This document is an excerpt from the EUR-Lex website
Document 32015D0444
Commission Decision (EU, Euratom) 2015/444 of 13 March 2015 on the security rules for protecting EU classified information
Besluit (EU, Euratom) 2015/444 van de Commissie van 13 maart 2015 betreffende de veiligheidsvoorschriften voor de bescherming van gerubriceerde EU-informatie
Besluit (EU, Euratom) 2015/444 van de Commissie van 13 maart 2015 betreffende de veiligheidsvoorschriften voor de bescherming van gerubriceerde EU-informatie
PB L 72 van , pp. 53–88
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
17.3.2015 |
NL |
Publicatieblad van de Europese Unie |
L 72/53 |
BESLUIT (EU, Euratom) 2015/444 VAN DE COMMISSIE
van 13 maart 2015
betreffende de veiligheidsvoorschriften voor de bescherming van gerubriceerde EU-informatie
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 249,
Gezien het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie, en met name artikel 106,
Gezien Protocol 7 bij de Verdragen betreffende de voorrechten en immuniteiten van de Europese Unie, en met name artikel 18,
Overwegende hetgeen volgt:
|
(1) |
De veiligheidsvoorzieningen van de Commissie voor de bescherming van gerubriceerde informatie van de Europese Unie (hierna „EUCI” genoemd) dienen te worden herzien en geactualiseerd, rekening houdend met de institutionele, organisatorische, operationele en technologische ontwikkelingen. |
|
(2) |
De Europese Commissie heeft met de regeringen van België, Luxemburg en Italië akkoorden gesloten inzake veiligheidskwesties voor haar voornaamste vestigingen (1). |
|
(3) |
De Commissie, de Raad en de Europese Dienst voor extern optreden zijn gehouden gelijkwaardige veiligheidsnormen toe te passen voor de bescherming van EUCI. |
|
(4) |
Het is van belang om, waar passend, het Europees Parlement en andere instellingen, agentschappen, organen of bureaus van de Europese Unie te betrekken bij de beginselen, normen en regels voor de bescherming van gerubriceerde informatie die noodzakelijk zijn voor de bescherming van de belangen van de Unie en haar lidstaten. |
|
(5) |
Risico's voor EUCI worden beheerd als een proces. Dit proces wordt gericht op het bepalen van de bekende veiligheidsrisico's, het vaststellen van veiligheidsmaatregelen om deze risico's tot een aanvaardbaar niveau te beperken conform de basisbeginselen en minimumnormen van dit besluit, en de toepassing van deze maatregelen in overeenstemming met het begrip „verdediging in de diepte”. De doeltreffendheid van deze maatregelen wordt voortdurend geëvalueerd. |
|
(6) |
Binnen de Commissie geldt voor de fysieke beveiliging ter bescherming van gerubriceerde informatie de toepassing van fysieke en technische beschermingsmaatregelen waarmee niet-geautoriseerde toegang tot EUCI moet worden verhinderd. |
|
(7) |
Voor het beheer van gerubriceerde informatie geldt de toepassing van administratieve maatregelen voor het controleren van EUCI gedurende de gehele levenscyclus teneinde de in de hoofdstukken 2, 3 en 5 van dit besluit bedoelde maatregelen aan te vullen, en daarbij het al dan niet opzettelijk in gevaar brengen of verliezen van die informatie te helpen voorkomen, opsporen en herstellen. Dergelijke maatregelen hebben met name betrekking op het genereren, de opslag, de registratie, het kopiëren, het vertalen, lagere rubricering, derubricering, het vervoer en de vernietiging van EUCI en zij vormen een aanvulling op de algemene voorschriften voor documentenbeheer van de Commissie (Besluit 2002/47/EG, EGKS, Euratom (2) en Besluit 2004/563/EG, Euratom (3)). |
|
(8) |
De bepalingen van dit besluit laten onverlet:
|
HEEFT HET VOLGENDE BESLUIT VASTGESTELD:
HOOFDSTUK 1
BASISBEGINSELEN EN MINIMUMNORMEN
Artikel 1
Definities
In dit besluit zijn de volgende definities van toepassing:
1. „afdeling van de Commissie”: een directoraat-generaal of dienst van de Commissie, of een kabinet van een lid van de Commissie;
2. „encryptiemateriaal”: encryptiealgoritmen, hard- en softwaremodules voor encryptie en encryptieproducten, inclusief nadere informatie betreffende de uitvoering en bijbehorende documentatie en bedieningsmateriaal;
3. „derubricering”: de opheffing van een rubricering;
4. „verdediging in de diepte”: de toepassing van een reeks veiligheidsmaatregelen in de vorm van meerdere verdedigingslagen;
5. „document”: opgeslagen informatie, ongeacht fysieke vorm of kenmerken;
6. „lagere rubricering”: verlaging van de rubriceringsgraad;
7. „behandeling”: alle mogelijke handelingen waaraan EUCI tijdens de gehele levenscyclus kan worden onderworpen. Hiertoe behoren het genereren, de registratie, het verwerken, het vervoer, lagere rubricering, derubricering, en de vernietiging van de informatie. Met betrekking tot communicatie- en informatiesystemen behoren hiertoe ook het verzamelen, tonen, overdragen en opslaan van de informatie;
8. „houder”: een naar behoren gemachtigde persoon van wie de noodzaak tot kennisname vaststaat en die EUCI in zijn bezit heeft en derhalve voor de bescherming daarvan verantwoordelijk is;
9. „uitvoeringsbepalingen”: alle voorschriften en veiligheidsmededelingen die worden goedgekeurd overeenkomstig hoofdstuk 5 van Besluit (EU, Euratom) 2015/443 van de Commissie (8);
10. „materiaal”: een medium, gegevensdrager of enigerlei onderdeel van machines of uitrustingen dat of die is of wordt vervaardigd;
11. „bron”: de instelling, het agentschap of orgaan van de Unie, of de lidstaat, het derde land of de internationale organisatie onder het gezag waarvan gerubriceerde informatie is gegenereerd en/of ingevoerd in de structuren van de Unie;
12. „locaties”: alle onroerende of daaraan gelijkgestelde eigendommen en bezittingen van de Commissie;
13. „proces inzake het beheer van veiligheidsrisico's”: het volledige proces van het vaststellen, onder controle houden en tot een minimum beperken van onzekere gebeurtenissen die de veiligheid van een organisatie of de door haar gebruikte systemen kunnen treffen. Dit omvat alle risicogebonden activiteiten, met inbegrip van beoordeling, behandeling, aanvaarding en communicatie;
14. „Statuut van de ambtenaren”: het Statuut van de ambtenaren van de Europese Unie en de Regeling welke van toepassing is op de andere personeelsleden van de Europese Unie, die zijn vastgelegd in Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (9);
15. „gevaar”: een mogelijke oorzaak van een ongewenst incident dat kan leiden tot schade aan een organisatie of de door haar gebruikte systemen; zulke gevaren kunnen onopzettelijk of opzettelijk (kwaadwillig) zijn, en worden gekenmerkt door bedreigende elementen, mogelijke doelwitten en aanvalsmethoden;
16. „kwetsbaarheid”: een tekortkoming van enige aard die door één of meer gevaren kan worden uitgebuit. Kwetsbaarheid kan bestaan in nalatigheid of kan verband houden met onvoldoende strenge, onvolledige of onsamenhangende controles en kan van technische, procedurele, fysieke, organisatorische of operationele aard zijn.
Artikel 2
Onderwerp en toepassingsgebied
1. Bij dit besluit worden de basisbeginselen en minimumnormen voor beveiliging vastgesteld ten behoeve van de bescherming van EUCI.
2. Dit besluit is van toepassing op alle afdelingen van de Commissie en in alle locaties van de Commissie.
3. Ongeacht mogelijke specifieke aanwijzingen met betrekking tot bijzondere categorieën personeel, is dit besluit van toepassing op de leden van de Commissie, op het personeel van de Commissie als bedoeld in het Statuut van de ambtenaren en de Regeling welke van toepassing is op de andere personeelsleden van de Europese Unie, op de nationale deskundigen die zijn afgevaardigd naar de Commissie, op de verstrekkers van diensten en hun personeel, op stagiairs en op alle andere personen die toegang hebben tot de gebouwen van de Commissie of andere goederen, of tot informatie die door de Commissie wordt behandeld.
4. De bepalingen van dit besluit laten Besluit 2002/47/EG, EGKS, Euratom, en Besluit 2004/563/EG, Euratom onverlet.
Artikel 3
Definitie van EUCI, rubriceringen en markeringen
„Gerubriceerde EU-informatie” (EUCI): informatie of materiaal met een bepaalde EU-rubricering waarvan ongeoorloofde openbaarmaking de belangen van de Europese Unie of van een of meer van haar lidstaten in meerdere of mindere mate kan schaden.
2. Voor EUCI worden de volgende rubriceringen gehanteerd:
a) TRES SECRET UE/EU TOP SECRET: informatie en materiaal waarvan de ongeoorloofde openbaarmaking de wezenlijke belangen van de Europese Unie of van één of meer van haar lidstaten uitzonderlijk ernstig kan schaden;
b) SECRET UE/EU SECRET: informatie en materiaal waarvan de ongeoorloofde openbaarmaking de wezenlijke belangen van de Europese Unie of van één of meer van haar lidstaten ernstig kan schaden;
c) CONFIDENTIEL UE/EU CONFIDENTIAL: informatie en materiaal waarvan de ongeoorloofde openbaarmaking de wezenlijke belangen van de Europese Unie of van een of meer van haar lidstaten kan schaden;
d) RESTREINT UE/EU RESTRICTED: informatie en materiaal waarvan de ongeoorloofde openbaarmaking nadelig kan zijn voor de belangen van de Europese Unie of van een of meer van haar lidstaten.
3. EUCI krijgt een rubriceringsmarkering overeenkomstig lid 2. Daarnaast kunnen aanvullende markeringen worden aangebracht die geen rubricering aanduiden, maar aanduiden op welke gebieden of activiteiten waarop de EUCI betrekking heeft, de bron identificeren, de verspreiding of het gebruik beperken of de geschiktheid voor vrijgave aangeven.
Artikel 4
Beheer van de rubricering
1. Alle leden van de Commissie of afdelingen van de Commissie zorgen ervoor dat door hen gegenereerde EUCI naar behoren wordt gerubriceerd en duidelijk als gerubriceerde informatie wordt aangemerkt, en dat de rubriceringsgraad ervan slechts zolang als nodig wordt behouden.
2. Onverminderd de bepalingen van artikel 26 hieronder, wordt EUCI niet lager gerubriceerd of gederubriceerd en de in artikel 3, lid 2, bedoelde markeringen worden niet gewijzigd of verwijderd zonder voorafgaande schriftelijke toestemming van de bron.
3. Waar het passend is, worden overeenkomstig artikel 60 uitvoeringsbepalingen over de behandeling van EUCI, met inbegrip van een praktische gids voor rubricering, vastgesteld.
Artikel 5
Bescherming van gerubriceerde informatie
1. EUCI wordt beschermd in overeenstemming met dit besluit en de uitvoeringsbepalingen daarbij.
2. De houder van enige gerubriceerde informatie van de EU is verantwoordelijk voor de bescherming ervan, overeenkomstig de bepalingen van dit besluit en de uitvoeringsbepalingen daarbij, conform de regels van hoofdstuk 4.
3. Door de lidstaten in de structuren of netwerken van de Europese Unie ingevoerde gerubriceerde informatie met een nationale rubricering, wordt door de Commissie in overeenstemming met de voorschriften voor EUCI beschermd op het niveau dat volgens de in bijlage I vervatte concordantietabel van rubriceringen overeenstemt met het nationale niveau.
4. Het is mogelijk dat gebundelde EUCI een beschermingsniveau vereist dat overeenstemt met een hogere rubriceringsgraad dan die van de componenten ervan.
Artikel 6
Beheer van veiligheidsrisico's
1. De veiligheidsmaatregelen ter bescherming van EUCI gedurende de gehele levenscyclus dienen evenredig te zijn met de rubricering, de vorm en de omvang van de informatie of het materiaal, de locatie en constructie van faciliteiten waar de EUCI in is ondergebracht en de lokaal beoordeelde dreiging of kwaadwillige en/of criminele activiteiten, met inbegrip van spionage, sabotage en terrorisme.
2. In de rampenplannen wordt rekening gehouden met de noodzaak om EUCI in noodsituaties te beschermen, teneinde ongeoorloofde toegang en openbaarmaking of aantasting van de integriteit of beschikbaarheid te voorkomen.
3. In de bedrijfscontinuïteitsplannen worden preventie- en herstelmaatregelen opgenomen om de gevolgen van ernstige storingen of incidenten voor de behandeling en opslag van EUCI zo gering mogelijk te houden.
Artikel 7
Uitvoering van dit besluit
1. Indien noodzakelijk worden uitvoeringsbepalingen ter aanvulling of ondersteuning van dit besluit vastgesteld overeenkomstig artikel 60.
2. De afdelingen van de Commissie nemen alle noodzakelijke maatregelen onder hun bevoegdheid om de toepassing van dit besluit en de relevante uitvoeringsbepalingen te garanderen bij de behandeling of opslag van EUCI of enige andere gerubriceerde informatie.
3. De veiligheidsmaatregelen ter uitvoering van dit besluit zijn verplicht conform de beginselen voor de veiligheid binnen de Commissie als vastgesteld in artikel 3 van Besluit (EU, Euratom) 2015/443.
4. De directeur-generaal Personele middelen en veiligheid richt binnen het directoraat-generaal Personele middelen en veiligheid de Veiligheidsautoriteit van de Commissie op. De Veiligheidsautoriteit van de Commissie heeft de verantwoordelijkheden die haar bij dit besluit en de uitvoeringsbepalingen daarbij worden toegewezen.
5. Binnen elke afdeling van de Commissie heeft de lokale veiligheidsagent (LSO), als bedoeld in artikel 20 van Besluit (EU, Euratom) 2015/443, de volgende algemene verantwoordelijkheden voor de bescherming van EUCI overeenkomstig dit besluit, in nauwe samenwerking met het directoraat-generaal Personele middelen en veiligheid:
|
a) |
beheren van de verzoeken om veiligheidsmachtigingen voor personeel; |
|
b) |
bijdragen tot de veiligheidsopleiding en activiteiten voor meer bewustmaking; |
|
c) |
toezicht houden op de controlefunctionaris van het register (RCO); |
|
d) |
verslag uitbrengen over inbreuken op de beveiliging en gevallen waarin EUCI in gevaar is gebracht; |
|
e) |
bijhouden van reservesleutels en een schriftelijke aantekening van de codecombinaties; |
|
f) |
andere taken in verband met de bescherming van EUCI of als vastgesteld door de uitvoeringsbepalingen. |
Artikel 8
Inbreuken op de beveiliging en in gevaar brengen van EUCI
1. Een inbreuk op de beveiliging is het resultaat van iemands handeling of nalatigheid, in strijd met de beveiligingsvoorschriften van dit besluit en de uitvoeringsbepalingen daarbij.
2. In gevaar brengen van EUCI doet zich voor wanneer, ten gevolge van een inbreuk op de beveiliging, zulke informatie geheel of gedeeltelijk is bekendgemaakt aan onbevoegden.
3. Inbreuken of vermoedelijke inbreuken op de beveiliging moeten onmiddellijk aan de Veiligheidsautoriteit van de Commissie worden gemeld.
4. Indien vaststaat of er redelijke gronden zijn om aan te nemen dat EUCI in gevaar is gebracht of verloren is gegaan, wordt een veiligheidsonderzoek gevoerd overeenkomstig artikel 13 van Besluit (EU, Euratom) 2015/443.
5. Alle passende maatregelen worden genomen, teneinde:
|
a) |
de bron in kennis te stellen; |
|
b) |
ervoor te zorgen dat de zaak wordt onderzocht door personeel dat niet rechtstreeks met de inbreuk te maken heeft, teneinde de toedracht vast te stellen; |
|
c) |
de eventuele schade te beoordelen die aan de belangen van de Unie of van de lidstaten is berokkend; |
|
d) |
herhaling te voorkomen, en |
|
e) |
de bevoegde autoriteiten in kennis te stellen van de stappen die zijn gezet. |
6. Eenieder die verantwoordelijk is voor een inbreuk op de beveiligingsvoorschriften van dit besluit, stelt zich bloot aan disciplinaire maatregelen, overeenkomstig het Statuut van de ambtenaren. Eenieder die verantwoordelijk is voor het in gevaar brengen of verloren gaan van EUCI, stelt zich bloot aan disciplinaire maatregelen en/of strafvervolging, in overeenstemming met de geldende wetten, regels en voorschriften.
HOOFDSTUK 2
VEILIGHEID VAN HET PERSONEEL
Artikel 9
Definities
Voor de toepassing van dit hoofdstuk wordt verstaan onder:
1. „machtiging tot toegang tot EUCI”: een besluit van de Veiligheidsautoriteit van de Commissie op grond van een van een bevoegde autoriteit van een lidstaat verkregen verzekering dat een ambtenaar van de Commissie, een ander personeelslid of een gedetacheerde nationale deskundige, mits zijn noodzaak tot kennisname is vastgesteld en hij op passende wijze in kennis is gesteld van zijn verantwoordelijkheden, tot op een bepaald niveau (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger) en tot een bepaalde datum toegang wordt verleend tot EUCI; van die persoon wordt dan gezegd dat hij „gemachtigd” is;
2. „veiligheidsmachtiging voor personeel”: de toepassing van maatregelen die ervoor moeten zorgen dat toegang tot EUCI uitsluitend wordt verleend aan personen die:
|
a) |
een „noodzaak tot kennisname” hebben; |
|
b) |
in voorkomend geval op het vereiste veiligheidsniveau zijn gemachtigd, en |
|
c) |
zijn geïnstrueerd over hun verantwoordelijkheden; |
3. „veiligheidsverklaring voor personeel” (PSC): een verklaring van een bevoegde autoriteit van een lidstaat, die wordt afgelegd na voltooiing van een veiligheidsonderzoek door de bevoegde autoriteiten van een lidstaat, waarbij wordt bevestigd dat de betrokkene, mits zijn „noodzaak tot kennisname” is vastgesteld en hij terdege is geïnstrueerd over zijn verantwoordelijkheden, tot een bepaalde datum toegang kan krijgen tot EUCI tot op een bepaald niveau (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger);
4. „certificaat van veiligheidsverklaring voor personeel” (PSCC): een door een bevoegde autoriteit afgegeven certificaat waarin wordt bevestigd dat een betrokkene in het bezit is van een geldige veiligheidsverklaring voor personeel of veiligheidsmachtiging voor personeel van de Veiligheidsautoriteit van de Commissie, en dat de rubriceringsgraad vermeldt van EUCI waartoe hij toegang mag hebben (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger), alsook de geldigheidsduur van de relevante veiligheidsverklaring of -machtiging en de datum waarop de geldigheid van het certificaat zelf afloopt;
5. „veiligheidsonderzoek”: de onderzoeksprocedures die de bevoegde autoriteit van een lidstaat overeenkomstig de nationale wet- en regelgeving uitvoert om zekerheid te krijgen dat er geen negatieve feiten bekend zijn waardoor de betrokkene niet in aanmerking zou komen voor een veiligheidsverklaring voor toegang tot EUCI tot op een bepaald niveau (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger).
Artikel 10
Basisbeginselen
1. Een persoon wordt alleen toegang tot gerubriceerde informatie verleend indien:
|
1. |
zijn noodzaak tot kennisname is vastgesteld; |
|
2. |
hij is geïnstrueerd over de veiligheidsvoorschriften voor de bescherming van EUCI en de relevante veiligheidsnormen en -richtsnoeren, en hij zijn verantwoordelijkheden in verband met de bescherming van dergelijke informatie heeft bevestigd; |
|
3. |
voor informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger: indien hij een veiligheidsmachtiging voor het passende niveau heeft of anderszins uit hoofde van zijn functie naar behoren is gemachtigd in overeenstemming met de nationale wet- en regelgeving. |
2. Alle personen die op grond van hun taken toegang tot EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger moeten hebben, dienen een veiligheidsmachtiging van het vereiste niveau te verkrijgen alvorens hun toegang tot die EUCI kan worden verleend. De betrokkene verleent schriftelijk zijn instemming met de procedure voor het verkrijgen van een veiligheidsverklaring voor personeel. Bij weigering kan de betrokkene niet worden aangewezen voor de post, functie of taak waarvoor de toegang tot EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger noodzakelijk is.
3. De procedures inzake veiligheidsverklaringen voor personeel zijn van dien aard dat kan worden bepaald of een persoon, gelet op diens loyaliteit en betrouwbaarheid, toegang kan worden verleend tot EUCI.
4. De loyaliteit en de betrouwbaarheid van een persoon ten behoeve van een veiligheidsverklaring voor toegang tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie worden vastgesteld door middel van een veiligheidsonderzoek dat wordt gevoerd door de bevoegde autoriteiten van een lidstaat overeenkomstig zijn nationale wet- en regelgeving.
5. De Veiligheidsautoriteit van de Commissie is uitsluitend verantwoordelijk voor de contacten met de nationale veiligheidsautoriteiten of andere bevoegde nationale autoriteiten voor alle kwesties inzake de veiligheidsverklaring. Alle contacten tussen de diensten van de Commissie en hun personeel en de nationale veiligheidsautoriteiten en andere bevoegde autoriteiten lopen via de Veiligheidsautoriteit van de Commissie.
Artikel 11
Veiligheidsmachtigingsprocedure
1. Elke directeur-generaal of diensthoofd binnen de Commissie bepaalt binnen zijn afdeling voor welke posten de houders toegang moeten krijgen tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie teneinde hun taken te volbrengen en aldus gemachtigd dienen te zijn.
2. Zodra bekend is dat iemand zal worden aangewezen voor een functie waarvoor toegang nodig is tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie, stelt de lokale veiligheidsagent van de betrokken afdeling van de Commissie de Veiligheidsautoriteit van de Commissie daarvan in kennis, waarna deze laatste de betrokkene de vragenlijst voor de veiligheidsverklaring toezendt die is opgesteld door de nationale veiligheidsautoriteit van de lidstaat waarvan de betrokkene als onderdaan is aangeworven als personeelslid van de Europese instellingen. De betrokkene verleent schriftelijk zijn instemming met de procedure voor het verkrijgen van een veiligheidsverklaring voor personeel en zendt de ingevulde vragenlijst zo spoedig mogelijk terug naar de Veiligheidsautoriteit van de Commissie.
3. De Veiligheidsautoriteit van de Commissie zendt de volledig ingevulde vragenlijst betreffende de veiligheidsverklaring voor personeel naar de nationale veiligheidsautoriteit van de lidstaat waarvan de betrokkene als onderdaan is aangeworven als personeelslid van de Europese instellingen, met het verzoek een veiligheidsonderzoek uit te voeren voor het niveau van EUCI waartoe de betrokkene toegang moet hebben.
4. Wanneer de Veiligheidsautoriteit van de Commissie kennis heeft van informatie met betrekking tot een veiligheidsonderzoek over een betrokkene die een veiligheidsverklaring heeft aangevraagd, stelt de Veiligheidsautoriteit van de Commissie de desbetreffende nationale veiligheidsautoriteit daarvan in kennis overeenkomstig de voorschriften en regelingen ter zake.
5. Na afsluiting van het veiligheidsonderzoek en na zo spoedig mogelijk door de relevante nationale veiligheidsautoriteit te zijn ingelicht over de algemene evaluatie van de bevindingen van het veiligheidsonderzoek,
|
a) |
kan de Veiligheidsautoriteit van de Commissie aan de betrokkene machtiging verlenen voor toegang tot EUCI tot op het vereiste veiligheidsniveau, tot een door de autoriteit te bepalen datum, maar maximaal voor 5 jaar, indien het veiligheidsonderzoek tot de zekerheid heeft geleid dat er geen informatie bekend is die doet twijfelen aan de loyaliteit en betrouwbaarheid van de betrokkene; |
|
b) |
dient de Veiligheidsautoriteit van de Commissie, indien het veiligheidsonderzoek niet tot een dergelijke zekerheid leidt, overeenkomstig de relevante regelgeving, de betrokkene daarvan in kennis te stellen; deze kan vervolgens verzoeken om te worden gehoord door de Veiligheidsautoriteit van de Commissie, die op haar beurt de bevoegde nationale veiligheidsautoriteit om verdere verduidelijking kan vragen voor zover die overeenkomstig de nationale wet- en regelgeving kan worden verstrekt. Indien het resultaat van het veiligheidsonderzoek wordt bevestigd, wordt geen machtiging voor toegang tot EUCI verleend. |
6. Voor het veiligheidsonderzoek en de resultaten van het veiligheidsonderzoek gelden de in de betrokken lidstaat van toepassing zijnde wet- en regelgeving, ook wat de mogelijkheden tot beroep betreft. Tegen besluiten van de Veiligheidsautoriteit van de Commissie kan beroep worden ingesteld in overeenstemming met het Statuut van de ambtenaren.
7. Het Commissie aanvaardt de door een andere instelling, een ander orgaan of agentschap van de Unie verleende machtiging voor toegang tot EUCI, mits deze geldig blijft. De machtiging bestrijkt elke taak die de betrokkene binnen de Commissie op zich neemt. De instelling, het orgaan of agentschap van de Unie waar de betrokkene in dienst treedt, geeft de bevoegde nationale veiligheidsautoriteit kennis van de wijziging van werkgever.
8. Indien het dienstverband van een persoon niet begint binnen twaalf maanden na de kennisgeving van de uitkomst van het veiligheidsonderzoek aan de Veiligheidsautoriteit van de Commissie, of indien de betrokkene zijn dienst voor een periode van twaalf maanden heeft onderbroken en gedurende die tijd niet heeft gewerkt bij de Commissie, bij andere instellingen, organen of agentschappen van de Unie of in een functie bij een nationale overheid van een lidstaat, wordt de betrokken nationale veiligheidsautoriteit door de Veiligheidsautoriteit van de Commissie verzocht te bevestigen dat de veiligheidsverklaring nog steeds geldig en passend is.
9. Wanneer een persoon een geldige veiligheidsmachtiging heeft, en de Veiligheidsautoriteit van de Commissie de beschikking krijgt over informatie dat er in verband met die persoon een veiligheidsrisico bestaat, stelt de Veiligheidsautoriteit van de Commissie de desbetreffende nationale veiligheidsautoriteit daarvan in kennis overeenkomstig de voorschriften ter zake.
10. Wanneer een nationale veiligheidsautoriteit de Veiligheidsautoriteit van de Commissie in kennis stelt van de intrekking van een overeenkomstig lid 5, onder a), gegeven verzekering voor een persoon die een geldige machtiging voor toegang tot EUCI heeft, kan de Veiligheidsautoriteit van de Commissie de nationale veiligheidsautoriteit om elke toelichting vragen die de autoriteit volgens de nationale wet- en regelgeving mag verstrekken. Indien de negatieve informatie door de relevante nationale veiligheidsautoriteit wordt bevestigd, wordt de veiligheidsmachtiging ingetrokken en wordt de betrokkene de toegang ontzegd tot EUCI en tot functies waar dergelijke toegang mogelijk is of waar hij de veiligheid in gevaar zou kunnen brengen.
11. Elke beslissing om een machtiging voor toegang tot EUCI van een persoon die onder de reikwijdte van dit besluit valt, in te trekken, alsmede in voorkomend geval de redenen daarvoor, wordt meegedeeld aan de betrokkene, die kan verzoeken om door de Veiligheidsautoriteit van de Commissie te worden gehoord. Voor door een nationale veiligheidsautoriteit verstrekte informatie gelden de in de betrokken lidstaat van toepassing zijnde wetten en voorschriften. Tegen besluiten van de Veiligheidsautoriteit van de Commissie kan beroep worden ingesteld in overeenstemming met het Statuut van de ambtenaren.
12. De afdelingen van de Commissie garanderen dat de nationale deskundigen die bij hen zijn gedetacheerd in een functie waarvoor een veiligheidsmachtiging voor toegang tot EUCI is vereist, aan de Veiligheidsautoriteit van de Commissie een geldige veiligheidsverklaring of certificaat van veiligheidsverklaring voor personeel, overeenkomstig de nationale wet- en regelgeving, overleggen alvorens hun taak aan te vatten, waarna op basis daarvan de Veiligheidsautoriteit van de Commissie een veiligheidsmachtiging verleent voor toegang tot EUCI tot het niveau dat overeenstemt met het niveau dat wordt genoemd in de nationale veiligheidsverklaring, met een maximale geldigheid voor de duur van hun taak.
13. De leden van de Commissie, die op basis van het Verdrag uit hoofde van hun functie toegang hebben tot EUCI, worden geïnstrueerd over hun veiligheidsverplichtingen met betrekking tot de bescherming van EUCI.
14. De Veiligheidsautoriteit van de Commissie bewaart een afschrift met betrekking tot veiligheidsverklaringen en veiligheidsmachtigingen die zijn verleend voor toegang tot EUCI overeenkomstig dit besluit. In dit afschrift wordt in ieder geval vermeld: het niveau van de EUCI waartoe een persoon toegang wordt verleend, de datum van uitgifte van de veiligheidsverklaring en de geldigheidsduur ervan.
15. De Veiligheidsautoriteit van de Commissie kan een certificaat van veiligheidsverklaring voor personeel afgeven met daarop het niveau van de EUCI waartoe de persoon toegang kan worden verleend (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger), de geldigheidsduur van de betrokken machtiging voor toegang tot EUCI en de datum waarop de geldigheid van het certificaat zelf afloopt.
16. Na de initiële toekenning van een veiligheidsmachtiging voor toegang tot EUCI wordt deze opnieuw bezien met het oog op hernieuwing, mits de betrokkene ononderbroken bij de Europese Commissie of een andere instelling, een ander orgaan of agentschap van de Unie werkzaam is geweest en nog steeds toegang tot EUCI dient te hebben; dit gebeurt over het algemeen na een termijn van vijf jaar na de datum van kennisgeving van de uitkomst van het laatste veiligheidsonderzoek waarop de machtiging is gebaseerd.
17. De Veiligheidsautoriteit van de Commissie kan de geldigheidsduur van de bestaande veiligheidsmachtiging met een periode tot maximaal twaalf maanden verlengen, indien binnen een termijn van twee maanden na doorzending van het verzoek tot hernieuwing van de overeenstemmende vragenlijst voor de veiligheidsverklaring geen negatieve informatie is ontvangen van de relevante nationale veiligheidsautoriteit of een andere bevoegde nationale autoriteit. Indien aan het einde van deze periode van twaalf maanden de relevante nationale veiligheidsautoriteit of een andere bevoegde nationale autoriteit de Veiligheidsautoriteit van de Commissie niet in kennis heeft gesteld van haar advies, dient de betrokkene taken uit te oefenen waarvoor geen veiligheidsmachtiging vereist is.
Artikel 12
Instructiebijeenkomsten inzake veiligheidsmachtigingen
1. Na deelname aan een instructiebijeenkomst inzake veiligheidsmachtigingen die door de Veiligheidsautoriteit van de Commissie worden georganiseerd, bevestigen alle gemachtigde personen schriftelijk dat zij kennis dragen van hun verplichtingen met betrekking tot de bescherming van EUCI en de gevolgen indien EUCI in gevaar wordt gebracht. Een afschrift van deze schriftelijke bevestiging wordt door de Veiligheidsautoriteit van de Commissie bewaard.
2. Eenieder die gemachtigd is om toegang te hebben tot of die moet omgaan met EUCI, dient vanaf het begin bewust te worden gemaakt van en regelmatig geïnstrueerd te worden over de gevaren voor de veiligheid en dient iedere toenadering of activiteit die hij verdacht of ongewoon vindt, onmiddellijk aan de Veiligheidsautoriteit van de Commissie te melden.
3. Alle personen die geen taken meer vervullen waarvoor toegang tot EUCI vereist is, dienen er bewust van te worden gemaakt dat hun plichten met betrekking tot de bescherming van EUCI blijven bestaan, en dienen zulks in voorkomend geval schriftelijk te bevestigen.
Artikel 13
Tijdelijke veiligheidsmachtigingen
1. De Veiligheidsautoriteit van de Commissie kan om dringende en naar behoren gemotiveerde redenen van dienstbelang en in afwachting van de voltooiing van het volledige veiligheidsonderzoek, na raadpleging van de nationale veiligheidsautoriteit van de lidstaat waarvan de betrokkene onderdaan is en afhankelijk van de uitkomst van een eerste controle of er geen negatieve informatie bekend is, personen voor een specifieke functie tijdelijk toegang tot EUCI verlenen, zonder afbreuk te doen aan de bepalingen in verband met de hernieuwing van veiligheidsverklaringen. Dergelijke tijdelijke machtigingen voor toegang tot EUCI worden voor ten hoogste zes maanden verleend en gelden niet voor informatie met rubricering TRES SECRET UE/EU TOP SECRET.
2. Na te zijn geïnstrueerd overeenkomstig artikel 12, lid 1, bevestigen alle personen wie een tijdelijke machtiging is verleend, schriftelijk dat zij kennis dragen van hun verplichtingen met betrekking tot de bescherming van EUCI en de gevolgen indien EUCI in gevaar wordt gebracht. Een aantekening van deze schriftelijke bevestiging wordt door de Veiligheidsautoriteit van de Commissie bewaard.
Artikel 14
Deelname aan gerubriceerde vergaderingen die door de Commissie worden georganiseerd
1. De afdelingen van de Commissie die verantwoordelijk zijn voor de organisatie van vergaderingen waarop informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger wordt besproken, stellen via hun lokale veiligheidsagent of via de organisator van de vergadering de Veiligheidsautoriteit van de Commissie voldoende ruim op voorhand in kennis van datum, uur, plaats en deelnemers van dergelijke vergaderingen.
2. Onverminderd de bepalingen van artikel 11, lid 13, mogen personen die zijn aangewezen voor deelname aan vergaderingen die door de Commissie worden georganiseerd en waarop informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger wordt besproken, alleen deelnemen nadat hun veiligheidsverklaring of veiligheidsmachtiging is bevestigd. De toegang tot dergelijke gerubriceerde vergaderingen wordt geweigerd aan personen van wie de Veiligheidsautoriteit van de Commissie geen certificaat van veiligheidsverklaring voor personeel of een ander bewijs van veiligheidsverklaring onder ogen heeft gehad, of aan personeel van de Commissie dat niet in het bezit is van een veiligheidsmachtiging.
3. Alvorens een gerubriceerde vergadering te organiseren verzoekt de verantwoordelijke organisator van de vergadering of de lokale veiligheidsagent van de afdeling van de Commissie die de vergadering organiseert, de externe deelnemers om aan de Veiligheidsautoriteit van de Commissie een certificaat van veiligheidsverklaring voor personeel of een ander bewijs van veiligheidsverklaring over te leggen. De Veiligheidsautoriteit van de Commissie stelt de lokale veiligheidsagent of de organisator van de vergadering in kennis van de ontvangst van de certificaten van veiligheidsverklaring voor personeel of andere bewijzen van veiligheidsverklaring. Indien van toepassing kan een geconsolideerde lijst van namen worden gebruikt, met vermelding van het relevante bewijs van veiligheidsverklaring.
4. Indien de Veiligheidsautoriteit van de Commissie door de bevoegde autoriteiten ervan in kennis wordt gesteld dat een veiligheidsverklaring van een persoon die uit hoofde van zijn taken aan vergaderingen van de Commissie moet deelnemen, werd ingetrokken, deelt de Veiligheidsautoriteit van de Commissie dit mede aan de lokale veiligheidsagent van de afdeling van de Commissie die verantwoordelijk is voor de organisatie van de vergadering.
Artikel 15
Mogelijke toegang tot EUCI
Koeriers, bewakings- en begeleidingspersoneel dienen op het passende niveau te zijn gemachtigd of anderszins een passend onderzoek te hebben ondergaan overeenkomstig de nationale wet- en regelgeving, te worden geïnstrueerd over de beveiligingsprocedures ter bescherming van EUCI en over hun plicht om de hun toevertrouwde EUCI te beschermen.
HOOFDSTUK 3
FYSIEKE BEVEILIGING TER BESCHERMING VAN GERUBRICEERDE INFORMATIE
Artikel 16
Basisbeginselen
1. Met de fysieke veiligheidsmaatregelen wordt beoogd het binnendringen door list of geweld te verhinderen, acties waarvoor geen toestemming is verleend af te schrikken, te verhinderen en op te sporen en op basis van het principe van noodzaak tot kennisname ten aanzien van toegang tot EUCI onderscheid tussen personeelsleden mogelijk te maken. Dergelijke maatregelen worden vastgesteld op basis van een risicobeheersprocedure, overeenkomstig dit besluit en de uitvoeringsbepalingen daarbij.
2. Fysieke veiligheidsmaatregelen zijn bedoeld om ongeoorloofde toegang tot EUCI te voorkomen door:
|
a) |
ervoor te zorgen dat EUCI op passende wijze wordt behandeld en opgeslagen; |
|
b) |
op basis van het „noodzaak tot kennisname”-beginsel en, in voorkomend geval, van hun veiligheidsmachtiging een onderscheid tussen personeelsleden mogelijk te maken wat de toegang tot EUCI betreft; |
|
c) |
acties waarvoor geen machtiging is verleend, af te schrikken, te verhinderen en op te sporen, en |
|
d) |
het door list of geweld binnendringen te verhinderen of te vertragen. |
3. Fysieke veiligheidsmaatregelen worden ingesteld voor alle locaties, gebouwen, kantoren, kamers en andere zones waarin EUCI wordt behandeld of opgeslagen, alsmede zones waar communicatie- en informatiesystemen, zoals gedefinieerd in hoofdstuk 5, zijn ondergebracht.
4. Zones waar EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger wordt opgeslagen, worden overeenkomstig dit hoofdstuk als beveiligde zones aangemerkt en door de Veiligheidshomologatieautoriteit van de Commissie goedgekeurd.
5. Er worden alleen door de Veiligheidsautoriteit van de Commissie goedgekeurde apparatuur en voorzieningen gebruikt voor de bescherming van EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger.
Artikel 17
Vereisten en maatregelen inzake fysieke beveiliging
1. Fysieke veiligheidsmaatregelen worden geselecteerd op basis van een risico-evaluatie door de Veiligheidsautoriteit van de Commissie, waar passend in overleg met andere afdelingen van de Commissie, andere instellingen, agentschappen of organen van de Unie en/of de bevoegde autoriteiten in de lidstaten. De Commissie past een risicobeheersprocedure toe ter bescherming van EUCI op haar locaties, teneinde ervoor te zorgen dat de geboden fysieke bescherming overeenstemt met het ingeschatte risico. In de risicobeheersprocedure wordt rekening gehouden met alle relevante factoren, met name:
|
a) |
de rubriceringsgraad van de EUCI; |
|
b) |
de vorm en omvang van de EUCI, waarbij in aanmerking moet worden genomen dat bij grote hoeveelheden of bundeling van EUCI strengere beschermingsmaatregelen nodig kunnen zijn; |
|
c) |
de omgeving en de structuur van de gebouwen of zones waar EUCI is ondergebracht, en |
|
d) |
het geëvalueerde gevaar dat uitgaat van inlichtingendiensten die zich richten op de Europese Unie, haar instellingen, organen of agentschappen, of de lidstaten, en van sabotage, terrorisme en subversieve of andere criminele activiteiten. |
2. De Veiligheidsautoriteit van de Commissie stelt aan de hand van het begrip „verdediging in de diepte” vast welke passende combinatie van fysieke veiligheidsmaatregelen moet worden getroffen. Hiertoe ontwikkelt de Veiligheidsautoriteit van de Commissie minimumnormen en criteria die in uitvoeringsbepalingen worden gevat.
3. De Veiligheidsautoriteit van de Commissie wordt gemachtigd om controles uit te voeren bij het in- en uitgaan, ter afschrikking van het ongeoorloofd binnenbrengen van materiaal in, of het ongeoorloofd verwijderen van EUCI uit een locatie of gebouw.
4. Indien het risico bestaat dat EUCI over het hoofd wordt gezien, ook onbedoeld, nemen de betrokken afdelingen van de Commissie alle passende maatregelen, zoals vastgesteld door de Veiligheidsautoriteit van de Commissie, om dit risico te bannen.
5. Voor nieuwe voorzieningen worden fysieke veiligheidsvereisten en functiespecificaties reeds bij het plannen en ontwerpen vastgesteld, in overeenstemming met de Veiligheidsautoriteit van de Commissie. Voor bestaande voorzieningen worden de fysieke veiligheidsvereisten uitgevoerd overeenkomstig de minimumnormen en criteria van de uitvoeringsbepalingen.
Artikel 18
Uitrusting voor de fysieke bescherming van EUCI
1. Voor de fysieke bescherming van EUCI worden twee soorten fysiek beschermde zones ingesteld:
|
a) |
administratieve zones, en |
|
b) |
beveiligde zones (waaronder technisch beveiligde zones). |
2. De Veiligheidshomologatieautoriteit van de Commissie bepaalt of een zone voldoet aan de eisen om te worden aangewezen als administratieve zone, beveiligde zone of technisch beveiligde zone.
3. Voor administratieve zones:
|
a) |
wordt een duidelijk omschreven afscheiding ingesteld waar personen en indien mogelijk voertuigen kunnen worden gecontroleerd; |
|
b) |
wordt toegang zonder begeleiding alleen toegestaan aan personen die naar behoren door de Veiligheidsautoriteit van de Commissie of een andere bevoegde autoriteit gemachtigd zijn, en |
|
c) |
worden alle andere personen altijd begeleid of aan gelijkwaardige controles onderworpen. |
4. Voor beveiligde zones:
|
a) |
wordt een duidelijk omschreven, beschermde afscheiding ingesteld waar elk in- en uitgaan wordt gecontroleerd middels een pasje of een systeem van persoonsherkenning; |
|
b) |
wordt toegang zonder begeleiding alleen verleend aan personen die over een veiligheidsverklaring beschikken en specifiek gemachtigd zijn om de zone te betreden op basis van hun noodzaak tot kennisname; |
|
c) |
worden alle andere personen altijd begeleid of aan gelijkwaardige controles onderworpen. |
5. Wanneer het betreden van een beveiligde zone in de praktijk neerkomt op rechtstreekse toegang tot de gerubriceerde informatie die zich daar bevindt, zijn daarnaast de volgende aanvullende voorschriften van toepassing:
|
a) |
de hoogste rubriceringsgraad van de informatie die normaal in de zone wordt bewaard, wordt duidelijk aangegeven; |
|
b) |
alle bezoekers moeten een specifieke machtiging bezitten om de zone te betreden, moeten altijd worden begeleid en moeten over een passende veiligheidsverklaring beschikken, tenzij het nodige wordt gedaan opdat geen toegang tot EUCI mogelijk is. |
6. Beveiligde zones die tegen afluisteren zijn beschermd, worden als technisch beveiligde zones aangemerkt. Daarnaast zijn de volgende aanvullende voorschriften van toepassing:
|
a) |
de zones worden uitgerust met een indringerdetectiesysteem (IDS), worden afgesloten wanneer zij niet worden gebruikt en bewaakt wanneer zij in gebruik zijn. Sleutels worden gecontroleerd overeenkomstig artikel 20; |
|
b) |
alle personen en goederen die deze zones binnenkomen, worden gecontroleerd; |
|
c) |
deze zones worden aan regelmatige fysieke en/of technische inspecties onderworpen, zoals vereist door de Veiligheidsautoriteit van de Commissie. Die inspecties worden ook verricht nadat de zones door onbevoegden zijn betreden of indien zulks wordt vermoed, en |
|
d) |
deze zones zijn vrij van ongeoorloofde communicatielijnen of telefoons of andere ongeoorloofde communicatieapparatuur en elektrische of elektronische apparatuur. |
7. Niettegenstaande lid 6, onder d), moet communicatieapparatuur en elektrische en elektronische apparatuur van welke aard ook, voordat zij wordt gebruikt in zones waar vergaderingen plaatsvinden of werk wordt verricht in verband met informatie met rubricering SECRET UE/EU SECRET en hoger, en wanneer het gevaar voor EUCI als groot wordt beoordeeld, eerst door de Veiligheidsautoriteit van de Commissie worden onderzocht om ervoor te zorgen dat geen begrijpelijke informatie door die apparatuur onbedoeld of op illegale wijze kan worden doorgegeven tot buiten de perimeter van de betrokken beveiligde zone.
8. Beveiligde zones waar niet op 24-uursbasis dienstdoend personeel aanwezig is, worden, in voorkomend geval, aan het eind van de normale werktijd geïnspecteerd, alsook buiten de normale werktijd met willekeurige tussenpozen, tenzij er een indringerdetectiesysteem is.
9. Binnen een administratieve zone kunnen tijdelijk beveiligde zones en technische beveiligde zones worden ingesteld voor een gerubriceerde vergadering of een soortgelijk doel.
10. De lokale veiligheidsagent van de betrokken afdeling van de Commissie stelt voor iedere beveiligde zone onder zijn verantwoordelijkheid operationele beveiligingsprocedures op, waarin overeenkomstig dit besluit en de uitvoeringsbepalingen daarbij het volgende wordt bepaald:
|
a) |
het niveau van de EUCI die in die zone mag worden behandeld en opgeslagen; |
|
b) |
de te handhaven bewakings- en beschermingsmaatregelen; |
|
c) |
de personen die op grond van hun noodzaak tot kennisname en veiligheidsmachtiging zonder begeleiding toegang mogen hebben tot de zone; |
|
d) |
in voorkomend geval, de procedures inzake begeleiding of inzake bescherming van EUCI wanneer aan anderen toegang tot de zone wordt verleend; |
|
e) |
alle andere relevante maatregelen en procedures. |
11. Binnen de beveiligde zones worden kluizen geïnstalleerd. De muren, vloeren, plafonds, ramen en afsluitbare deuren moeten door de Veiligheidsautoriteit van de Commissie worden goedgekeurd en een gelijkwaardig beschermingsniveau bieden als de beveiligde opbergmiddelen die zijn goedgekeurd voor de opslag van EUCI met dezelfde rubriceringsgraad.
Artikel 19
Fysieke veiligheidsmaatregelen voor het behandelen en opslaan van EUCI
1. EUCI met rubricering RESTREINT UE/EU RESTRICTED mag worden behandeld:
|
a) |
in een beveiligde zone; |
|
b) |
in een administratieve zone, als de EUCI wordt beschermd tegen toegang door onbevoegden, of |
|
c) |
buiten een beveiligde of een administratieve zone, als de houder EUCI vervoert overeenkomstig artikel 31 en heeft toegezegd zich te zullen houden aan de in de uitvoeringsbepalingen opgenomen compenserende maatregelen ter bescherming van EUCI tegen toegang van onbevoegden. |
2. EUCI met rubricering RESTREINT UE/EU RESTRICTED wordt opgeslagen in daarvoor geschikt afgesloten kantoormeubilair in een administratieve zone of een beveiligde zone. De informatie mag tijdelijk buiten een beveiligde of een administratieve zone worden opgeslagen, als de houder heeft toegezegd zich te zullen houden aan compenserende maatregelen volgens de uitvoeringsbepalingen.
3. EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET mag worden behandeld:
|
a) |
in een beveiligde zone; |
|
b) |
in een administratieve zone, als de EUCI wordt beschermd tegen toegang door onbevoegden, of |
|
c) |
buiten een beveiligde zone of een administratieve zone, mits de houder:
|
4. EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET wordt in een beveiligde zone opgeslagen in een beveiligd opbergmiddel of in een kluis.
5. EUCI met rubricering TRES SECRET UE/EU TOP SECRET wordt behandeld in een beveiligde zone, die wordt opgezet en in stand gehouden door de Veiligheidsautoriteit van de Commissie, en door de Veiligheidshomologatieautoriteit van de Commissie op het vereiste rubriceringsniveau goedgekeurd.
6. EUCI met rubricering TRES SECRET UE/EU TOP SECRET wordt opgeslagen in een beveiligde zone, en door de Veiligheidshomologatieautoriteit van de Commissie op het vereiste rubriceringsniveau goedgekeurd, op één van de volgende wijzen:
|
a) |
in een beveiligd opbergmiddel overeenkomstig artikel 18 met één of meer van de volgende aanvullende controles:
|
|
b) |
in een met een indringerdetectiesysteem uitgeruste kluis in combinatie met interventiebeveiligingspersoneel. |
Artikel 20
Controle van sleutels en codecombinaties die worden gebruikt voor de bescherming van EUCI
1. De procedures voor de controle van sleutels en codecombinaties voor kantoren, kamers, kluizen en beveiligde opbergmiddelen worden vastgesteld in de uitvoeringsbepalingen overeenkomstig artikel 60. Dergelijke procedures moeten ongeoorloofde toegang verhinderen.
2. De codecombinaties worden gememoriseerd door het kleinst mogelijke aantal personen die er kennis van moeten nemen. De codecombinaties van beveiligde opbergmiddelen en kluizen waarin EUCI wordt opgeslagen, worden gewijzigd:
|
a) |
bij ontvangst van nieuwe opbergmiddelen; |
|
b) |
in geval van een wijziging in het personeel dat de combinatie kent; |
|
c) |
wanneer EU in gevaar zijn gebracht of een vermoeden daarvan bestaat; |
|
d) |
wanneer een slot in onderhoud of in herstelling is geweest, en |
|
e) |
ten minste om de twaalf maanden. |
HOOFDSTUK 4
BEHEER VAN EUCI
Artikel 21
Basisbeginselen
1. Alle EUCI-documenten moeten worden beheerd overeenkomstig het Commissiebeleid inzake documentenbeheer en moeten bijgevolg worden geregistreerd, opgeslagen, bewaard en uiteindelijk vernietigd, geselecteerd of overgedragen naar de historische archieven overeenkomstig de gemeenschappelijke lijst op Commissie-niveau van te bewaren documenten voor dossiers van de Europese Commissie.
2. Informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger wordt vóór verspreiding en bij ontvangst geregistreerd voor veiligheidsdoeleinden. Informatie met rubricering TRES SECRET UE/EU TOP SECRET wordt in speciaal daarvoor bestemde registers geregistreerd.
3. Binnen de Commissie wordt een EUCI-register opgezet overeenkomstig de bepalingen van artikel 27.
4. De afdelingen en locaties waar EUCI wordt behandeld of opgeslagen, worden regelmatig geïnspecteerd door de Veiligheidsautoriteit van de Commissie.
5. EUCI wordt als volgt tussen de diensten en locaties buiten fysiek beveiligde zones overgebracht:
|
a) |
EUCI wordt over het algemeen overgedragen met elektronische middelen, beschermd door encryptieproducten die overeenkomstig hoofdstuk 5 zijn goedgekeurd; |
|
b) |
wanneer geen gebruik wordt gemaakt van de onder a) genoemde middelen, wordt EUCI vervoerd:
|
Artikel 22
Rubriceringen en markeringen
1. Informatie wordt gerubriceerd indien bescherming van de vertrouwelijkheid ervan noodzakelijk is, overeenkomstig artikel 3, lid 1.
2. De bron van EUCI is verantwoordelijk voor het bepalen van de rubriceringsgraad, overeenkomstig de uitvoeringsbepalingen, normen en richtsnoeren inzake rubricering en voor de eerste verspreiding van de informatie.
3. De rubriceringsgraad van EUCI wordt vastgesteld overeenkomstig artikel 3, lid 2, en overeenkomstig de relevante uitvoeringsbepalingen.
4. De rubricering wordt duidelijk en correct aangegeven, ongeacht of de EUCI in papieren, mondelinge, elektronische of enige andere vorm bestaat.
5. Afzonderlijke delen van een bepaald document (zoals bladzijden, punten, afdelingen, bijlagen, aanhangsels, aanhechtsels en bijvoegsels) kunnen verschillende rubriceringen vereisen en worden dienovereenkomstig gemarkeerd, ook wanneer zij elektronisch worden opgeslagen.
6. De rubricering die voor het gehele document of bestand geldt, is minstens van dezelfde graad als die van het hoogst gerubriceerde gedeelte ervan. Wanneer informatie uit diverse bronnen worden verzameld, wordt voor het eindproduct in zijn geheel nagegaan welke rubriceringsgraad het moet krijgen, aangezien hiervoor een hogere rubricering vereist kan zijn dan voor de onderdelen ervan.
7. Voor zover mogelijk worden documenten die delen met verschillende rubriceringsgraden bevatten, zo gestructureerd dat de delen met een verschillende rubriceringsgraad gemakkelijk kunnen worden herkend en, indien nodig, worden gescheiden.
8. De rubricering van een brief of een nota die bijvoegsels vergezelt, is van dezelfde graad als het hoogst gerubriceerde bijvoegsel. De bron geeft door middel van een passende markering duidelijk aan welke rubricering op die brief of nota moet worden toegepast indien deze gescheiden wordt van de bijvoegsels, bijvoorbeeld:
|
|
CONFIDENTIEL UE/EU CONFIDENTIAL: |
|
|
Zonder aanhechtsel(s) RESTREINT UE/EU RESTRICTED |
Artikel 23
Markeringen
Ter aanvulling van een van de rubriceringen als bedoeld in artikel 3, lid 2, kan EUCI voorzien zijn van aanvullende markeringen zoals:
|
a) |
een identificatiemiddel om de bron aan te duiden; |
|
b) |
waarschuwingsmarkeringen, codewoorden of afkortingen waarmee het activiteitengebied waarop het document betrekking heeft, een speciale verspreiding op basis van noodzaak tot kennisname of beperkingen voor het gebruik worden aangegeven; |
|
c) |
markeringen inzake de geschiktheid voor vrijgave; |
|
d) |
in voorkomend geval, de datum of de specifieke gebeurtenis waarna het document lager gerubriceerd of gederubriceerd kan worden. |
Artikel 24
Afgekorte rubriceringen
1. Om de rubriceringsgraad van afzonderlijke delen van een tekst aan te geven kunnen gestandaardiseerde afgekorte rubriceringen worden gebruikt. Deze afkortingen komen niet in de plaats van de volledige rubriceringsmarkeringen.
2. De volgende standaardafkortingen mogen in gerubriceerde EU-documenten worden gebruikt ter aanduiding van de rubriceringsgraad van afdelingen of onderdelen van tekst van minder dan één bladzijde:
|
TRES SECRET UE/EU TOP SECRET |
TS-UE/EU-TS |
|
SECRET UE/EU SECRET |
S-UE/EU-S |
|
CONFIDENTIEL UE/EU CONFIDENTIAL |
C-UE/EU-C |
|
RESTREINT UE/EU RESTRICTED |
R-UE/EU-R |
Artikel 25
Het genereren van EUCI
1. Bij het genereren van een gerubriceerd EU-document:
|
a) |
wordt op elke bladzijde duidelijk de rubriceringsgraad aangegeven; |
|
b) |
wordt elke bladzijde genummerd; |
|
c) |
wordt het document voorzien van een referentienummer en een onderwerp, dat op zich geen gerubriceerde informatie is, tenzij het als zodanig wordt gemarkeerd; |
|
d) |
wordt het document gedateerd; |
|
e) |
worden documenten met rubricering SECRET EU/EU SECRET en hoger op elke bladzijde van een exemplaarnummer voorzien, indien zij in meerdere exemplaren moeten worden verspreid. |
2. Als het niet mogelijk is lid 1 toe te passen op EUCI, worden andere passende maatregelen genomen overeenkomstig de krachtens dit besluit op te stellen uitvoeringsbepalingen.
Artikel 26
Lagere rubricering en derubricering van EUCI
1. Bij het genereren geeft de bron waar mogelijk aan of de EUCI op een bepaalde datum of na een bepaalde gebeurtenis lager gerubriceerd of gederubriceerd kan worden.
2. Elke afdeling van de Commissie bekijkt regelmatig opnieuw de EUCI waarvan zij de bron is, om na te gaan of de rubriceringsgraad nog steeds van toepassing is. In de uitvoeringsbepalingen wordt een systeem vastgesteld om de rubriceringsgraad van EUCI waarvan de Commissie de bron is, ten minste om de vijf jaar opnieuw te bekijken. Deze controle is niet nodig wanneer de bron vanaf het begin heeft aangegeven dat de informatie automatisch lager gerubriceerd of gederubriceerd zal worden en zij dienovereenkomstig gemarkeerd is.
3. Informatie met rubricering RESTREINT UE/EU RESTRICTED waarvan de Commissie de bron is, wordt na verloop van 30 jaar automatisch als gederubriceerd beschouwd, overeenkomstig Verordening (EEG, Euratom) nr. 354/83, gewijzigd bij Verordening (EG, Euratom) nr. 1700/2003 van de Raad (10).
Artikel 27
Registratiesysteem voor EUCI binnen de Commissie
1. Onverminderd artikel 52, lid 5, hieronder, wordt in elke afdeling van de Commissie waar EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET wordt behandeld of opgeslagen, een verantwoordelijk lokaal registratiesysteem voor EUCI vastgesteld om te garanderen dat EUCI overeenkomstig dit besluit wordt behandeld.
2. Het EUCI-register dat door het secretariaat-generaal wordt beheerd, is het centrale EUCI-register van de Commissie. Het fungeert als:
|
— |
lokaal EUCI-register voor het secretariaat-generaal van de Commissie, |
|
— |
EUCI-register voor de particuliere bureaus van de leden van de Commissie, tenzij deze een specifiek lokaal EUCI-register hebben, |
|
— |
EUCI-register voor directoraten-generaal of diensten die geen lokaal EUCI-register hebben, |
|
— |
voornaamste punt van in- en uitgang voor alle informatie met rubricering RESTREINT UE/EU RESTRICTED en hoger tot en met SECRET UE/EU SECRET, die wordt uitgewisseld tussen de Commissie en haar diensten en derde landen en internationale organisaties, en, indien specifieke regelingen daarin voorzien, andere instellingen, agentschappen en organen van de Unie. |
3. Binnen de Commissie wordt een register door de Veiligheidsautoriteit van de Commissie aangewezen als de centrale instantie voor het ontvangen en verzenden van informatie met rubricering TRES SECRET UE/EU TOP SECRET. In voorkomend geval kunnen subregisters worden aangewezen die zulke informatie voor registratiedoeleinden behandelen.
4. Deze subregisters mogen geen TRES SECRET UE/EU TOP SECRET-documenten rechtstreeks overdragen aan andere subregisters van hetzelfde centrale TRES SECRET UE/EU TOP SECRET-register, noch naar buiten toe overdragen, zonder uitdrukkelijke schriftelijke toestemming van dit centrale register.
5. De EUCI-registers worden als beveiligde zones ingericht, zoals bedoeld in hoofdstuk 3, en door de Veiligheidshomologatieautoriteit van de Commissie goedgekeurd.
Artikel 28
Registercontrolefunctionaris
1. Elk EUCI-register wordt beheerd door een registercontrolefunctionaris (RCO).
2. De RCO beschikt over een passende veiligheidsverklaring.
3. De RCO valt onder het toezicht van de lokale veiligheidsagent binnen de betrokken afdeling van de Commissie, voor zover het de toepassing betreft van de bepalingen inzake de behandeling van EUCI-documenten en de naleving van de relevante veiligheidsvoorschriften, -normen en -richtsnoeren.
4. In het kader van zijn verantwoordelijkheid om het EUCI-register waarvoor hij is aangewezen, te beheren, neemt de RCO de volgende algemene taken op zich overeenkomstig dit besluit en de voorschriften, normen en richtsnoeren voor de uitvoering:
|
— |
het beheer van operaties in verband met de registratie, bewaring, reproductie, vertaling, overdracht, verzending en vernietiging of overbrenging naar de historische archieven van EUCI, |
|
— |
het geregelde toezicht op de noodzaak om de rubricering van de informatie te handhaven, |
|
— |
andere taken in verband met de bescherming van EUCI als vastgesteld in de uitvoeringsbepalingen. |
Artikel 29
Registratie van EUCI voor beveiligingsdoeleinden
1. Voor de toepassing van dit besluit wordt onder registratie voor beveiligingsdoeleinden (hierna „registratie” genoemd) verstaan: de toepassing van procedures waarbij de levenscyclus van EUCI, ook de verspreiding ervan, wordt geregistreerd.
2. Alle informatie of materiaal met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en hoger wordt in speciaal daarvoor bestemde registers geregistreerd bij binnenkomst in of vertrek uit een organisatorische entiteit.
3. Wanneer EUCI in een communicatie- en informatiesysteem wordt behandeld of opgeslagen, kunnen de registratieprocedures binnen het communicatie- en informatiesysteem zelf plaatsvinden.
4. Meer gedetailleerde bepalingen betreffende de registratie van EUCI voor beveiligingsdoeleinden worden in de uitvoeringsbepalingen vastgesteld.
Artikel 30
Kopiëren en vertalen van gerubriceerde EU-documenten
1. Documenten met rubricering TRES SECRET UE/EU TOP SECRET worden niet zonder voorafgaande schriftelijke toestemming van de bron gekopieerd of vertaald.
2. Indien de bron van documenten met rubricering SECRET UE/EU SECRET of lager geen waarschuwingsmarkeringen met betrekking tot het kopiëren of vertalen heeft aangebracht, kunnen deze documenten op instructie van de houder worden gekopieerd of vertaald.
3. De veiligheidsmaatregelen die voor het originele document gelden, zijn ook van toepassing op kopieën en vertalingen ervan.
Artikel 31
Vervoer van EUCI
1. EUCI wordt op zodanige wijze vervoerd dat tijdens het vervoer ongeoorloofde openbaarmaking niet mogelijk is.
2. Het vervoer van EUCI geschiedt onder beschermende maatregelen, die met name:
|
— |
overeenstemmen met de rubriceringsgraad van de vervoerde EUCI, en |
|
— |
aangepast zijn aan de specifieke vervoersvoorwaarden, met name afhankelijk van het feit of de EUCI wordt vervoerd:
|
3. Deze beschermende maatregelen worden in detail beschreven in de uitvoeringsbepalingen, of, in het geval van projecten en programma's als bedoeld in artikel 42, als integraal onderdeel van de desbetreffende programma-/projectbeveiligingsinstructies.
4. De uitvoeringsbepalingen of de projectbeveiligingsinstructies omvatten bepalingen die overeenstemmen met de rubriceringsgraad van de EUCI, betreffende:
|
— |
het type vervoer, zoals vervoer in de handbagage, per diplomatieke of militaire koerier, per post of per commerciële koerierdienst, |
|
— |
de verpakking van de EUCI, |
|
— |
technische tegenmaatregelen voor EUCI op elektronische dragers, |
|
— |
enige andere procedurele, fysieke of elektronische maatregel, |
|
— |
registratieprocedures, |
|
— |
het gebruik van personeel met een veiligheidsmachtiging. |
5. Wanneer EUCI op elektronische dragers wordt vervoerd, kunnen onverminderd artikel 21, lid 5, de beschermende maatregelen als vastgesteld in de uitvoeringsbepalingen worden aangevuld met passende technische tegenmaatregelen, die door de Veiligheidsautoriteit van de Commissie worden goedgekeurd, om het risico op verlies of in gevaar brengen zo klein mogelijk te maken.
Artikel 32
Vernietiging van EUCI
1. Gerubriceerde EU-documenten die niet langer nodig zijn, mogen worden vernietigd onverminderd de archiefregelgeving en de geldende regels en voorschriften van de Commissie inzake documentbeheer en archivering, en meer bepaald de gemeenschappelijke lijst op Commissie-niveau van te bewaren documenten.
2. EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en hoger wordt vernietigd door de RCO van het verantwoordelijke EUCI-register op aanwijzing van de houder of van een bevoegde autoriteit. De RCO actualiseert de logboeken en ander registerinformatie in overeenstemming daarmee.
3. De vernietiging van documenten met rubricering SECRET UE/EU SECRET of TRES SECRET UE/EU TOP SECRET vindt plaats door de RCO in het bijzijn van een getuige die een veiligheidsmachtiging heeft voor ten minste de rubriceringsgraad van het document dat wordt vernietigd.
4. Zowel de RCO als de getuige, als de aanwezigheid van deze laatste vereist is, ondertekenen een vernietigingscertificaat, dat wordt bewaard in het register. Door de RCO van het verantwoordelijke EUCI-register worden vernietigingscertificaten van documenten met rubricering TRES SECRET UE/EU TOP SECRET gedurende ten minste tien jaar en van documenten met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET gedurende ten minste vijf jaar bewaard.
5. Gerubriceerde documenten, met inbegrip van documenten met rubricering RESTREINT UE/EU RESTRICTED, worden vernietigd volgens methoden die in de uitvoeringsbepalingen worden vastgesteld en die beantwoorden aan de relevante EU- of equivalente normen.
6. Digitale opslagmedia voor EUCI worden vernietigd overeenkomstig de procedures die in de uitvoeringsbepalingen worden vastgesteld.
Artikel 33
Vernietiging van EUCI in noodgevallen
1. De afdelingen van de Commissie die houder zijn van EUCI, stellen, naargelang van de plaatselijke omstandigheden, plannen op ter beveiliging van gerubriceerd EU-materiaal in crisissituaties, die indien nodig plannen voor vernietiging en evacuatieplannen in noodgevallen omvatten. Zij publiceren de instructies die noodzakelijk worden geacht om te voorkomen dat EUCI in onbevoegde handen terechtkomt.
2. De regelingen die in crisissituaties worden getroffen om materiaal met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET te beveiligen en/of te vernietigen, mogen in geen geval ten koste gaan van de beveiliging of de vernietiging van TRES SECRET UE/EU TOP SECRET-materiaal, inclusief de encryptieapparatuur, waarvan de behandeling voorrang heeft op alle andere taken.
3. In noodgevallen of indien er een imminent gevaar van ongeoorloofde openbaarmaking is, wordt de EUCI door de houder derwijze vernietigd dat deze niet in haar geheel, noch ten dele kan worden gereconstrueerd. De bron en het register van oorsprong worden op de hoogte gebracht van de vernietiging van geregistreerde EUCI in een noodgeval.
4. Meer gedetailleerde bepalingen betreffende de vernietiging van EUCI worden in de uitvoeringsbepalingen vastgesteld.
HOOFDSTUK 5
BESCHERMING VAN EUCI IN COMMUNICATIE- EN INFORMATIESYSTEMEN
Artikel 34
Basisbeginselen van de informatieborging
1. Informatieborging op het gebied van communicatie- en informatiesystemen is de overtuiging dat die systemen de erin opgenomen informatie zullen beschermen en zullen functioneren zoals nodig en wanneer nodig, onder de controle van legitieme gebruikers.
2. Effectieve informatieborging houdt in dat de volgende aspecten op passende wijze worden gewaarborgd:
|
Authenticiteit |
: |
de garantie dat informatie echt is en van bonafide bronnen afkomstig is; |
|
Beschikbaarheid |
: |
de eigenschap dat informatie op verzoek van een gemachtigde entiteit toegankelijk en bruikbaar is; |
|
Vertrouwelijkheid |
: |
de eigenschap dat informatie niet wordt vrijgegeven aan niet-gemachtigde personen, entiteiten of processen; |
|
Integriteit |
: |
de eigenschap dat de nauwkeurigheid en de volledigheid van de goederen en de informatie is gewaarborgd; |
|
Onweerlegbaarheid |
: |
de eigenschap dat bewezen kan worden dat een actie of gebeurtenis heeft plaatsgevonden, zodat deze actie of gebeurtenis niet achteraf kan worden ontkend. |
3. Informatieborging is op een risicobeheersprocedure gebaseerd.
Artikel 35
Definities
Voor de toepassing van dit hoofdstuk wordt verstaan onder:
a) „homologatie”: de formele machtiging en goedkeuring die aan een communicatie- en informatiesysteem wordt verleend door de Veiligheidshomologatieautoriteit om EUCI te verwerken in zijn operationele milieu, na formele validering van het veiligheidsplan en de correcte uitvoering ervan;
b) „homologatieprocedure”: de noodzakelijke stappen en taken die zijn vereist alvorens de homologatie door de Veiligheidshomologatieautoriteit plaatsvindt. Deze stappen en taken worden beschreven in een homologatieprocedurenorm;
c) „communicatie- en informatiesystemen” (CIS): systemen waarmee informatie in elektronische vorm kan worden behandeld. Een communicatie- en informatiesysteem omvat alle functionele bestanddelen die voor het functioneren ervan vereist zijn, waaronder infrastructurele, organisatorische, personele en informatiemiddelen;
d) „residueel risico”: het risico dat blijft bestaan nadat er veiligheidsmaatregelen zijn genomen, aangezien niet alle dreigingen worden tegengegaan en niet alle kwetsbaarheden kunnen worden weggenomen;
e) „risico”: de mogelijkheid dat een bepaald gevaar de interne en externe kwetsbaarheden van een organisatie of een van de door haar gebruikte systemen zal uitbuiten en daarbij schade zal toebrengen aan de organisatie en haar materiële en immateriële goederen. Risico wordt gemeten als een combinatie van de waarschijnlijkheid dat gevaren zich zullen voordoen en het effect daarvan;
f) „risicoaanvaarding”: het besluit om erin te berusten dat er na de risicobehandeling een residueel risico blijft bestaan;
g) „risicobeoordeling”: het in kaart brengen van gevaren en kwetsbaarheden en het verrichten van de daarmee verband houdende risicoanalyse, dat wil zeggen analyse van de waarschijnlijkheid en het effect;
h) „risicocommunicatie”: houdt in dat er risicovoorlichtingscampagnes worden gevoerd, gericht op gebruikers van CIS, dat goedkeuringsautoriteiten over die risico's worden geïnformeerd en dat er verslag over wordt uitgebracht aan de operationele autoriteiten;
i) „risicobehandeling”: het verzachten, wegnemen, verkleinen (via een passende combinatie van technische, fysieke, organisatorische of procedurele maatregelen), overbrengen of onder toezicht houden van het risico.
Artikel 36
CIS voor de behandeling van EUCI
1. CIS behandelen EUCI overeenkomstig het concept van informatieborging.
2. Voor CIS waarmee EUCI worden behandeld, impliceert de naleving van het beveiligingsbeleid voor informatiesystemen van de Commissie, als bedoeld in Besluit C(2006) 3602 van de Commissie (11), het volgende:
|
a) |
de cyclus „plannen-uitvoeren-controleren-aanpassen” (PDCA — Plan-Do-Check-Act) wordt toegepast voor de uitvoering van het beveiligingsbeleid voor informatiesystemen tijdens de hele levensduur van deze systemen; |
|
b) |
de veiligheidsbehoeften worden vastgesteld via een impactanalyse; |
|
c) |
het informatiesysteem en de daarin vervatte gegevens worden onderworpen aan een formele classificatie; |
|
d) |
alle verplichte veiligheidsmaatregelen volgens het beveiligingsbeleid voor informatiesystemen worden uitgevoerd; |
|
e) |
er wordt een risicobeheersprocedure toegepast die uit de volgende stappen bestaat: identificatie van het gevaar en de kwetsbaarheid, risicobeoordeling, risicobehandeling, risicoaanvaarding en risicocommunicatie; |
|
f) |
een veiligheidsplan, met inbegrip van het veiligheidsbeleid en de operationele beveiligingsprocedures, wordt vastgesteld, uitgevoerd, gecontroleerd en herzien. |
3. Alle personeel dat betrokken is bij het ontwerpen, ontwikkelen, testen, in werking stellen, beheren of gebruiken van CIS voor de behandeling van EUCI, melden aan de Veiligheidshomologatieautoriteit alle mogelijke tekortkomingen, incidenten, inbreuken of gevaren in verband met de veiligheid die een effect kunnen hebben op de bescherming van de CIS en/of de daarin opgenomen EUCI.
4. Wanneer EUCI door encryptieproducten wordt beschermd, worden deze producten als volgt goedgekeurd:
|
a) |
de voorkeur wordt gegeven aan producten die zijn goedgekeurd door de Raad of door het secretariaat-generaal van de Raad in zijn hoedanigheid van autoriteit voor de goedkeuring van encryptieproducten van de Raad, na een aanbeveling van de deskundigengroep voor de veiligheid van de Commissie; |
|
b) |
indien gerechtvaardigd op specifieke operationele gronden kan de autoriteit voor de goedkeuring van encryptieproducten van de Commissie, na een aanbeveling van de deskundigengroep voor de veiligheid van de Commissie, vrijstelling verlenen van de vereisten onder a) en een tijdelijke goedkeuring verlenen voor een specifieke periode. |
5. Tijdens de overdracht, verwerking en opslag van EUCI met elektronische middelen moeten goedgekeurde encryptieproducten worden gebruikt. Niettegenstaande deze eis kunnen specifieke procedures worden toegepast in noodgevallen of in geval van specifieke technische configuraties na goedkeuring door de autoriteit voor de goedkeuring van encryptieproducten.
6. CIS die informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en hoger behandelen, worden met veiligheidsmaatregelen beschermd opdat de informatie niet in gevaar raakt door onopzettelijke elektromagnetische emissies („TEMPEST-beveiligingsmaatregelen”). Deze beveiligingsmaatregelen dienen in verhouding te staan tot het risico op misbruik en de rubriceringsgraad van de gegevens.
7. De Veiligheidsautoriteit van de Commissie vervult de rol van:
|
— |
Informatieborgingsautoriteit; |
|
— |
Veiligheidshomologatieautoriteit; |
|
— |
TEMPEST-autoriteit; |
|
— |
autoriteit voor de goedkeuring van encryptieproducten; |
|
— |
autoriteit voor de verdeling van encryptieproducten. |
8. De Veiligheidsautoriteit van de Commissie wijst voor elk systeem de operationele Informatieborgingsautoriteit aan.
9. De verantwoordelijkheden in verband met de in de leden 7 en 8 beschreven rollen worden in de uitvoeringsbepalingen nader bepaald.
Artikel 37
Homologatie van CIS voor de behandeling van EUCI
1. Alle CIS voor de behandeling van EUCI, ondergaan een homologatieprocedure, gebaseerd op de beginselen van informatieborging, waarvan de gedetailleerdheid overeenstemt met het vereiste beschermingsniveau.
2. De homologatieprocedure omvat de formele validering door de Veiligheidshomologatieautoriteit van de Commissie van het veiligheidsplan voor de betrokken CIS, teneinde te verzekeren:
|
a) |
dat de risicobeheersprocedure, als bedoeld in artikel 36, lid 2, correct is toegepast; |
|
b) |
dat de eigenaar van het systeem het residuele risico met kennis van zaken heeft aanvaard, en |
|
c) |
dat een voldoende beschermingsniveau voor de CIS en de daarmee behandelde EUCI is verwezenlijkt overeenkomstig dit besluit. |
3. De Veiligheidshomologatieautoriteit van de Commissie geeft een homologatieverklaring af waarin de maximaal toegelaten rubriceringsgraad van de informatie die door een CIS mag worden behandeld, en de voorwaarden daarvoor, worden vastgesteld. Dit laat de taken onverlet die zijn toevertrouwd aan het Veiligheidshomologatieorgaan als bedoeld in artikel 11 van Verordening (EU) nr. 512/2014 van het Europees Parlement en de Raad (12).
4. Een gezamenlijk Veiligheidshomologatieorgaan is verantwoordelijk voor de homologatie van de CIS van de Commissie die verschillende partijen betreffen. Het bestaat uit een vertegenwoordiger van de Veiligheidshomologatieautoriteit van iedere betrokken partij en de vergaderingen worden voorgezeten door een vertegenwoordiger van de Veiligheidshomologatieautoriteit van de Commissie.
5. De homologatieprocedure omvat een reeks taken die door de betrokken partijen moeten worden vervuld. De verantwoordelijkheid voor de voorbereiding van de homologatiedossiers en de documentatie berust volledig bij de eigenaar van de CIS.
6. De homologatie valt onder de verantwoordelijkheid van de Veiligheidshomologatieautoriteit van de Commissie, die op elk ogenblik van de levenscyclus van de CIS het recht heeft om:
|
a) |
de toepassing van een homologatieprocedure te eisen; |
|
b) |
de CIS te auditen of te inspecteren; |
|
c) |
indien niet langer wordt voldaan aan de operationele voorwaarden, de vaststelling en effectieve uitvoering te eisen van een plan voor een verbetering van de veiligheid binnen een welbepaalde termijn, en mogelijk de goedkeuring voor het gebruik van de CIS in te trekken, tot opnieuw is voldaan aan de operationele voorwaarden. |
7. De homologatieprocedure wordt vastgesteld in een norm inzake de homologatieprocedure voor CIS voor de behandeling van EUCI, die wordt goedgekeurd overeenkomstig artikel 10, lid 3, van Besluit C(2006) 3602.
Artikel 38
Noodgevallen
1. Niettegenstaande het bepaalde in dit hoofdstuk mogen de hieronder beschreven specifieke procedures worden toegepast in noodgevallen, zoals dreigende of uitgebroken crises, conflicten, oorlogssituaties of in uitzonderlijke operationele omstandigheden.
2. EUCI mag met toestemming van de bevoegde autoriteit door middel van voor een lager rubriceringsniveau goedgekeurde encryptieproducten of zonder encryptie worden overgedragen, indien vertraging schade zou veroorzaken die duidelijk zwaarder weegt dan de schade ten gevolge van eventuele verspreiding van het gerubriceerde materiaal en indien:
|
a) |
de zender en de ontvanger niet over de vereiste encryptieapparatuur beschikken, en |
|
b) |
het gerubriceerde materiaal niet op tijd met andere middelen kan worden verstuurd. |
3. Gerubriceerde informatie die in de in lid 1 bedoelde omstandigheden wordt overgedragen, mag geen tekenen of aanwijzingen dragen die haar onderscheiden van ongerubriceerde informatie of informatie die beschermd kan worden door een beschikbaar encryptieproduct. Ontvangers worden onverwijld langs andere wegen op de hoogte gebracht van het rubriceringsniveau.
4. Vervolgens wordt een verslag opgesteld door de bevoegde autoriteit en naar de deskundigengroep voor de veiligheid van de Commissie gezonden.
HOOFDSTUK 6
INDUSTRIËLE BEVEILIGING
Artikel 39
Basisbeginselen
1. Industriële beveiliging is de toepassing van maatregelen om de bescherming van EUCI te waarborgen
|
a) |
in het kader van gerubriceerde contracten, door:
|
|
b) |
in het kader van gerubriceerde subsidie-overeenkomsten, door:
|
2. Dergelijke contracten of subsidie-overeenkomsten mogen geen informatie met rubricering TRES SECRET UE/EU TOP SECRET omvatten.
3. Tenzij anders vermeld, zijn de bepalingen in dit hoofdstuk die betrekking hebben op gerubriceerde contracten of contractanten, ook van toepassing op gerubriceerde onderaanneming of subcontractanten.
Artikel 40
Definities
Voor de toepassing van dit hoofdstuk wordt verstaan onder:
a) „gerubriceerd contract”: een kaderovereenkomst of overeenkomst, als bedoeld in Verordening (EG, Euratom) nr. 1605/2002 (13), tussen de Commissie of een van haar afdelingen en een contractant voor de levering van roerende of onroerende goederen, de uitvoering van werken of de verrichting van diensten waarvan de uitvoering het genereren, behandelen of opslaan van EUCI vereist;
b) „gerubriceerde onderaanneming”: een overeenkomst tussen een contractant van de Commissie of een van haar afdelingen en een andere contractant (de subcontractant) voor de levering van roerende of onroerende goederen, de uitvoering van werken of de verrichting van diensten waarvan de uitvoering het genereren, behandelen of opslaan van EUCI vereist;
c) „gerubriceerde subsidie-overeenkomst”: een overeenkomst waarbij de Commissie een subsidie toekent, als bedoeld in deel I, titel VI, van Verordening (EG, Euratom) nr. 1605/2002, waarvan de uitvoering het genereren, behandelen of opslaan van EUCI vereist;
d) „aangewezen veiligheidsautoriteit”: een autoriteit onder het gezag van de nationale veiligheidsautoriteit van een lidstaat die tot taak heeft industriële of andere entiteiten te informeren over alle aspecten van het nationale beleid inzake industriële beveiliging, en leiding te geven aan en bijstand te verlenen bij de uitvoering ervan. De nationale veiligheidsautoriteit of een andere bevoegde autoriteit kan de rol van aangewezen veiligheidsautoriteit op zich nemen.
Artikel 41
Procedure voor gerubriceerde contracten en subsidie-overeenkomsten
1. Elke afdeling van de Commissie zorgt er als aanbestedende autoriteit voor dat bij het gunnen van gerubriceerde contracten of subsidie-overeenkomsten de in dit hoofdstuk vervatte minimumnormen voor industriële beveiliging worden genoemd of opgenomen in het contract, en dat eraan wordt voldaan.
2. Voor de toepassing van lid 1 winnen de bevoegde diensten binnen de Commissie het advies in van het directoraat-generaal Personele middelen en veiligheid, en meer bepaald van het directoraat Veiligheid, en garanderen zij dat de modellen voor contracten, onderaannemingen en subsidie-overeenkomsten bepalingen omvatten die in overeenstemming zijn met de basisbeginselen en minimumnormen waaraan de contractanten en subcontractanten resp. de begunstigden van subsidie-overeenkomsten voor de bescherming van EUCI moeten voldoen.
3. De Commissie werkt nauw samen met de nationale veiligheidsautoriteit, de aangewezen veiligheidsautoriteit of elke andere bevoegde autoriteit van de betrokken lidstaten.
4. Indien een aanbestedende autoriteit voornemens is een procedure te starten voor het sluiten van een gerubriceerd contract of een gerubriceerde subsidie-overeenkomst, wint zij het advies in van de Veiligheidsautoriteit van de Commissie over de kwesties die het gerubriceerde karakter en de gerubriceerde elementen van de procedure betreffen, in alle stadia ervan.
5. Templates en modellen van gerubriceerde contracten en onderaannemingen en van gerubriceerde subsidie-overeenkomsten, aankondigingen van opdrachten, informatie over de omstandigheden waarin veiligheidsverklaringen voor een vestiging zijn vereist, programma-/projectbeveiligingsinstructies, memoranda over de beveiligingsaspecten, bezoeken, overdracht en vervoer van EUCI in het kader van gerubriceerde contracten of gerubriceerde subsidie-overeenkomsten worden vastgesteld in uitvoeringsbepalingen inzake industriële beveiliging, na raadpleging van de deskundigengroep voor de veiligheid van de Commissie.
6. De Commissie kan gerubriceerde contracten of subsidie-overeenkomsten sluiten die taken behelzen waarvoor toegang tot of behandeling of opslag van EUCI nodig is voor marktdeelnemers die in een lidstaat of een derde land zijn geregistreerd, en waarmee een overeenkomst of administratieve regeling is getroffen overeenkomstig hoofdstuk 7 van dit besluit.
Artikel 42
Beveiligingselementen in gerubriceerde contracten en subsidie-overeenkomsten
1. Gerubriceerde contracten en subsidie-overeenkomsten omvatten verplicht de volgende beveiligingselementen:
Programma-/projectbeveiligingsinstructies
|
a) |
Een programma-/projectbeveiligingsinstructie is een lijst van beveiligingsprocedures die op een specifiek programma/project worden toegepast om de beveiligingsprocedures te standaardiseren. Deze instructie kan gedurende de gehele looptijd van het programma/project worden herzien. |
|
b) |
Het directoraat-generaal Personele middelen en veiligheid ontwerpt een generieke programma-/projectbeveiligingsinstructie die de afdelingen van de Commissie die verantwoordelijk zijn voor programma's of projecten die de behandeling of opslag van EUCI behelzen, verder kunnen ontwikkelen, waar passend, in de vorm van specifieke programma-/projectbeveiligingsinstructies, die op de generieke programma-/projectbeveiligingsinstructie zijn gebaseerd. |
|
c) |
Meer bepaald wordt een specifieke programma-/projectbeveiligingsinstructie ontwikkeld voor programma's en projecten die een aanzienlijke reikwijdte, omvang of complexiteit vertonen, of waarbij een groot aantal en/of zeer divers aantal contractanten, begunstigden en andere partners en belanghebbenden is betrokken, bijvoorbeeld wat betreft hun wettelijke status. De specifieke programma-/projectbeveiligingsinstructie wordt ontwikkeld door de afdeling(en) van de Commissie die het programma of project beheert (beheren), in nauwe samenwerking met het directoraat-generaal Personele middelen en veiligheid. |
|
d) |
Het directoraat-generaal Personele middelen en veiligheid dient zowel de generieke als de specifieke programma-/projectbeveiligingsinstructies voor advies in bij de deskundigengroep voor de veiligheid van de Commissie. |
Memorandum over de beveiligingsaspecten
|
a) |
Een memorandum over de beveiligingsaspecten is een geheel van bijzondere, door de aanbestedende autoriteit uitgevaardigde contractvoorwaarden die een integrerend deel vormen van een gerubriceerd contract dat de toegang tot of het genereren van EUCI behelst, en waarin de veiligheidsvereisten of de elementen van het contract die beveiligd moeten worden, worden genoemd. |
|
b) |
De voor het contract specifieke veiligheidsvereisten worden beschreven in een memorandum over de beveiligingsaspecten. Dit memorandum omvat, waar passend, de rubriceringsgids en vormt een integrerend deel van een gerubriceerd contract, een gerubriceerde onderaanneming of gerubriceerde subsidie-overeenkomst. |
|
c) |
Het memorandum over de beveiligingsaspecten bevat bepalingen die de contractant en/of de begunstigde ertoe verplichten zich te houden aan de minimumnormen in dit besluit. De aanbestedende autoriteit zorgt ervoor dat het memorandum over de beveiligingsaspecten stipuleert dat niet-naleving van deze minimumnormen voldoende grond kan zijn om het contract of de subsidie-overeenkomst te beëindigen. |
2. Zowel de programma-/projectbeveiligingsinstructies als de memoranda over de beveiligingsaspecten omvatten een rubriceringsgids als verplicht beveiligingselement.
|
a) |
Een „rubriceringsgids” is een document waarin wordt beschreven welke onderdelen van een programma, contract of subsidie-overeenkomst gerubriceerd zijn en wat de toepasselijke rubriceringsgraden zijn. De rubriceringsgids kan gedurende de looptijd van het programma, het project, het contract of de subsidie-overeenkomst worden uitgebreid en bepaalde gegevens kunnen een andere of een lagere rubricering krijgen. Als er een rubriceringsgids is, maakt deze deel uit van het memorandum over de beveiligingsaspecten. |
|
b) |
Alvorens een aanbesteding uit te schrijven of een gerubriceerd contract te gunnen, bepaalt de betrokken afdeling van de Commissie als aanbestedende autoriteit welke rubricering wordt gegeven aan informatie die aan inschrijvers en contractanten moet worden verstrekt, en welke rubricering wordt gegeven aan informatie die de contractant zal genereren. Daartoe ontwerpt de betrokken afdeling van de Commissie een rubriceringsgids overeenkomstig dit besluit en de uitvoeringsbepalingen daarbij, na raadpleging van de Veiligheidsautoriteit van de Commissie. |
|
c) |
Voor het bepalen van de rubricering van de diverse onderdelen van een gerubriceerd contract gelden onderstaande beginselen:
|
Artikel 43
Toegang tot EUCI voor personeel van contractanten en begunstigden
De aanbestedende of subsidieverlenende autoriteit garandeert dat gerubriceerde contracten of subsidie-overeenkomsten bepalingen omvatten die stipuleren dat het personeel van een contractant, subcontractant of begunstigde die voor de verwezenlijking van het gerubriceerde contract, de gerubriceerde onderaanneming of de gerubriceerde subsidie-overeenkomst toegang nodig heeft tot EUCI, deze toegang alleen krijgt mits:
|
a) |
de betrokkene beschikt over een veiligheidsmachtiging tot het vereiste niveau of anderszins terdege gemachtigd is doordat zijn noodzaak tot kennisname is vastgesteld; |
|
b) |
de betrokkene is geïnstrueerd over de toepasselijke beveiligingsvoorschriften en -procedures voor de bescherming van EUCI en hij zijn verantwoordelijkheden in verband met de bescherming van dergelijke informatie heeft bevestigd; |
|
c) |
de betrokkene beschikt over een veiligheidsverklaring tot het vereiste niveau voor informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET, afgegeven door de respectieve nationale veiligheidsautoriteit, de aangewezen veiligheidsautoriteit of andere bevoegde autoriteit. |
Artikel 44
Veiligheidsverklaring voor een vestiging
1. Een „veiligheidsverklaring voor een vestiging” is een administratieve beslissing van een nationale veiligheidsautoriteit of een aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit waaruit blijkt dat de vestiging vanuit beveiligingsoogpunt een afdoend niveau van bescherming biedt voor EUCI met een bepaalde rubriceringsgraad.
2. Een veiligheidsverklaring voor een vestiging die is verstrekt door een nationale veiligheidsautoriteit of een aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit van een lidstaat, en waarin overeenkomstig de nationale wet- en regelgeving wordt aangegeven dat een marktdeelnemer in staat is om binnen zijn vestiging EUCI te beschermen op het passende rubriceringsniveau (CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET), wordt overgelegd aan de Veiligheidsautoriteit van de Commissie, die deze op haar beurt doorzendt naar de afdeling van de Commissie die fungeert als aanbestedende of subsidieverlenende autoriteit, alvorens een gegadigde, inschrijver, contractant, subsidieaanvrager of begunstigde van een subsidie toegang kan krijgen tot EUCI.
3. Waar relevant meldt de aanbestedende autoriteit via de Veiligheidsautoriteit van de Commissie, de in aanmerking komende nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit, dat een veiligheidsverklaring voor een vestiging vereist is voor de uitvoering van het contract. Een veiligheidsverklaring voor een vestiging of een veiligheidsverklaring voor personeel wordt verlangd indien EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET moet worden verstrekt in het stadium van de aanbestedings- of subsidiegunningsprocedure.
4. De aanbestedende of subsidieverlenende autoriteit kent geen gerubriceerde contracten of subsidie-overeenkomsten toe aan een geselecteerde inschrijver of deelnemer zonder van de nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit van de lidstaat waar de contractant of subcontractant is geregistreerd, een bevestiging te hebben ontvangen dat er, indien zulks vereist is, een veiligheidsverklaring voor een vestiging is afgegeven.
5. Indien de Veiligheidsautoriteit van de Commissie door de nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit die een veiligheidsverklaring voor een vestiging heeft afgegeven, in kennis is gesteld van wijzigingen in de veiligheidsverklaring voor een vestiging, informeert zij de afdeling van de Commissie die fungeert als aanbestedende of subsidieverlenende autoriteit. Bij onderaanneming worden de nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit op de hoogte gebracht.
6. Intrekking van een veiligheidsverklaring voor een vestiging door de nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit biedt de aanbestedende of subsidieverlenende autoriteit voldoende redenen om een gerubriceerd contract te beëindigen of een gegadigde, inschrijver of aanvrager uit te sluiten van mededinging. Een bepaling in die zin wordt opgenomen in de toekomstige modellen voor contracten en subsidie-overeenkomsten.
Artikel 45
Bepalingen voor gerubriceerde contracten en subsidie-overeenkomsten
1. Wanneer tijdens de aanbestedingsprocedure aan een gegadigde, inschrijver of aanvrager EUCI wordt verstrekt, bevat de aanbesteding of de oproep tot het indienen van voorstellen een bepaling die de gegadigde, inschrijver of aanvrager die uiteindelijk geen offerte doet, of die niet wordt geselecteerd, verplicht alle gerubriceerde documenten binnen een bepaalde termijn terug te zenden.
2. De aanbestedende of subsidieverlenende autoriteit stelt via de Veiligheidsautoriteit van de Commissie de bevoegde nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit in kennis van het feit dat een gerubriceerd contract of gerubriceerde subsidie-overeenkomst is gegund, alsook van de relevante gegevens, zoals de naam van de contractant(en) of begunstigde(n), de duur van het contract en de maximale rubriceringsgraad.
3. Indien dergelijke contracten of subsidie-overeenkomsten worden beëindigd, stelt de aanbestedende of subsidieverlenende autoriteit via de Veiligheidsautoriteit van de Commissie de bevoegde nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit van de lidstaat waar de contractant of begunstigde van een subsidie is geregistreerd, onverwijld daarvan in kennis.
4. Als algemene regel geldt dat de contractant of begunstigde van een subsidie alle EUCI die hij in zijn bezit heeft, na afloop van het gerubriceerde contract of de gerubriceerde subsidie-overeenkomst, of na beëindiging van deelname van een begunstigde, moet terugbezorgen aan de aanbestedende of subsidieverlenende autoriteit.
5. In het memorandum over de beveiligingsaspecten worden specifieke bepalingen opgenomen voor het verwijderen van EUCI tijdens de uitvoering van een gerubriceerd contract of een gerubriceerde subsidie-overeenkomst, of na afloop ervan.
6. Wanneer de contractant of begunstigde van een subsidie gemachtigd is EUCI te houden na afloop van een gerubriceerd contract of een gerubriceerde subsidie-overeenkomst, blijven de minimumnormen van dit besluit van toepassing en moet de vertrouwelijkheid van EUCI door de contractant of begunstigde van een subsidie worden beschermd.
Artikel 46
Specifieke bepalingen voor gerubriceerde contracten
1. De voor de bescherming van EUCI relevante voorwaarden waaronder een contractant een beroep kan doen op subcontractanten, worden in de aanbesteding en het gerubriceerde contract omschreven.
2. Voordat een contractant delen van een gerubriceerd contract uitbesteedt aan een subcontractant, moet de aanbestedende autoriteit hiervoor toestemming verlenen. Geen onderaanneming die toegang tot EUCI behelst, kan aan in derde landen geregistreerde subcontractanten worden gegund, tenzij er een regelgevend kader voorhanden is voor de beveiliging van de informatie als bedoeld in hoofdstuk 7.
3. Het is de verantwoordelijkheid van de contractant dat alle onderaannemingsactiviteiten worden uitgevoerd in overeenstemming met de minimumnormen van dit besluit en de contractant mag geen EUCI doorgeven aan een subcontractant zonder voorafgaande schriftelijke toestemming van de aanbestedende autoriteit.
4. Wat betreft EUCI die door de contractant of subcontractant wordt gegenereerd of behandeld, wordt de Commissie beschouwd als de bron, en oefent de aanbestedende autoriteit de rechten van de bron uit.
Artikel 47
Bezoeken in verband met gerubriceerde contracten
1. Wanneer personeelsleden van de Commissie, van contractanten of begunstigden van een subsidie voor de uitvoering van een gerubriceerd contract of een gerubriceerde subsidie-overeenkomst op elkaars locaties toegang tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET nodig hebben, worden deze bezoeken georganiseerd in overleg met de nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit. De Veiligheidsautoriteit van de Commissie wordt van een dergelijk bezoek in kennis gesteld. In het kader van specifieke programma's of projecten kunnen nationale veiligheidsautoriteiten, aangewezen veiligheidsautoriteiten of andere bevoegde veiligheidsautoriteiten echter ook een procedure overeenkomen om dergelijke bezoeken rechtstreeks te organiseren.
2. Alle bezoekers dienen over een passende veiligheidsverklaring te beschikken en een noodzaak tot kennisname te hebben, alvorens zij toegang krijgen tot de EUCI die betrekking heeft op het gerubriceerde contract.
3. Bezoekers krijgen uitsluitend toegang tot de EUCI die verband houdt met het doel van het bezoek.
4. Meer gedetailleerde bepalingen worden uiteengezet in de uitvoeringsbepalingen.
5. De naleving van de bepalingen inzake bezoeken in verband met gerubriceerde contracten, als uiteengezet in dit besluit en in de uitvoeringsbepalingen als bedoeld in lid 4, is verplicht.
Artikel 48
Overdracht en vervoer van EUCI in verband met gerubriceerde contracten of gerubriceerde subsidie-overeenkomsten
1. Op de overdracht van EUCI met elektronische middelen zijn de desbetreffende bepalingen van hoofdstuk 5 van dit besluit van toepassing.
2. Op het vervoer van EUCI zijn de desbetreffende bepalingen van hoofdstuk 4 van dit besluit en de uitvoeringsbepalingen daarbij van toepassing, overeenkomstig de nationale wet- en regelgeving.
3. Wat het vervoer van gerubriceerd materiaal als vracht betreft, worden bij de opstelling van regelingen inzake beveiliging de volgende beginselen toegepast:
|
a) |
de beveiliging wordt tijdens alle fasen van het vervoer gewaarborgd, van het punt van oorsprong tot de eindbestemming; |
|
b) |
de mate van bescherming die aan een zending wordt verleend, wordt bepaald door de hoogste rubriceringsgraad van het materiaal dat zij bevat; |
|
c) |
vóór iedere grensoverschrijdende verplaatsing van materiaal met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET stelt de verzender een vervoerplan op, dat wordt goedgekeurd door de betrokken nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit; |
|
d) |
het vervoer geschiedt zoveel mogelijk zonder onderbreking en wordt zo snel als de omstandigheden toelaten uitgevoerd; |
|
e) |
waar mogelijk leiden de routes alleen door lidstaten. Routes door niet-lidstaten worden alleen gevolgd met toestemming van de nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit van de staat van de verzender en de staat van de geadresseerde. |
Artikel 49
Overdracht van EUCI naar contractanten of begunstigden van een subsidie in derde landen
EUCI wordt overgedragen aan contractanten en begunstigden van een subsidie in derde landen overeenkomstig de veiligheidsmaatregelen die zijn overeengekomen door de Veiligheidsautoriteit van de Commissie, de afdeling van de Commissie als aanbestedende of subsidieverlenende autoriteit, en de nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit van het derde land waar de contractant of begunstigde van een subsidie is geregistreerd.
Artikel 50
Behandeling van informatie met rubricering RESTREINT UE/EU RESTRICTED in de context van gerubriceerde contracten of subsidie-overeenkomsten
1. De bescherming van informatie met rubricering RESTREINT UE/EU RESTRICTED die wordt behandeld of opgeslagen in de context van gerubriceerde contracten of gerubriceerde subsidie-overeenkomsten, wordt gebaseerd op de beginselen van evenredigheid en kosteneffectiviteit.
2. In de context van gerubriceerde contracten of gerubriceerde subsidie-overeenkomsten die de behandeling behelzen van informatie met rubricering RESTREINT UE/EU RESTRICTED, is geen veiligheidsverklaring voor een vestiging of veiligheidsverklaring voor personeel vereist.
3. Wanneer een contract of subsidie-overeenkomst de behandeling van informatie met rubricering RESTREINT UE/EU RESTRICTED in een door een contractant of begunstigde van een subsidie geëxploiteerd CIS behelst, zorgt de aanbestedende of subsidieverlenende autoriteit, na overleg met de Veiligheidsautoriteit van de Commissie, ervoor dat in het contract of de subsidie-overeenkomst de nodige technische en administratieve eisen worden gespecificeerd met betrekking tot de homologatie of goedkeuring van het CIS in overeenstemming met het ingeschatte risico, rekening houdend met alle belangrijke factoren. Hoe ver de homologatie of goedkeuring van een dergelijke CIS reikt, wordt door de Veiligheidsautoriteit van de Commissie en de betrokken nationale veiligheidsautoriteit of aangewezen veiligheidsautoriteit bepaald.
HOOFDSTUK 7
UITWISSELING VAN EUCI MET ANDERE INSTELLINGEN, AGENTSCHAPPEN, ORGANEN EN BUREAUS VAN DE UNIE, MET LIDSTATEN, MET DERDE LANDEN EN INTERNATIONALE ORGANISATIES
Artikel 51
Basisbeginselen
1. Indien de Commissie of een van haar afdelingen vaststelt dat er behoefte bestaat om EUCI uit te wisselen met andere instellingen, agentschappen, organen of bureaus van de Unie, met derde landen of internationale organisaties, worden tot dat doel de nodige stappen gezet voor een passend wettelijk of administratief kader, eventueel met informatiebeveiligingsovereenkomsten of administratieve regelingen die overeenkomstig de relevante regelgeving worden gesloten.
2. Onverminderd artikel 57 wordt EUCI alleen uitgewisseld met andere instellingen, agentschappen, organen of bureaus van de Unie, met derde landen of internationale organisaties, mits een dergelijk wettelijk of administratief kader is ingesteld, en er voldoende garanties zijn dat de betrokken instellingen, agentschappen, organen of bureaus van de Unie, derde landen of internationale organisaties evenwaardige basisbeginselen en minimumnormen voor de bescherming van gerubriceerde informatie toepassen.
Artikel 52
Uitwisseling van EUCI met andere instellingen, agentschappen, organen en bureaus van de Unie
1. Alvorens een dergelijke administratieve regeling aan te gaan voor de uitwisseling van EUCI met andere instellingen, agentschappen, organen of bureaus van de Unie, vergewist de Commissie zich ervan dat de betrokken instellingen, agentschappen, organen of bureaus van de Unie:
|
a) |
een regelgevend kader voor de bescherming van EUCI hebben ingesteld, waarin basisbeginselen en minimumnormen zijn vastgesteld die gelijkwaardig zijn aan die van dit besluit en de uitvoeringsbepalingen; |
|
b) |
veiligheidsvoorschriften en -richtsnoeren toepassen inzake de veiligheid van personeel, fysieke veiligheid, het beheer van EUCI en de veiligheid van CIS die een gelijkwaardig beschermingsniveau garanderen als binnen de Commissie; |
|
c) |
de door hen gegenereerde EUCI als zodanig markeren. |
2. Het directoraat-generaal Personele middelen en veiligheid fungeert, in nauwe samenwerking met andere bevoegde afdelingen van de Commissie, als leidende dienst binnen de Commissie voor de sluiting van administratieve regelingen voor de uitwisseling van EUCI met andere instellingen, agentschappen, organen of bureaus van de Unie.
3. Deze administratieve regelingen nemen over het algemeen de vorm aan van een briefwisseling, getekend door de directeur-generaal Personele middelen en veiligheid namens de Commissie.
4. Alvorens een administratieve regeling aan te gaan betreffende de uitwisseling van EUCI voert de Veiligheidsautoriteit van de Commissie een evaluatie uit van het regelgevende kader voor de bescherming van EUCI om na te gaan of de maatregelen ter bescherming van EUCI doeltreffend zijn. De administratieve regeling treedt alleen dan in werking, en EUCI kan alleen dan worden uitgewisseld, indien de uitkomst van deze evaluatie tevredenstellend is en de aanbevelingen die na het evaluatiebezoek zijn gedaan, worden opgevolgd. Er worden regelmatig follow-upbezoeken gedaan om de naleving van de administratieve regeling te controleren en na te gaan of de bestaande veiligheidsmaatregelen blijven voldoen aan de overeengekomen basisbeginselen en minimumnormen.
5. Binnen de Commissie fungeert het EUCI-register dat door het secretariaat-generaal wordt beheerd, in het algemeen als het belangrijkste doorgangspunt voor de uitwisseling van gerubriceerde informatie met andere instellingen, agentschappen, organen en bureaus van de Unie. Indien zulks echter op veiligheids-, organisatorische of operationele gronden passender is voor de bescherming van EUCI, fungeren lokale EUCI-registers die overeenkomstig dit besluit en de uitvoeringsbepalingen zijn opgericht binnen de afdelingen van de Commissie, als doorgangspunt voor gerubriceerde informatie inzake aangelegenheden die vallen binnen de bevoegdheid van de betrokken afdelingen van de Commissie.
6. De deskundigengroep voor de veiligheid van de Commissie wordt geïnformeerd over het proces van de sluiting van de administratieve regelingen als bedoeld in lid 2.
Artikel 53
Uitwisseling van EUCI met lidstaten
1. EUCI kan worden uitgewisseld met en verstrekt aan de lidstaten mits deze de informatie beschermen overeenkomstig de vereisten voor de bescherming van informatie met een nationale rubricering, op het niveau dat volgens de in bijlage I vervatte concordantietabel van rubriceringen overeenstemt met het EU-niveau.
2. Wanneer lidstaten gerubriceerde informatie met een nationale rubricering in de structuren of netwerken van de Europese Unie invoeren, beschermt de Commissie die informatie in overeenstemming met de voorschriften voor EUCI op het niveau dat volgens de in bijlage I vervatte concordantietabel van rubriceringen overeenstemt met het nationale niveau.
Artikel 54
Uitwisseling van EUCI met derde landen en internationale organisaties
1. Indien de Commissie van oordeel is dat er een structurele behoefte bestaat om gerubriceerde informatie uit te wisselen met derde landen of internationale organisaties, worden daartoe de nodige stappen gezet voor een passend wettelijk of administratief kader, dat onder meer informatiebeveiligingsovereenkomsten of administratieve regelingen kan omvatten overeenkomstig de relevante regelgeving.
2. De in lid 1 bedoelde informatiebeveiligingsovereenkomsten of administratieve regelingen bevatten bepalingen om ervoor te zorgen dat, wanneer derde landen of internationale organisaties EUCI ontvangen, die informatie wordt beschermd in overeenstemming met hun rubriceringsgraad en volgens minimumnormen die niet minder streng zijn dan die welke in dit besluit zijn vastgesteld.
3. De Commissie kan administratieve regelingen treffen overeenkomstig artikel 56 wanneer de rubriceringsgraad van EUCI doorgaans niet hoger is dan RESTREINT UE/EU RESTRICTED.
4. De in lid 3 bedoelde informatiebeveiligingsovereenkomsten of administratieve regelingen bevatten bepalingen om ervoor te zorgen dat, wanneer derde landen of internationale organisaties EUCI ontvangen, die informatie wordt beschermd in overeenstemming met hun rubriceringsgraad en volgens minimumnormen die niet minder streng zijn dan die welke in dit besluit zijn vastgesteld. De deskundigengroep voor de veiligheid van de Commissie wordt geraadpleegd over de sluiting van informatiebeveiligingsovereenkomsten of administratieve regelingen.
5. Het besluit tot vrijgave van van de Commissie afkomstige EUCI aan een derde land of een internationale organisatie wordt per geval genomen door de afdeling van de Commissie die binnen de Commissie de bron is van deze EUCI, naargelang van de aard en de inhoud van die informatie, de noodzaak dat de ontvanger er kennis van neemt en het nut dat de Unie van de vrijgave heeft. Indien de bron van de gerubriceerde informatie waarvan de vrijgave wordt gevraagd, of van het bronmateriaal dat het kan bevatten, niet de Commissie is, verzoekt de afdeling van de Commissie die de houder is van deze gerubriceerde informatie, eerst de schriftelijke toestemming van de bron tot vrijgave ervan. Indien de bron niet kan worden vastgesteld, neemt de afdeling van de Commissie die de houder is van deze gerubriceerde informatie, de verantwoordelijkheid van de bron over, na raadpleging van de deskundigengroep voor de veiligheid van de Commissie.
Artikel 55
Informatiebeveiligingsovereenkomsten
1. Informatiebeveiligingsovereenkomsten met derde landen of internationale organisaties worden gesloten overeenkomstig artikel 218 VWEU.
2. Dergelijke informatiebeveiligingsovereenkomsten:
|
a) |
bevatten de basisbeginselen en minimumnormen voor de uitwisseling van gerubriceerde informatie tussen de Unie en een derde land of internationale organisatie; |
|
b) |
bevatten technische uitvoeringsregelingen, waarover overeenstemming moet worden bereikt tussen de bevoegde veiligheidsautoriteiten van de relevante EU-instellingen en -organen en de bevoegde veiligheidsautoriteit van het derde land of de internationale organisatie in kwestie. Deze regelingen zijn afgestemd op het niveau van bescherming dat wordt geboden door de beveiligingsvoorschriften, -structuren en -procedures in het derde land of binnen de internationale organisatie in kwestie; |
|
c) |
stipuleren vast, voorafgaand aan de uitwisseling van gerubriceerde informatie volgens de overeenkomst, moet worden geverifieerd of de ontvangende partij in staat is de haar verstrekte gerubriceerde informatie op deugdelijke wijze te beschermen en te beveiligen. |
3. De Commissie raadpleegt, indien overeenkomstig artikel 51, lid 1, de noodzaak tot uitwisseling van gerubriceerde informatie wordt vastgesteld, de Europese Dienst voor extern optreden, het secretariaat-generaal van de Raad en andere instellingen en organen van de Unie, waar passend, ten einde te bepalen of een aanbeveling overeenkomstig artikel 218, lid 3, VWEU, moet worden ingediend.
4. Er wordt geen EUCI uitgewisseld via elektronische middelen, tenzij daarin uitdrukkelijk is voorzien bij de informatiebeveiligingsovereenkomst of de technische uitvoeringsregelingen.
5. Binnen de Commissie fungeert het EUCI-register dat door het secretariaat-generaal wordt beheerd, in het algemeen als het belangrijkste doorgangspunt voor de uitwisseling van gerubriceerde informatie met derde landen en internationale organisaties. Indien zulks echter op veiligheids-, organisatorische of operationele gronden passender is voor de bescherming van EUCI, fungeren lokale EUCI-registers die overeenkomstig dit besluit en de uitvoeringsbepalingen zijn opgericht binnen de afdelingen van de Commissie, als doorgangspunt voor gerubriceerde informatie inzake aangelegenheden die vallen binnen de bevoegdheid van de betrokken afdelingen van de Commissie.
6. Ter beoordeling van de doeltreffendheid van de beveiligingsvoorschriften, structuren en procedures in het derde land of binnen de internationale organisatie in kwestie, neemt de Commissie in onderling overleg met het betrokken derde land of de internationale organisatie deel aan evaluatiebezoeken, in samenwerking met andere instellingen, agentschappen of organen van de Unie. Tijdens dergelijke evaluatiebezoeken wordt gekeken naar:
|
a) |
het regelgevende kader voor de bescherming van gerubriceerde informatie; |
|
b) |
specifieke kenmerken van het beveiligingsbeleid en de manier waarop de beveiliging in het derde land of bij de internationale organisatie is georganiseerd, en de eventuele gevolgen die een en ander heeft voor het niveau van de gerubriceerde informatie die kan worden uitgewisseld; |
|
c) |
de vigerende beveiligingsmaatregelen en -procedures; en |
|
d) |
de procedures inzake veiligheidsverklaringen voor de rubriceringsgraad van de vrij te geven EUCI. |
Artikel 56
Administratieve regelingen
1. Wanneer het in de context van een politiek of wettelijk kader van de Unie nodig is om met derde landen of internationale organisaties structureel informatie uit te wisselen waarvan de rubriceringsgraad doorgaans niet hoger is dan RESTREINT UE/EU RESTRICTED, en wanneer de Veiligheidsautoriteit van de Commissie na raadpleging van de deskundigengroep voor de veiligheid van de Commissie meer bepaald heeft vastgesteld dat de partij in kwestie geen voldoende ontwikkeld beveiligingssysteem heeft om een informatiebeveiligingsovereenkomst te sluiten, kan de Commissie met de relevante autoriteiten van het derde land of de internationale organisatie in kwestie een administratieve regeling treffen.
2. Dergelijke administratieve regelingen nemen als algemene regel de vorm van een briefwisseling aan.
3. Voor de sluiting van de regeling wordt een evaluatiebezoek georganiseerd. De deskundigengroep voor de veiligheid van de Commissie wordt geïnformeerd over de uitkomst van het evaluatiebezoek. Als er echter uitzonderlijke redenen voor dringende uitwisseling van gerubriceerde informatie zijn, mag EUCI worden vrijgegeven op voorwaarde dat alles in het werk wordt gesteld om zo spoedig mogelijk een dergelijk evaluatiebezoek te organiseren.
4. Er wordt geen EUCI uitgewisseld via elektronische middelen, tenzij daarin uitdrukkelijk is voorzien in de administratieve regeling.
Artikel 57
Uitzonderlijke ad-hocvrijgave van EUCI
1. Indien geen informatiebeveiligingsovereenkomst of administratieve overeenkomst van kracht is, en de Commissie of een van haar afdelingen vaststelt dat er in de context van een politiek of wettelijk kader van de Unie een uitzonderlijke behoefte bestaat om EUCI vrij te geven aan een derde land of een internationale organisatie, gaat de Veiligheidsautoriteit van de Commissie tezamen met de veiligheidsautoriteiten van het derde land of de internationale organisatie in kwestie voor zover mogelijk na of de beveiligingsvoorschriften, -structuren en -procedures van dat derde land of die organisatie van dien aard zijn dat aan hen vrijgegeven EUCI wordt beschermd volgens normen die niet minder streng zijn dan die van dit besluit.
2. Tot de vrijgave van EUCI aan het derde land of de internationale organisatie in kwestie wordt, na raadpleging van de deskundigengroep voor de veiligheid van de Commissie, besloten door de Commissie, op basis van een voorstel van het lid van de Commissie dat bevoegd is voor veiligheidszaken.
3. Na het besluit van de Commissie tot vrijgave van EUCI en op voorwaarde van voorafgaande schriftelijke toestemming van de bron, met inbegrip van de auteur van het eventuele bronnenmateriaal, geeft de bevoegde afdeling van de Commissie de betrokken informatie vrij, voorzien van een markering inzake de geschiktheid voor vrijgave die vermeldt aan welk derde land of internationale organisatie zij is vrijgegeven. Voorafgaand aan of op het moment van de daadwerkelijke vrijgave, zegt de derde partij in kwestie schriftelijk toe dat zij de EUCI die zij ontvangt, zal beschermen overeenkomstig de basisbeginselen en minimumnormen van dit besluit.
HOOFDSTUK 8
SLOTBEPALINGEN
Artikel 58
Vervanging van voorgaande besluiten
Besluit 2001/844/EG, EGKS, Euratom van de Commissie (14) wordt ingetrokken en vervangen door dit besluit.
Artikel 59
Gerubriceerde informatie die is gegenereerd vóór inwerkingtreding van dit besluit
1. Alle in overeenstemming met Besluit 2001/844/EG, EGKS, Euratom gerubriceerde informatie blijft beschermd overeenkomstig de bepalingen dienaangaande in onderhavig besluit.
2. Voor alle gerubriceerde informatie in het bezit van de Commissie op de datum waarop Besluit 2001/844/EG, EGKS, Euratom van kracht werd, met uitzondering van gerubriceerde informatie van Euratom, geldt het volgende:
|
a) |
indien zij door de Commissie is gegenereerd, wordt zij automatisch beschouwd als zijnde geherrubriceerd als RESTREINT UE, tenzij de auteur uiterlijk op 31 januari 2002 heeft besloten tot een andere rubricering en alle geadresseerden van het betrokken document daarvan in kennis heeft gesteld; |
|
b) |
indien zij door auteurs buiten de Commissie is gegenereerd, behoudt zij haar oorspronkelijke rubricering en wordt zij behandeld als EUCI van het overeenkomstige niveau, tenzij de auteur ermee instemt de gegevens in een lagere rubriek in te delen of de rubricering op te heffen. |
Artikel 60
Uitvoeringsbepalingen en veiligheidsmededelingen
1. Waar nodig geschiedt vaststelling van de uitvoeringsbepalingen voor dit besluit via een machtigingsbesluit van de Commissie ten bate van het lid van de Commissie dat bevoegd is voor veiligheidszaken, geheel in overeenstemming met het reglement van orde.
2. Na te zijn gemachtigd op grond van voornoemd besluit van de Commissie kan het lid van de Commissie dat bevoegd is voor veiligheidszaken, veiligheidsmededelingen opstellen met veiligheidsrichtsnoeren en optimale werkwijzen binnen de reikwijdte van dit besluit en de uitvoeringsbepalingen.
3. De Commissie kan de taken die zijn genoemd in lid 1 en lid 2 van dit artikel, per afzonderlijk delegatiebesluit delegeren aan de directeur-generaal Personele middelen en veiligheid, geheel in overeenstemming met het reglement van orde.
Artikel 61
Inwerkingtreding
Dit besluit treedt in werking op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Gedaan te Brussel, 13 maart 2015.
Voor de Commissie
De voorzitter
Jean-Claude JUNCKER
(1) Zie het „Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité” van 31 december 2004, het „Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois” van 20 januari 2007, en het „Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale” van 22 juli 1959.
(2) Besluit 2002/47/EG, EGKS, Euratom van de Commissie van 23 januari 2002 tot wijziging van haar reglement van orde (PB L 21 van 24.1.2002, blz. 23).
(3) Besluit 2004/563/EG, Euratom van de Commissie van 7 juli 2004 tot wijziging van haar reglement van orde (PB L 251 van 27.7.2004, blz. 9).
(4) Verordening (Euratom) nr. 3 van 31 juli 1958 ter toepassing van artikel 24 van het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie (PB 17 van 6.10.1958, blz. 406/58).
(5) Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).
(6) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).
(7) Verordening (EEG, Euratom) nr. 354/83 van de Raad van 1 februari 1983 inzake het voor het publiek toegankelijk maken van de historische archieven van de Europese Economische Gemeenschap en de Europese Gemeenschap voor Atoomenergie (PB L 43 van 15.2.1983, blz. 1).
(8) Besluit (EU, Euratom) 2015/443 van de Commissie van 13 maart 2015 betreffende veiligheid binnen de Commissie (zie blz. 41 van dit Publicatieblad).
(9) Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad van 29 februari 1968 tot vaststelling van het Statuut van de ambtenaren van de Europese Gemeenschappen en de regeling welke van toepassing is op de andere personeelsleden van deze Gemeenschappen, alsmede van bijzondere maatregelen welke tijdelijk op de ambtenaren van de Commissie van toepassing zijn (Regeling welke van toepassing is op de andere personeelsleden) (PB L 56 van 4.3.1968, blz. 1).
(10) Verordening (EG, Euratom) nr. 1700/2003 van de Raad van 22 september 2003 tot wijziging van Verordening (EEG, Euratom) nr. 354/83 inzake het voor het publiek toegankelijk maken van de historische archieven van de Europese Economische Gemeenschap en de Europese Gemeenschap voor Atoomenergie (PB L 243 van 27.9.2003, blz. 1).
(11) C(2006) 3602 van 16 augustus 2006 betreffende de veiligheid van de informatiesystemen die door de Europese Commissie worden gebruikt.
(12) Verordening (EU) nr. 512/2014 van het Europees Parlement en de Raad van 16 april 2014 tot wijziging van Verordening (EU) nr. 912/2010 tot oprichting van het Europees GNSS-Agentschap (PB L 150 van 20.5.2014, blz. 72).
(13) Verordening (EG, Euratom) nr. 1605/2002 van de Raad van 25 juni 2002 houdende het Financieel Reglement van toepassing op de algemene begroting van de Europese Gemeenschappen (PB L 248 van 16.9.2002, blz. 1).
(14) Besluit 2001/844/EG, EGKS, Euratom van de Commissie van 29 november 2001 tot wijziging van haar reglement van orde (PB L 317 van 3.12.2001, blz. 1).
BIJLAGE I
CONCORDANTIE VAN DE RUBRICERINGEN
|
EU |
TRES SECRET UE/EU TOP SECRET |
SECRET UE/EU SECRET |
CONFIDENTIEL UE/EU CONFIDENTIAL |
RESTREINT UE/EU RESTRICTED |
|
Euratom |
EURA TOP SECRET |
EURA SECRET |
EURA CONFIDENTIAL |
EURA RESTRICTED |
|
België |
Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998) |
Secret (Loi 11.12.1998) Geheim (Wet 11.12.1998) |
Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998) |
nota (1) hieronder |
|
Bulgarije |
Cтpoгo ceкретно |
Ceкретно |
Поверително |
За служебно ползване |
|
Tsjechië |
Přísně tajné |
Tajné |
Důvěrné |
Vyhrazené |
|
Denemarken |
Yderst hemmeligt |
Hemmeligt |
Fortroligt |
Til tjenestebrug |
|
Duitsland |
Streng geheim |
Geheim |
VS (2) - Vertraulich |
VS — Nur für den Dienstgebrauch |
|
Estland |
Täiesti salajane |
Salajane |
Konfidentsiaalne |
Piiratud |
|
Ierland |
Top Secret |
Secret |
Confidential |
Restricted |
|
Griekenland |
Άκρως Απόρρητο Afk.: ΑΑΠ |
Απόρρητο Afk.: (ΑΠ) |
Εμπιστευτικό Αfk.: (ΕΜ) |
Περιορισμένης Χρήσης Afk.: (ΠΧ) |
|
Spanje |
Secreto |
Reservado |
Confidencial |
Difusión Limitada |
|
Frankrijk |
Très Secret Défense |
Secret Défense |
Confidentiel Défense |
nota (3) hieronder |
|
Kroatië |
VRLO TAJNO |
TAJNO |
POVJERLJIVO |
OGRANIČENO |
|
Italië |
Segretissimo |
Segreto |
Riservatissimo |
Riservato |
|
Cyprus |
Άκρως Απόρρητο Αfk.: (ΑΑΠ) |
Απόρρητο Αfk.: (ΑΠ) |
Εμπιστευτικό Αfk.: (ΕΜ) |
Περιορισμένης Χρήσης Αfk.: (ΠΧ) |
|
Letland |
Sevišķi slepeni |
Slepeni |
Konfidenciāli |
Dienesta vajadzībām |
|
Litouwen |
Visiškai slaptai |
Slaptai |
Konfidencialiai |
Riboto naudojimo |
|
Luxemburg |
Très Secret Lux |
Secret Lux |
Confidentiel Lux |
Restreint Lux |
|
Hongarije |
„Szigorúan titkos!” |
„Titkos!” |
„Bizalmas!” |
„Korlátozott terjesztésű!” |
|
Malta |
L-Ogħla Segretezza |
Sigriet |
Kunfidenzjali |
Ristrett |
|
Nederland |
Stg. ZEER GEHEIM |
Stg. GEHEIM |
Stg. CONFIDENTIEEL |
Dep. VERTROUWELIJK |
|
Oostenrijk |
Streng Geheim |
Geheim |
Vertraulich |
Eingeschränkt |
|
Polen |
Ściśle Tajne |
Tajne |
Poufne |
Zastrzeżone |
|
Portugal |
Muito Secreto |
Secreto |
Confidencial |
Reservado |
|
Roemenië |
Strict secret de importanță deosebită |
Strict secret |
Secret |
Secret de serviciu |
|
Slovenië |
Strogo tajno |
Tajno |
Zaupno |
Interno |
|
Slowakije |
Prísne tajné |
Tajné |
Dôverné |
Vyhradené |
|
Finland |
ERITTÄIN SALAINEN YTTERST HEMLIG |
SALAINEN HEMLIG |
LUOTTAMUKSELLINEN KONFIDENTIELL |
KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG |
|
Sweden (4) |
HEMLIG/TOP SECRET HEMLIG AV SYNNERLIG BETYDELSE FÖR RIKETS SÄKERHET |
HEMLIG/SECRET HEMLIG |
HEMLIG/CONFIDENTIAL HEMLIG |
HEMLIG/RESTRICTED HEMLIG |
|
Verenigd Koninkrijk |
UK TOP SECRET |
UK SECRET |
Geen equivalent (5) |
UK OFFICIAL — SENSITIVE |
(1) Diffusion Restreinte/Beperkte Verspreiding is in België geen classificatiegraad. België behandelt en beschermt alle gegevens met rubricering „RESTREINT UE/EU RESTRICTED” op een niet minder stringente wijze dan door de normen en procedures in de beveiligingsvoorschriften van de Raad van de Europese Unie wordt voorgeschreven.
(2) Duitsland: VS = Verschlusssache.
(3) Frankrijk maakt in zijn nationale systeem geen gebruik van de rubricering „RESTREINT”. Frankrijk behandelt en beschermt alle gegevens met rubricering „RESTREINT UE/EU RESTRICTED” op een niet minder stringente wijze dan door de normen en procedures in de beveiligingsvoorschriften van de Raad van de Europese Unie wordt voorgeschreven.
(4) Zweden: de bovenste rubriceringen worden gebruikt door de defensieautoriteiten en de onderste door andere autoriteiten.
(5) Het Verenigd Koninkrijk behandelt en beschermt alle EUCI met de rubricering „CONFIDENTIEL UE/EU CONFIDENTIAL” overeenkomstig de beveiligingsvoorschriften die gelden voor „UK SECRET”.
BIJLAGE II
LIJST VAN AFKORTINGEN
|
Acroniem |
Betekenis |
|
CA |
Crypto Authority |
|
CAA |
Crypto Approval Authority |
|
CCTV |
Closed Circuit Television |
|
CDA |
Crypto Distribution Authority |
|
CIS |
Communication and Information Systems handling EUCI |
|
DSA |
Designated Security Authority |
|
EUCI |
EU Classified Information |
|
FSC |
Facility Security Clearance |
|
IA |
Information Assurance |
|
IAA |
Information Assurance Authority |
|
IDS |
Intrusion Detection System |
|
IT |
Information Technology |
|
LSO |
Local Security Officer |
|
NSA |
National Security Authority |
|
PSC |
Personnel Security Clearance |
|
PSCC |
Personnel Security Clearance Certificate |
|
PSI |
Programme/Project Security Instructions |
|
RCO |
Registry Control Officer |
|
SAA |
Security Accreditation Authority |
|
SAL |
Security Aspects Letter |
|
SCG |
Security Classification Guide |
|
SecOPs |
Security Operating Procedures |
|
TA |
TEMPEST Authority |
|
TFEU |
Treaty on the Functioning of the EU |
BIJLAGE III
LIJST VAN NATIONALE VEILIGHEIDSINSTANTIES
BELGIË
|
Nationale Veiligheidsoverheid |
|
FOD Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking |
|
Karmelietenstraat 15 |
|
1000 Brussel |
|
Tel. secretariaat: +32 25014542 |
|
Fax +32 25014596 |
|
E-mail: nvo-ans@diplobel.fed.be |
BULGARIJE
|
Държавна комисия по сигурността на информацията |
|
(Staatscommissie inzake informatieveiligheid) |
|
90 Cherkovna |
|
1505 Sofia |
|
Tel. +359 29333600 |
|
Fax +359 29873750 |
|
E-mail: dksi@government.bg |
|
Website: www.dksi.bg |
TSJECHIË
|
Národní bezpečnostní úřad |
|
(Nationale veiligheidsautoriteit) |
|
Na Popelce 2/16 |
|
150 06 Praha 56 |
|
Tel. +420 257283335 |
|
Fax +420 257283110 |
|
E-mail: czech.nsa@nbu.cz |
|
Website: www.nbu.cz |
DENEMARKEN
|
Politiets Efterretningstjeneste |
|
(Deense veiligheidsinlichtingendienst) |
|
Klausdalsbrovej 1 |
|
2860 Søborg |
|
Tel. +45 33148888 |
|
Fax +45 33430190 |
|
Forsvarets Efterretningstjeneste |
|
(Deense defensie-inlichtingendienst) |
|
Kastellet 30 |
|
2100 København |
|
Tel. +45 33325566 |
|
Fax +45 33931320 |
DUITSLAND
|
Bundesministerium des Innern |
|
Referat ATS III 3 |
|
Alt-Moabit 101 D |
|
11014 Berlin |
|
Tel. +49 30186810 |
|
Fax +49 30186811441 |
|
E-mail: oesIII3@bmi.bund.de |
ESTLAND
|
Riigi julgeoleku volitatud esindaja (Nationale veiligheidsautoriteit) |
|
Kaitseministeerium (ministerie van Defensie) |
|
Sakala 1 |
|
15094 Tallinn |
|
Tel. +372 7170113 0019, +372 7170117 |
|
Fax +372 7170213 |
|
E-mail: nsa@mod.gov.ee |
GRIEKENLAND
|
Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ) |
|
Διακλαδική Διεύθυνση Στρατιωτικών Πληροφοριών (ΔΔΣΠ) |
|
Διεύθυνση Ασφαλείας και Αντιπληροφοριών |
|
ΣΤΓ 1020 — Χολαργός (Αθήνα) |
|
Τel.: +30 2106572045 (kantooruren) |
|
+30 2106572009 (kantooruren) |
|
Fax +30 2106536279; +30 2106577612 |
|
Generale Staf Grieks ministerie van Defensie |
|
Sectoraal directoraat Militaire inlichtingen |
|
Directoraat Veiligheid en contraspionage |
|
STG 1020 Holargos — Athene |
|
Tel. +30 2106572045 |
|
+30 2106572009 |
|
Fax +30 2106536279, +30 2106577612 |
SPANJE
|
Autoridad Nacional de Seguridad |
|
Oficina Nacional de Seguridad |
|
Avenida Padre Huidobro s/n |
|
28023 Madrid |
|
Tel. +34 913725000 |
|
Fax +34 913725808 |
|
E-mail: nsa-sp@areatec.com |
FRANKRIJK
|
Secrétariat général de la défense et de la sécurité nationale |
|
Sous-direction Protection du secret (SGDSN/PSD) |
|
51 Boulevard de la Tour-Maubourg |
|
75700 Paris 07 SP |
|
Tel. +33 171758177 |
|
Fax +33 171758200 |
KROATIË
|
Ured Vijeća za nacionalnu sigurnost |
|
(Bureau van de nationale veiligheidsraad) |
|
Jurjevska 34 |
|
HR-10000 Zagreb |
|
Tel. +385 14681222 |
|
Fax +385 14686049 |
|
Website: www.uvns.hr |
IERLAND
|
National Security Authority |
|
Department of Foreign Affairs |
|
76-78 Harcourt Street |
|
Dublin 2 |
|
Tel. +353 14780822 |
|
Fax +353 14082959 |
ITALIË
|
Presidenza del Consiglio dei Ministri |
|
D.I.S. — U.C.Se. |
|
Via di Santa Susanna, 15 |
|
00187 Roma |
|
Tel. +39 0661174266 |
|
Fax +39 064885273 |
CYPRUS
|
ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ |
|
ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ |
|
Εθνική Αρχή Ασφάλειας (ΕΑΑ) |
|
Υπουργείο Άμυνας |
|
Λεωφόρος Εμμανουήλ Ροΐδη 4 |
|
1432 Λευκωσία, Κύπρος |
|
Τel.: +357 22807569, +357 22807643, |
|
+357 22807764 |
|
Fax +357 22302351 |
|
Ministerie van Defensie |
|
Militaire Staf van de minister |
|
Nationale veiligheidsautoriteit |
|
4 Emanuel Roidi street |
|
1432 Nicosia |
|
Tel. +357 22807569, +357 22807643, |
|
+357 22807764 |
|
Fax +357 22302351 |
|
E-mail: cynsa@mod.gov.cy |
LETLAND
|
Nationale veiligheidsautoriteit |
|
Latvijas Republikas Satversmes Aizsardzības Birojs |
|
(Bureau van de Republiek Letland voor de bescherming van de grondwet) |
|
PO Box 286 |
|
LV-1001 Riga |
|
Tel. +371 67025418 |
|
Fax371 67025454 |
|
E-mail: ndi@sab.gov.lv |
LITOUWEN
|
Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija |
|
(Commissie voor de coördinatie van de bescherming van geheimen van de Republiek Litouwen) |
|
(Nationale veiligheidsautoriteit) |
|
Gedimino 40/1 |
|
LT-01110 Vilnius |
|
Tel. +370 70666701, +370 70666702 |
|
Fax +370 70666700 |
|
E-mail: nsa@vsd.lt |
LUXEMBURG
|
Autorité nationale de Sécurité |
|
Boîte postale 2379 |
|
1023 Luxembourg |
|
Tel. +352 24782210 central |
|
+ 352 24782253 direct |
|
Fax +352 24782243 |
HONGARIJE
|
Nemzeti Biztonsági Felügyelet |
|
(Nationale veiligheidsautoriteit van Hongarije) |
|
H-1024 Budapest, Szilágyi Erzsébet fasor 11/B |
|
Tel. +36 17952303 |
|
Fax +36 17950344 |
Postadres:
|
1357 Budapest, |
|
PO Box 2 |
|
E-mail: nbf@nbf.hu |
|
Website: www.nbf.hu |
MALTA
|
Ministeru għall-intern u s-sigurta' nazzjonali |
|
(ministerie van Binnenlandse zaken en nationale veiligheid) |
|
PO Box 146 |
|
MT-Valletta |
|
Tel. +356 21249844 |
|
Fax +356 25695321 |
NEDERLAND
|
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties |
|
Postbus 20010 |
|
2500 EA Den Haag |
|
Tel. +31 703204400 |
|
Fax +31 703200733 |
|
Ministerie van Defensie |
|
Beveiligingsautoriteit |
|
Postbus 20701 |
|
2500 ES Den Haag |
|
Tel. +31 703187060 |
|
Fax +31 703187522 |
OOSTENRIJK
|
Informationssicherheitskommission |
|
Bundeskanzleramt |
|
Ballhausplatz 2 |
|
1014 Wien |
|
Tel. +43 1531152594 |
|
Fax +43 1531152615 |
|
E-mail: ISK@bka.gv.at |
POLEN
|
Agencja Bezpieczeństwa Wewnętrznego — ABW |
|
(Bureau interne veiligheid) |
|
2A Rakowiecka |
|
00-993 Warszawa |
|
Tel. +48 225857944 |
|
Fax +48 225857443 |
|
E-mail: nsa@abw.gov.pl |
|
Website: www.abw.gov.pl |
PORTUGAL
|
Presidência do Conselho de Ministros |
|
Autoridade Nacional de Segurança |
|
Rua da Junqueira, 69 |
|
1300-342 Lisboa |
|
Tel. +351 213031710 |
|
Fax +351 213031711 |
ROEMENIË
|
Oficiul Registrului Național al Informațiilor Secrete de Stat |
|
(Roemeens nationaal veiligheidsagentschap — ORNISS) |
|
(Nationaal registratiebureau voor gerubriceerde informatie) |
|
str. Mureș, nr. 4 |
|
012275 București |
|
Tel. +40 212245830 |
|
Fax +40 212240714 |
|
E-mail: nsa.romania@nsa.ro |
|
Website: www.orniss.ro |
SLOVENIË
|
Urad Vlade RS za varovanje tajnih podatkov |
|
Gregorčičeva 27 |
|
SI-1000 Ljubljana |
|
Tel. +386 14781390 |
|
Fax +386 14781399 |
|
E-mail: gp.uvtp@gov.si |
SLOWAKIJE
|
Národný bezpečnostný úrad |
|
(Nationale veiligheidsautoriteit) |
|
Budatínska 30 |
|
PO Box 16 |
|
850 07 Bratislava |
|
Tel. +421 268692314 |
|
Fax +421 263824005 |
|
Website: www.nbusr.sk |
FINLAND
|
Kansallinen turvallisuusviranomainen/Nationella säkerhetsmyndigheten |
|
(Nationale veiligheidsautoriteit) |
|
Ulkoasiainministeriö/Utrikesministeriet (ministerie van Buitenlandse Zaken) |
|
PO Box 453 |
|
FI-00023 Valtioneuvosto/Statsrådet |
|
Tel. +358 16055890 |
|
Fax +358 916055140 |
|
E-mail: NSA@formin.fi |
ZWEDEN
|
Utrikesdepartementet |
|
(Ministerie van Buitenlandse Zaken) |
|
SSSB |
|
S-103 39 Stockholm |
|
Tel. +46 84051000 |
|
Fax +46 87231176 |
|
E-mail: ud-nsa@foreign.ministry.se |
VERENIGD KONINKRIJK
|
UK National Security Authority |
|
Room 335, 3rd Floor |
|
70 Whitehall |
|
London |
|
SW1A 2AS |
|
Tel. 1: +44 2072765649 |
|
Tel. 2: +44 2072765497 |
|
Fax +44 2072765651 |
|
E-mail: UK-NSA@cabinet-office.x.gsi.gov.uk |