1.

Denna bilaga innehåller tillämpningsbestämmelser för artikel 7. Den anger kriterier för att fastställa huruvida en person i fråga om lojalitet, tillförlitlighet och pålitlighet kan ges behörighet att ha tillgång till säkerhetsskyddsklassificerade EU-uppgifter och vilka utredningsförfaranden och administrativa förfaranden som ska tillämpas för detta ändamål.

2.

En person får beviljas tillgång till säkerhetsskyddsklassificerade uppgifter när

3.

Varje medlemsstat och generalsekretariatet ska fastställa vilka befattningar i deras organisationer som kräver tillgång till uppgifter som placerats på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre och därför kräver säkerhetsgodkännande upp till respektive nivå.

4.

Nationella säkerhetsmyndigheter eller andra behöriga nationella myndigheter ska, efter att ha mottagit en vederbörligen godkänd begäran, ansvara för att de av deras medborgare som behöver ha tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre säkerhetsprövas. Prövningsnormerna ska motsvara nationella lagar och andra författningar för att utfärda ett personalsäkerhetsgodkännande eller lämna en bedömning om att personen kan ges behörighet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter, i förekommande fall.

5.

Om den berörda personen är bosatt på en annan medlemsstats eller på en tredjestats territorium, ska de behöriga nationella myndigheterna begära bistånd från den behöriga myndigheten i bosättningsstaten i enlighet med nationella lagar och andra författningar. Medlemsstaterna ska bistå varandra med att genomföra säkerhetsutredningar i enlighet med nationella lagar och andra författningar.

6.

Där så är möjligt enligt nationella lagar och andra författningar får nationella säkerhetsmyndigheter eller andra behöriga myndigheter göra en prövning av utländska medborgare som behöver ha tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre. Prövningsnormerna ska motsvara nationella lagar och andra författningar.

7.

En persons lojalitet, tillförlitlighet och pålitlighet för säkerhetsgodkännande för tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre ska fastställas genom en säkerhetsprövning. Den behöriga nationella myndigheten ska göra en samlad bedömning med utgångspunkt i resultatet av en sådan prövning. Huvudkriterierna för detta är bland annat, om möjligt i enlighet med nationella lagar och andra författningar, att pröva om personen

8.

När det är lämpligt, och i enlighet med nationella lagar och andra författningar, kan även en persons ekonomiska och medicinska bakgrund tas med i bedömningen i samband med säkerhetsprövningen.

9.

I tillämpliga fall, och i överensstämmelse med nationella lagar och andra författningar, kan även makes eller makas, sambos eller nära familjemedlems beteende och situation anses av intresse i samband med säkerhetsprövningen.

10.

Det inledande säkerhetsgodkännandet för tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och SECRET UE/EU SECRET ska grundas på en säkerhetsprövning som omfattar minst de senaste fem åren eller perioden från 18 års ålder fram till dagens datum, beroende på vilken period som är kortast, och som ska omfatta

11.

Det inledande säkerhetsgodkännandet för tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET ska grundas på en säkerhetsprövning omfattande minst de senaste tio åren, eller perioden från 18 års ålder fram till dagens datum, beroende på vilken period som är kortast. Om intervjuer genomförs enligt led e nedan ska undersökningarna omfatta minst sju år, eller perioden från 18 års ålder fram till dagens datum, beroende på vilken period som är kortast. Förutom de kriterier som anges i punkt 7 ovan ska följande sakförhållanden, så långt det är möjligt enligt nationella lagar och andra författningar, undersökas innan ett personalsäkerhetsgodkännande beviljas för TRÈS SECRET UE/EU TOP SECRET. De kan också undersökas innan ett sådant säkerhetsgodkännande beviljas för CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET PSC om detta fastställs i nationella lagar och andra författningar.

12.

Kompletterande undersökningar ska genomföras vid behov och i enlighet med nationella lagar och andra författningar för att ta fram alla tillgängliga relevanta uppgifter om personen och för att bestyrka eller vederlägga negativa uppgifter.

13.

Efter det ursprungliga beviljandet av säkerhetsgodkännandet och under förutsättning att personen har haft oavbruten tjänst inom en nationell förvaltning eller vid generalsekretariatet och har ett fortsatt behov av tillgång till säkerhetsskyddsklassificerade EU-uppgifter, ska säkerhetsgodkännandet granskas och förnyas minst vart femte år för ett godkännande som gäller TRÈS SECRET UE/EU TOP SECRET och vart tionde år för godkännanden som gäller SECRET UE/EU SECRET och CONFIDENTIEL UE/EU CONFIDENTIAL, med början från dagen för meddelandet om resultatet av den senaste säkerhetsprövning på vilken det grundas. Alla säkerhetsutredningar som gäller förnyelse av säkerhetsgodkännande ska omfatta hela perioden sedan den förra prövningen.

14.

För förnyelse av säkerhetsgodkännande ska de faktorer som anges i punkterna 10 och 11 undersökas.

15.

Begäran om förnyelse ska lämnas i god tid med tanke på den tid som krävs för säkerhetsprövningar. Om den berörda ansvariga nationella säkerhetsmyndigheten eller annan behörig nationell myndighet har mottagit den relevanta begäran om förnyelse med tillhörande frågeformulär om personalsäkerhet innan säkerhetsgodkännandet löper ut, och den nödvändiga säkerhetsprövningen inte har slutförts, får den behöriga nationella myndigheten trots det förlänga giltighetstiden för det befintliga säkerhetsgodkännandet med högst tolv månader om detta är tillåtet enligt nationella lagar och andra författningar. Om säkerhetsprövningen ännu inte har slutförts vid utgången av denna tolvmånadersperiod, ska personen tilldelas uppgifter som inte kräver säkerhetsgodkännande.

16.

För generalsekretariatets tjänstemän och övriga anställda ska generalsekretariatets säkerhetsmyndighet översända det ifyllda frågeformuläret om personalsäkerhet till den nationella säkerhetsmyndigheten i den medlemsstat där personen är medborgare med en begäran om att en säkerhetsprövning genomförs för den säkerhetsskyddsklassificeringsnivå för säkerhetsskyddsklassificerade EU-uppgifter som personen kommer att behöva ha tillgång till.

17.

När generalsekretariatet får kännedom om information som är relevant för en säkerhetsprövning och som avser en person som har ansökt om ett säkerhetsgodkännande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter, ska det i enlighet med tillämpliga bestämmelser meddela relevant nationell säkerhetsmyndighet detta.

18.

Efter det att säkerhetsprövningen har slutförts, ska den relevanta nationella säkerhetsmyndigheten meddela generalsekretariatets säkerhetsmyndighet resultatet av prövningen med användning av det standardformat som säkerhetskommittén föreskriver för detta.

19.

Säkerhetsprövningen, och de resultat som framkommit, ska omfattas av gällande relevanta lagar och andra författningar i den berörda medlemsstaten, även i fråga om överklagande. Beslut som har fattats av generalsekretariatets tillsättningsmyndighet ska kunna överklagas i enlighet med tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkoren för övriga anställda i Europeiska unionen, som fastställts i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (1) (nedan kallade tjänsteföreskrifterna och anställningsvillkoren).

20.

Nationella experter som har avdelats till generalsekretariatet för en tjänst som kräver tillgång till säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre ska för generalsekretariatets säkerhetsmyndighet uppvisa ett giltigt personalsäkerhetsgodkännande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter innan de tillträder sin tjänst, utifrån vilket tillsättningsmyndigheten ska bevilja behörighet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter.

21.

Generalsekretariatet kommer att godta behörighet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter som beviljats av någon annan av unionens institutioner, organ eller byråer, så länge denna fortfarande gäller. Behörigheten kommer att omfatta den berörda personens samtliga uppdrag inom generalsekretariatet. Den unionsinstitution, det unionsorgan eller den unionsbyrå där personen tillträder sin tjänst kommer att meddela relevant nationell säkerhetsmyndighet om bytet av arbetsgivare.

22.

Om en persons tjänstgöringstid inte börjar inom tolv månader efter det att resultatet av säkerhetsprövningen meddelats generalsekretariatets tillsättningsmyndighet, eller om det uppstår ett avbrott på tolv månader i personens tjänstgöring, och vederbörande under tiden inte har varit anställd vid generalsekretariatet eller i en tjänst i någon medlemsstats nationella förvaltning, ska resultatet överlämnas till den berörda nationella säkerhetsmyndigheten för bekräftelse av att det fortfarande är giltigt och tillämpligt.

23.

När generalsekretariatet får kännedom om en säkerhetsrisk som avser en person med behörighet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter, ska det i enlighet med tillämpliga bestämmelser meddela detta till den relevanta nationella säkerhetsmyndigheten och får tillfälligt neka tillgång till säkerhetsskyddsklassificerade EU-uppgifter eller återkalla behörigheten för tillgång till säkerhetsskyddsklassificerade EU-uppgifter.

24.

Om en nationell säkerhetsmyndighet meddelar generalsekretariatet att det inte längre finns stöd för den positiva bedömning som gjorts i överensstämmelse med punkt 18 a av en person med behörighet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter får generalsekretariatets tillsättningsmyndighet be den behöriga nationella säkerhetsmyndigheten om ytterligare klargöranden i överensstämmelse med nationella lagar och andra författningar. Om de negativa uppgifterna bekräftas ska behörigheten återkallas och personen ska uteslutas från tillgång till säkerhetsskyddsklassificerade EU-uppgifter och från tjänster där sådan tillgång är möjlig eller personen i fråga kan äventyra säkerheten.

25.

Alla beslut om att återkalla eller tillfälligt upphäva behörigheten för tillgång till säkerhetsskyddsklassificerade EU-uppgifter för en tjänsteman eller annan anställd vid generalsekretariatet och i förekommande fall skälen till detta ska meddelas den berörda personen, som kan begära att bli hörd av tillsättningsmyndigheten. Information från en nationell säkerhetsmyndighet ska omfattas av gällande relevanta lagar och andra författningar i den berörda medlemsstaten, även i fråga om överklaganden. Beslut som har fattats av generalsekretariatets tillsättningsmyndighet ska kunna överklagas i enlighet med tjänsteföreskrifterna och anställningsvillkoren.

26.

Register över personalsäkerhetsgodkännanden och behörigheter som beviljats för tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre ska föras av varje medlemsstat respektive av generalsekretariatet. Dessa register ska åtminstone omfatta uppgifter om vilken säkerhetsskyddsklassificeringsnivå för EU-uppgifter personen kan få tillgång till, datum för utfärdandet av säkerhetsgodkännandet och dess giltighetstid.

27.

Den behöriga säkerhetsmyndigheten får utfärda ett intyg om personalsäkerhetsgodkännande som visar vilken säkerhetsskyddsklassificeringsnivå för säkerhetsskyddsklassificerade EU-uppgifter som personen kan få tillgång till (CONFIDENTIEL UE/EU CONFIDENTIAL eller högre), giltighetsdatum för relevant personalsäkerhetsgodkännande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter eller behörighet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter samt vilket datum själva intyget löper ut.

28.

Tillgången till säkerhetsskyddsklassificerade EU-uppgifter för personer i medlemsstaterna som i kraft av sina arbetsuppgifter vederbörligen bemyndigats att ha tillgång till dessa ska fastställas i enlighet med nationella lagar och andra författningar. Dessa personer ska informeras om sina säkerhetsåligganden när det gäller skyddet av säkerhetsskyddsklassificerade EU-uppgifter.

29.

Alla personer som har beviljats ett säkerhetsgodkännande ska skriftligen bekräfta att de känner till sina åligganden när det gäller skyddet av säkerhetsskyddsklassificerade EU-uppgifter och följderna av läckor av säkerhetsskyddsklassificerade EU-uppgifter. Ett register över sådana skriftliga bekräftelser ska vid behov föras av medlemsstaten och av generalsekretariatet.

30.

Alla som är behöriga att ha tillgång till eller som har till uppgift att hantera säkerhetsskyddsklassificerade EU-uppgifter ska inledningsvis göras medvetna om och regelbundet informeras om hot mot säkerheten, och de ska omedelbart rapportera misstänkta eller ovanliga kontakter eller aktiviteter till behöriga säkerhetsmyndigheter.

31.

Alla som slutar en anställning för vilken det krävs tillgång till säkerhetsskyddsklassificerade EU-uppgifter ska göras medvetna om och vid behov skriftligt bekräfta sina åligganden när det gäller det fortsatta skyddet av säkerhetsskyddsklassificerade EU-uppgifter.

32.

Där så är möjligt enligt nationella lagar och andra författningar får ett säkerhetsgodkännande som en medlemsstats behöriga nationella myndighet har beviljat för tillgång till nationella säkerhetsskyddsklassificerade uppgifter tillfälligt, i avvaktan på ett personalsäkerhetsgodkännande för tillgång till säkerhetsskyddsklassificerade EU-uppgifter, ge nationella tjänstemän tillgång till säkerhetsskyddsklassificerade EU-uppgifter upp till motsvarande sekretessgrad enligt jämförelsetabellen i tillägg B, om en sådan tillfällig tillgång är nödvändig i unionens intresse. De nationella säkerhetsmyndigheterna ska informera säkerhetskommittén om en sådan tillfällig tillgång till säkerhetsskyddsklassificerade EU-uppgifter inte är möjlig enligt nationella lagar och andra författningar.

33.

I brådskande fall får generalsekretariatets tillsättningsmyndighet, då detta är välmotiverat och i tjänstens intresse och i avvaktan på en fullständig säkerhetsprövning, efter samråd med den nationella säkerhetsmyndigheten i den medlemsstat där personen är medborgare och om inte annat följer av resultatet av de preliminära kontrollerna för att verifiera att inget negativt framkommit, ge generalsekretariatets tjänstemän och övriga anställda tillfällig behörighet att ha tillgång till säkerhetsskyddsklassificerade EU-uppgifter för en viss funktion. Sådana tillfälliga personalsäkerhetstillstånd ska vara giltiga under högst sex månader och får inte medge tillgång till information på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET. Alla personer som har beviljats tillfälligt personalsäkerhetstillstånd ska skriftligen bekräfta att de känner till sina åligganden när det gäller skyddet av säkerhetsskyddsklassificerade EU-uppgifter och följderna vid läckor av säkerhetsskyddsklassificerade EU-uppgifter. Ett register över sådana skriftliga bekräftelser ska föras av generalsekretariatet.

34.

När en person ska utnämnas till en tjänst för vilken det krävs ett säkerhetsgodkännande på en högre nivå än den personen för tillfället innehar, får utnämningen göras tillfällig under förutsättning att

35.

Ovannämnda förfarande ska användas för att vid ett enda tillfälle ge tillgång till säkerhetsskyddsklassificerade EU-uppgifter med högre säkerhetsskyddsklassificeringsnivå än den för vilken personen har säkerhetsprövats. Detta förfarande får inte upprepas.

36.

Under ytterst exceptionella omständigheter, exempelvis uppdrag i fientliga miljöer eller under perioder av stigande internationell spänning, får medlemsstaterna och generalsekreteraren i nödfall, särskilt för att rädda liv, om möjligt skriftligt, bevilja tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET för personer som inte innehar det säkerhetsgodkännande som krävs, under förutsättning att ett sådant tillstånd är absolut nödvändigt och det inte finns några rimliga tvivel beträffande personens lojalitet, tillförlitlighet och pålitlighet. Detta tillstånd ska registreras med en beskrivning av de uppgifter till vilka tillgång har godkänts.

37.

När det gäller uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET ska denna nödfallstillgång endast beviljas unionsmedborgare med behörighet att ha tillgång till antingen den nationella motsvarigheten till uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET eller till SECRET UE/EU SECRET.

38.

Säkerhetskommittén ska informeras om när förfarandet i punkterna 36 och 37 tillämpas.

39.

När lagar och andra författningar i en medlemsstat föreskriver strängare regler i fråga om tillfälliga tillstånd, tillfälliga uppdrag, enstaka tillgång eller nödfallstillgång till säkerhetsskyddsklassificerade uppgifter får förfarandet i detta avsnitt endast tillämpas inom ramen för de begränsningar som anges i tillämpliga nationella lagar och andra författningar.

40.

Säkerhetskommittén ska få en årlig rapport om användningen av de förfaranden som anges i detta avsnitt.

41.

Om inte annat följer av punkt 28 får personer som ska delta i möten i rådet eller dess förberedande organ när uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller högre diskuteras endast göra detta efter bekräftelse på att de har intyg om säkerhetsgodkännande. För delegater ska ett intyg om personalsäkerhetsgodkännande eller annat bevis på säkerhetsgodkännande lämnas av den behöriga nationella myndigheten till rådets säkerhetsavdelning eller i undantagsfall överlämnas av den berörda delegaten personligen. I tillämpliga fall får en konsoliderad namnförteckning användas där säkerhetsgodkännandet styrks på lämpligt sätt.

42.

Om ett personalsäkerhetsgodkännande av säkerhetsskäl återkallas för en person vars arbetsuppgifter kräver närvaro vid möten i rådet eller i dess förberedande organ, ska den behöriga myndigheten informera generalsekretariatet om detta.

43.

Kurirer, vakter och ledsagare ska säkerhetsprövas för respektive sekretessnivå eller prövade på annat lämpligt sätt i enlighet med nationella lagar och andra författningar samt informeras om säkerhetsförfaranden för skyddet av säkerhetsskyddsklassificerade EU-uppgifter och om sina åligganden att skydda den information som de har anförtrotts.

1.

Denna bilaga innehåller tillämpningsbestämmelser för artikel 8. Här fastställs minimikrav för fysiskt skydd av lokaler, byggnader, kontor, rum och andra utrymmen där säkerhetsskyddsklassificerade EU-uppgifter hanteras och förvaras, inklusive utrymmen där kommunikations- och informationssystem förvaras.

2.

Fysiska säkerhetsåtgärder ska utformas för att hindra obehörig tillgång till säkerhetsskyddsklassificerade EU-uppgifter genom att man

3.

Fysiska säkerhetsåtgärder ska väljas på grundval av en hotbedömning gjord av de behöriga myndigheterna. Generalsekretariatet och medlemsstaterna ska var för sig tillämpa ett riskhanteringsförfarande för skydd av säkerhetsskyddsklassificerade EU-uppgifter i sina egna lokaler för att garantera att det erbjuds en fysisk skyddsnivå som står i proportion till den bedömda risken. I samband med riskhanteringsprocessen ska alla relevanta faktorer beaktas, särskilt

4.

Den behöriga säkerhetsmyndigheten ska med tillämpning av begreppet flernivåförsvar fastställa en lämplig kombination av fysiska säkerhetsåtgärder som ska tillämpas. Det kan röra sig om någon eller några av följande åtgärder:

5.

Den behöriga myndigheten kan ha behörighet att i avskräckande syfte utföra kontroller vid in- eller utpassering mot otillåtet införande av material eller otillåtet bortförande av någon form av säkerhetsskyddsklassificerade EU-uppgifter från utrymmen eller byggnader.

6.

När det finns en risk för att utomstående kan se säkerhetsskyddsklassificerade EU-uppgifter, även oavsiktligt, ska lämpliga åtgärder vidtas för att bemöta denna risk.

7.

För nya anläggningar ska de fysiska säkerhetskraven och deras funktionsspecifikationer fastställas i samband med planeringen och utformningen av anläggningarna. För befintliga anläggningar ska de fysiska säkerhetskraven tillämpas i så stor utsträckning som möjligt.

8.

När den behöriga säkerhetsmyndigheten förvärvar utrustning (exempelvis säkerhetsskåp, dokumentförstörare, dörrlås, elektroniska system för kontroll av tillträde, system för upptäckt av intrång, larmsystem) för fysiskt skydd av säkerhetsskyddsklassificerade EU-uppgifter, ska den se till att utrustningen uppfyller godkända tekniska standarder och minimikrav.

9.

De tekniska specifikationerna för utrustning som ska användas för det fysiska skyddet av säkerhetsskyddsklassificerade EU-uppgifter ska fastställas i säkerhetsriktlinjer som ska godkännas av säkerhetskommittén.

10.

Säkerhetssystemen ska inspekteras med jämna mellanrum och utrustningen regelbundet underhållas. Vid underhållsarbetet ska inspektionsresultaten beaktas så att utrustningen fortsätter att hålla optimala prestanda.

11.

De enskilda säkerhetsåtgärdernas och det övergripande säkerhetssystemets ändamålsenlighet ska vid varje inspektion bedömas på nytt.

12.

Två slag av fysiskt skyddade utrymmen, eller nationella motsvarigheter, ska skapas för att fysiskt skydda säkerhetsskyddsklassificerade EU-uppgifter, nämligen

I detta beslut ska alla hänvisningar till administrativa och säkrade områden, inklusive tekniskt säkrade områden, även anses omfatta nationella motsvarigheter.

13.

Den behöriga säkerhetsmyndigheten ska fastställa att ett utrymme uppfyller kraven för att betecknas som administrativt utrymme, säkrat utrymme eller tekniskt säkrat utrymme.

14.

När det gäller administrativa utrymmen

15.

När det gäller säkrade utrymmen ska

16.

När tillträde till ett säkrat utrymme i praktiken innebär direkt tillgång till de säkerhetsskyddsklassificerade uppgifter som finns där, ska dessutom följande krav gälla:

17.

Säkrade utrymmen som skyddas mot avlyssning ska betecknas som tekniskt säkrade utrymmen. Dessutom ska följande krav gälla:

18.

Trots vad som sägs i punkt 17 d ska all slags kommunikationsutrustning och elektrisk eller elektronisk utrustning innan denna används i utrymmen där det hålls möten eller utförs arbete som omfattar uppgifter på säkerhetsskyddsklassificeringsnivån SECRET UE/EU SECRET och högre och där hotet mot säkerhetsskyddsklassificerade EU-uppgifter bedöms vara allvarligt, först undersökas av den behöriga säkerhetsmyndigheten som ska försäkra sig om att inga begripliga uppgifter oavsiktligt eller olagligt kan föras ut från det säkrade utrymmet genom sådan utrustning.

19.

Säkrade utrymmen där tjänstgörande personal inte vistas 24 timmar om dygnet ska, när så är lämpligt, inspekteras efter den normala arbetstidens slut och med slumpvis valda mellanrum utanför normal arbetstid, utom när system för upptäckt av intrång har installerats.

20.

Säkrade utrymmen och tekniskt säkrade utrymmen får tillfälligt inrättas inom ett administrativt utrymme för ett sekretessbelagt möte eller liknande ändamål.

21.

Säkra driftsmetoder ska utarbetas för varje säkrat utrymme där följande fastställs:

22.

Valv ska byggas inom det säkrade utrymmet. Väggarna, golven, taken, fönstren och de låsförsedda dörrarna ska godkännas av den behöriga nationella säkerhetsmyndigheten och erbjuda skydd motsvarande ett säkerhetsskåp som godkänts för förvaring av säkerhetsskyddsklassificerade EU-uppgifter med motsvarande sekretessgrad.

23.

Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får hanteras

24.

Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED ska förvaras i lämpliga låsbara kontorsmöbler i ett administrativt eller säkrat utrymme. De får tillfälligt lagras utanför ett säkrat eller administrativt utrymme, förutsatt att innehavaren har åtagit sig att följa de kompensationsåtgärder som anges i säkerhetsanvisningarna från den behöriga myndigheten.

25.

Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET får hanteras

26.

Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET ska förvaras i ett säkrat utrymme i antingen ett säkerhetsskåp eller ett valv.

27.

Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET ska hanteras i ett säkrat utrymme.

28.

Säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET ska förvaras i ett säkrat utrymme under något av följande förhållanden:

29.

Bestämmelserna om befordran av säkerhetsskyddsklassificerade EU-uppgifter utanför fysiskt säkrade utrymmen anges i bilaga III.

30.

Den behöriga säkerhetsmyndigheten ska fastställa förfaranden för hantering av nycklar och kombinationer för kontor, rum, valv och säkerhetsskåp. Dessa förfaranden ska skydda mot obehörig tillgång.

31.

Kombinationer ska memoreras av lägsta möjliga antal personer som behöver känna till dem. Kombinationer för säkerhetsskåp och valv avsedda för förvaring av säkerhetsskyddsklassificerade EU-uppgifter ska ändras

1.

Denna bilaga innehåller tillämpningsbestämmelser för artikel 9. I bilagan fastställs administrativa åtgärder för att kontrollera säkerhetsskyddsklassificerade EU-uppgifter genom deras hela livscykel för att avskräcka och upptäcka avsiktligt eller oavsiktligt röjande eller förlust av dessa uppgifter.

2.

Uppgifter ska säkerhetsskyddsklassificeras när deras konfidentialitet behöver skyddas.

3.

Den som är upphovsman till säkerhetsskyddsklassificerade EU-uppgifter ska vara ansvarig för fastställandet av uppgifternas säkerhetsskyddsklassificeringsnivå i enlighet med de relevanta riktlinjerna för säkerhetsskyddsklassificering och för den första spridningen av uppgifterna.

4.

Säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter ska fastställas i enlighet med artikel 2.2 och genom hänvisning till den säkerhetsstrategi som ska godkännas av rådet i enlighet med artikel 3.3.

5.

Säkerhetsskyddsklassificeringsnivån ska anges klart och korrekt, oberoende av huruvida de säkerhetsskyddsklassificerade EU-uppgifterna är i pappersform, muntlig, elektronisk eller någon annan form.

6.

Enstaka delar av en viss handling (dvs. sidor, stycken, avsnitt, bilagor, tillägg och annat bifogat material) kan kräva inplacering på en annan säkerhetsskyddsklassificeringsnivå och ska markeras i enlighet med detta, även när de förvaras i elektronisk form.

7.

Den övergripande säkerhetsskyddsklassificeringsnivån för en handling eller en datafil ska vara minst lika hög som den del som fått den högsta säkerhetsskyddsklassificeringsnivån. När uppgifter från olika källor sammanställs, ska den slutliga produkten ses över för att dess övergripande säkerhetsskyddsklassificeringsnivå ska kunna fastställas, eftersom den kan motivera en högre säkerhetsskyddsklassificeringsnivå än säkerhetsskyddsklassificeringsnivån för de enskilda delarna.

8.

I största möjliga utsträckning ska handlingar som innehåller delar på olika säkerhetsskyddsklassificeringsnivåer struktureras så att delar på olika säkerhetsskyddsklassificeringsnivå vid behov lätt kan identifieras och avskiljas.

9.

Ett brev eller en not som åtföljs av bifogade handlingar ska ha samma säkerhetsskyddsklassificeringsnivå som den högsta säkerhetsskyddsklassificeringsnivån hos bilagorna. Upphovsmannen ska tydligt ange på vilken nivå de ska säkerhetsskyddsklassificeras när de skilts från de bifogade handlingarna med hjälp av en lämplig markering, t.ex. följande:

CONFIDENTIEL UE/EU CONFIDENTIAL

Utan bilaga/bilagor RESTREINT UE/EU RESTRICTED

10.

Utöver de säkerhetsskyddsklassificeringsnivåer som anges i artikel 2.2 får säkerhetsskyddsklassificerade EU-uppgifter förses med ytterligare markeringar, till exempel följande:

11.

Standardiserade förkortade säkerhetsskyddsmarkeringar får användas för att ange säkerhetsskyddsklassificeringsnivån för enskilda stycken i en text. Förkortade säkerhetsskyddsmarkeringar får inte ersätta de fullständiga säkerhetsskyddsmarkeringarna.

12.

Följande standardförkortningar får användas i säkerhetsskyddsklassificerade EU-handlingar för att ange säkerhetsskyddsklassificeringsnivån för avsnitt eller textstycken vars storlek är mindre än en sida:

13.

När en säkerhetsskyddsklassificerad EU-handling upprättas ska

14.

Om det inte är möjligt att tillämpa punkt 13 på de säkerhetsskyddsklassificerade EU-uppgifterna ska andra lämpliga åtgärder vidtas i enlighet med säkerhetsriktlinjer som ska fastställas i enlighet med artikel 6.2.

15.

När uppgifterna skapas ska upphovsmannen om möjligt, särskilt när det gäller uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, ange huruvida de säkerhetsskyddsklassificerade EU-uppgifterna kan inplaceras på en lägre säkerhetsskyddsklassificeringsnivå eller beslut om att uppgifterna inte längre ska vara säkerhetsskyddsklassificerade kan meddelas vid en viss tidpunkt eller efter en särskild händelse.

16.

Generalsekretariatet och medlemsstaterna ska regelbundet se över säkerhetsskyddsklassificerade EU-uppgifter för att förvissa sig om att säkerhetsskyddsklassificeringsnivån fortfarande gäller. Generalsekretariatet ska inrätta ett system för att säkerställa att säkerhetsskyddsklassificeringsnivån för de säkerhetsskyddsklassificerade EU-uppgifter som det har givit upphov till ses över minst vart femte år. En sådan översyn är inte nödvändig om upphovsmannen redan från början har angett att uppgifterna automatiskt kommer att inplaceras på en lägre säkerhetsskyddsklassificeringsnivå eller att beslut om att uppgifterna inte längre behöver vara säkerhetsskyddsklassificerade kommer att meddelas och uppgifterna har märkts i enlighet med detta.

17.

För varje organisatorisk enhet inom generalsekretariatet och medlemsstaternas nationella förvaltningar där säkerhetsskyddsklassificerade EU-uppgifter hanteras ska det fastställas en ansvarig registreringsenhet i syfte att säkerställa att uppgifterna hanteras i enlighet med detta beslut. Registreringsenheterna ska inrättas som säkrade utrymmen enligt definitionen i bilaga II.

18.

I detta beslut avses med registrering för säkerhetsändamål (nedan kallat registrering) tillämpning av förfaranden som registrerar materialets livscykel, inbegripet dess spridning och förstöring.

19.

Allt material på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och högre ska registreras i de därför avsedda registren när de anländer till eller lämnar en organisatorisk enhet.

20.

Den centrala registreringsenheten vid generalsekretariatet ska föra ett register över alla säkerhetsskyddsklassificerade uppgifter som lämnas ut av rådet och generalsekretariatet till tredjestater och internationella organisationer, och över alla säkerhetsskyddsklassificerade uppgifter som tas emot från tredjestater eller internationella organisationer.

21.

När det gäller ett kommunikations- och informationssystem, får förfarandena utföras genom processer i själva kommunikations- och informationssystemet.

22.

Rådet ska godkänna en säkerhetsstrategi för registrering av säkerhetsskyddsklassificerade EU-uppgifter för säkerhetsändamål.

23.

En registreringsenhet ska utses i medlemsstaterna och generalsekretariatet för att fungera som central myndighet för mottagning och avsändning av uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET. Om det är nödvändigt får underenheter utses för att hantera sådana uppgifter för registreringsändamål.

24.

Sådana underenheter får inte överföra handlingar på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET direkt till andra underenheter som är underställda samma centrala registreringsenhet för TRÈS SECRET UE/EU TOP SECRET eller externt utan uttryckligt godkännande från det senare.

25.

Handlingar på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET får inte kopieras eller översättas utan föregående skriftligt medgivande från upphovsmannen.

26.

Om upphovsmannen till handlingar på säkerhetsskyddsklassificeringsnivån SECRET UE/EU SECRET och lägre inte har angett begränsning för kopiering eller översättning, får sådana handlingar kopieras eller översättas på uppdrag av innehavaren.

27.

De säkerhetsåtgärder som ska tillämpas på originaldokumentet ska även tillämpas på kopior och översättningar av detta.

28.

Befordran av säkerhetsskyddsklassificerade EU-uppgifter ska omfattas av skyddsåtgärderna i punkterna 30–41. När säkerhetsskyddsklassificerade EU-uppgifter befordras via elektroniska medier, och trots vad som sägs i artikel 9.4, får skyddsåtgärderna nedan kompletteras med lämpliga tekniska motåtgärder som föreskrivs av den behöriga säkerhetsmyndigheten för att minimera risken för att uppgifterna går förlorade eller röjs.

29.

De behöriga säkerhetsmyndigheterna i generalsekretariatet och i medlemsstaterna ska utfärda anvisningar för befordran av säkerhetsskyddsklassificerade EU-uppgifter i enlighet med detta beslut.

30.

Säkerhetsskyddsklassificerade EU-uppgifter som befordras inom en byggnad eller ett autonomt byggnadskomplex ska vara övertäckta så att det inte går att se innehållet.

31.

Inom en byggnad eller ett autonomt byggnadskomplex ska uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET befordras i ett förseglat kuvert försett med enbart adressatens namn.

32.

Säkerhetsskyddsklassificerade EU-uppgifter som befordras mellan byggnader eller lokaler inom unionen ska förpackas så att de skyddas från obehörigt röjande.

33.

Befordran av uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET inom unionen ska ske på något av följande sätt:

Vid befordran från en medlemsstat till en annan ska bestämmelserna i led c begränsas till att gälla uppgifter upp till säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får också befordras med nationella posttjänster eller kommersiella kurirtjänster. Kuririntyg krävs inte för befordran av sådana uppgifter.

35.

Material på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och SECRET UE/EU SECRET (t.ex. utrustning eller maskiner) som inte kan befordras på det sätt som avses i punkt 33 ska transporteras såsom frakt av kommersiella transportörer i enlighet med bilaga V.

36.

Fysisk befordran av uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET eller högre mellan byggnader eller lokaler inom unionen ska ske med militär-, regerings- eller diplomatkurir, när så är lämpligt.

37.

Säkerhetsskyddsklassificerade EU-uppgifter som befordras från unionen till en tredjestat ska förpackas så att de skyddas från obehörigt röjande.

38.

Fysisk befordran av uppgifter på en säkerhetsskyddsklassificeringsnivå upp till SECRET UE/EU SECRET från unionen till en tredjestat ska ske på något av följande sätt:

39.

Befordran av uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och SECRET UE/EU SECRET som unionen lämnat till en tredjestat eller internationell organisation ska uppfylla de relevanta bestämmelserna i ett informationssäkerhetsavtal eller en administrativ överenskommelse enligt artikel 13.2 a eller b.

40.

Uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED får också befordras med nationella posttjänster eller kommersiella kurirtjänster.

41.

Befordran av information på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET från unionen till en tredjestats territorium ska ske med militär- eller diplomatkurir.

42.

Säkerhetsskyddsklassificerade EU-uppgifter som inte längre behövs får destrueras, utan att det påverkar relevanta bestämmelser om arkivering.

43.

Handlingar som är föremål för registrering i enlighet med artikel 9.2 ska destrueras av den ansvariga registreringsenheten enligt innehavarens eller en behörig myndighets anvisningar. Diarier och andra registreringsuppgifter ska uppdateras i enlighet med detta.

44.

För handlingar på säkerhetsskyddsklassificeringsnivån SECRET UE/EU SECRET eller TRÈS SECRET UE/EU TOP SECRET ska förstöringen utföras i närvaro av ett vittne som har säkerhetsgodkänts för minst den säkerhetsskyddsklassificeringsnivå som anges på handlingen som ska destrueras.

45.

Registratorn och vittnet om den senares närvaro krävs, ska underteckna ett förstöringsintyg som ska arkiveras vid registreringsenheten. Registreringsenheten ska bevara förstöringsintyg för handlingar på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET i minst tio år och för handlingar på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL och SECRET UE/EU SECRET i minst fem år.

46.

Säkerhetsskyddsklassificerade handlingar, inklusive sådana på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, ska destrueras enligt metoder som uppfyller relevant unionsstandard eller likvärdiga standarder eller som har godkänts av medlemsstaterna i enlighet med nationella tekniska standarder för att hindra hel eller partiell rekonstruktion.

47.

Förstöring av lagringsmedier för datorer som använts för säkerhetsskyddsklassificerade EU-uppgifter ska ske i enlighet med punkt 37 i bilaga IV.

48.

I nödsituationer ska säkerhetsskyddsklassificerade EU-uppgifter, om det föreligger omedelbar risk för obehörigt röjande, förstöras av innehavaren på ett sådant sätt att de varken helt eller delvis kan rekonstrueras. Upphovsmannen och den registreringsenhet som uppgifterna härrör från ska informeras om att de registrerade säkerhetsskyddsklassificerade EU-uppgifterna på grund av nödsituationen har förstörts.

49.

Termen utvärderingsbesök ska nedan användas för att beteckna alla

för bedömning av effektiviteten i de åtgärder som genomförs för att skydda säkerhetsskyddsklassificerade EU-uppgifter.

50.

Utvärderingsbesök ska bland annat genomföras för att

51.

Rådet ska före utgången av varje kalenderår anta det program för utvärderingsbesök som föreskrivs i artikel 16.1 c för det påföljande året. De faktiska tidpunkterna för varje utvärderingsbesök ska fastställas i samförstånd med den unionsbyrå eller det unionsorgan, den medlemsstat, tredjestat eller internationella organisation som berörs.

52.

Utvärderingsbesök ska genomföras för att kontrollera relevanta föreskrifter och förfaranden vid den besökta enheten och verifiera att dess praxis uppfyller de grundläggande principer och miniminormer som fastställs i detta beslut och i de bestämmelser som reglerar utbytet av säkerhetsskyddsklassificerade uppgifter med den enheten.

53.

Utvärderingsbesöken ska genomföras i två etapper. Före själva besöket ska vid behov ett förberedande möte anordnas med den berörda enheten. Efter detta förberedande möte ska utvärderingsgruppen i samförstånd med den nämnda enheten göra upp ett detaljerat program för utvärderingsbesöket omfattande samtliga säkerhetsområden. Utvärderingsgruppen bör ha tillträde till alla platser där säkerhetsskyddsklassificerade EU-uppgifter hanteras, särskilt registreringsenheter samt kommunikations- och informationssystemets anslutningspunkter (”points of presence”).

54.

Utvärderingsbesök vid medlemsstaternas nationella myndigheter, tredjestater och internationella organisationer ska genomföras i fullständigt samarbete med den besökta enhetens, tredjestatens eller internationella organisationens tjänstemän.

55.

Utvärderingsbesök vid unionens organ, byråer och enheter som tillämpar detta beslut eller dess principer ska genomföras med bistånd av experter från den nationella säkerhetsmyndighet på vars territorium organet eller byrån ligger.

56.

Vid utvärderingsbesök vid unionens organ, byråer och enheter som tillämpar detta beslut eller dess principer och i tredjestater och internationella organisationer får hjälp av experter från de nationella säkerhetsmyndigheterna begäras i enlighet med närmare förfaranden som ska godkännas av säkerhetskommittén.

57.

Efter avslutat utvärderingsbesök ska de viktigaste slutsatserna och rekommendationerna presenteras för den besökta enheten. Därefter ska en rapport om utvärderingsbesöket utarbetas. Om korrigerande åtgärder och rekommendationer har föreslagits, ska tillräckligt detaljerade uppgifter för att underbygga de slutsatser som nåtts ingå i rapporten. Rapporten ska sändas till den behöriga myndigheten för den besökta enheten.

58.

För utvärderingsbesök som genomförs i medlemsstaternas nationella förvaltningar ska följande gälla:

En återkommande rapport ska utarbetas under ansvar av säkerhetsmyndigheten vid generalsekretariatet (säkerhetsavdelningen) med fokus på de viktigaste frågorna samt de viktigaste erfarenheterna från de utvärderingsbesök som genomförts i medlemsstaterna under en specificerad tidsperiod och ska granskas av säkerhetskommittén.

59.

För utvärderingsbesök i tredjestater och vid internationella organisationer ska rapporten översändas till säkerhetskommittén. Rapporten ska minst placeras på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED. Alla korrigerande åtgärder ska kontrolleras under ett uppföljningsbesök och rapporteras till säkerhetskommittén.

60.

För utvärderingsbesök vid unionens organ, byråer och enheter som tillämpar detta beslut eller dess principer ska rapporterna om utvärderingsbesöken översändas till säkerhetskommittén. Utkastet till rapport om utvärderingsbesöket ska översändas till den berörda byrån eller det berörda organet, så att det kan kontrolleras att fakta stämmer och att inga uppgifter på högre säkerhetsskyddsklassificeringsnivå än RESTREINT UE/EU RESTRICTED ingår i rapporten. Alla korrigerande åtgärder ska kontrolleras under ett uppföljningsbesök och rapporteras till säkerhetskommittén.

61.

Säkerhetsmyndigheten vid generalsekretariatet ska genomföra regelbundna inspektioner av organisatoriska enheter inom generalsekretariatet för de ändamål som fastställs i punkt 50.

62.

Säkerhetsmyndigheten vid generalsekretariatet ska utarbeta och uppdatera en checklista för de punkter som ska kontrolleras under ett utvärderingsbesök. Denna checklista ska översändas till säkerhetskommittén.

63.

Nödvändiga uppgifter för att fylla i checklistan ska framför allt inhämtas under besöket från säkerhetsledningen vid den enhet som inspekteras. När checklistan har fyllts i med detaljerade svar, ska den klassificeras i samförstånd med den inspekterade enheten. Den ska inte utgöra en del av inspektionsrapporten.

1.

Denna bilaga innehåller tillämpningsbestämmelser för artikel 10.

2.

Följande egenskaper och koncept för informationssäkring är av största betydelse för säkerheten och för att driften av kommunikations- och informationssystem ska kunna fungera på ett korrekt sätt:

3.

De bestämmelser som anges nedan ska utgöra grunden för säkerheten för alla säkerhetsskyddsklassificerade EU-uppgifter som hanteras i kommunikations- och informationssystem. Detaljerade krav för genomförandet av dessa bestämmelser ska definieras i säkerhetsstrategier och säkerhetsriktlinjer för informationssäkring.

4.

Hantering av säkerhetsrisker ska utgöra en integrerande del av definiering, utveckling, drift och underhåll av systemet. Riskhanteringen (bedömning, hantering, acceptans och kommunikation) ska gemensamt genomföras som en fortlöpande process av företrädare för systemägare, projektmyndigheter, driftsmyndigheter och säkerhetsgodkännande myndigheter genom att en beprövad, öppen och fullt begriplig riskbedömningsprocess används. Omfattningen av kommunikations- och informationssystemen och deras tillgångar ska klart definieras när riskhanteringsprocessen inleds.

5.

De behöriga myndigheterna ska se över potentiella hot mot systemet och kontinuerligt göra uppdaterade och noggranna hotbedömningar som avspeglar den befintliga driftsmiljön. De ska kontinuerligt uppdatera sina kunskaper om sårbarhetsfrågor och regelbundet se över sårbarhetsbedömningen för att hålla sig à jour med den föränderliga miljön på it-området.

6.

Syftet med säkerhetsriskhantering ska vara att tillämpa en serie säkerhetsåtgärder som resulterar i en tillfredsställande kompromiss mellan användarkrav, kostnader och kvarstående säkerhetsrisker.

7.

De särskilda krav, den skala och den grad av detalj som fastställs av den relevanta ackrediteringsmyndigheten för godkännandet från säkerhetssynpunkt av ett kommunikations- och informationssystem ska stå i proportion till den uppskattade risken, med beaktande av alla relevanta faktorer, inklusive säkerhetsskyddsklassificeringsnivån för de säkerhetsskyddsklassificerade EU-uppgifter som hanteras i kommunikations- och informationssystemet. Ackreditering ska inbegripa en formell redovisning av kvarstående risker och den ansvariga myndighetens acceptans av den kvarstående risken.

8.

Att garantera säkerheten ska vara ett krav under systemets hela livscykel, från inledandet till avvecklingen av systemet.

9.

Varje inblandad aktörs roll i och interaktion med systemet när det gäller dess säkerhet ska fastställas för varje skede av livscykeln.

10.

Varje system, inbegripet tekniska och icke-tekniska säkerhetsåtgärder, ska säkerhetstestas under godkännandeprocessen för att säkerställa att rätt säkerhetsnivå erhålls och för att kontrollera att de är korrekt genomförda, integrerade och konfigurerade.

11.

Säkerhetsutvärderingar, inspektioner och översyner ska regelbundet genomföras under ett systems drift och underhåll och när exceptionella omständigheter uppkommer.

12.

Systemets säkerhetsdokumentering ska utvecklas under dess livscykel såsom en integrerad del av processen för hantering av ändringar och konfiguration.

13.

Generalsekretariatet och medlemsstaterna ska samarbeta för att ta fram bästa praxis för skydd av säkerhetsskyddsklassificerade EU-uppgifter som behandlas i systemet. Riktlinjer för bästa praxis ska ange tekniska, fysiska, organisatoriska och procedurmässiga säkerhetsåtgärder för system vilkas ändamålsenlighet för att motverka givna hot och sårbarheter har bevisats.

14.

Vid skyddet av säkerhetsskyddsklassificerade EU-uppgifter som behandlas i systemet ska man utnyttja erfarenheterna vid de enheter som deltar i informationssäkring, både inom och utanför unionen.

15.

Spridningen och det efterföljande genomförandet av bästa praxis ska bidra till uppnåendet av en likvärdig säkerhetsnivå för de olika system som används av generalsekretariatet och medlemsstaterna i vilka säkerhetsskyddsklassificerade EU-uppgifter hanteras.

16.

För att minska risken för kommunikations- och informationssystem ska en rad tekniska och icke-tekniska säkerhetsåtgärder genomföras, organiserade som flera försvarsnivåer. Dessa nivåer ska omfatta följande:

a)   Avskräckning: Säkerhetsåtgärder vars syfte är att avstyra eventuella planer på att angripa systemet.

b)   Förhindrande: Säkerhetsåtgärder vars syfte är att hindra eller blockera ett angrepp mot systemet.

c)   Upptäckt: Säkerhetsåtgärder vars syfte är att upptäcka ett angrepp mot systemet.

d)   Uthållighet: Säkerhetsåtgärder vars syfte är att begränsa följderna av ett angrepp till ett minimalt antal uppgifter eller systemtillgångar och att förhindra ytterligare skada.

e)   Återställande: Säkerhetsåtgärder vars syfte är att återställa en säker situation för systemet.

Hur stränga dessa säkerhetsåtgärder ska vara ska bestämmas genom en riskbedömning.

17.

Den nationella säkerhetsmyndigheten eller en annan behörig myndighet ska se till att

18.

Endast väsentliga funktioner, apparater och tjänster för att uppfylla driftskraven ska utnyttjas för att undvika onödiga risker.

19.

Användarna av kommunikations- och informationssystemen och automatiserade processer ska endast ges det tillträde, de privilegier eller den behörighet de behöver för att utföra sina uppgifter för att begränsa eventuella skador genom olyckor, misstag eller obehörig användning av systemresurser.

20.

De registreringsförfaranden som vid behov utförs av ett kommunikations- och informationssystem ska kontrolleras som en del av godkännandeprocessen.

21.

Riskmedvetenhet och tillgängliga skyddsåtgärder utgör den första försvarslinjen för informations- och kommunikationssystemens säkerhet. All personal som är involverad i ett systems livscykel, även användare, ska särskilt inse

22.

För att säkerställa denna insikt om ansvaret för säkerheten ska utbildning i informationssäkring och medvetenhet vara obligatorisk för all inblandad personal, inbegripet den högre ledningen och systemanvändare.

23.

Den grad av förtroende som krävs i säkerhetsåtgärderna, definierad som en säkerhetsnivå, ska fastställas i enlighet med resultaten av riskhanteringsprocessen och i linje med relevanta säkerhetsstrategier och säkerhetsriktlinjer.

24.

Säkerhetsnivån ska kontrolleras genom att internationellt erkända eller nationellt godkända processer och metoder används. Detta inbegriper i första hand evaluering, skyddsåtgärder och revision.

25.

Kryptoprodukter för skydd av säkerhetsskyddsklassificerade EU-uppgifter ska evalueras och godkännas av en medlemsstats nationella kryptogodkännande myndighet.

26.

Innan sådana kryptoprodukter rekommenderas för godkännande av rådet eller generalsekreteraren i enlighet med artikel 10.6 ska de ha genomgått och klarat en andrapartsevaluering av en medlemsstats kvalificerade utvärderingsmyndighet (AQUA) som inte har deltagit i utformningen eller tillverkningen av utrustningen. Hur detaljerad andrapartsevalueringen ska vara beror på den planerade högsta säkerhetsskyddsklassificeringsnivån för de säkerhetsskyddsklassificerade EU-uppgifter som ska skyddas genom dessa produkter. Rådet ska godkänna en säkerhetsstrategi för utvärdering och godkännande av kryptoprodukter.

27.

När det är motiverat av särskilda operativa skäl får i förekommande fall rådet eller generalsekreteraren på rekommendation av säkerhetskommittén medge undantag från kraven i punkt 25 eller 26 i denna bilaga och bevilja interimsgodkännande för en viss period i enlighet med förfarandet i artikel 10.6.

28.

Rådet får, på rekommendation av säkerhetskommittén, godta en tredjestats eller en internationell organisations metod för utvärdering, urval och godkännande av kryptoprodukter och i enlighet med detta godkänna sådana kryptoprodukter för skydd av säkerhetsskyddsklassificerade EU-uppgifter som lämnas ut till tredjestaten eller den internationella organisationen i fråga.

29.

En kvalificerad utvärderingsmyndighet (AQUA) ska vara en kryptogodkännande myndighet i en medlemsstat, vilken har ackrediterats på grundval av kriterier som rådet har fastställt för att genomföra andrapartsevalueringen av kryptoprodukter för skydd av säkerhetsskyddsklassificerade EU-uppgifter.

30.

Rådet ska godkänna en säkerhetsstrategi för kvalificering och godkännande av sådana produkter för it-säkerhet som inte används för kryptering.

31.

När överföringen av säkerhetsskyddsklassificerade EU-uppgifter är begränsad till säkrade områden eller administrativa utrymmen, får trots bestämmelserna i detta beslut okrypterad överföring eller kryptering på en lägre nivå användas på grundval av resultatet av riskhanteringsförfarandet och med godkännande från ackrediteringsmyndigheten för säkerhet.

32.

I detta direktiv avses med sammankoppling en direkt förbindelse mellan två eller flera it-system i syfte att utbyta uppgifter och andra informationstillgångar (t.ex. kommunikation) i form av envägs- eller flervägskommunikation.

33.

Alla it-system som sammankopplats ska inledningsvis behandlas som icke-tillförlitliga och skyddsåtgärder ska införas för att kontrollera utbytet av säkerhetsskyddsklassificerade uppgifter.

34.

För all sammankoppling av system för säkerhetsskyddsklassificerade EU-uppgifter med ett annat it-system ska följande grundläggande krav uppfyllas:

35.

Det får inte förekomma samtrafik mellan ett ackrediterat kommunikations- och informationssystem och ett oskyddat eller allmänt nät, utom när systemet har godkända gränsskyddstjänster installerade för ett sådant ändamål mellan systemet och det oskyddade eller allmänna nätet. Säkerhetsåtgärderna för sådan samtrafik ska ses över av den behöriga myndigheten för informationssäkring och godkännas av den behöriga myndigheten för informationssäkring.

När det oskyddade eller allmänna nätet används enbart som nätoperatör och data är krypterade med en kryptoprodukt som godkänts i enlighet med artikel 10 ska en sådan sammankoppling inte betraktas som samtrafik.

36.

Direkt sammankoppling eller kaskadsammankoppling av ett kommunikations- och informationssystem som ackrediterats för uppgifter på säkerhetsskyddsklassificeringsnivån TRÈS SECRET UE/EU TOP SECRET med ett oskyddat eller allmänt nät ska vara förbjuden.

37.

Lagringsmedier för datorer ska destrueras med hjälp av förfaranden som godkänts av den behöriga säkerhetsmyndigheten.

38.

Lagringsmedier för datorer ska återanvändas, inplaceras på en lägre säkerhetsskyddsklassificeringsnivå eller inte längre vara säkerhetsskyddsklassificerade i enlighet med säkerhetsriktlinjer som ska fastställas enligt artikel 6.2.

39.

Trots bestämmelserna i detta beslut får de särskilda förfaranden som beskrivs nedan tillämpas i en nödsituation, exempelvis under en överhängande eller faktisk kris, konflikt, eller krigssituationer eller under exceptionella operativa omständigheter.

40.

Säkerhetsskyddsklassificerade EU-uppgifter får överföras med användning av kryptoprodukter som har godkänts för en lägre sekretessgrad eller utan kryptering med godkännande av den behöriga myndigheten, om en eventuell försening skulle förorsaka större skada än den skada som uppkommer genom ett röjande av det säkerhetsskyddsklassificerade materialet och om

41.

Säkerhetsskyddsklassificerade EU-uppgifter som överförs under de omständigheter som anges i punkt 39 får inte vara försedda med någon märkning eller några tecken som skiljer dem från ett meddelande som inte är sekretessbelagt eller som kan skyddas genom någon tillgänglig kryptoprodukt. Mottagarna ska utan dröjsmål underrättas om säkerhetsskyddsklassificeringsnivån på annat sätt.

42.

Om punkt 39 tillämpas, ska därefter en rapport lämnas till den behöriga myndigheten och till säkerhetskommittén.

43.

Följande funktioner för informationssäkring ska fastställas i medlemsstaterna och vid generalsekretariatet. Dessa funktioner förutsätter inte att det finns enskilda organisatoriska enheter. De ska ha olika mandat. Emellertid får dessa funktioner, och deras medföljande ansvarsområden, kombineras eller integreras i samma organisatoriska enhet eller delas upp i olika organisatoriska enheter, förutsatt att interna intresse- eller uppdragskonflikter undviks.

44.

Myndigheten för informationssäkring ska ansvara för att

45.

Tempestmyndigheten ska ansvara för att kommunikations- och informationssystemet överensstämmer med tempeststrategier och -riktlinjer. Den ska godkänna tempestmotåtgärder för anläggningar och produkter för att i driftsmiljön skydda säkerhetsskyddsklassificerade EU-uppgifter upp till en fastställd säkerhetsskyddsklassificeringsnivå.

46.

Den kryptogodkännande myndigheten ska ansvara för att kryptoprodukter överensstämmer med nationell kryptopolicy eller rådets kryptopolicy. Den ska bevilja godkännande av en kryptoprodukt för att skydda säkerhetsskyddsklassificerade EU-uppgifter i deras driftsmiljö upp till en fastställd säkerhetsskyddsklassificeringsnivå. När det gäller medlemsstaterna ska den kryptogodkännande myndigheten dessutom ansvara för utvärderingen av kryptoprodukter.

47.

Kryptodistributionsmyndigheten ska ansvara för att

48.

Ackrediteringsmyndigheten för säkerhet för varje system ska ansvara för att

49.

Ackrediteringsmyndigheten för säkerhet vid generalsekretariatet ska ansvara för att ackreditera alla kommunikations- och informationssystem som är i drift enligt uppdraget från generalsekretariatet.

50.

Den relevanta ackrediteringsmyndigheten för säkerhet i en medlemsstat ska ansvara för att ackreditera kommunikations- och informationssystem och systemkomponenter som är i drift enligt uppdraget från medlemsstaten.

51.

En gemensam ackrediteringsnämnd för säkerhet ska ansvara för ackreditering av system som omfattas av uppdraget från såväl generalsekretariatets som medlemsstaternas ackrediteringsmyndigheter för säkerhet. Den ska bestå av en företrädare för ackrediteringsmyndigheten för säkerhet från varje medlemsstat, och en företrädare för kommissionens ackrediteringsmyndighet för säkerhet ska vara närvarande vid dess möten. Andra enheter med noder i ett kommunikations- och informationssystem ska bjudas in till de möten där det systemet tas upp till diskussion.

Nämndens ordförande ska vara en företrädare för generalsekretariatets ackrediteringsmyndighet för säkerhet. Nämnden ska besluta med konsensus mellan företrädare för institutionernas ackrediteringsmyndigheter för säkerhet, medlemsstaterna och andra enheter med noder i kommunikations- och informationssystemet. Den ska periodiskt avlägga rapport om sin verksamhet till säkerhetskommittén och underrätta denna om alla redovisningar av ackreditering.

52.

Den driftsansvariga myndigheten för informationssäkring för varje system ska ansvara för att

1.

Denna bilaga innehåller tillämpningsbestämmelser för artikel 11. Här fastställs allmänna säkerhetsbestämmelser för företag eller andra enheter vid kontraktsförhandlingar och under hela löptiden för av generalsekretariatet tilldelade kontrakt som kräver säkerhetsskyddsavtal.

2.

Rådet ska godkänna riktlinjer för industrisäkerhet som särskilt innehåller detaljerade krav för säkerhetsgodkännanden av verksamhetsställe, säkerhetsskyddsöverenskommelser, besök, samt överföring och befordran av säkerhetsskyddsklassificerade EU-uppgifter.

3.

Före ett anbudsförfarande eller tilldelningen av ett kontrakt ska generalsekretariatet i egenskap av upphandlande myndighet fastställa säkerhetsklassificeringen för alla uppgifter som ska lämnas ut till anbudsgivare och entreprenörer, och även säkerhetsklassificeringen av eventuella uppgifter från entreprenören. Generalsekretariatet ska i detta syfte utarbeta en handbok om säkerhetsklassificering, som ska användas när kontraktet fullgörs.

4.

Följande principer ska gälla för fastställande av säkerhetsskyddsklassificeringsnivån för de olika delarna i ett kontrakt som kräver säkerhetsskyddsavtal:

5.

De kontraktsspecifika säkerhetskraven ska anges i en säkerhetsskyddsöverenskommelse. Säkerhetsskyddsöverenskommelsen ska när så är lämpligt omfatta handboken om säkerhetsklassificering och utgöra en integrerande del av avtalet eller underentreprenörskontraktet.

6.

Säkerhetsskyddsöverenskommelsen ska innehålla bestämmelser om att entreprenören och/eller underentreprenören ska uppfylla de miniminormer som fastställs i detta beslut. Underlåtenhet att iaktta dessa miniminormer kan utgöra tillräcklig grund för att häva kontraktet.

7.

Beroende på omfattningen av program eller projekt som innebär tillgång till eller hantering eller lagring av säkerhetsskyddsklassificerade EU-uppgifter kan särskilda säkerhetsanvisningar för program/projekt utarbetas av den upphandlande myndighet som utsetts för att förvalta programmet eller projektet. Säkerhetsföreskrifterna för program/projekt ska godkännas av medlemsstaternas nationella säkerhetsmyndigheter/utsedda säkerhetsmyndigheter eller annan behörig säkerhetsmyndighet som deltar i programmet/projektet och kan innehålla ytterligare säkerhetskrav.

8.

Ett säkerhetsgodkännande av verksamhetsställe ska beviljas av en medlemsstats nationella säkerhetsmyndighet, utsedda säkerhetsmyndighet eller annan behörig säkerhetsmyndighet som en indikation på, i enlighet med nationella lagar och andra författningar, att en industrienhet eller en annan enhet kan skydda säkerhetsskyddsklassificerade EU-uppgifter med lämplig säkerhetsskyddsklassificeringsnivå (CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET) inom sina anläggningar. Det ska läggas fram för generalsekretariatet i egenskap av upphandlande myndighet, innan en entreprenör eller underentreprenör, eller potentiella sådana, kan få eller beviljas tillgång till säkerhetsskyddsklassificerade EU-uppgifter.

9.

När en nationell säkerhetsmyndighet eller en utsedd säkerhetsmyndighet utfärdar ett säkerhetsgodkännande av verksamhetsställe ska den, som ett minimum,

10.

I förekommande fall ska generalsekretariatet, i egenskap av upphandlande myndighet, meddela den berörda nationella/utsedda säkerhetsmyndigheten eller varje annan behörig säkerhetsmyndighet att det krävs ett säkerhetsgodkännande av verksamhetsställe i det förkontraktuella skedet eller för att genomföra kontraktet. Det ska krävas ett säkerhetsgodkännande av verksamhetsställe eller ett personalsäkerhetsgodkännande i det förkontraktuella skedet när säkerhetsskyddsklassificerade EU-uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET ska tillhandahållas under anbudsförfarandets gång.

11.

Den upphandlande myndigheten får inte tilldela den valde anbudsgivaren ett kontrakt som kräver säkerhetsskyddsavtal innan den har fått bekräftelse från den nationella/utsedda säkerhetsmyndigheten eller någon annan behörig myndighet i den medlemsstat där den berörde entreprenören eller underentreprenören är registrerad att ett giltigt intyg om säkerhetsgodkännande av verksamhetsställe har utfärdats, om ett sådant krävs.

12.

Den nationella/utsedda säkerhetsmyndighet eller annan behörig säkerhetsmyndighet som har utfärdat ett säkerhetsgodkännande av verksamhetsställe ska meddela generalsekretariatet i egenskap av upphandlande myndighet om alla ändringar som avser detta godkännande. När det gäller underentreprenader ska den nationella/utsedda säkerhetsmyndigheten eller annan behörig säkerhetsmyndighet informeras i enlighet med detta.

13.

Återkallande av ett säkerhetsgodkännande av verksamhetsställe av en behörig nationell säkerhetsmyndighet/utsedd säkerhetsmyndighet eller annan behörig säkerhetsmyndighet ska utgöra tillräcklig grund för att generalsekretariatet, i egenskap av upphandlande myndighet, ska kunna säga upp kontraktet eller utestänga en anbudsgivare från upphandlingsförfarandet.

14.

När säkerhetsskyddsklassificerade EU-uppgifter lämnas till en anbudsgivare i det förkontraktuella skedet ska meddelandet om upphandling innehålla en bestämmelse som förpliktigar den anbudsgivare som inte lämnat något anbud eller valts ut att inom en bestämd tid återlämna alla säkerhetsskyddsklassificerade handlingar.

15.

När ett kontrakt eller underentreprenörskontrakt som kräver säkerhetsskyddsavtal har tilldelats ska generalsekretariatet, i egenskap av upphandlande myndighet, underrätta entreprenörens eller underentreprenörens nationella/utsedda säkerhetsmyndighet eller annan behörig säkerhetsmyndighet om säkerhetsbestämmelserna i detta kontrakt.

16.

När sådana kontrakt sägs upp ska generalsekretariatet, i egenskap av upphandlande myndighet (och/eller den nationella/utsedda säkerhetsmyndigheten eller annan behörig säkerhetsmyndighet, beroende på vad som är lämpligt när det gäller underentreprenader), omedelbart underrätta den nationella/utsedda säkerhetsmyndigheten eller annan behörig säkerhetsmyndighet i den medlemsstat där entreprenören eller underentreprenören är registrerad.

17.

Som en allmän regel ska entreprenören eller underentreprenören vara skyldig att efter slutförandet av den entreprenaden eller underentreprenaden återlämna alla säkerhetsskyddsklassificerade EU-uppgifter till den upphandlande myndigheten.

18.

Särskilda bestämmelser för förfogandet över säkerhetsskyddsklassificerade EU-uppgifter under fullgörandet av kontraktet eller sedan det avslutats ska fastställas i säkerhetsskyddsöverenskommelsen.

19.

Om entreprenören eller underentreprenören har tillstånd att behålla säkerhetsskyddsklassificerade EU-uppgifter sedan kontraktet har avslutats, ska miniminormerna i detta beslut fortsätta att uppfyllas och konfidentialiteten för de säkerhetsskyddsklassificerade EU-uppgifterna ska skyddas av entreprenören eller underentreprenören.

20.

De villkor på vilka entreprenören får anlita underentreprenörer ska fastställas i anbudsinfordran och i kontraktet.

21.

En entreprenör ska inhämta tillstånd från generalsekretariatet, i egenskap av upphandlande myndighet, innan delar av kontraktet läggs ut på en underentreprenör. Industrienheter eller andra enheter som är registrerade i en stat utanför EU får endast tilldelas underentreprenörskontrakt om ett informationssäkerhetsavtal har ingåtts med unionen.

22.

Entreprenören ska vara ansvarig för att se till att all underentreprenad utförs i enlighet med miniminormerna i detta beslut och får inte lämna ut säkerhetsskyddsklassificerade EU-uppgifter till en underentreprenör utan föregående skriftligt medgivande från den upphandlande myndigheten.

23.

När det gäller säkerhetsskyddsklassificerade EU-uppgifter som upprättats eller hanterats av entreprenören eller underentreprenören ska upphovsmannens rättigheter utövas av den upphandlande myndigheten.

24.

När personal vid generalsekretariatet eller hos entreprenörer eller underentreprenörer kräver tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET i varandras lokaler för att genomföra ett sekretessbelagt kontrakt, ska besök anordnas tillsammans med de berörda nationella säkerhetsmyndigheterna/utsedda säkerhetsmyndigheterna eller andra behöriga säkerhetsmyndigheter. När det gäller särskilda projekt får dock de nationella/utsedda säkerhetsmyndigheterna även enas om ett förfarande genom vilket sådana besök kan anordnas direkt.

25.

Alla besökare ska inneha ett lämpligt personalsäkerhetsgodkännande och ha behovsenlig behörighet för tillgång till säkerhetsskyddsklassificerade EU-uppgifter med anknytning till generalsekretariatets kontrakt.

26.

Besökare ska enbart ges tillgång till säkerhetsskyddsklassificerade EU-uppgifter som har samband med besökets syfte.

27.

Överföringen av säkerhetsskyddsklassificerade EU-uppgifter på elektronisk väg ska omfattas av tillämpliga bestämmelser i artikel 10 och bilaga IV.

28.

När det gäller befordran av säkerhetsskyddsklassificerade EU-uppgifter ska tillämpliga bestämmelser i bilaga III gälla, i enlighet med nationella lagar och andra författningar.

29.

Följande principer ska gälla vid fastställandet av säkerhetsarrangemangen för transport av säkerhetsskyddsklassificerat material som frakt:

30.

Säkerhetsskyddsklassificerade EU-uppgifter ska överföras till entreprenörer och underentreprenörer i tredjestater i enlighet med säkerhetsbestämmelser som överenskommits mellan generalsekretariatet, i egenskap av upphandlande myndighet, och den nationella/utsedda säkerhetsmyndigheten i den berörda tredjestat där entreprenören är registrerad.

31.

Tillsammans med medlemsstatens nationella/utsedda säkerhetsmyndighet ska generalsekretariatet i egenskap av upphandlande myndighet, när så är lämpligt, ha rätt att i enlighet med kontraktsbestämmelserna inspektera entreprenörens/underentreprenörens verksamhetsställen för att kontrollera att de nödvändiga säkerhetsåtgärder för skydd av säkerhetsskyddsklassificerade EU-uppgifter på nivån RESTREINT UE/EU RESTRICTED som krävs enligt kontraktet har vidtagits.

32.

I den omfattning som krävs enligt nationella lagar och andra författningar ska rådets generalsekretariat såsom den upphandlande myndigheten underrätta de nationella/utsedda säkerhetsmyndigheterna eller annan behörig säkerhetsmyndighet om kontrakt och underentreprenörskontrakt som innehåller uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

33.

Det krävs inte något säkerhetsgodkännande av verksamhetsställe eller personalsäkerhetsgodkännande för entreprenörer eller underentreprenörer och deras personal för kontrakt som tilldelas av generalsekretariatet och som innehåller uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED.

34.

Generalsekretariatet, i egenskap av upphandlande myndighet, ska granska de anbudssvar som inkommit till följd av meddelandena om upphandling och som avser kontrakt som kräver tillgång till uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED, utan hinder av de krav på säkerhetsgodkännande av verksamhetsställe eller personalsäkerhetsgodkännande som kan finnas i nationella lagar och andra författningar.

35.

De villkor enligt vilka entreprenören får lägga ut kontrakt på underentreprenad ska överensstämma med punkt 21.

36.

När ett kontrakt inbegriper hantering av uppgifter på säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED i ett kommunikations- och informationssystem som sköts av en entreprenör, ska generalsekretariatet i egenskap av upphandlande myndighet se till att kontraktet eller underentreprenörskontraktet specificerar de nödvändiga tekniska och administrativa kraven för ackreditering av kommunikations- och informationssystemet i proportion till den uppskattade risken, med beaktande av alla relevanta faktorer. Den upphandlande myndigheten och den berörda nationella/utsedda säkerhetsmyndigheten ska enas om omfattningen av ackrediteringen av ett sådant system.

1.

Denna bilaga innehåller tillämpningsbestämmelser för artikel 13.

2.

Om rådet fastställer att det finns ett långvarigt behov av utbyte av säkerhetsskyddsklassificerade uppgifter ska

i enlighet med artikel 13.2 och avsnitten III och IV och på grundval av en rekommendation från säkerhetskommittén.

3.

När säkerhetsskyddsklassificerade EU-uppgifter som framställts för en GSFP-insats ska tillhandahållas tredjestater eller internationella organisationer som deltar i sådana insatser, och när ingen av ramarna i punkt 2 föreligger, ska utbytet av säkerhetsskyddsklassificerade EU-uppgifter med den bidragande tredjestaten eller internationella organisationen regleras i enlighet med avsnitt V genom

4.

Om det inte finns någon sådan ram som avses i punkterna 2 och 3, och när ett beslut fattas om att utlämna säkerhetsskyddsklassificerade EU-uppgifter till en tredjestat eller internationell organisation i undantagsfall på ad hoc-basis, i enlighet med avsnitt VI, ska den berörda tredjestaten eller internationella organisationen uppmanas att skriftligen försäkra att den ska skydda alla säkerhetsskyddsklassificerade EU-uppgifter som utlämnas i enlighet med de grundprinciper och miniminormer som fastställs i detta beslut.

5.

Genom informationssäkerhetsavtal ska grundprinciper och miniminormer fastställas för utbyte av säkerhetsskyddsklassificerade uppgifter mellan unionen och en tredjestat eller internationell organisation.

6.

Informationssäkerhetsavtal ska innehålla tekniska genomförandebestämmelser som ska godkännas av behöriga säkerhetsmyndigheter vid relevanta unionsinstitutioner och -organ och den berörda tredjestatens eller internationella organisationens behöriga säkerhetsmyndighet. Sådana bestämmelser ska ta hänsyn till den skyddsnivå som erbjuds genom befintliga säkerhetsbestämmelser, säkerhetsstrukturer och säkerhetsförfaranden i den berörda tredjestaten eller internationella organisationen. De ska godkännas av säkerhetskommittén.

7.

Säkerhetsskyddsklassificerade EU-uppgifter får inte utbytas i elektronisk form enligt ett informationssäkerhetsavtal, såvida detta inte uttryckligen föreskrivs i avtalet eller i de motsvarande tekniska genomförandebestämmelserna.

8.

När rådet ingår ett informationssäkerhetsavtal med en tredje part ska en registreringsenhet utses hos varje part som huvudsaklig kontaktpunkt för in- och utpassering av säkerhetsskyddsklassificerade uppgifter.

9.

För att bedöma ändamålsenligheten av säkerhetsbestämmelserna, säkerhetsstrukturerna och säkerhetsförfarandena i den berörda tredjestaten eller internationella organisationen ska utvärderingsbesök genomföras i samförstånd med den berörda tredjestaten eller internationella organisationen. Utvärderingsbesöken ska genomföras i enlighet med relevanta bestämmelser i bilaga III och innebära en utvärdering av

10.

Den grupp som genomför utvärderingsbesök på unionens vägnar ska bedöma om säkerhetsbestämmelserna och säkerhetsförfarandena i den berörda tredjestaten eller internationella organisationen är tillräckliga för att skydda säkerhetsskyddsklassificerade EU-uppgifter på en viss nivå.

11.

Resultaten av besöken ska redovisas i en rapport, på grundval av vilken säkerhetskommittén ska fastställa den övre säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter som får utlämnas som papperskopia, och eventuellt elektroniskt, till den berörda tredje parten samt eventuella särskilda villkor för utbytet med den parten.

12.

Allt ska göras för att ett fullständigt säkerhetsutvärderingsbesök ska kunna genomföras hos den berörda tredjestaten eller internationella organisationen, så att det går att klargöra det befintliga säkerhetssystemets egenskaper och effektivitet, innan säkerhetskommittén godkänner genomförandebestämmelserna. Om detta visar sig vara omöjligt ska säkerhetskommittén erhålla en så fullständig rapport som möjligt från generalsekretariatets säkerhetsavdelning grundad på den information denna har tillgång till, för att upplysa säkerhetskommittén om de tillämpliga säkerhetsbestämmelserna och det sätt på vilket säkerheten organiseras hos den berörda tredjestaten eller internationella organisationen.

13.

Rapporten om utvärderingsbesöket eller, vid avsaknad av en sådan rapport, den rapport som avses i punkt 12, ska översändas till och godkännas av säkerhetskommittén innan några säkerhetsskyddsklassificerade EU-uppgifter lämnas ut till den berörda tredjestaten eller internationella organisationen.

14.

Behöriga säkerhetsmyndigheter vid unionens institutioner och organ ska meddela tredjestaten eller den internationella organisationen om vilken dag unionen kan börja lämna ut säkerhetsskyddsklassificerade EU-uppgifter enligt avtalet och om den övre säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter som får lämnas ut i pappersformat eller elektroniskt.

15.

Uppföljningsbesök ska genomföras vid behov, särskilt om

16.

När informationssäkerhetsavtalet har trätt i kraft och säkerhetsskyddsklassificerade uppgifter utbyts med den berörda tredjestaten eller internationella organisationen, får säkerhetskommittén besluta att ändra den högsta säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter som får lämnas ut i pappersform eller i elektronisk form, särskilt mot bakgrund av ett uppföljande utvärderingsbesök.

17.

När det föreligger ett långsiktigt behov av att utbyta säkerhetsskyddsklassificerade uppgifter som i regel inte ligger över säkerhetsskyddsklassificeringsnivån RESTREINT UE/EU RESTRICTED med en tredjestat eller internationell organisation, och när säkerhetskommittén har fastställt att den parten inte har ett tillräckligt utvecklat säkerhetssystem för att ingå ett informationssäkerhetsavtal, får generalsekreteraren, med förbehåll för rådets godkännande, ingå en administrativ överenskommelse på generalsekretariatets vägnar med de berörda myndigheterna i den aktuella tredjestaten eller internationella organisationen.

18.

När ramar för utbyte av säkerhetsskyddsklassificerade EU-uppgifter snabbt behöver införas av operativa skäl, får rådet undantagsvis besluta att en administrativ överenskommelse ska ingås för utbyte av information på en högre säkerhetsskyddsklassificeringsnivå.

19.

Administrativa överenskommelser ska i princip ha formen av en skriftväxling.

20.

Ett utvärderingsbesök enligt punkt 9 ska genomföras och rapporten eller, vid avsaknad av en sådan rapport, den rapport som avses i punkt 12, ska översändas till och godkännas av säkerhetskommittén innan några säkerhetsskyddsklassificerade EU-uppgifter lämnas ut till den berörda tredjestaten eller internationella organisationen.

21.

Inga säkerhetsskyddsklassificerade EU-uppgifter får utbytas på elektronisk väg enligt en administrativ överenskommelse, såvida detta inte uttryckligen föreskrivs i överenskommelsen.

22.

Ramavtal om deltagande reglerar tredjestaters eller internationella organisationers deltagande i GSFP-insatser. Sådana avtal ska inkludera bestämmelser om utlämning av säkerhetsskyddsklassificerade EU-uppgifter som framställts för GSFP-insatser till de bidragande tredjeländerna eller internationella organisationerna. Den högsta säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter som får utbytas ska vara RESTREINT UE/EU RESTRICTED för civila GSFP-insatser och CONFIDENTIEL UE/EU CONFIDENTIAL för militära GSFP-insatser, såvida inte något annat anges i det beslut genom vilket varje GSFP-insats upprättas.

23.

Ad hoc-avtal om deltagande som ingås för en särskild GSFP-insats ska inkludera bestämmelser om utlämning av säkerhetsskyddsklassificerade EU-uppgifter som framställts för den insatsen till den bidragande tredjestaten eller internationella organisationen. Den högsta säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter som får utbytas ska vara RESTREINT UE/EU RESTRICTED för civila GSFP-insatser och CONFIDENTIEL UE/EU CONFIDENTIAL för militära GSFP-insatser, såvida inte något annat anges i det beslut genom vilket varje GSFP-insats upprättas.

24.

Vid avsaknad av informationssäkerhetsavtal och i väntan på ingående av ett avtal om deltagande ska utlämning av säkerhetsskyddsklassificerade EU-uppgifter som framställts för insatsen till en tredjestat eller internationell organisation som deltar i insatsen ske i enlighet med en administrativ överenskommelse som ska ingås av den höga representanten eller efter ett beslut om ad hoc-utlämning i enlighet med avsnitt VI. Säkerhetsskyddsklassificerade EU-uppgifter ska endast utbytas i enlighet med sådana överenskommelser så länge tredjestaten eller den internationella organisationen fortfarande planeras delta. Den högsta säkerhetsskyddsklassificeringsnivån för säkerhetsskyddsklassificerade EU-uppgifter som får utbytas ska vara RESTREINT UE/EU RESTRICTED för civila GSFP-insatser och CONFIDENTIEL UE/EU CONFIDENTIAL för militära GSFP-insatser, såvida inte något annat anges i det beslut genom vilket varje GSFP-insats upprättas.

25.

I de bestämmelser om säkerhetsskyddsklassificerade uppgifter som ska ingå i ramavtal om deltagande, ad hoc-avtal om deltagande och administrativa ad hoc-överenskommelser som det hänvisas till i punkterna 22–24 ska det föreskrivas att den berörda tredjestaten eller internationella organisationen ser till att dess personal som avdelats för eventuella insatser skyddar säkerhetsskyddsklassificerade EU-uppgifter i enlighet med rådets säkerhetsbestämmelser och ytterligare riktlinjer utfärdade av de behöriga myndigheterna, inbegripet insatsens befälsordning.

26.

Om ett informationssäkerhetsavtal därefter ingås mellan unionen och en bidragande tredjestat eller internationell organisation, ska informationssäkerhetsavtalet ha företräde framför bestämmelserna om utbyte av säkerhetsskyddsklassificerade uppgifter i ett eventuellt ramavtal om deltagande, ett ad hoc-avtal om deltagande eller en administrativ ad hoc-överenskommelse när det gäller utbyte och hantering av säkerhetsskyddsklassificerade EU-uppgifter.

27.

Utbyte av säkerhetsskyddsklassificerade EU-uppgifter på elektronisk väg ska inte tillåtas enligt ett ramavtal om deltagande, ett ad hoc-avtal om deltagande eller en administrativ ad hoc-överenskommelse med en tredjestat eller internationell organisation, såvida inte detta uttryckligen föreskrivs i det avtal eller den överenskommelse som berörs.

28.

Säkerhetsskyddsklassificerade EU-uppgifter som har framställts för en GSFP-insats får lämnas ut till personal som avdelats för denna insats av tredjestater och internationella organisationer i enlighet med punkterna 22–27. När sådan personal beviljas tillgång till säkerhetsskyddsklassificerade EU-uppgifter i en GSFP-insats, lokaler eller i kommunikations- och informationssystem, ska åtgärder vidtas (däribland registrering av säkerhetsskyddsklassificerade EU-uppgifter som lämnas ut) för att minska risken för att uppgifter förloras eller röjs. Sådana åtgärder ska fastställas i relevanta planerings- eller uppdragshandlingar.

29.

Vid avsaknad av informationssäkerhetsavtal får utlämning av säkerhetsskyddsklassificerade EU-uppgifter till den värdstat på vars territorium GSFP-insatsen genomförs, om det föreligger ett bestämt och omedelbart operativt behov, ske i enlighet med en administrativ överenskommelse som ska ingås av den höga representanten. Denna möjlighet ska föreskrivas i beslutet om GSFP-insatsens inrättande. De säkerhetsskyddsklassificerade EU-uppgifter som lämnas ut under sådana omständigheter får endast vara sådana som framställts för GSFP-insatsen och är placerade på en säkerhetsskyddsklassificeringsnivå som inte överstiger RESTREINT UE/EU RESTRICTED, såvida inte en högre säkerhetsskyddsklassificeringsnivå föreskrivs i beslutet om GSFP-insatsens inrättande. Enligt en sådan administrativ överenskommelse ska värdstaten vara tvungen att åta sig att skydda säkerhetsskyddsklassificerade EU-uppgifter enligt miniminormer som är minst lika stränga som dem som fastställs i detta beslut.

30.

Vid avsaknad av informationssäkerhetsavtal får utlämning av säkerhetsskyddsklassificerade EU-uppgifter till relevanta tredjestater och internationella organisationer som inte deltar i GSFP-insatsen ske i enlighet med en administrativ överenskommelse som ska ingås av den höga representanten. Denna möjlighet, liksom eventuella villkor för den, ska i förekommande fall föreskrivas i beslutet om GSFP-insatsens inrättande. De säkerhetsskyddsklassificerade EU-uppgifter som lämnas ut under sådana omständigheter får endast vara sådana som framställts för GSFP-insatsen och är placerade på en säkerhetsskyddsklassificeringsnivå som inte överstiger RESTREINT UE/EU RESTRICTED, såvida inte en högre säkerhetsskyddsklassificeringsnivå föreskrivs i beslutet om GSFP-insatsens inrättande. Enligt en sådan administrativ överenskommelse ska den berörda tredjestaten eller internationella organisationen vara tvungen att åta sig att skydda säkerhetsskyddsklassificerade EU-uppgifter enligt miniminormer som är minst lika stränga som dem som fastställs i detta beslut.

31.

Inga arrangemang för genomförande eller utvärderingsbesök krävs före genomförandet av bestämmelserna om utlämning av säkerhetsskyddsklassificerade EU-uppgifter inom ramen för punkterna 22, 23 och 24.

32.

Om inga ramar har inrättats i enlighet med avsnitten III–V och om rådet eller ett av dess förberedande organ slår fast att det finns ett exceptionellt behov av att lämna ut säkerhetsskyddsklassificerade EU-uppgifter till en tredjestat eller en internationell organisation, ska generalsekretariatet

33.

Om säkerhetskommittén utfärdar en rekommendation att lämna ut säkerhetsskyddsklassificerade EU-uppgifter, ska ärendet föreläggas Coreper för beslut om sådan utlämning.

34.

Om säkerhetskommittén i sin rekommendation inte tillstyrker att de säkerhetsskyddsklassificerade EU-uppgifterna lämnas ut ska

35.

Om det bedöms vara lämpligt och upphovsmannen i förväg och i skriftlig form lämnar sitt samtycke till detta, får Coreper besluta att de säkerhetsskyddsklassificerade uppgifterna endast delvis får lämnas ut eller endast om de först placeras på en lägre säkerhetsskyddsklassificeringsnivå eller inte längre ska vara säkerhetsskyddsklassificerade, eller att de ska lämnas ut utan hänvisning till källan eller den ursprungliga EU-säkerhetsskyddsklassificeringsnivån.

36.

Efter ett beslut om att lämna ut säkerhetsskyddsklassificerade EU-uppgifter ska generalsekretariatet översända den berörda handlingen, som ska ha en markering om att uppgifterna får lämnas ut samt om vilken tredjestat eller internationell organisation de har lämnats ut till. Före eller vid den faktiska utlämningen ska den berörda tredje parten skriftligen åta sig att skydda de mottagna säkerhetsskyddsklassificerade EU-uppgifterna i enlighet med de grundläggande principer och miniminormer som anges i detta beslut.

37.

När ramar föreligger i enlighet med punkt 2 för utbyte av säkerhetsskyddsklassificerade uppgifter med en tredjestat eller internationella organisation, ska rådet fatta beslut om att bemyndiga generalsekreteraren att lämna ut säkerhetsskyddsklassificerade EU-uppgifter, i enlighet med principen om upphovsmannens samtycke, till den berörda tredjestaten eller internationella organisationen. Generalsekreteraren får delegera sådana bemyndiganden till högre tjänstemän vid generalsekretariatet.

38.

När ett informationssäkerhetsavtal föreligger i enlighet med punkt 2 första strecksatsen får rådet fatta beslut om att bemyndiga den höga representanten att lämna ut säkerhetsskyddsklassificerade EU-uppgifter som upprättats av rådet på området för den gemensamma utrikes- och säkerhetspolitiken till den berörda tredjestaten eller internationella organisationen, efter att ha erhållit samtycke från upphovsmannen till allt eventuellt ingående källmaterial. Den höga representanten får delegera sådana bemyndiganden till högre tjänstemän vid Europeiska utrikestjänsten eller till EU:s särskilda representanter.

39.

När ramar föreligger i enlighet med punkt 2 eller punkt 3 för utbyte av säkerhetsskyddsklassificerade uppgifter med en tredjestat eller internationell organisation, ska den höga representanten bemyndigas att lämna ut säkerhetsskyddsklassificerade EU-uppgifter, i enlighet med beslutet om inrättande av GSFP-insatsen och med principen om upphovsmannens samtycke. Den höga representanten får delegera sådana bemyndiganden till högre tjänstemän vid Europeiska utrikestjänsten, EU-insatsen, styrke- eller uppdragschefer eller till EU:s beskickningschefer.