhetsanvisningarna och säkerhetsöverenskommelsen ska omfatta en handbok om säkerhetsskyddsklassificering som obligatoriskt säkerhetsinslag:

En handbok om säkerhetsskyddsklassificering är ett dokument som beskriver de delar av ett program, projekt, kontrakt eller bidragsavtal som är säkerhetsskyddsklassificerade, och anger tillämpliga säkerhetsskyddsklassificeringsnivåer. Handboken om säkerhetsskyddsklassificering får utvidgas under hela program-, projekt-, kontrakts- eller bidragsavtalstiden, och delar av uppgifterna kan placeras på en ny eller lägre säkerhetsskyddsklassificeringsnivå; om det finns en handbok om säkerhetsskyddsklassificering ska denna ingå i säkerhetsskyddsöverenskommelsen.

Före ett anbudsförfarande eller tilldelningen av ett kontrakt ska den berörda kommissionsavdelningen, i egenskap av upphandlande myndighet, fastställa säkerhetsskyddsklassificeringsnivån för alla uppgifter som ska lämnas ut till anbudssökande, anbudsgivare och entreprenörer, liksom säkerhetsskyddsklassificeringen för eventuella uppgifter som upprättas av entreprenören. För detta ändamål ska kommissionsavdelningen utarbeta en handbok om säkerhetsskyddsklassificering som ska användas vid genomförandet av kontraktet, i enlighet med detta beslut och dess tillämpningsföreskrifter och efter samråd med kommissionens säkerhetsmyndighet.

Följande principer ska gälla för fastställande av säkerhetsskyddsklassificeringsnivån för de olika delarna i ett säkerhetsskyddsklassificerat kontrakt:

När handboken om säkerhetsskyddsklassificering utarbetas ska den berörda kommissionsavdelningen, i egenskap av upphandlande myndighet, ta hänsyn till alla relevanta säkerhetsaspekter, inbegripet den säkerhetsskyddsklassificeringsnivå som uppgifternas upphovsman har fastställt och godkänt för användning i kontraktet.

ii)	Den övergripande säkerhetsskyddsklassificeringsnivån för ett kontrakt får inte vara lägre än den högsta klassificeringen av någon av dess delar.

iii)

Där så är lämpligt ska den upphandlande myndigheten, genom kommissionens säkerhetsmyndighet, utbyta information med medlemsstaternas nationella säkerhetsmyndigheter, utsedda säkerhetsmyndigheter eller andra berörda behöriga säkerhetsmyndigheter i samband med ändringar av säkerhetsskyddsklassificeringsnivån på uppgifter som härrör från eller har lämnats till entreprenören för fullgörandet av kontraktet och för efterföljande ändringar av handboken.

Artikel 43

Tillgång till säkerhetskyddsklassificerade EU-uppgifter för entreprenörers och stödmottagares personal

Den upphandlande eller beviljande myndigheten ska se till att det säkerhetsskyddsklassificerade kontraktet eller bidragsavtalet innehåller bestämmelser om att personal hos entreprenörer, underentreprenörer eller bidragsmottagare som för att kunna genomföra det säkerhetsskyddsklassificerade kontraktet eller bidragsavtalet måste ha tillgång till säkerhetsskyddsklassificerade EU-uppgifter ska beviljas sådan tillgång endast om vederbörande

a)	har erhållit säkerhetsbemyndigande på relevant nivå eller på annat sätt är vederbörligen bemyndigad genom sin behovsenliga behörighet,

b)	har informerats om tillämpliga säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter och bekräftat sitt ansvar när det gäller att skydda sådana uppgifter,

c)	har erhållit säkerhetsgodkännande på en nivå som är relevant för uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET av respektive nationell säkerhetsmyndighet, utsedd säkerhetsmyndighet eller någon annan behörig myndighet.

Artikel 44

Intyg om säkerhetsgodkännande av verksamhetsställe

1. Säkerhetsgodkännande av verksamhetsställe är ett administrativt beslut av en nationell säkerhetsmyndighet, en utsedd säkerhetsmyndighet eller någon annan behörig säkerhetsmyndighet om att ett verksamhetsställe ur säkerhetsperspektiv kan erbjuda tillräckligt säkerhetsskydd av säkerhetsskyddsklassificerade EU-uppgifter på en specificerad säkerhetsskyddsklassificeringsnivå.

2. Ett säkerhetsgodkännande av verksamhetsställe som beviljas av den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig säkerhetsmyndighet i en medlemsstat i syfte att visa, i enlighet med nationella lagar och andra författningar, att en ekonomisk aktör har förmåga att skydda säkerhetsskyddsklassificerade EU-uppgifter på lämplig säkerhetsskyddsklassificeringsnivå (CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET) inom sina anläggningar, ska lämnas till kommissionens säkerhetsmyndighet, som ska vidarebefordra det till den kommissionsavdelning som fungerar som upphandlande eller beviljande myndighet, innan en anbudssökande, anbudsgivare eller entreprenör, eller bidragssökande eller bidragsmottagare får ges eller beviljas tillgång till säkerhetsskyddsklassificerade EU-uppgifter.

3. I förekommande fall ska den upphandlande myndigheten, genom kommissionens säkerhetsmyndighet, underrätta vederbörlig nationell säkerhetsmyndighet, utsedd säkerhetsmyndighet eller någon annan behörig säkerhetsmyndighet att det krävs ett säkerhetsgodkännande av verksamhetsställe för att genomföra kontraktet. Det ska krävas ett säkerhetsgodkännande av verksamhetsställe eller ett personalsäkerhetsgodkännande när säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET måste tillhandahållas under upphandlings- eller bidragstilldelningsförfarandets gång.

4. Den upphandlande eller bidragsbeviljande myndigheten får inte tilldela en vald anbudsgivare eller deltagare ett säkerhetskyddsklassificerat kontrakt eller bidragsavtal innan den har fått bekräftat från den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig myndighet i den medlemsstat där den berörda entreprenören eller underentreprenören är registrerad att ett giltigt intyg om säkerhetsgodkännande av verksamhetsställe har utfärdats, om ett sådant krävs.

5. När kommissionens säkerhetsmyndighet har underrättats av den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller en annan behörig säkerhetsmyndighet som har utfärdat ett säkerhetsgodkännande av verksamhetsställe om eventuella ändringar med avseende på detta godkännande, ska den underrätta den kommissionsavdelning som fungerar som upphandlande eller bidragsbeviljande myndighet. Vid eventuell underentreprenad ska den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig säkerhetsmyndighet underrättas om detta.

6. Återkallande av ett säkerhetsgodkännande av verksamhetsställe av en nationell säkerhetsmyndighet eller en utsedd säkerhetsmyndighet eller någon annan behörig säkerhetsmyndighet ska utgöra tillräcklig grund för att den upphandlande eller bidragsbeviljande myndigheten ska kunna säga upp kontraktet eller utestänga en anbudssökande, anbudsgivare eller sökande från förfarandet. En bestämmelse om detta ska ingå i de standardkontrakt och standardbidragsavtal som ska utarbetas.

Artikel 45

Bestämmelser om säkerhetsskyddsklassificerade kontrakt och bidragsavtal

1. När säkerhetsskyddsklassificerade EU-uppgifter lämnas till en anbudssökande, en anbudsgivare eller en sökande under ett upphandlingsförfarande, ska inbjudan att lämna anbud eller inbjudan att lämna förslag innehålla en bestämmelse som förpliktigar anbudssökanden, anbudsgivaren eller den sökande som inte inkommer med ett anbud eller ett förslag eller som inte väljs ut att återlämna alla säkerhetsskyddsklassificerade handlingar inom en viss tid.

2. Den upphandlande eller beviljande myndigheten ska, genom kommissionens säkerhetsmyndighet, underrätta den behöriga nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig säkerhetsmyndighet om att ett säkerhetsskyddsklassificerat kontrakt eller bidragsavtal har tilldelats, och om de uppgifter som berörs, t.ex. namnet på entreprenören (entreprenörerna) eller bidragsmottagaren (bidragsmottagarna) kontraktets löptid och den högsta säkerhetsskyddsklassificeringsnivån.

3. När sådana kontrakt eller bidragsavtal upphör att gälla ska den upphandlande eller beviljande myndigheten omedelbart anmäla detta till kommissionens säkerhetsmyndighet, den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig säkerhetsmyndighet i den medlemsstat där entreprenören eller bidragsmottagaren är registrerad.

4. Som en allmän regel ska entreprenören eller bidragsmottagaren, när det säkerhetsskyddsklassificerade kontraktet eller bidragsavtalet upphör att gälla eller en bidragsmottagare avslutar sitt deltagande, vara skyldig att återlämna alla säkerhetsskyddsklassificerade EU-uppgifter som innehas av denne.

5. Särskilda bestämmelser för förfogandet över säkerhetsskyddsklassificerade EU-uppgifter under fullgörandet av ett säkerhetsskyddsklassificerat kontrakt eller bidragsavtal eller sedan det upphört att gälla ska fastställas i säkerhetsskyddsöverenskommelsen.

6. Om entreprenören eller bidragsmottagaren har rätt att behålla säkerhetsskyddsklassificerade EU-uppgifter sedan det säkerhetsskyddsklassificerade kontraktet har upphört att gälla, ska minimistandarderna i detta beslut fortsätta att uppfyllas och konfidentialiteten för de säkerhetsskyddsklassificerade EU-uppgifterna ska skyddas av entreprenören eller bidragsmottagaren.

Artikel 46

Särskilda bestämmelser om säkerhetsskyddsklassificerade kontrakt

1. De villkor av relevans för skyddet av säkerhetsskyddsklassificerade EU-uppgifter på vilka entreprenören får anlita underentreprenörer ska fastställas i anbudsinfordran och i det säkerhetsskyddsklassificerade kontraktet.

2. En entreprenör ska inhämta tillstånd från den upphandlande myndigheten, innan delar av kontraktet läggs ut på en underentreprenör. Inga underleverantörsavtal som innebär tillgång till säkerhetsskyddsklassificerade EU-uppgifter får tilldelas underentreprenörer som är registrerade i ett tredjeland, såvida det inte finns ett regelverk om informationssäkerhet i enlighet med kapitel 7.

3. Entreprenören ska vara ansvarig för att se till att all underentreprenad utförs i enlighet med miniminormerna i detta beslut och får inte lämna ut säkerhetsskyddsklassificerade EU-uppgifter till en underentreprenör utan föregående skriftligt medgivande från den upphandlande myndigheten.

4. När det gäller säkerhetsskyddsklassificerade EU-uppgifter som upprättats eller hanterats av entreprenören, ska kommissionen anses vara upphovsman, och upphovsmannens rättigheter ska utövas av den upphandlande myndigheten.

Artikel 47

Besök med anknytning till säkerhetsskyddsklassificerade kontrakt

1. När personal vid kommissionen eller hos entreprenörer eller bidragsmottagare begär tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET i varandras lokaler för att genomföra ett säkerhetsskyddsklassificerat kontrakt eller bidragsavtal, ska besök anordnas tillsammans med de berörda nationella säkerhetsmyndigheterna, de utsedda säkerhetsmyndigheterna eller andra behöriga säkerhetsmyndigheter. Kommissionens säkerhetsmyndighet ska informeras om sådana besök. När det gäller särskilda program eller projekt får dock de nationella säkerhetsmyndigheterna, de utsedda säkerhetsmyndigheterna eller någon annan behörig säkerhetsmyndighet även enas om ett förfarande varigenom sådana besök kan anordnas direkt.

2. Alla besökare ska inneha ett lämpligt säkerhetsgodkännande och ha behovsenlig behörighet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter med anknytning till det säkerhetsskyddsklassificerade kontraktet.

3. Besökare ska enbart ges tillgång till säkerhetsskyddsklassificerade EU-uppgifter som har samband med besökets syfte.

4. Närmare bestämmelser ska fastställas i tillämpningsföreskrifter.

5. Det ska vara obligatoriskt att följa bestämmelserna om besök i samband med säkerhetsskyddsklassificerade kontrakt i detta beslut och i de tillämpningsföreskrifter som avses i punkt 4.

Artikel 48

Översändande och befordran av säkerhetsskyddsklassificerade EU-uppgifter i samband med säkerhetsskyddsklassificerade kontrakt eller bidragsavtal

1. Överföring av säkerhetsskyddsklassificerade EU-uppgifter på elektronisk väg ska omfattas av tillämpliga bestämmelser i kapitel 5 i detta beslut.

2. När det gäller befordran av säkerhetsskyddsklassificerade EU-uppgifter ska tillämpliga bestämmelser i kapitel 4 i detta beslut och i dess tillämpningsföreskrifter gälla, i enlighet med nationella lagar och andra författningar.

3. Följande principer ska gälla vid fastställandet av säkerhetsarrangemangen för transport av säkerhetsskyddsklassificerad materiel som frakt:

a)	Säkerheten ska garanteras i alla skeden av transporten, från ursprungsplatsen till slutdestinationen.

b)	Den skyddsnivå som ska ges en leverans ska vara den högsta säkerhetsskyddsklassificeringsnivån för den materiel som leveransen innehåller.

Innan materiel på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET förflyttas över en gräns ska avsändaren upprätta en transportplan som ska godkännas av den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller av någon annan berörd behörig säkerhetsmyndighet.

d)	Resorna ska i möjligaste mån ske utan omvägar och slutföras så snabbt som omständigheterna medger.

När så är möjligt ska rutterna helt och hållet förläggas inom medlemsstaterna. Rutter som går genom andra stater än medlemsstater bör endast användas efter tillstånd från den nationella/utsedda säkerhetsmyndigheten eller annan behörig säkerhetsmyndighet i både den avsändande och den mottagande staten.

Artikel 49

Överföring av säkerhetsskyddsklassificerade EU-uppgifter till entreprenörer eller bidragsmottagare i tredjestater

Säkerhetsskyddsklassificerade EU-uppgifter ska överföras till entreprenörer och bidragsmottagare i tredjestater i enlighet med säkerhetsbestämmelser som överenskommits mellan kommissionens säkerhetsmyndighet, i egenskap av upphandlande eller bidragsbeviljande myndighet, och den nationella säkerhetsmyndigheten, den utsedda säkerhetsmyndigheten eller någon annan behörig säkerhetsmyndighet i den berörda tredjestat där entreprenören eller bidragsmottagaren är registrerad.

Artikel 50

Hantering av uppgifter som placerats på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED i samband med säkerhetsskyddsklassificerade kontrakt eller bidragsavtal

1. Skydd av säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED som hanteras eller lagras enligt säkerhetsskyddsklassificerade kontrakt eller bidragsavtal ska vara grundade på principerna om proportionalitet och kostnadseffektivitet.

2. Inget säkerhetsgodkännande av verksamhetsställe eller personalsäkerhetsgodkännande ska krävas inom ramen för säkerhetsskyddsklassificerade kontrakt eller bidragsavtal som inbegriper hantering av uppgifter som inplacerats på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

3. När ett kontrakt eller bidragsavtal inbegriper hantering av uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED i ett kommunikations- och informationssystem som drivs av en entreprenör, ska den upphandlande eller bidragsbeviljande myndigheten, efter samråd med kommissionens säkerhetsmyndighet, se till att kontraktet eller bidragsavtalet specificerar de nödvändiga tekniska och administrativa kraven för ackreditering eller godkännande av kommunikations- och informationssystemet i proportion till den uppskattade risken, med beaktande av alla relevanta faktorer. Kommissionens säkerhetsmyndighet och den berörda nationella säkerhetsmyndigheten eller utsedda säkerhetsmyndigheten ska enas om omfattningen av ackrediteringen eller godkännandet av ett sådant system.

KAPITEL 7

UTBYTE AV SÄKERHETSSKYDDSKLASSIFICERADE EU-UPPGIFTER MED UNIONENS ÖVRIGA INSTITUTIONER, BYRÅER, ORGAN OCH KONTOR, MED MEDLEMSSTATER OCH MED TREDJESTATER OCH INTERNATIONELLA ORGANISATIONER

Artikel 51

Grundprinciper

1. Om kommissionen eller någon av dess avdelningar fastställer att det finns ett behov av utbyte av säkerhetsskyddsklassificerade EU-uppgifter med unionens övriga institutioner, byråer, organ eller kontor, eller med en tredjestat eller internationell organisation, ska nödvändiga åtgärder vidtas för att inrätta en lämplig rättslig eller administrativ ram för detta ändamål, vilket kan inbegripa informationssäkerhetsavtal eller administrativa överenskommelser som ingåtts i enlighet med relevanta regler.

2. Utan att det påverkar tillämpningen av artikel 57 ska säkerhetsskyddsklassificerade EU-uppgifter endast utbytas med unionens övriga institutioner, byråer, organ eller kontor, eller med en tredjestat eller internationell organisation, under förutsättning att en lämplig rättslig eller administrativ ram finns på plats och att det föreligger tillräckliga garantier för att institutionen, byrån, organet eller kontoret i fråga, eller den berörda tredjestaten eller internationella organisationen, tillämpar likvärdiga grundläggande principer och minimistandarder för skydd av säkerhetsskyddsklassificerade uppgifter.

Artikel 52

Utbyte av säkerhetsskyddsklassificerade EU-uppgifter med unionens övriga institutioner, byråer, organ och kontor

1. Före ingåendet av ett administrativt arrangemang för utbyte av säkerhetsskyddsklassificerade EU-uppgifter med en annan av unionens institutioner, byråer, organ eller kontor ska kommissionen försäkra sig om att institutionen, byrån, organet eller kontoret i fråga

a)	har infört ett regelverk för skydd av säkerhetsskyddsklassificerade EU-uppgifter, som fastställer grundläggande principer och miniminormer motsvarande dem som fastställs i detta beslut och dess tillämpningsföreskrifter,

tillämpar säkerhetsstandarder och riktlinjer i fråga om personalsäkerhet, fysisk säkerhet, hantering av säkerhetsskyddsklassificerade EU-uppgifter och säkerhet när det gäller kommunikations- och informationssystem, vilka garanterar att säkerhetsskyddsklassificerade EU-uppgifter omfattas av skydd på en nivå motsvarande den som ges inom kommissionen,

c)	märker säkerhetsskyddsklassificerade uppgifter som den ger upphov till som säkerhetsskyddsklassificerade EU-uppgifter.

2. Generaldirektoratet för personal och säkerhet ska i nära samarbete med andra behöriga kommissionsavdelningar fungera som huvudansvarig avdelning inom kommissionen för ingående av administrativa arrangemang för utbyte av säkerhetsskyddsklassificerade EU-uppgifter med unionens övriga institutioner, byråer, organ eller kontor.

3. Administrativa arrangemang ska i princip ha formen av en skriftväxling, och undertecknas av generaldirektören för personal och säkerhet på kommissionens vägnar.

4. Före ingåendet av ett administrativt arrangemang om utbyte av säkerhetsskyddsklassificerade EU-uppgifter ska kommissionens säkerhetsmyndighet genomföra ett utvärderingsbesök för att bedöma den rättsliga ramen för skydd av säkerhetsskyddsklassificerade EU-uppgifter och kontrollera ändamålsenligheten av de åtgärder som genomförs för att skydda säkerhetsskyddsklassificerade EU-uppgifter. Den administrativa överenskommelsen ska träda i kraft och säkerhetsskyddsklassificerade EU-uppgifter utbytas endast om resultatet av detta utvärderingsbesök är tillfredsställande och de rekommendationer som lämnats efter besöket har följts. Regelbundna uppföljningsbesök ska genomföras för att kontrollera att det administrativa arrangemanget följs och att de säkerhetsåtgärder som införts fortsätter att uppfylla de grundläggande principer och de minimistandarder som man kommit överens om.

5. Inom kommissionen ska den registreringsenhet för säkerhetsskyddsklassificerade EU-uppgifter som förvaltas av generalsekretariatet som regel fungera som huvudsaklig kontaktpunkt för in- och utförsel när det gäller utbyte av säkerhetsskyddsklassificerade uppgifter med andra av unionens institutioner, byråer, organ och kontor. När det av säkerhetsskäl eller av organisatoriska eller operativa skäl är mer lämpligt för att skydda säkerhetsskyddsklassificerade EU-uppgifter, ska lokala registreringsenheter för säkerhetsskyddsklassificerade EU-uppgifter, som inrättats inom kommissionens avdelningar i enlighet med detta beslut och dess tillämpningsföreskrifter, fungera som kontaktpunkt för in- och utförsel för säkerhetsskyddsklassificerade uppgifter rörande frågor som omfattas av de berörda kommissionsavdelningarnas behörighet.

6. Kommissionens grupp av säkerhetsexperter ska underrättas om ingåendet av administrativa arrangemang i enlighet med punkt 2.

Artikel 53

Utbyte av säkerhetsskyddsklassificerade EU-uppgifter med medlemsstater

1. Säkerhetsskyddsklassificerade EU-uppgifter får utbytas med och lämnas ut till medlemsstater under förutsättning att dessa skyddar uppgifterna i enlighet med de krav som gäller för säkerhetsskyddsklassificerade uppgifter med en nationell säkerhetsskyddsklassificering på motsvarande nivå i enlighet med jämförelsetabellen för säkerhetsskyddsklassificeringsnivåer i bilaga I.

2. Om medlemsstaterna för in säkerhetsskyddsklassificerade uppgifter med en nationell säkerhetsklassificering i kommissionens strukturer eller nät, ska kommissionen skydda uppgifterna i enlighet med kraven för säkerhetsskyddsklassificerade EU-uppgifter på motsvarande nivå i enlighet med jämförelsetabellen för säkerhetsskyddsklassificeringsnivåer i bilaga I.

Artikel 54

Utbyte av säkerhetsskyddsklassificerade EU-uppgifter med tredjestater och internationella organisationer

1. När kommissionen fastställer att det finns ett långsiktigt behov av utbyte av säkerhetsskyddsklassificerade uppgifter med tredjestater eller internationella organisationer, ska nödvändiga åtgärder vidtas för att inrätta en lämplig rättslig eller administrativ ram för detta ändamål, vilket kan inbegripa informationssäkerhetsavtal eller administrativa överenskommelser som ingåtts i enlighet med relevanta regler.

2. Sådana informationssäkerhetsavtal och administrativa arrangemang som avses i punkt 1 ska innehålla bestämmelser som sörjer för att säkerhetsskyddsklassificerade EU-uppgifter som tredjestater eller internationella organisationer får, skyddas på ett sätt som är lämpligt med avseende på deras säkerhetsskyddsklassificeringsnivå och enligt minimistandarder som motsvarar de som fastställs i detta beslut.

3. Kommissionen får ingå administrativa arrangemang i enlighet med artikel 56 om säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter generellt inte är högre än RESTREINT UE/EU RESTRICTED.

4. Sådana administrativa överenskommelser om utbyte av säkerhetsskyddsklassificerade uppgifter som avses i punkt 3 ska innehålla bestämmelser som sörjer för att säkerhetsskyddsklassificerade EU-uppgifter som tredjestater eller internationella organisationer mottar skyddas på ett sätt som är lämpligt med avseende på deras säkerhetsskyddsklassificeringsnivå och i enlighet med minimistandarder som motsvarar de som fastställs i detta beslut. Kommissionens grupp av säkerhetsexperter ska höras om ingåendet av informationssäkerhetsavtal eller administrativa arrangemang.

5. Beslutet att lämna ut säkerhetsskyddsklassificerade EU-uppgifter med upphov i kommissionen till en tredjestat eller internationell organisation ska fattas av berörd kommissionsavdelning, i egenskap av upphovsman inom kommissionen till uppgifterna, från fall till fall med hänsyn till uppgifternas natur och innehåll, mottagarens behovsenliga behörighet och den fördel som unionen vinner därigenom. Om det inte är kommissionen som är upphovsman till de säkerhetsskyddsklassificerade uppgifterna, och kommissionens inte heller är upphovsman till eventuellt källmaterial de kan innehålla, ska den kommissionsavdelning som innehar de säkerhetsskyddsklassificerade uppgifterna först söka upphovsmannens skriftliga medgivande till att lämna ut uppgifterna. Om upphovsmannen inte kan fastställas ska den kommissionsavdelning som innehar dessa säkerhetsskyddsklassificerade uppgifter överta upphovsmannens ansvar efter samråd med kommissionens grupp av säkerhetsexperter.

Artikel 55

Informationssäkerhetsavtal

1. Informationssäkerhetsavtal med tredjeländer eller internationella organisationer ska ingås i enlighet med artikel 218 i EUF-fördraget.

2. Informationssäkerhetsavtal ska

a)	fastställa grundprinciper och miniminormer för utbyte av säkerhetsskyddsklassificerade uppgifter mellan unionen och en tredjestat eller internationell organisation,

innehålla tekniska genomförandebestämmelser som ska godkännas av behöriga säkerhetsmyndigheter vid relevanta unionsinstitutioner och -organ och den berörda tredjestatens eller internationella organisationens behöriga säkerhetsmyndighet; sådana bestämmelser ska ta hänsyn till den skyddsnivå som erbjuds genom befintliga säkerhetsbestämmelser, säkerhetsstrukturer och säkerhetsförfaranden i den berörda tredjestaten eller internationella organisationen,

c)	innehålla bestämmelser om huruvida det, innan säkerhetsskyddsklassificerade uppgifter lämnas ut i enlighet med avtalet, ska bekräftas att den mottagande parten på lämpligt sätt kan skydda säkerhetsskyddsklassificerade uppgifter som lämnas ut till den.

3. När ett behov av att utbyta säkerhetsskyddsklassificerad information har fastställts i enlighet med artikel 51.1 ska kommissionen i lämpliga fall samråda med utrikestjänsten, rådets generalsekretariat och andra unionsinstitutioner och unionsorgan i syfte att avgöra om en rekommendation enligt artikel 218.3 i EUF-fördraget bör avges.

4. Säkerhetsskyddsklassificerade EU-uppgifter får inte utbytas i elektronisk form, såvida detta inte uttryckligen föreskrivs i informationssäkerhetsavtalet eller i de tekniska genomförandebestämmelserna.

5. Inom kommissionen ska den registreringsenhet för säkerhetsskyddsklassificerade EU-uppgifter som förvaltas av generalsekretariatet som regel fungera som huvudsaklig kontaktpunkt för in- och utpassering när det gäller utbyte av säkerhetsskyddsklassificerade uppgifter med tredjestater och internationella organisationer. När det av säkerhetsskäl eller av organisatoriska eller operativa skäl är mer lämpligt för att skydda säkerhetsskyddsklassificerade EU-uppgifter, ska lokala registreringsenheter för säkerhetsskyddsklassificerade EU-uppgifter, som inrättats inom kommissionens avdelningar i enlighet med detta beslut och dess tillämpningsföreskrifter, fungera som kontaktpunkt för in- och utpassering för säkerhetsskyddsklassificerade uppgifter rörande frågor som omfattas av de berörda kommissionsavdelningarnas behörighet.

6. För att bedöma ändamålsenligheten av säkerhetsbestämmelserna, säkerhetsstrukturerna och säkerhetsförfarandena i den berörda tredjestaten eller internationella organisationen ska kommissionen, i samarbete med andra av unionens institutioner, byråer eller organ, delta i utvärderingsbesök, i samförstånd med den berörda tredjestaten eller internationella organisationen. Sådana utvärderingsbesök ska utvärdera

a)	det regelverk som ska tillämpas för skyddet av säkerhetsskyddsklassificerade uppgifter,

b)	eventuella särdrag i säkerhetsstrategin och metoderna för organisering av säkerheten i tredjestaten eller den internationella organisationen som kan påverka säkerhetsskyddsklassificeringsnivån för de säkerhetsskyddsklassificerade uppgifter som får utbytas,

c)	de säkerhetsåtgärder och säkerhetsförfaranden som faktiskt har införts, och

d)	förfarandena för säkerhetsprövning motsvarande säkerhetsskyddsklassificeringsnivån för de säkerhetsskyddsklassificerade EU-uppgifter som ska lämnas ut.

Artikel 56

Administrativa överenskommelser

1. När det, inom en unionspolitisk eller unionsrättslig ram, föreligger ett långsiktigt behov av att utbyta säkerhetsskyddsklassificerade uppgifter som i regel inte ligger över säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED med en tredjestat eller internationell organisation, och när kommissionens säkerhetsmyndighet, efter samråd med kommissionens grupp av säkerhetsexperter, har fastställt särskilt att den parten inte har ett tillräckligt utvecklat säkerhetssystem för att ingå ett informationssäkerhetsavtal, får kommissionen besluta om att ingå ett administrativt arrangemang med de berörda myndigheterna i tredjestaten eller den internationella organisationen i fråga.

2. Sådana administrativa arrangemang ska i princip ha formen av en skriftväxling.

3. Ett utvärderingsbesök ska genomföras före ingåendet av avtalet. Kommissionen grupp av säkerhetsexperter ska underrättas om resultatet av utvärderingsbesöket. Om det finns exceptionella skäl för ett brådskande utbyte av säkerhetsskyddsklassificerade uppgifter, får säkerhetsskyddsklassificerade EU-uppgifter lämnas ut under förutsättning att alla ansträngningar görs för att genomföra ett utvärderingsbesök snarast möjligt.

4. Inga säkerhetsskyddsklassificerade EU-uppgifter får utbytas på elektronisk väg, såvida detta inte uttryckligen föreskrivs i den administrativa överenskommelsen.

Artikel 57

Ad hoc-utlämning av säkerhetsskyddsklassificerade EU-uppgifter i undantagsfall

1. Om inget informationssäkerhetsavtal eller administrativt arrangemang finns på plats, och om kommissionen eller någon av dess avdelningar slår fast att det, inom unionens politiska och rättsliga ramar, finns ett exceptionellt behov av att lämna ut säkerhetsskyddsklassificerade EU-uppgifter till en tredjestat eller en internationell organisation, ska kommissionens säkerhetsmyndighet i möjligaste mån kontrollera med säkerhetsmyndigheterna i den berörda tredjestaten eller internationella organisationen att dess säkerhetsbestämmelser, säkerhetsstrukturer och säkerhetsförfaranden garanterar att de säkerhetsskyddsklassificerade EU-uppgifter som kommer att lämnas ut till denna skyddas enligt standarder som är minst lika stränga som dem som fastställs i detta beslut.

2. Beslutet att lämna ut säkerhetsskyddsklassificerade EU-uppgifter till den berörda tredjestaten eller internationella organisationen ska, efter samråd med kommissionens grupp av säkerhetsexperter, fattas av kommissionen på grundval av ett förslag från den kommissionsledamot som ansvarar för säkerhetsfrågor.

3. Efter kommissionens beslut att lämna ut säkerhetsskyddsklassificerade EU-uppgifter ska den behöriga kommissionsavdelningen, med förbehåll för att upphovsmannen, inklusive upphovsmännen till källmaterial som uppgifterna kan innehålla, lämnar sitt skriftliga samtycke, översända uppgifterna i fråga, som ska vara försedda med en markering om att uppgifterna får lämnas ut samt om vilken tredjestat eller internationell organisation de har lämnats ut till. Före eller vid den faktiska utlämningen ska den berörda tredje parten skriftligen åta sig att skydda de mottagna säkerhetsskyddsklassificerade EU-uppgifterna i enlighet med de grundläggande principer och miniminormer som anges i detta beslut.

KAPITEL 8

SLUTBESTÄMMELSER

Artikel 58

Ersättande av föregående beslut

Genom detta beslut upphävs och ersätts kommissionens beslut 2001/844/EG, EKSG, Euratom (14).

Artikel 59

Säkerhetsskyddsklassificerade uppgifter som upprättats före ikraftträdandet av detta beslut

1. Alla säkerhetsskyddsklassificerade EU-uppgifter som klassificerats i enlighet med beslut 2001/844/EG, EKSG, Euratom ska även fortsättningsvis skyddas i enlighet med relevanta bestämmelser i det här beslutet.

2. Alla säkerhetsskyddsklassificerade uppgifter som innehades av kommissionen den dag då kommissionens beslut 2001/844/EG, EKSG, Euratom trädde i kraft, med undantag för säkerhetsskyddsklassificerade Euratom-uppgifter, ska

a)	om uppgifterna kommer från kommissionen, också fortsättningsvis anses ha omklassificerats automatiskt som RESTREINT UE, såvida inte upphovsmannen hade beslutat om att ge dem en annan klassificering senast den 31 januari 2002 och hade informerat alla adressater för dokumentet i fråga,

om uppupphovsmannen inte tillhör kommissionen, behålla den ursprungliga klassificeringen och således behandlas som säkerhetsskyddsklassificerade EU-uppgifter på motsvarande nivå, såvida inte upphovsmannen samtycker till hävande av säkerhetsskyddsklassificeringen eller inplacering på en lägre säkerhetsskyddsklassificeringsnivå.

Artikel 60

Tillämpningsföreskrifter och säkerhetsmeddelanden

Artikel 61

Ikraftträdande

Detta beslut träder i kraft dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Bryssel den 13 mars 2015.

På kommissionens vägnar

Jean-Claude JUNCKER

Ordförande

(1) Se överenskommelsen om säkerhet mellan Belgiens regering och Europaparlamentet, rådet, kommissionen, Europeiska ekonomiska och sociala kommittén, Regionkommittén och europeiska investeringsbanken av den 31 december 2004 (Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité), säkerhetsavtalet mellan kommissionen och Luxemburgs regering av den 20 januari 2007 (Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois) och avtalet mellan Italiens regering och Europeiska atomenergigemenskapen (Euratom) av den 22 juli 1959 (Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale).

(2) Kommissionens beslut 2002/47/EG, EKSG, Euratom av den 23 januari 2002 om ändring av dess arbetsordning (EGT L 21, 24.1.2002, s. 23).

(3) Kommissionens beslut 2004/563/EG, Euratom av den 7 juli 2004 om ändring av dess arbetsordning (EUT L 251, 27.7.2004, s. 9).

(4) Förordning (Euratom) nr 3 av den 31 juli 1958 om genomförandet av artikel 24 i fördraget om upprättandet av Europeiska atomenergigemenskapen (EGT 17, 6.10.1958, s. 406/58).

(5) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).

(6) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

(7) Rådets förordning (EEG, Euratom) nr 354/83 av den 1 februari 1983 om öppnandet för allmänheten av Europeiska ekonomiska gemenskapens och Europeiska atomenergigemenskapens historiska arkiv (EGT L 43, 15.2.1983, s. 1).

(8) Kommissionens beslut (EU, Euratom) 2015/443 av den 13 mars 2015 om säkerhet inom kommissionen (se sidan 41 i detta nummer av EUT).

(9) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (anställningsvillkor för övriga anställda) (EGT L 56, 4.3.1968, s. 1).

(10) Rådets förordning (EG, Euratom) nr 1700/2003 av den 22 september 2003 om ändring av förordning (EEG, Euratom) nr 354/83 om öppnandet för allmänheten av Europeiska ekonomiska gemenskapens och Europeiska atomenergigemenskapens historiska arkiv (EUT L 243, 27.9.2003, s. 1).

(11) K(2006) 3602 av den 16 augusti 2006 om säkerheten i de IT-system som används av Europeiska kommissionen.

(12) Europaparlamentets och rådets förordning (EU) nr 512/2014 av den 16 april 2014 om ändring av förordning (EU) nr 912/2010 om inrättande av en europeisk sjösäkerhetsbyrå (EUT L 150, 20.5.2014, s. 72).

(13) Rådets förordning (EG, Euratom) nr 1605/2002 av den 25 juni 2002 med budgetförordning för Europeiska gemenskapernas allmänna budget (EGT L 248, 16.9.2002, s. 1).

(14) Kommissionens beslut 2001/844/EG, EKSG, Euratom av den 29 november 2001 om ändring av de interna stadgarna (EGT L 317, 3.12.2001, s. 1).

BILAGA I

JÄMFÖRELSETABELL FÖR SÄKERHETSSKYDDSKLASSIFICERINGAR

EU	TRES SECRET UE/EU TOP SECRET	SECRET UE/EU SECRET	CONFIDENTIEL UE/EU CONFIDENTIAL	RESTREINT UE/EU RESTRICTED
EURATOM	EURA TOP SECRET	EURA SECRET	EURA CONFIDENTIAL	EURA RESTRICTED
Belgien	Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998)	Secret (Loi 11.12.1998) Geheim (Wet 11.12.1998)	Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998)	Se fotnot (1)
Bulgarien	Cтpoгo ceкретно	Ceкретно	Поверително	За служебно ползване
Republiken Tjeckien	Přísně tajné	Tajné	Důvěrné	Vyhrazené
Danmark	Yderst hemmeligt	Hemmeligt	Fortroligt	Til tjenestebrug
Tyskland	Streng geheim	Geheim	VS (2) – Vertraulich	VS – Nur für den Dienstgebrauch
Estland	Täiesti salajane	Salajane	Konfidentsiaalne	Piiratud
Irland	Top Secret	Secret	Confidential	Restricted
Grekland	Άκρως Απόρρητο Abr: ΑΑΠ	Απόρρητο Abr: (ΑΠ)	Εμπιστευτικό Αbr: (ΕΜ)	Περιορισμένης Χρήσης Abr: (ΠΧ)
Spanien	Secreto	Reservado	Confidencial	Difusión Limitada
Frankrike	Très Secret Défense	Secret Défense	Confidentiel Défense	Se fotnot (3)
Kroatien	VRLO TAJNO	TAJNO	POVJERLJIVO	OGRANIČENO
Italien	Segretissimo	Segreto	Riservatissimo	Riservato
Cypern	Άκρως Απόρρητο Αbr: (ΑΑΠ)	Απόρρητο Αbr: (ΑΠ)	Εμπιστευτικό Αbr: (ΕΜ)	Περιορισμένης Χρήσης Αbr: (ΠΧ)
Lettland	Sevišķi slepeni	Slepeni	Konfidenciāli	Dienesta vajadzībām
Litauen	Visiškai slaptai	Slaptai	Konfidencialiai	Riboto naudojimo
Luxemburg	Très Secret Lux	Secret Lux	Confidentiel Lux	Restreint Lux
Ungern	”Szigorúan titkos!”	”Titkos!”	”Bizalmas!”	”Korlátozott terjesztésű!”
Malta	L-Ogħla Segretezza	Sigriet	Kunfidenzjali	Ristrett
Nederländerna	Stg. ZEER GEHEIM	Stg. GEHEIM	Stg. CONFIDENTIEEL	Dep. VERTROUWELIJK
Österrike	Streng Geheim	Geheim	Vertraulich	Eingeschränkt
Polen	Ściśle Tajne	Tajne	Poufne	Zastrzeżone
Portugal	Muito Secreto	Secreto	Confidencial	Reservado
Rumänien	Strict secret de importanță deosebită	Strict secret	Secret	Secret de serviciu
Slovenien	Strogo tajno	Tajno	Zaupno	Interno
Slovakien	Prísne tajné	Tajné	Dôverné	Vyhradené
Finland	ERITTÄIN SALAINEN YTTERST HEMLIG	SALAINEN HEMLIG	LUOTTAMUKSELLINEN KONFIDENTIELL	KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG
Sverige (4)	HEMLIG/TOP SECRET HEMLIG AV SYNNERLIG BETYDELSE FÖR RIKETS SÄKERHET	HEMLIG/SECRET HEMLIG	HEMLIG/CONFIDENTIAL HEMLIG	HEMLIG/RESTRICTED HEMLIG
Förenade kungariket	UK TOP SECRET	UK SECRET	Ingen motsvarighet (5)	UK OFFICIAL – SENSITIVE

(1) Diffusion Restreinte/Beperkte Verspreiding är inte en säkerhetsskyddsklassificering i Belgien. Belgien hanterar och skyddar uppgifter på nivån ”RESTREINT UE/EU RESTRICTED” på ett sätt som inte är mindre strängt är de standarder och förfaranden som beskrivs i Europeiska unionens råds säkerhetsbestämmelser.

(2) Tyskland: VS = Verschlusssache.

(3) Frankrike använder inte klassificeringen ”RESTREINT” i sitt nationella system. Frankrike hanterar och skyddar uppgifter på nivån ”RESTREINT UE/EU RESTRICTED” på ett sätt som inte är mindre strängt är de standarder och förfaranden som beskrivs i Europeiska unionens råds säkerhetsbestämmelser.

(4) Sverige: de övre säkerhetsklassificeringarna används av försvarsmyndigheter och de undre av andra myndigheter.

(5) Förenade kungariket hanterar och skyddar säkerhetsskyddsklassificerade EU-uppgifter på nivån CONFIDENTIEL UE/EU CONFIDENTIAL i enlighet med samma säkerhetskrav som gäller för UK SECRET.

BILAGA II

FÖRTECKNING OVER FÖRKORTNINGAR

Förkortning	Betydelse
CA	Kryptomyndighet
CAA	Kryptogodkännande myndighet
CCTV	Övervakningskameror
CDA	Kryptodistribueringsmyndighet
CIS	Kommunikations- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter
DSA	Utsedd säkerhetsmyndighet
EUCI	Säkerhetsskyddsklassificerade EU-uppgifter
FSC	Säkerhetsgodkännande av verksamhetsställe
IA	Informationssäkring
IAA	Myndighet för informationssäkring
IDS	System för upptäckt av intrång
IT	Informationsteknik
LSO	Lokalt säkerhetsansvarig
NSA	Nationell säkerhetsmyndighet
PSC	Personalsäkerhetsgodkännande
PSCC	Intyg om personalsäkerhetsgodkännande
PSI	Säkerhetsanvisningar för program eller projekt
RCO	Kontrolltjänsteman för register
SAA	Myndighet för säkerhetsackreditering
SAL	Säkerhetsskyddsöverenskommelse
SCG	Anvisningar för säkerhetsskyddsklassificering
SecOPs	Säkra driftsmetoder
TA	Tempestmyndighet
TFEU	Fördraget om Europeiska unionens funktionssätt

BILAGA III

FÖRTECKNING OVER NATIONELLA SÄKERHETSMYNDIGHETER

BELGIEN

Autorité nationale de Sécurité

SPF Affaires étrangères, Commerce extérieur et Coopération au Développement

rue des Petits Carmes 15

1000 Bruxelles

Tfn sekretariat: +32 25014542

Fax +32 25014596

E-post: nvo-ans@diplobel.fed.be

BULGARIEN

State Commission on Information Security

90 Cherkovna Str.

1505 Sofia

Tfn +359 29333600

Fax +359 29873750

E-post: dksi@government.bg

Internet: www.dksi.bg

REPUBLIKEN TJECKIEN

Národní bezpečnostní úřad

(National Security Authority)

Na Popelce 2/16

150 06 Praha 56

Tfn +420 257283335

Fax +420 257283110

E-post: czech.nsa@nbu.cz

Internet: www.nbu.cz

DANMARK

Politiets Efterretningstjeneste

(Danish Security Intelligence Service)

Klausdalsbrovej 1

2860 Søborg

Tfn +45 33148888

Fax +45 33430190

Forsvarets Efterretningstjeneste

(Danish Defence Intelligence Service)

Kastellet 30

2100 Copenhagen Ø

Tfn +45 33325566

Fax +45 33931320

TYSKLAND

Bundesministerium des Innern

Referat ÖS III 3

Alt-Moabit 101 D

11014 Berlin

Tfn +49 30186810

Fax +49 30186811441

E-post: oesIII3@bmi.bund.de

ESTLAND

National Security Authority Department

Estonian Ministry of Defence

Sakala 1

15094 Tallinn

Tfn +372 7170113 0019, +372 7170117

Fax +372 7170213

E-post: nsa@mod.gov.ee

GREKLAND

Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ)

Διακλαδική Διεύθυνση Στρατιωτικών Πληροφοριών (ΔΔΣΠ)

Διεύθυνση Ασφαλείας και Αντιπληροφοριών

ΣΤΓ 1020 -Χολαργός (Αθήνα)

Ελλάδα

Τηλ.: +30 2106572045 (ώρες γραφείου)

+ 30 2106572009 (ώρες γραφείου)

Φαξ: +30 2106536279; + 30 2106577612

Hellenic National Defence General Staff (HNDGS)

Military Intelligence Sectoral Directorate

Security Counterintelligence Directorate

GR-STG 1020 Holargos – Athens

Tfn +30 2106572045

+ 30 2106572009

Fax +30 2106536279, +30 2106577612

SPANIEN

Autoridad Nacional de Seguridad

Oficina Nacional de Seguridad

Avenida Padre Huidobro s/n

28023 Madrid

Tfn +34 913725000

Fax +34 913725808

E-post: nsa-sp@areatec.com

FRANKRIKE

Secrétariat général de la défense et de la sécurité nationale

Sous-direction Protection du secret (SGDSN/PSD)

51 Boulevard de la Tour-Maubourg

75700 Paris 07 SP

Tfn +33 171758177

Fax + 33 171758200

KROATIEN

Office of the National Security Council

Croatian NSA

Jurjevska 34

HR-10000 Zagreb

Tfn +385 14681222

Fax + 385 14686049

Internet: www.uvns.hr

IRLAND

National Security Authority

Department of Foreign Affairs

76–78 Harcourt Street

Dublin 2

Tfn +353 14780822

Fax +353 14082959

ITALIEN

Presidenza del Consiglio dei Ministri

D.I.S. – U.C.Se.

Via di Santa Susanna, 15

00187 Roma

Tfn +39 0661174266

Fax +39 064885273

CYPERN

ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ

ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ

Εθνική Αρχή Ασφάλειας (ΕΑΑ)

Υπουργείο Άμυνας

Λεωφόρος Εμμανουήλ Ροΐδη 4

1432 Λευκωσία, Κύπρος

Τηλέφωνα: +357 22807569, +357 22807643,

+357 22807764

Τηλεομοιότυπο: +357 22302351

Ministry of Defence

Minister's Military Staff

National Security Authority (NSA)

4 Emanuel Roidi street

1432 Nicosia

Tfn +357 22807569, +357 22807643,

+357 22807764

Fax +357 22302351

E-post: cynsa@mod.gov.cy

LETTLAND

National Security Authority

Constitution Protection Bureau of the Republic of Latvia

P.O.Box 286

LV-1001 Riga

Tfn +371 67025418

Fax +371 67025454

E-post: ndi@sab.gov.lv

LITAUEN

Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija

(The Commission for Secrets Protection Coordination of the Republic of Lithuania National Security Authority)

Gedimino 40/1

LT-01110 Vilnius

Tfn +370 70666701, +370 70666702

Fax +370 70666700

E-post: nsa@vsd.lt

LUXEMBURG

Autorité nationale de Sécurité

Boîte postale 2379

1023 Luxembourg

Tfn +352 24782210 central

+352 24782253 direct

Fax +352 24782243

UNGERN

Nemzeti Biztonsági Felügyelet

(National Security Authority of Hungary)

H-1024 Budapest, Szilágyi Erzsébet fasor 11/B

Tfn +36 17952303

Fax +36 17950344

Postadress:

1357 Budapest, PO Box 2

E-post: nbf@nbf.hu

Internet: www.nbf.hu

MALTA

Ministry for Home Affairs and National Security

P.O. Box 146

MT-Valletta

Tfn +356 21249844

Fax +356 25695321

NEDERLÄNDERNA

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Postbus 20010

2500 EA Den Haag

Tel.: +31 703204400

Fax +31 703200733

Ministerie van Defensie

Beveiligingsautoriteit

Postbus 20701

2500 ES Den Haag

Tfn +31 703187060

Fax +31 703187522

ÖSTERRIKE

Informationssicherheitskommission

Bundeskanzleramt

Ballhausplatz 2

1014 Wien

Tfn +43 1531152594

Fax +43 1531152615

E-post: ISK@bka.gv.at

POLEN

Agencja Bezpieczeństwa Wewnętrznego – ABW

(Internal Security Agency)

2A Rakowiecka St.

00-993 Warszawa

Tfn +48 225857944

Fax +48 225857443

E-post: nsa@abw.gov.pl

Internet: www.abw.gov.pl

PORTUGAL

Presidência do Conselho de Ministros

Autoridade Nacional de Segurança

Rua da Junqueira, 69

1300-342 Lisboa

Tfn +351 213031710

Fax +351 213031711

RUMÄNIEN

Oficiul Registrului Național al Informațiilor Secrete de Stat

(Romanian NSA – ORNISS National Registry Office for Classified Information)

4 Mures Street

012275 Bucharest

Tfn +40 212245830

Fax +40 212240714

E-post: nsa.romania@nsa.ro

Internet: www.orniss.ro

SLOVENIEN

Urad Vlade RS za varovanje tajnih podatkov

Gregorčičeva 27

SI-1000 Ljubljana

Tfn +386 14781390

Fax +386 14781399

E-post: gp.uvtp@gov.si

SLOVAKIEN

Národný bezpečnostný úrad

(National Security Authority)

Budatínska 30

P.O. Box 16

850 07 Bratislava

Tfn +421 268692314

Fax +421 263824005

Internet: www.nbusr.sk

FINLAND

National Security Authority

Ministry for Foreign Affairs

P.O. Box 453

FI-00023 Government

Tfn 16055890

Fax +358 916055140

E-post: NSA@formin.fi

SVERIGE

Utrikesdepartementet

(Ministry for Foreign Affairs)

SSSB

SE-103 39 Stockholm

Tfn +46 84051000

Fax +46 87231176

E-post: ud-nsa@foreign.ministry.se

FÖRENADE KUNGARIKET

UK National Security Authority

Room 335, 3rd Floor

70 Whitehall

London

SW1A 2AS

Tfn 1: +44 2072765649

Tfn 2: +44 2072765497

Fax +44 2072765651

E-post: UK-NSA@cabinet-office.x.gsi.gov.uk

		ISSN 1977-0820
Europeiska unionens officiella tidning		L 72

Svensk utgåva	Lagstiftning	58 årgången 17 mars 2015

Innehållsförteckning		II Icke-lagstiftningsakter	Sida
		FÖRORDNINGAR
		Kommissionens genomförandeförordning (EU) 2015/434 av den 16 mars 2015 om fastställande av schablonimportvärden för bestämning av ingångspriset för vissa frukter och grönsaker	1
		BESLUT
	*	Europaparlamentets och rådets beslut (EU) 2015/435 av den 17 december 2014 om utnyttjande av marginalen för oförutsedda utgifter	4
	*	Europaparlamentets och rådets beslut (EU) 2015/436 av den 17 december 2014 om utnyttjande av Europeiska unionens solidaritetsfond	6
	*	Europaparlamentets och rådets beslut (EU) 2015/437 av den 17 december 2014 om utnyttjande av Europeiska unionens solidaritetsfond	7
	*	Rådets beslut (EU) 2015/438 av den 2 mars 2015 om fastställande av den ståndpunkt som ska intas på Europeiska unionens vägnar i den gemensamma kommitté som inrättats enligt avtalet mellan Europeiska unionen och Ukraina om förenklat utfärdande av viseringar med avseende på antagandet av gemensamma riktlinjer för genomförande av avtalet	8
	*	Rådets beslut (Gusp) 2015/439 av den 16 mars 2015 om förlängning av uppdraget för Europeiska unionens särskilda representant för Sahel	27
	*	Rådets beslut (Gusp) 2015/440 av den 16 mars 2015 om förlängning av uppdraget för Europeiska unionens särskilda representant för Afrikas horn	32
	*	Rådets beslut (Gusp) 2015/441 av den 16 mars 2015 om ändring och förlängning av beslut 2010/96/Gusp om Europeiska unionens militära uppdrag i syfte att bidra till utbildning av somaliska säkerhetsstyrkor	37
	*	Rådets beslut (Gusp) 2015/442 av den 16 mars 2015 om inledande av Europeiska unionens militära rådgivande GSFP-uppdrag i Centralafrikanska republiken (Eumam RCA) och om ändring av beslut (Gusp) 2015/78	39
	*	Kommissionens beslut (EU, Euratom) 2015/443 av den 13 mars 2015 om säkerhet inom kommissionen	41
	*	Kommissionens beslut (EU, Euratom) 2015/444 av den 13 mars 2015 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter	53

(euro/100 kg)
KN-nummer	Kod för tredjeland (1)	Schablonimportvärde
0702 00 00	EG	65,8
	MA	84,9
	TR	86,4
	ZZ	79,0
0707 00 05	JO	229,9
	MA	183,9
	TR	185,1
	ZZ	199,6
0709 93 10	MA	119,5
	TR	192,4
	ZZ	156,0
0805 10 20	EG	45,8
	IL	72,7
	MA	56,7
	TN	57,3
	TR	63,6
	ZZ	59,2
0805 50 10	TR	61,4
0805 50 10	ZZ	61,4
0808 10 80	BR	70,9
	CA	81,0
	CL	100,9
	CN	91,1
	MK	25,2
	US	166,1
	ZZ	89,2
0808 30 90	AR	112,0
	CL	133,2
	US	124,8
	ZA	103,5
	ZZ	118,4