1.

Το παρόν παράρτημα περιέχει διατάξεις για την εφαρμογή του άρθρου 7. Παραθέτει κριτήρια προκειμένου να καθοριστεί σχετικά με ένα πρόσωπο, λαμβάνοντας υπόψη τη νομιμοφροσύνη, τη φερεγγυότητα και την αξιοπιστία του, αν είναι δυνατόν να του επιτραπεί η πρόσβαση σε ΔΠΕΕ και οι διερευνητικές και διοικητικές διαδικασίες που ακολουθούνται εν προκειμένω.

2.

Ένα πρόσωπο λαμβάνει άδεια πρόσβασης σε διαβαθμισμένες πληροφορίες μόνον εφόσον:

3.

Κάθε κράτος μέλος και η ΓΓΣ προσδιορίζουν τις θέσεις στο πλαίσιο της δομής τους που απαιτούν πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη και, ως εκ τούτου, απαιτούν εξουσιοδότηση ασφαλείας του αντίστοιχου επιπέδου.

4.

Αφού παραλάβουν δεόντως εξουσιοδοτημένη αίτηση, οι ΕΑΑ ή άλλες αρμόδιες εθνικές αρχές έχουν την ευθύνη για την εξασφάλιση της διεξαγωγής ερευνών ασφαλείας επί των υπηκόων τους οι οποίοι ζητούν πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη. Οι προδιαγραφές της έρευνας είναι σύμφωνες με τις εθνικές νομοθετικές και κανονιστικές διατάξεις σχετικά με την έκδοση ΕΑΠ ή την παροχή εγγύησης για το πρόσωπο στο οποίο θα χορηγηθεί εξουσιοδότηση πρόσβασης σε ΔΠΕΕ, κατά περίπτωση.

5.

Εάν ο ενδιαφερόμενος κατοικεί στο έδαφος άλλου κράτους μέλους ή τρίτου κράτους, οι αρμόδιες εθνικές αρχές ζητούν τη συνδρομή της αρμόδιας αρχής του κράτους κατοικίας σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις. Τα κράτη μέλη αλληλοβοηθούνται στη διεξαγωγή των ερευνών ασφαλείας σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις.

6.

Όπου επιτρέπεται βάσει των εθνικών νομοθετικών και κανονιστικών διατάξεων, οι ΕΑΑ ή άλλες αρμόδιες εθνικές αρχές μπορούν να διεξάγουν έρευνες ασφαλείας επί προσώπων που δεν είναι υπήκοοι του οικείου κράτους και που ζητούν πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη. Οι προδιαγραφές της έρευνας είναι σύμφωνες με τις εθνικές νομοθετικές και κανονιστικές διατάξεις.

7.

Η νομιμοφροσύνη, η φερεγγυότητα και η αξιοπιστία ενός προσώπου για τους σκοπούς της λήψης εξουσιοδότησης ασφαλείας για την πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη ελέγχονται με έρευνα ασφαλείας. Η αρμόδια εθνική αρχή προβαίνει σε γενική αξιολόγηση βάσει των πορισμάτων της εν λόγω έρευνας ασφαλείας. Τα κυριότερα κριτήρια που χρησιμοποιούνται προς τούτο περιλαμβάνουν, στο βαθμό που είναι δυνατόν βάσει των εθνικών νομοθετικών και κανονιστικών διατάξεων, εξέταση του αν ο ενδιαφερόμενος:

8.

Ανάλογα με την περίπτωση και σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις, το οικονομικό υπόβαθρο και το ιατρικό ιστορικό ενός ατόμου μπορούν επίσης να θεωρηθούν ότι έχουν σημασία στο πλαίσιο της έρευνας ασφαλείας.

9.

Ανάλογα με την περίπτωση και σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις, η συμπεριφορά και η οικονομική κατάσταση συζύγου, συγκατοίκου ή στενού συγγενούς μπορούν επίσης να θεωρηθούν ότι έχουν σημασία στο πλαίσιο της έρευνας ασφαλείας.

10.

Η αρχική εξουσιοδότηση ασφαλείας για πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL και SECRET UE/EU SECRET βασίζεται σε έρευνα ασφαλείας που καλύπτει τουλάχιστον την τελευταία πενταετία, ή το διάστημα αφότου ο ενδιαφερόμενος έκλεισε τα 18, εφόσον είναι συντομότερο, και η οποία περιλαμβάνει τα ακόλουθα:

11.

Η αρχική εξουσιοδότηση ασφαλείας για πρόσβαση σε πληροφορίες με διαβάθμιση TRÈS SECRET UE/EU TOP SECRET βασίζεται σε έρευνα ασφαλείας που καλύπτει τουλάχιστον την τελευταία δεκαετία, ή το διάστημα αφότου ο ενδιαφερόμενος έκλεισε τα 18, εφόσον είναι συντομότερο. Όταν διεξάγονται συνεντεύξεις κατά τα προβλεπόμενα στο στοιχείο ε), οι έρευνες οφείλουν να καλύπτουν τουλάχιστον την τελευταία επταετία ή το διάστημα αφότου ο ενδιαφερόμενος έκλεισε τα 18, εφόσον είναι συντομότερο. Πέραν των κριτηρίων της ανωτέρω παραγράφου 7, διερευνώνται και τα ακόλουθα στοιχεία προτού χορηγηθεί ΕΑΠ TRÈS SECRET UE/EU TOP SECRET· μπορούν επίσης να διερευνώνται και προτού χορηγηθεί ΕΑΠ CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET, εφόσον το απαιτούν οι εθνικές νομοθετικές και κανονιστικές διατάξεις:

12.

Εφόσον είναι απαραίτητο και σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις, μπορούν να διεξάγονται επιπλέον έρευνες ώστε να μελετηθούν όλες οι διαθέσιμες σχετικές με το άτομο πληροφορίες και να επιβεβαιωθούν ή να διαψευσθούν τα δυσμενή στοιχεία.

13.

Μετά την αρχική εξουσιοδότηση ασφαλείας και υπό τον όρο ότι το άτομο εξακολουθεί αδιαλείπτως να εργάζεται για λογαριασμό κρατικής υπηρεσίας ή στη ΓΓΣ και εξακολουθεί να έχει ανάγκη πρόσβασης σε ΔΠΕΕ, η εξουσιοδότηση ασφαλείας επανεξετάζεται με σκοπό την ανανέωση κατόπιν χρονικού διαστήματος το πολύ πενταετίας στην περίπτωση διαβάθμισης TRÈS SECRET UE/EU TOP SECRET και δεκαετίας στην περίπτωση διαβαθμίσεων SECRET UE/EU SECRET και CONFIDENTIEL UE/EU CONFIDENTIAL, με ισχύ από την ημερομηνία ανακοίνωσης του αποτελέσματος της τελευταίας έρευνας ασφαλείας στην οποία βασίστηκε. Όλες οι έρευνες ασφαλείας για την ανανέωση της εξουσιοδότησης ασφαλείας καλύπτουν το διάστημα που διέρρευσε από την προηγούμενη παρόμοια έρευνα.

14.

Για την ανανέωση των εξουσιοδοτήσεων ασφαλείας, διερευνώνται τα στοιχεία που περιγράφονται στις παραγράφους 10 και 11.

15.

Οι αιτήσεις ανανέωσης υποβάλλονται εγκαίρως λαμβάνοντας υπόψη το διάστημα που απαιτείται για έρευνες ασφαλείας. Ωστόσο, όταν η αρμόδια ΕΑΑ ή άλλη αρμόδια εθνική αρχή έχει λάβει τη σχετική αίτηση ανανέωσης και το αντίστοιχο ερωτηματολόγιο ασφαλείας προσωπικού πριν από τη λήξη μιας εξουσιοδότησης ασφαλείας και η απαραίτητη έρευνα ασφαλείας δεν έχει ολοκληρωθεί, η αρμόδια εθνική αρχή δύναται, εφόσον το επιτρέπουν οι εθνικές νομοθετικές και κανονιστικές διατάξεις, να παρατείνει την ισχύ της τρέχουσας εξουσιοδότησης ασφαλείας για διάστημα έως 12 μηνών. Εάν, στο τέλος αυτού του νέου δωδεκάμηνου διαστήματος, δεν έχει ακόμα ολοκληρωθεί η έρευνα ασφαλείας, ανατίθενται στο άτομο μόνο καθήκοντα που δεν απαιτούν εξουσιοδότηση ασφαλείας.

16.

Όσον αφορά τους υπαλλήλους και το λοιπό προσωπικό της ΓΓΣ, η Αρχή Ασφαλείας της ΓΓΣ διαβιβάζει το συμπληρωμένο ερωτηματολόγιο ασφαλείας προσωπικού στην ΕΑΑ του κράτους μέλους του οποίου το άτομο έχει την ιθαγένεια, αιτούμενη να διεξαχθεί έρευνα ασφαλείας για το επίπεδο των ΔΠΕΕ στο οποίο το άτομο θα ζητήσει πρόσβαση.

17.

Όταν πληροφορίες σημαντικές για έρευνα ασφαλείας γίνονται γνωστές στη ΓΓΣ σχετικά με πρόσωπο που έχει υποβάλει αίτηση για εξουσιοδότηση ασφαλείας για πρόσβαση σε ΔΠΕΕ, η ΓΓΣ, ενεργώντας σύμφωνα με τους οικείους κανόνες και κανονισμούς, ειδοποιεί σχετικά την αρμόδια ΕΑΑ.

18.

Μετά την ολοκλήρωση της έρευνας ασφαλείας, η αρμόδια ΕΑΑ κοινοποιεί στην Αρχή Ασφαλείας της ΓΓΣ τα αποτελέσματα της εν λόγω έρευνας χρησιμοποιώντας το τυποποιημένο έντυπο αλληλογραφίας που έχει ορίσει η Επιτροπή Ασφαλείας.

19.

Η έρευνα ασφαλείας μαζί με τα πορίσματά της υπόκειται στις νομοθετικές και κανονιστικές διατάξεις που ισχύουν εν προκειμένω στο οικείο κράτος μέλος, περιλαμβανομένων εκείνων που αφορούν την άσκηση προσφυγών. Κατά των αποφάσεων της αρμόδιας για τους διορισμούς αρχής της ΓΓΣ μπορούν να ασκηθούν προσφυγές σύμφωνα με τον κανονισμό υπηρεσιακής κατάστασης των υπαλλήλων της Ευρωπαϊκής Ένωσης και το καθεστώς που εφαρμόζεται επί του λοιπού προσωπικού της Ευρωπαϊκής Ένωσης, όπως ορίζεται στον κανονισμό (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου (1) («κανονισμός υπηρεσιακής κατάστασης των υπαλλήλων της Ευρωπαϊκής Ένωσης και καθεστώς που εφαρμόζεται επί του λοιπού προσωπικού της Ευρωπαϊκής Ένωσης»).

20.

Οι εθνικοί εμπειρογνώμονες που είναι αποσπασμένοι στη ΓΓΣ σε θέση που απαιτεί πρόσβαση σε ΔΠΕΕ με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη επιδεικνύουν έγκυρο πιστοποιητικό εξουσιοδότησης ασφαλείας προσωπικού (ΠΕΑΠ) για πρόσβαση σε ΔΠΕΕ στην Αρχή Ασφαλείας της ΓΓΣ προτού αναλάβουν καθήκοντα, βάσει της οποίας η αρμόδια για τους διορισμούς αρχή χορηγεί εξουσιοδότηση πρόσβασης σε ΔΠΕΕ.

21.

Η ΓΓΣ κάνει δεκτή την εξουσιοδότηση για πρόσβαση σε ΔΠΕΕ που χορηγείται από οποιοδήποτε άλλο θεσμικό ή λοιπό όργανο ή οργανισμό της Ένωσης, εφόσον διατηρεί την ισχύ της. Η εξουσιοδότηση θα καλύπτει την ανάθεση οιουδήποτε καθήκοντος στον ενδιαφερόμενο εντός της ΓΓΣ. Το θεσμικό ή λοιπό όργανο ή οργανισμός της Ένωσης στην οποία προσλαμβάνεται το πρόσωπο ενημερώνει την αρμόδια ΕΑΑ σχετικά με την αλλαγή του εργοδότη.

22.

Αν η περίοδος υπηρεσίας του ατόμου δεν αρχίσει εντός 12 μηνών από την ανακοίνωση του αποτελέσματος της έρευνας ασφαλείας στην αρμόδια για τους διορισμούς αρχή της ΓΓΣ ή αν υπάρξει διακοπή 12 μηνών στην υπηρεσία του, κατά το οποίο διάστημα δεν έχει υπηρετήσει στη ΓΓΣ ή σε θέση της κρατικής διοίκησης κράτους μέλους, το αποτέλεσμα παραπέμπεται στη σχετική ΕΕΑ προκειμένου να επιβεβαιωθεί ότι εξακολουθεί να ισχύει.

23.

Όταν η ΓΓΣ λάβει γνώση της ύπαρξης κινδύνου κατά της ασφάλειας εκ μέρους προσώπου που διαθέτει εξουσιοδότηση πρόσβασης σε ΔΠΕΕ, η ΓΓΣ, ενεργώντας σύμφωνα με τους οικείους κανόνες και κανονισμούς, ειδοποιεί σχετικά την αρμόδια ΕΑΑ και δύναται να ανακαλεί την πρόσβαση σε ΔΠΕΕ ή να αποσύρει την εξουσιοδότηση πρόσβασης σε ΔΠΕΕ.

24.

Όταν μια ΕΑΑ κοινοποιεί στη ΓΓΣ την ανάκληση της διαβεβαίωσης που δόθηκε σύμφωνα με την παράγραφο 18 στοιχείο α) για πρόσωπο που διαθέτει εξουσιοδότηση πρόσβασης σε ΔΠΕΕ, η αρμόδια για τους διορισμούς αρχή της ΓΓΣ μπορεί να ζητήσει οποιαδήποτε διευκρίνιση μπορεί να παράσχει η ΕΑΑ σύμφωνα με τις οικείες εθνικές νομοθετικές και κανονιστικές διατάξεις. Εφόσον επιβεβαιωθούν οι δυσμενείς πληροφορίες, η εξουσιοδότηση ανακαλείται και απαγορεύεται η πρόσβαση του εν λόγω προσώπου σε ΔΠΕΕ και σε θέσεις όπου είναι δυνατή αυτή η πρόσβαση ή όπου μπορεί να θέσει σε κίνδυνο την ασφάλεια.

25.

Κάθε απόφαση απόσυρσης ή ανάκλησης εξουσιοδότησης πρόσβασης σε ΔΠΕΕ από υπάλληλο ή μέλος του λοιπού προσωπικού της ΓΓΣ καθώς και, εάν είναι σκόπιμο, οι σχετικοί λόγοι κοινοποιούνται στον ενδιαφερόμενο, ο οποίος μπορεί να ζητήσει ακρόαση από την αρμόδια για τους διορισμούς αρχή. Οι πληροφορίες που παρέχει η ΕΑΑ υπόκεινται στις νομοθετικές και κανονιστικές διατάξεις που ισχύουν εν προκειμένω στο οικείο κράτος μέλος, συμπεριλαμβανομένων εκείνων που αφορούν την άσκηση προσφυγών. Κατά των αποφάσεων της αρμόδιας για τους διορισμούς αρχής της ΓΓΣ μπορούν να ασκηθούν προσφυγές σύμφωνα με τον κανονισμό υπηρεσιακής κατάστασης των υπαλλήλων των Ευρωπαϊκών Κοινοτήτων και το καθεστώς που εφαρμόζεται επί του λοιπού προσωπικού των Κοινοτήτων αυτών.

26.

Κάθε κράτος μέλος και η ΓΓΣ τηρούν αρχεία των ΕΑΠ και των εξουσιοδοτήσεων οι οποίες χορηγούνται για πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη. Τα αρχεία αυτά περιέχουν τουλάχιστον το επίπεδο των ΔΠΕΕ για το οποίο χορηγείται πρόσβαση στον ενδιαφερόμενο, την ημερομηνία χορήγησης της εξουσιοδότησης ασφάλειας και τη διάρκεια ισχύος της.

27.

Η αρμόδια αρχή ασφαλείας μπορεί να εκδώσει ΠΕΑΠ, στο οποίο αναφέρονται το επίπεδο ΔΠΕΕ για το οποίο δικαιούται πρόσβαση το συγκεκριμένο άτομο (CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη), η ημερομηνία ισχύος του σχετικού πιστοποιητικού ΕΑΠ για πρόσβαση σε ΔΠΕΕ ή εξουσιοδότηση πρόσβασης σε ΔΠΕΕ και η ημερομηνία λήξης του ίδιου του πιστοποιητικού.

28.

Η πρόσβαση προσώπων, δεόντως εξουσιοδοτημένων λόγω των καθηκόντων τους, σε ΔΠΕΕ στα κράτη μέλη ρυθμίζεται σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις· τα εν λόγω άτομα ενημερώνονται σχετικά με τις υποχρεώσεις ασφαλείας που υπέχουν όσον αφορά την προστασία των ΔΠΕΕ.

29.

Όλα τα άτομα στα οποία έχει χορηγηθεί εξουσιοδότηση ασφαλείας δηλώνουν εγγράφως ότι έχουν κατανοήσει τις υποχρεώσεις τους όσον αφορά την προστασία των ΔΠΕΕ και τις συνέπειες εάν διαρρεύσουν οι ΔΠΕΕ. Τηρείται αρχείο αυτών των γραπτών δηλώσεων στο κράτος μέλος και στη ΓΓΣ, κατά περίπτωση.

30.

Όλα τα πρόσωπα στα οποία επιτρέπεται να έχουν πρόσβαση σε ΔΠΕΕ ή να τις χειρίζονται πρέπει να ευαισθητοποιούνται από την αρχή, και κατά διαστήματα να ενημερώνονται σχετικά με τις απειλές για την ασφάλεια και οφείλουν να αναφέρουν αμέσως στις αρμόδιες αρχές ασφαλείας κάθε προσπάθεια προσέγγισής τους ή δραστηριότητα την οποία θεωρούν ύποπτη ή ασυνήθιστη.

31.

Όλα τα πρόσωπα που παύουν να απασχολούνται σε καθήκοντα τα οποία απαιτούν πρόσβαση σε ΔΠΕΕ ευαισθητοποιούνται για τις υποχρεώσεις τους, και εφόσον απαιτείται τις αναγνωρίζουν και γραπτώς, όσον αφορά τη συνεχή προστασία των ΔΠΕΕ.

32.

Εφόσον επιτρέπεται σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις, η εξουσιοδότηση ασφαλείας από αρμόδια εθνική αρχή κράτους μέλους για πρόσβαση σε εθνικές διαβαθμισμένες πληροφορίες μπορεί να επιτρέπει προσωρινά, έως ότου χορηγηθεί ΕΑΠ για πρόσβαση σε ΔΠΕΕ, την πρόσβαση εθνικών υπαλλήλων σε ΔΠΕΕ έως το αντίστοιχο επίπεδο που καθορίζεται στον πίνακα αντιστοιχίας του προσαρτήματος Β, εφόσον η προσωρινή αυτή πρόσβαση είναι αναγκαία για τα συμφέροντα της Ένωσης. Οι ΕΑΑ ενημερώνουν την Επιτροπή Ασφαλείας σε περίπτωση που οι εθνικές νομοθετικές και κανονιστικές διατάξεις δεν επιτρέπουν αυτή την προσωρινή πρόσβαση σε ΔΠΕΕ.

33.

Για λόγους επείγοντος, όταν δικαιολογείται δεόντως από το συμφέρον της υπηρεσίας και εν αναμονή της ολοκλήρωσης πλήρους έρευνας ασφαλείας, η αρμόδια για τους διορισμούς αρχή της ΓΓΣ δύναται, κατόπιν συνεννόησης με την ΕΑΑ του κράτους μέλους του οποίου είναι υπήκοος το εν λόγω πρόσωπο και ανάλογα με το αποτέλεσμα των προκαταρκτικών ελέγχων σχετικά με το αν είναι γνωστή κάποια αρνητική πληροφορία, να χορηγήσει προσωρινή εξουσιοδότηση στους υπαλλήλους και το λοιπό προσωπικό της ΓΓΣ προκειμένου να έχουν πρόσβαση σε ΔΠΕΕ για συγκεκριμένο καθήκον. Αυτές οι προσωρινές εξουσιοδοτήσεις ισχύουν για διάστημα όχι ανώτερο του εξαμήνου και δεν επιτρέπουν την πρόσβαση σε πληροφορίες με διαβάθμιση TRÈS SECRET UE/EU TOP SECRET. Όλα τα άτομα στα οποία έχει χορηγηθεί προσωρινή εξουσιοδότηση δηλώνουν εγγράφως ότι έχουν κατανοήσει τις υποχρεώσεις τους όσον αφορά την προστασία των ΔΠΕΕ και τις συνέπειες σε περίπτωση διαρροής ΔΠΕΕ. Η ΓΓΣ τηρεί αρχείο των γραπτών αυτών δηλώσεων.

34.

Όταν ένα άτομο πρόκειται να τοποθετηθεί σε θέση η οποία απαιτεί εξουσιοδότηση ασφαλείας επιπέδου κατά μία βαθμίδα υψηλότερου από αυτή την οποία διαθέτει, τοποθετείται προσωρινά στην εν λόγω θέση υπό τους ακόλουθους όρους:

35.

Η ανωτέρω διαδικασία χρησιμοποιείται για μία και μόνη πρόσβαση σε ΔΠΕΕ επιπέδου κατά μία βαθμίδα υψηλότερου από αυτό για το οποίο το πρόσωπο έχει λάβει εξουσιοδότηση ασφαλείας. Η προσφυγή στη διαδικασία αυτή δεν πρέπει να είναι επαναλαμβανόμενη.

36.

Σε πολύ εξαιρετικές περιστάσεις, όπως αποστολές σε εχθρικό περιβάλλον ή σε περιόδους αυξανόμενης διεθνούς έντασης, εφόσον αυτό απαιτείται λόγω έκτακτων μέτρων, ιδίως προκειμένου να σωθούν ζωές, τα κράτη μέλη και ο γενικός γραμματέας μπορούν να επιτρέπουν, ει δυνατόν γραπτώς, την πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET ατόμων που δεν διαθέτουν την απαιτούμενη εξουσιοδότηση ασφαλείας, υπό τον όρο ότι η έγκριση αυτή είναι απολύτως αναγκαία και ότι δεν υπάρχουν εύλογες αμφιβολίες ως προς τη νομιμοφροσύνη, τη φερεγγυότητα και την αξιοπιστία των συγκεκριμένων προσώπων. H έκτακτη αυτή εξουσιοδότηση φυλάσσεται σε αρχείο, μαζί με περιγραφή των πληροφοριών για τις οποίες εγκρίθηκε πρόσβαση.

37.

Στην περίπτωση πληροφοριών με διαβάθμιση TRÈS SECRET UE/EU TOP SECRET, η εν λόγω έκτακτη πρόσβαση περιορίζεται στους υπηκόους της Ένωσης στους οποίους έχει χορηγηθεί άδεια πρόσβασης είτε στο αντίστοιχο εθνικό επίπεδο του TRÈS SECRET UE/EU TOP SECRET είτε σε πληροφορίες με διαβάθμιση SECRET UE/EU SECRET.

38.

Η Επιτροπή Ασφαλείας ενημερώνεται για τις περιπτώσεις στις οποίες χρησιμοποιείται η διαδικασία των παραγράφων 36 και 37.

39.

Όταν οι εθνικές νομοθετικές και κανονιστικές διατάξεις κράτους μέλους προβλέπουν αυστηρότερους κανόνες για τις προσωρινές εξουσιοδοτήσεις, προσωρινές τοποθετήσεις, τη μία και μόνη πρόσβαση ή την έκτακτη πρόσβαση προσώπων σε διαβαθμισμένες πληροφορίες, οι διαδικασίες του παρόντος τμήματος εφαρμόζονται μόνο εντός των ορίων των οικείων εθνικών νομοθετικών και κανονιστικών διατάξεων.

40.

Η Επιτροπή Ασφαλείας είναι αποδέκτης ετήσιας έκθεσης για τη χρησιμοποίηση των διαδικασιών που απαριθμούνται στο παρόν μέρος.

41.

Υπό την επιφύλαξη της παραγράφου 28, τα πρόσωπα στα οποία έχει ανατεθεί να συμμετέχουν σε συνεδριάσεις του Συμβουλίου ή προπαρασκευαστικών οργάνων του Συμβουλίου κατά τις οποίες συζητούνται πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη μπορούν να το πράξουν μόνο έπειτα από επιβεβαίωση του επιπέδου εξουσιοδότησης ασφαλείας που διαθέτουν. Προκειμένου περί αντιπροσώπων, ένα ΠΕΑΠ ή άλλο αποδεικτικό εξουσιοδότησης ασφαλείας διαβιβάζεται στο Γραφείο Ασφαλείας της ΓΓΣ από τις αρμόδιες αρχές ή, σε εξαιρετικές περιπτώσεις, παραδίδεται από τον ίδιο τον αντιπρόσωπο. Εφόσον συντρέχει περίπτωση, μπορεί να χρησιμοποιείται ενοποιημένος κατάλογος ονομάτων, όπου αναγράφεται το σχετικό αποδεικτικό εξουσιοδότησης ασφαλείας.

42.

Όταν η ΕΑΠ για πρόσβαση σε ΔΠΕΕ ανακαλείται για λόγους ασφαλείας από πρόσωπο του οποίου τα καθήκοντα απαιτούν συμμετοχή σε συνεδριάσεις του Συμβουλίου ή προπαρασκευαστικών οργάνων του Συμβουλίου, η αρμόδια αρχή ενημερώνει σχετικά τη ΓΓΣ.

43.

Οι ταχυμεταφορείς, οι φύλακες και οι συνοδοί λαμβάνουν εξουσιοδότηση ασφαλείας του αντίστοιχου επιπέδου ή άλλη ανάλογη έρευνα σύμφωνα με τους εθνικούς νόμους και κανονισμούς, ενημερώνονται σχετικά με τις διαδικασίες ασφαλείας για την προστασία των ΔΠΕΕ και λαμβάνουν οδηγίες για την υποχρέωσή τους να προστατεύουν τις πληροφορίες στην κατοχή τους.

1.

Το παρόν παράρτημα περιέχει διατάξεις για την εφαρμογή του άρθρου 8. Ορίζει τις ελάχιστες προδιαγραφές για τη φυσική ασφάλεια των εγκαταστάσεων, των κτιρίων, των γραφείων και άλλων χώρων όπου γίνεται χειρισμός και αποθήκευση ΔΠΕΕ, συμπεριλαμβανομένων των χώρων που στεγάζουν CIS.

2.

Τα μέτρα φυσικής ασφάλειας προορίζονται για να αποτρέπουν την άνευ εξουσιοδότησης πρόσβαση σε ΔΠΕΕ με τους εξής τρόπους:

3.

Τα μέτρα φυσικής ασφαλείας επιλέγονται βάσει αξιολόγησης κινδύνου που διενεργούν οι αρμόδιες αρχές. Τόσο η ΓΓΣ όσο και τα κράτη μέλη εφαρμόζουν διαδικασία διαχείρισης κινδύνων για την προστασία των ΔΠΕΕ στους χώρους τους προκειμένου να εξασφαλίσουν την παροχή ανάλογου επίπεδου φυσικής προστασίας κατά του εκτιμώμενου κινδύνου. Κατά τη διαδικασία διαχείρισης κινδύνων συνεκτιμώνται όλοι οι σχετικοί παράγοντες και ειδικότερα:

4.

Η αρμόδια αρχή ασφαλείας, εφαρμόζοντας την έννοια της προστασίας εις βάθος, καθορίζει το δέοντα εφαρμοστέο συνδυασμό μέτρων φυσικής ασφαλείας. Στα μέτρα αυτά περιλαμβάνονται ένα ή περισσότερα από τα ακόλουθα:

5.

Η αρμόδια αρχή μπορεί να εξουσιοδοτηθεί να διενεργεί έρευνες κατά την είσοδο και έξοδο με σκοπό την αποτροπή μη εξουσιοδοτημένης εισαγωγής υλικού ή μη εξουσιοδοτημένης αφαίρεσης ΔΠΕΕ από εγκαταστάσεις ή κτίρια.

6.

Όταν οι ΔΠΕΕ διατρέχουν κίνδυνο λαθροβλεψίας, έστω και τυχαίας, πρέπει να λαμβάνονται τα δέοντα μέτρα για την αποτροπή του κινδύνου.

7.

Για τις νέες εγκαταστάσεις, οι προδιαγραφές φυσικής ασφαλείας και οι λειτουργικές προδιαγραφές τους καθορίζονται ως μέρος του γενικού και κατασκευαστικού σχεδιασμού των εγκαταστάσεων. Για τις ήδη υπάρχουσες εγκαταστάσεις, οι προδιαγραφές φυσικής ασφαλείας εφαρμόζονται στο μεγαλύτερο δυνατό βαθμό.

8.

Κατά την απόκτηση εξοπλισμού (όπως φωριαμών ασφαλείας, μηχανών καταστροφής εγγράφων, κλειδαριών θυρών, ηλεκτρονικών συστημάτων ελέγχου πρόσβασης, IDS, συστημάτων συναγερμού) για τη φυσική προστασία των ΔΠΕΕ, η αρμόδια αρχή ασφαλείας μεριμνά ώστε ο εξοπλισμός να ανταποκρίνεται στις εγκεκριμένες τεχνικές προδιαγραφές και τις ελάχιστες απαιτήσεις.

9.

Οι τεχνικές προδιαγραφές του εξοπλισμού που χρησιμοποιείται για τη φυσική προστασία των ΔΠΕΕ ορίζονται σε κατευθυντήριες γραμμές ασφαλείας που εγκρίνονται από την Επιτροπή Ασφαλείας.

10.

Τα συστήματα ασφαλείας επιθεωρούνται σε τακτά χρονικά διαστήματα και ο εξοπλισμός συντηρείται τακτικά. Στη συντήρηση θα πρέπει να λαμβάνεται υπόψη το αποτέλεσμα των επιθεωρήσεων ώστε να διασφαλίζεται ότι ο εξοπλισμός εξακολουθεί να λειτουργεί άριστα.

11.

Η αποτελεσματικότητα κάθε μέτρου ασφαλείας και ολόκληρου του συστήματος ασφαλείας πρέπει να επαναξιολογείται σε κάθε επιθεώρηση.

12.

Δύο τύποι χώρων που τυγχάνουν φυσικής προστασίας, ή οι εθνικοί αντίστοιχοί τους, καθορίζονται για τη φυσική προστασία των ΔΠΕΕ:

Στην παρούσα απόφαση, κάθε αναφορά σε διοικητικούς χώρους και χώρους ασφαλείας, συμπεριλαμβανομένων των χώρων τεχνικής ασφαλείας, νοείται ως αναφερόμενη και στο εθνικό τους αντίστοιχο.

13.

Η αρμόδια αρχή ασφαλείας κρίνει αν ένας χώρος καλύπτει τις προδιαγραφές ώστε να χαρακτηρισθεί διοικητικός χώρος, χώρος ασφαλείας ή χώρος τεχνικής ασφαλείας.

14.

Για τους διοικητικούς χώρους:

15.

Για τους χώρους ασφαλείας:

16.

Όταν η είσοδος σε χώρο ασφαλείας συνιστά, στην πράξη, άμεση πρόσβαση στις διαβαθμισμένες πληροφορίες που φυλάσσονται στον οικείο χώρο, ισχύουν οι ακόλουθες συμπληρωματικές προϋποθέσεις:

17.

Οι χώροι ασφαλείας που προστατεύονται από τη λαθρακρόαση χαρακτηρίζονται ως χώροι τεχνικής ασφαλείας. Ισχύουν οι ακόλουθες συμπληρωματικές προϋποθέσεις:

18.

Παρά τα οριζόμενα στην παράγραφο 17 στοιχείο δ), προτού χρησιμοποιηθούν σε χώρους όπου διεξάγονται συνεδριάσεις ή εργασίες που αφορούν πληροφορίες με διαβάθμιση SECRET UE/EU SECRET ή υψηλότερη και σε περιστάσεις όπου η απειλή για τις ΔΠΕΕ θεωρείται σοβαρή, οι τηλεπικοινωνιακές συσκευές και ο ηλεκτρικός ή ηλεκτρονικός εξοπλισμός παντός είδους εξετάζονται καταρχάς από την αρμόδια αρχή ασφαλείας για να εξασφαλισθεί ότι δεν είναι δυνατή η μετάδοση καταληπτών πληροφοριών μέσω του εξοπλισμού αυτού, είτε ακούσια είτε παράνομα, πέραν της περιμέτρου του χώρου ασφαλείας.

19.

Οι χώροι ασφαλείας στους οποίους δεν υπάρχει προσωπικό υπηρεσίας επί 24ώρου βάσεως επιθεωρούνται, εφόσον είναι σκόπιμο, κατά τη λήξη του κανονικού ωραρίου εργασίας και σε τυχαία διαστήματα εκτός του κανονικού ωραρίου εργασίας, εκτός εάν είναι εξοπλισμένοι με IDS.

20.

Χώροι ασφαλείας και χώροι τεχνικής ασφαλείας μπορούν να δημιουργούνται προσωρινά εντός διοικητικού χώρου για τη διεξαγωγή διαβαθμισμένης συνεδρίασης ή κάθε άλλο παρόμοιο σκοπό.

21.

Για κάθε χώρο ασφαλείας εκπονούνται λειτουργικές διαδικασίες ασφαλείας στις οποίες αναφέρονται:

22.

Εντός των χώρων ασφαλείας κατασκευάζονται θωρακισμένες αίθουσες. Οι τοίχοι, τα πατώματα, οι οροφές, τα παράθυρα και οι θύρες που κλειδώνουν εγκρίνονται από την αρμόδια αρχή ασφαλείας και παρέχουν προστασία ισοδύναμη με φωριαμό ασφαλείας που έχει εγκριθεί για την αποθήκευση ΔΠΕΕ του ίδιου επιπέδου διαβάθμισης.

23.

Ο χειρισμός ΔΠΕΕ με διαβάθμιση RESTREINT UE/EU RESTRICTED διεξάγεται:

24.

Οι ΔΠΕΕ με διαβάθμιση RESTREINT UE/EU RESTRICTED αποθηκεύονται σε κατάλληλα έπιπλα γραφείου με κλειδαριά σε διοικητικό χώρο ή χώρο ασφαλείας. Μπορούν προσωρινά να αποθηκευθούν εκτός χώρου ασφαλείας ή διοικητικού χώρου, εφόσον ο κάτοχος έχει αναλάβει να συμμορφώνεται με τα αντισταθμιστικά μέτρα που καθορίζονται στις οδηγίες ασφαλείας που εκδίδει η αρμόδια αρχή ασφαλείας.

25.

Ο χειρισμός ΔΠΕΕ με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET διεξάγεται:

26.

Οι ΔΠΕΕ με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET αποθηκεύονται σε χώρο ασφαλείας είτε εντός φωριαμού ασφαλείας είτε εντός θωρακισμένης αίθουσας.

27.

Ο χειρισμός ΔΠΕΕ με διαβάθμιση ασφαλείας TRÈS SECRET UE/EU TOP SECRET διεξάγεται σε χώρο ασφαλείας.

28.

Οι ΔΠΕΕ με διαβάθμιση TRÈS SECRET UE/EU TOP SECRET αποθηκεύονται σε χώρο ασφαλείας, στο πλαίσιο μιας εκ των κατωτέρω προϋποθέσεων:

29.

Στο παράρτημα III παρατίθενται οι κανόνες που διέπουν τη μεταφορά ΔΠΕΕ εκτός των χώρων υλικής προστασίας.

30.

Η αρμόδια αρχή ασφαλείας καθορίζει τις διαδικασίες για τη διαχείριση των κλειδιών και των συνδυασμών για τα γραφεία, τις αίθουσες, τις θωρακισμένες αίθουσες και τους φωριαμούς ασφαλείας. Οι διαδικασίες αυτές προστατεύουν από το ενδεχόμενο εισόδου μη εξουσιοδοτημένων ατόμων.

31.

Οι συνδυασμοί απομνημονεύονται από τον μικρότερο δυνατό αριθμό ατόμων που πρέπει να τους γνωρίζουν. Οι συνδυασμοί των φωριαμών ασφαλείας στους οποίους αποθηκεύονται οι ΔΠΕΕ αλλάζουν:

1.

Το παρόν παράρτημα περιέχει διατάξεις για την εφαρμογή του άρθρου 9. Ορίζει τα διοικητικά μέτρα για τον έλεγχο των ΔΠΕΕ καθ’ όλη τη διάρκεια του κύκλου ζωής των προκειμένου να ενισχυθούν η αποτροπή και η ανίχνευση περιπτώσεων σκόπιμης ή τυχαίας διαρροής ή απώλειας των εν λόγω πληροφοριών.

2.

Οι πληροφορίες λαμβάνουν διαβάθμιση όταν απαιτείται προστασία του απόρρητου χαρακτήρα τους.

3.

Ο φορέας προέλευσης των ΔΠΕΕ είναι υπεύθυνος για τον ορισμό του επιπέδου διαβάθμισης ασφαλείας, σύμφωνα με τις σχετικές κατευθυντήριες γραμμές διαβάθμισης, και για την αρχική κοινοποίηση των πληροφοριών.

4.

Το επίπεδο διαβάθμισης των ΔΠΕΕ ορίζεται σύμφωνα με το άρθρο 2 παράγραφος 2 και με αναφορά στην πολιτική ασφαλείας που θα εγκριθεί σύμφωνα με το άρθρο 3 παράγραφος 3.

5.

Η διαβάθμιση ασφαλείας σημαίνεται με σαφή και προσήκοντα τρόπο, ανεξαρτήτως εάν οι ΔΠΕΕ είναι σε έντυπη, προφορική, ηλεκτρονική ή οποιαδήποτε άλλη μορφή.

6.

Επί μέρους τμήματα δεδομένου εγγράφου (ήτοι σελίδες, παράγραφοι, τμήματα, παραρτήματα και προσαρτήματα καθώς και τυχόν συνημμένα έγγραφα) ενδέχεται να απαιτούν διαφορετικές διαβαθμίσεις και σημαίνονται αναλόγως, μεταξύ άλλων όταν αποθηκεύονται σε ηλεκτρονική μορφή.

7.

Το γενικό επίπεδο διαβάθμισης ενός εγγράφου ή ενός φακέλου είναι τουλάχιστον τόσο υψηλό όσο το επίπεδο του στοιχείου του με την υψηλότερη διαβάθμιση. Όταν συγκεντρώνει πληροφορίες από διάφορες πηγές, το τελικό προϊόν επανεξετάζεται προκειμένου να καθορισθεί το γενικό του επίπεδο διαβάθμισης ασφαλείας, δεδομένου ότι μπορεί να απαιτεί υψηλότερη διαβάθμιση από τις συνιστώσες του.

8.

Στο μέτρο του δυνατού, τα έγγραφα που περιέχουν μέρη με διαφορετικά επίπεδα διαβάθμισης διαρθρώνονται κατά τρόπον ώστε τα μέρη με διαφορετικό επίπεδο διαβάθμισης να προσδιορίζονται και να αποχωρίζονται εύκολα, εφόσον είναι απαραίτητο.

9.

Η διαβάθμιση επιστολής ή σημειώματος που περιλαμβάνει συνημμένα έγγραφα καθορίζεται στο επίπεδο του υψηλότερα διαβαθμισμένου συνημμένου εγγράφου. Ο φορέας προέλευσης επισημαίνει σαφώς σε ποιο επίπεδο διαβαθμίζεται όταν αποχωρισθεί από τα συνημμένα έγγραφα μέσω κατάλληλη σήμανσης, π.χ.:

CONFIDENTIEL EU/EU CONFIDENTIAL

Χωρίς το (τα) συνημμένο(-α) έγγραφο(-α) RESTREINT UE/EU RESTRICTED.

10.

Εκτός των σημάνσεων διαβάθμισης ασφαλείας που προβλέπονται στο άρθρο 2 παράγραφος 2, οι διαβαθμισμένες πληροφορίες ΕΕ είναι δυνατόν να φέρουν πρόσθετες σημάνσεις, όπως:

11.

Οι τυποποιημένες συντετμημένες σημάνσεις διαβάθμισης μπορούν να χρησιμοποιούνται ως ενδείξεις του επιπέδου διαβάθμισης των επιμέρους παραγράφων ενός κειμένου. Οι συντομογραφίες δεν αντικαθιστούν τις πλήρεις σημάνσεις διαβάθμισης.

12.

Οι ακόλουθες τυποποιημένες συντομογραφίες μπορούν να χρησιμοποιούνται στα διαβαθμισμένα έγγραφα της ΕΕ ως ενδείξεις του επιπέδου διαβάθμισης τμημάτων ή ενοτήτων του κειμένου που δεν υπερβαίνουν μία σελίδα:

13.

Κατά τη σύνταξη διαβαθμισμένου εγγράφου ΕΕ:

14.

Εάν δεν είναι δυνατή η εφαρμογή της παραγράφου 13 στις ΔΠΕΕ, λαμβάνονται άλλα κατάλληλα μέτρα σύμφωνα με τις κατευθυντήριες γραμμές ασφαλείας που καταρτίζονται σύμφωνα με το άρθρο 6 παράγραφος 2.

15.

Κατά τη δημιουργία τους, ο φορέας προέλευσης δηλώνει, όπου είναι δυνατόν, και ιδίως για πληροφορίες χαρακτηρισμένες RESTREINT UE/EU RESTRICTED, εάν οι ΔΠΕΕ μπορούν να υποχαρακτηρισθούν ή να αποχαρακτηρισθούν σε ορισμένη ημερομηνία ή κατόπιν συγκεκριμένου γεγονότος.

16.

Η ΓΓΣ επανεξετάζει τακτικά τις ΔΠΕΕ που ευρίσκονται στην κατοχή της προκειμένου να εξακριβώσει αν ισχύει ακόμα το επίπεδο διαβάθμισης. Η ΓΓΣ καθιερώνει σύστημα επανεξέτασης, τουλάχιστον ανά πενταετία, του επιπέδου διαβάθμισης των ΔΠΕΕ που έχει δημιουργήσει. Η επανεξέταση αυτή δεν είναι απαραίτητη όταν ο φορέας προέλευσης έχει δηλώσει εξαρχής ότι οι πληροφορίες υποχαρακτηρίζονται ή αποχαρακτηρίζονται αυτόματα και φέρουν ανάλογη σήμανση.

17.

Για κάθε οργανωτική μονάδα εντός της ΓΓΣ και των κρατικών υπηρεσιών των κρατών μελών στην οποία γίνεται χειρισμός των ΔΠΕΕ θα ορισθεί αρμόδια γραμματεία η οποία θα μεριμνά ώστε ο χειρισμός των ΔΠΕΕ να είναι σύμφωνος με την παρούσα απόφαση. Οι γραμματείες θα συσταθούν ως χώροι ασφαλείας όπως ορίζονται στο παράρτημα II.

18.

Για τους σκοπούς της παρούσας απόφασης, ως καταχώριση για λόγους ασφαλείας («καταχώριση») νοείται η εφαρμογή διαδικασιών που επιτρέπουν την καταγραφή του κύκλου ζωής του υλικού, η οποία περιλαμβάνει τη διάδοση και την καταστροφή του.

19.

Όλο το υλικό με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη καταχωρίζεται στις αρμόδιες γραμματείες κατά την άφιξη ή την αναχώρησή του από μια οργανωτική μονάδα.

20.

Η Κεντρική Γραμματεία εντός της ΓΓΣ τηρεί αρχείο όλων των διαβαθμισμένων πληροφοριών που κοινοποιούνται από το Συμβούλιο και τη ΓΓΣ προς τρίτα κράτη και διεθνείς οργανισμούς, καθώς και όλων των διαβαθμισμένων πληροφοριών που λαμβάνονται από τρίτα κράτη ή διεθνείς οργανισμούς.

21.

Στην περίπτωση του CIS, οι διαδικασίες καταχώρισης μπορούν να διεκπεραιώνονται με διεργασίες εντός του ίδιου του CIS.

22.

Το Συμβούλιο εγκρίνει πολιτική ασφαλείας σχετικά με την καταχώριση των ΔΠΕΕ για λόγους ασφαλείας.

23.

Ορίζεται γραμματεία στα κράτη μέλη και στη ΓΓΣ η οποία θα ενεργεί ως κεντρική αρχή παραλαβής και αποστολής πληροφοριών με διαβάθμιση TRÈS SECRET UE/EU TOP SECRET. Οσάκις απαιτείται, μπορούν να ορίζονται υπογραμματείες για τον χειρισμό των πληροφοριών αυτών για λόγους καταχώρισης.

24.

Οι υπογραμματείες αυτές δεν δικαιούνται να διαβιβάζουν έγγραφα με διαβάθμιση TRÈS SECRET UE/EU TOP SECRET απευθείας σε άλλες υπογραμματείες της αυτής κεντρικής γραμματείας TRÈS SECRET UE/EU TOP SECRET ή έξωθεν χωρίς τη ρητή γραπτή έγκριση της τελευταίας.

25.

Τα έγγραφα με διαβάθμιση TRÈS SECRET UE/EU TOP SECRET μπορούν να αντιγραφούν ή να μεταφρασθούν μόνο με την προηγούμενη γραπτή συγκατάθεση του φορέα προέλευσης.

26.

Όταν ο φορέας προέλευσης εγγράφων με διαβάθμιση SECRET UE/EU SECRET και κατωτέρω δεν έχει επιβάλει προειδοποιήσεις ως προς την αντιγραφή ή τη μετάφρασή τους, τα έγγραφα αυτά μπορούν να αντιγράφονται ή να μεταφράζονται κατόπιν εντολής του κατόχου τους.

27.

Τα μέτρα ασφαλείας που εφαρμόζονται για το αρχικό έγγραφο εφαρμόζονται και στα αντίγραφα και μεταφράσεις του.

28.

Η μεταφορά των ΔΠΕΕ υπάγεται στα προστατευτικά μέτρα που ορίζονται στις παραγράφους 30 έως 41. Όταν οι ΔΠΕΕ διαβιβάζονται ηλεκτρονικά και παρά τα οριζόμενα στο άρθρο 9 παράγραφος 4, τα παρακάτω προστατευτικά μέτρα μπορούν να συμπληρώνονται με κατάλληλα τεχνικά αντίμετρα που ορίζονται από την αρμόδια αρχή ασφαλείας προκειμένου να ελαχιστοποιείται ο κίνδυνος απώλειας ή διαρροής.

29.

Οι αρμόδιες αρχές ασφαλείας της ΓΓΣ και των κρατών μελών εκδίδουν οδηγίες όσον αφορά τη μεταφορά των ΔΠΕΕ σύμφωνα με την παρούσα απόφαση.

30.

Οι ΔΠΕΕ που μεταφέρονται εντός κτιρίου ή αυτοτελούς συνόλου κτιρίων πρέπει να είναι καλυμμένες για να μην είναι δυνατή η παρατήρηση του περιεχομένου τους.

31.

Εντός κτιρίου ή αυτοτελούς συνόλου κτιρίων, οι πληροφορίες με διαβάθμιση TRÈS SECRET UE/EU TOP SECRET μεταφέρονται σε σφραγισμένο φάκελο με μόνη ένδειξη το όνομα του παραλήπτη.

32.

Οι ΔΠΕΕ που μεταφέρονται μεταξύ κτιρίων ή χώρων εντός της Ένωσης τοποθετούνται σε συσκευασία η οποία τις προστατεύει από άνευ αδείας κοινολόγηση.

33.

Η μεταφορά πληροφοριών με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL και SECRET UE/EU SECRET εντός της ΕΕ διεξάγεται ως εξής:

Στην περίπτωση μεταφοράς από ένα κράτος μέλος σε άλλο, οι διατάξεις του στοιχείου γ) περιορίζονται στις πληροφορίες με διαβάθμιση έως CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Οι πληροφορίες με διαβάθμιση RESTREINT UE/EU RESTRICTED δύνανται επίσης να μεταφέρονται με ταχυδρομικές υπηρεσίες ή με εμπορικές υπηρεσίες μεταφοράς. Δεν απαιτείται πιστοποιητικό αγγελιαφόρου για τη μεταφορά τέτοιων πληροφοριών.

35.

Το υλικό με διαβαθμίσεις CONFIDENTIEL UE/EU CONFIDENTIAL και SECRET UE/EU SECRET (π.χ. εξοπλισμός ή μηχανήματα) που δεν μπορεί να μεταφερθεί όπως αναφέρεται στην παράγραφο 33 μεταφέρεται ως φορτίο από εμπορικές επιχειρήσεις μεταφορών σύμφωνα με το παράρτημα V.

36.

Η μεταφορά πληροφοριών με διαβάθμιση TRÈS SECRET UE/EU TOP SECRET μεταξύ κτιρίων ή χώρων εντός της Ένωσης διεξάγεται με στρατιωτικό, κρατικό ή διπλωματικό μεταφορέα, αναλόγως με την περίπτωση.

37.

Οι ΔΠΕΕ που μεταφέρονται από την Ένωση προς το έδαφος τρίτου κράτους τοποθετούνται σε συσκευασία η οποία τις προστατεύει από άνευ αδείας κοινολόγηση.

38.

Η μεταφορά πληροφοριών με διαβαθμίσεις CONFIDENTIEL UE/EU CONFIDENTIAL και SECRET UE/EU SECRET από την Ένωση προς το έδαφος τρίτου κράτους διεξάγεται ως εξής:

39.

Η μεταφορά πληροφοριών με διαβαθμίσεις CONFIDENTIEL UE/EU CONFIDENTIAL και SECRET UE/EU SECRET που κοινοποιούνται από την Ένωση σε τρίτο κράτος ή διεθνή οργανισμό διεξάγεται κατά τις σχετικές διατάξεις συμφωνίας για την ασφάλεια των πληροφοριών ή διοικητικής συμφωνίας σύμφωνα με το άρθρο 13 παράγραφος 2 στοιχείο α) ή β).

40.

Οι πληροφορίες με διαβάθμιση RESTREINT UE/EU RESTRICTED δύνανται επίσης να μεταφέρονται με ταχυδρομικές υπηρεσίες ή με εμπορικές υπηρεσίες μεταφοράς.

41.

Η μεταφορά πληροφοριών με διαβάθμιση TRÈS SECRET UE/EU TOP SECRET από την Ένωση προς το έδαφος τρίτου κράτους διεξάγεται με στρατιωτικό ή διπλωματικό μεταφορέα.

42.

Τα διαβαθμισμένα έγγραφα ΕΕ που δεν χρειάζονται πλέον μπορούν να καταστρέφονται με την επιφύλαξη των οικείων κανόνων και κανονισμών περί αρχειοθέτησης.

43.

Τα έγγραφα τα οποία καταχωρίζονται σύμφωνα με το άρθρο 9 παράγραφος 2 καταστρέφονται από την αρμόδια γραμματεία με εντολή του κατόχου ή αρμόδιας αρχής. Τα ημερολόγια και οι λοιπές πληροφορίες καταχώρισης ενημερώνονται αναλόγως.

44.

Για τα έγγραφα με διαβαθμίσεις SECRET UE/EU SECRET ή TRÈS SECRET UE/EU TOP SECRET, η καταστροφή πραγματοποιείται παρουσία μάρτυρα ο οποίος έχει διαβάθμιση ασφαλείας τουλάχιστον έως το επίπεδο διαβάθμισης του προς καταστροφή εγγράφου.

45.

Ο γραμματέας και, οσάκις απαιτείται η παρουσία του, ο μάρτυρας υπογράφουν πιστοποιητικό καταστροφής, το οποίο καταχωρίζεται στη γραμματεία. Η γραμματεία τηρεί τα πιστοποιητικά καταστροφής των εγγράφων TRÈS SECRET UE/EU TOP SECRET για δεκαετία τουλάχιστον και των εγγράφων CONFIDENTIEL UE/EU CONFIDENTIAL και SECRET UE/EU SECRET για πενταετία τουλάχιστον.

46.

Τα διαβαθμισμένα έγγραφα, περιλαμβανομένων και εκείνων με διαβάθμιση RESTREINT UE/EU RESTRICTED, καταστρέφονται με μεθόδους που ανταποκρίνονται στα σχετικά ενωσιακά πρότυπα ή αντίστοιχα πρότυπα ή που έχουν εγκριθεί από κράτη μέλη σύμφωνα με εθνικές τεχνικές προδιαγραφές προκειμένου να αποφεύγεται η πλήρης ή η εν μέρει επανασύστασή τους.

47.

Η καταστροφή των ηλεκτρονικών φορέων αποθήκευσης που χρησιμοποιούνται για τις ΔΠΕΕ διεξάγεται σύμφωνα με την παράγραφο 37 του παραρτήματος IV.

48.

Σε κατάσταση έκτακτης ανάγκης, αν υπάρχει άμεσος κίνδυνος άνευ αδείας κοινολόγησης, οι ΔΠΕΕ καταστρέφονται από τον κάτοχο με τρόπο που να μην επιτρέπει την ανασύστασή τους πλήρως ή εν μέρει. Ο φορέας και η γραμματεία προέλευσης ενημερώνονται σχετικά με την έκτακτη καταστροφή των καταχωρισμένων ΔΠΕΕ.

49.

Εφεξής θα χρησιμοποιείται ο όρος «επίσκεψη αξιολόγησης» προκειμένου να ορίζονται:

προκειμένου να αξιολογείται η αποτελεσματικότητα των μέτρων που εφαρμόζονται για την προστασία των ΔΠΕΕ.

50.

Μεταξύ άλλων, επισκέψεις αξιολόγησης διεξάγονται προκειμένου:

51.

Πριν από το τέλος κάθε ημερολογιακού έτους, το Συμβούλιο καθορίζει το πρόγραμμα επισκέψεων αξιολόγησης για το επόμενο έτος, όπως προβλέπεται από το άρθρο 16 παράγραφος 1 στοιχείο γ). Οι συγκεκριμένες ημερομηνίες κάθε επίσκεψης αξιολόγησης καθορίζονται κατόπιν συμφωνίας με το λοιπό όργανο ή οργανισμό της Ένωσης, το κράτος μέλος, το τρίτο κράτος ή τον διεθνή οργανισμό.

52.

Οι επισκέψεις αξιολόγησης διεξάγονται προκειμένου να ελεγχθούν οι σχετικοί κανόνες, κανονισμοί και διαδικασίες του φορέα όπου πραγματοποιείται η επίσκεψη και προκειμένου να εξακριβωθεί αν οι πρακτικές του φορέα είναι σύμφωνες προς τις ελάχιστες προδιαγραφές της παρούσας απόφασης και τις διατάξεις περί ανταλλαγής διαβαθμισμένων πληροφοριών με τον εν λόγω φορέα.

53.

Οι επισκέψεις αξιολόγησης διενεργούνται σε δύο φάσεις. Πριν από την επίσκεψη αυτή καθεαυτή διοργανώνεται, εάν απαιτείται, προπαρασκευαστική συνάντηση με τον σχετικό φορέα. Μετά την προπαρασκευαστική αυτή συνάντηση η ομάδα αξιολόγησης καταρτίζει, κατόπιν συμφωνίας με τον ενδιαφερόμενο φορέα, λεπτομερές πρόγραμμα επίσκεψης αξιολόγησης που καλύπτει όλους τους τομείς ασφαλείας. Η ομάδα επίσκεψης αξιολόγησης πρέπει να έχει πρόσβαση σε όλους τους χώρους στους οποίους γίνεται χειρισμός ΔΠΕΕ, ειδικότερα δε στις γραμματείες και στα σημεία παρουσίας CIS.

54.

Οι επισκέψεις αξιολόγησης στις εθνικές διοικήσεις των κρατών μελών, στα τρίτα κράτη και στους διεθνείς οργανισμούς διεξάγονται σε πλήρη συνεργασία με τους υπαλλήλους του φορέα, τρίτου κράτους ή διεθνούς οργανισμού όπου πραγματοποιείται η επίσκεψη.

55.

Οι επισκέψεις αξιολόγησης σε λοιπά όργανα, οργανισμούς και μονάδες της Ένωσης που εφαρμόζουν την παρούσα απόφαση ή τις αρχές της διεξάγονται με τη συνδρομή εμπειρογνωμόνων της ΕΑΑ στο έδαφος της οποίας ευρίσκεται το λοιπό όργανο ή ο οργανισμός.

56.

Η Επιτροπή Ασφαλείας δύναται να συμφωνεί λεπτομερείς ρυθμίσεις περί συνδρομής και συνεισφορών από εμπειρογνώμονες της ΕΑΑ για τις επισκέψεις αξιολόγησης σε λοιπά όργανα, οργανισμούς και μονάδες της Ένωσης που εφαρμόζουν την παρούσα απόφαση ή τις αρχές της, καθώς και σε τρίτα κράτη και διεθνείς οργανισμούς.

57.

Μετά το πέρας της επίσκεψης αξιολόγησης υποβάλλονται στον φορέα όπου πραγματοποιήθηκε η επίσκεψη τα κυριότερα συμπεράσματα και συστάσεις. Εν συνεχεία συντάσσεται έκθεση για την επίσκεψη αξιολόγησης. Στις περιπτώσεις στις οποίες προτείνονται διορθωτικές ενέργειες και συστάσεις, πρέπει να περιλαμβάνονται στην έκθεση επαρκώς λεπτομερή στοιχεία προς αιτιολόγηση των συμπερασμάτων. Η έκθεση διαβιβάζεται στην αρμόδια αρχή του φορέα όπου πραγματοποιήθηκε η επίσκεψη.

58.

Όσον αφορά τις επισκέψεις αξιολόγησης που διενεργούνται στις κρατικές υπηρεσίες των κρατών μελών:

Συντάσσεται τακτική έκθεση υπό την ευθύνη της Αρχής ασφαλείας της ΓΓΣ (Υπηρεσίας Ασφαλείας) στην οποία επισημαίνονται τα κυριότερα ζητήματα που ανέκυψαν και τα διδάγματα που αποκομίσθηκαν από τις επισκέψεις αξιολόγησης οι οποίες διενεργήθηκαν στα κράτη μέλη εντός συγκεκριμένης περιόδου και εξετάσθηκαν από την Επιτροπή Ασφαλείας.

59.

Όσον αφορά τις επισκέψεις αξιολόγησης τρίτων κρατών και διεθνών οργανισμών, η έκθεση διανέμεται στην Επιτροπή Ασφαλείας. Η έκθεση λαμβάνει τουλάχιστον διαβάθμιση RESTREINT UE/EU RESTRICTED. Τυχόν διορθωτικές ενέργειες πρέπει να επαληθεύονται αργότερα με νέα επίσκεψη και να υποβάλλεται σχετική έκθεση στην Επιτροπή Ασφαλείας.

60.

Όσον αφορά τις επισκέψεις αξιολόγησης σε λοιπά όργανα, οργανισμούς και μονάδες της Ένωσης που εφαρμόζουν την παρούσα απόφαση ή τις αρχές της, οι εκθέσεις με θέμα την επίσκεψη αξιολόγησης διανέμονται στην Επιτροπή Ασφαλείας. Το σχέδιο έκθεσης με θέμα την επίσκεψη αξιολόγησης διαβιβάζεται στην ενδιαφερόμενη υπηρεσία ή οργανισμό για να εξακριβωθεί ότι είναι αντικειμενικά ορθό και δεν περιέχει καμία πληροφορία με διαβάθμιση υψηλότερη από RESTREINT UE/EU RESTRICTED. Τυχόν διορθωτικές ενέργειες επαληθεύονται αργότερα με νέα επίσκεψη και υποβάλλεται σχετική έκθεση στην Επιτροπή Ασφαλείας.

61.

Η Αρχή Ασφαλείας της ΓΓΣ διεξάγει τακτικές επιθεωρήσεις οργανωτικών μονάδων της ΓΓΣ για τους σκοπούς της παραγράφου 50.

62.

Η Αρχή Ασφαλείας της ΓΓΣ (Υπηρεσία Ασφαλείας) καταρτίζει και ενημερώνει κατάλογο ελέγχου, με τα θέματα που πρέπει να ελέγχονται κατά τη διάρκεια επίσκεψης αξιολόγησης. Ο εν λόγω κατάλογος ελέγχου διαβιβάζεται στην Επιτροπή Ασφαλείας.

63.

Οι πληροφορίες για τη συμπλήρωση του καταλόγου ελέγχου λαμβάνονται κυρίως κατά τη διάρκεια της επίσκεψης από το προσωπικό διαχείρισης ασφαλείας του επιθεωρούμενου φορέα. Μόλις συμπληρωθεί με λεπτομερείς απαντήσεις, ο κατάλογος ελέγχου διαβαθμίζεται σε συμφωνία με τον επιθεωρούμενο φορέα. Δεν συνιστά μέρος της έκθεσης επιθεώρησης.

1.

Το παρόν παράρτημα περιέχει διατάξεις για την εφαρμογή του άρθρου 10.

2.

Οι ακόλουθες ιδιότητες και έννοιες ΙΑ είναι ουσιαστικές για την ασφάλεια και την ορθή εφαρμογή δράσεων στο πλαίσιο συστημάτων CIS:

3.

Οι κατωτέρω διατάξεις αποτελούν τη βάση για την ασφάλεια όλων των CIS που χειρίζονται ΔΠΕΕ. Λεπτομερείς απαιτήσεις για την εφαρμογή των διατάξεων αυτών θα καθορισθούν σε πολιτικές ασφαλείας ΙΑ και κατευθυντήριες γραμμές ασφαλείας.

4.

Η διαχείριση κινδύνων κατά της ασφαλείας αποτελεί αναπόσπαστο μέρος του σχεδιασμού, της ανάπτυξης, της λειτουργίας και της συντήρησης των CIS. Η διαχείριση του κινδύνου (αξιολόγηση, χειρισμός, αποδοχή και κοινοποίηση) διεξάγεται ως επαναληπτική διαδικασία, από κοινού από τους εκπροσώπους των ιδιοκτητών των συστημάτων, τις αρχές των προγραμμάτων, τις επιχειρησιακές αρχές και τις αρχές έγκρισης ασφαλείας, με χρήση δοκιμασμένης, διαφανούς και πλήρως κατανοητής διαδικασίας αξιολόγησης του κινδύνου. Το πεδίο εφαρμογής των CIS και τα στοιχεία τους ορίζονται με σαφήνεια στην αρχή της διαδικασίας διαχείρισης του κινδύνου.

5.

Οι αρμόδιες αρχές εξετάζουν τις εν δυνάμει απειλές που αντιμετωπίζουν τα CIS και διατηρούν ενημερωμένες και ακριβείς αξιολογήσεις κινδύνου που αντιστοιχούν στο τρέχον επιχειρησιακό περιβάλλον. Ενημερώνουν διαρκώς τις γνώσεις τους ως προς τα ζητήματα τρωτότητας και επανεξετάζουν περιοδικά την αξιολόγηση τρωτότητας προκειμένου να ανταποκρίνονται στο εξελισσόμενο περιβάλλον της τεχνολογίας των πληροφοριών (ΤΠ).

6.

Ο στόχος του χειρισμού των κινδύνων κατά της ασφαλείας αποσκοπεί στην εφαρμογή δέσμης μέτρων ασφαλείας που αποτελούν μια ικανοποιητική ισορροπία μεταξύ των απαιτήσεων των χρηστών, του κόστους και του υπολειπόμενου κινδύνου κατά της ασφαλείας.

7.

Οι ειδικές προδιαγραφές, η κλίμακα και ο βαθμός των λεπτομερειών που καθορίζονται από την αρμόδια ΑΠΑ για το χειρισμό CIS είναι αναλογικές προς τον αξιολογούμενο κίνδυνο, λαμβάνουν δε υπόψη όλους τους συναφείς παράγοντες και μεταξύ άλλων το επίπεδο διαβάθμισης των ΔΠΕΕ που τυγχάνουν χειρισμού σε CIS. Η έγκριση λειτουργίας περιλαμβάνει τυπική δήλωση υπολειπόμενου κινδύνου και την αποδοχή του υπολειπόμενου κινδύνου από υπεύθυνη αρχή.

8.

Η εγγύηση της ασφαλείας αποτελεί απαίτηση σε όλη τη διάρκεια του κύκλου ζωής του CIS από το σχεδιασμό έως την απόσυρση από την υπηρεσία.

9.

Ο ρόλος και η συμβολή κάθε συμμετέχοντος σε CIS φορέα ως προς την ασφάλειά του προσδιορίζεται σε κάθε φάση του κύκλου ζωής.

10.

Όλα τα CIS, συμπεριλαμβανομένων των τεχνικών και μη τεχνικών μέτρων ασφαλείας, υποβάλλονται σε δοκιμές ασφαλείας κατά τη διάρκεια της διαδικασίας έγκρισης προκειμένου να εξασφαλίζεται ότι έχει επιτευχθεί το κατάλληλο επίπεδο ασφαλείας και να επαληθεύεται ότι έχουν ορθώς εφαρμοσθεί, ολοκληρωθεί και διαμορφωθεί.

11.

Αξιολογήσεις ασφαλείας, επιθεωρήσεις και έλεγχοι διεξάγονται κατά τακτά διαστήματα στη διάρκεια της λειτουργίας και της συντήρησης του CIS καθώς και όταν προκύπτουν έκτακτες καταστάσεις.

12.

Η τεκμηρίωση ασφαλείας ενός CIS εξελίσσεται κατά τη διάρκεια του κύκλου ζωής του ως αναπόσπαστο μέρος της διαδικασίας διαχείρισης της αλλαγής και της διαμόρφωσης.

13.

Η ΓΓΣ και τα κράτη μέλη συνεργάζονται για την ανάπτυξη βέλτιστων πρακτικών για την προστασία των ΔΠΕΕ τις οποίες χειρίζονται τα CIS. Οι οδηγίες βέλτιστων πρακτικών περιλαμβάνουν κατάλογο τεχνικών, φυσικών, οργανωτικών και διαδικαστικών μέτρων ασφαλείας για CIS των οποίων έχει αποδειχθεί η αποτελεσματικότητα στην αντιμετώπιση δεδομένων απειλών και τρωτών σημείων.

14.

Η προστασία των ΔΠΕΕ τις οποίες χειρίζονται τα CIS επωφελείται από τα διδάγματα που έχουν αποκομίσει οι αρχές που συμμετέχουν σε ΙΑ, τόσο εντός της Ένωσης όσο και εκτός αυτής.

15.

Η διάδοση και επακόλουθη εφαρμογή βέλτιστων πρακτικών βοηθούν στην επίτευξη ισοδύναμου επιπέδου ασφαλείας για τα διάφορα CIS που χρησιμοποιούνται από τη ΓΓΣ και τα κράτη μέλη και τα οποία χειρίζονται ΔΠΕΕ.

16.

Για τον περιορισμό του κινδύνου που αντιμετωπίζουν τα CIS, εφαρμόζεται σειρά τεχνικών και μη τεχνικών μέτρων ασφαλείας, τα οποία οργανώνονται ως πολλαπλά επίπεδα άμυνας. Τα επίπεδα αυτά περιλαμβάνουν τα εξής:

α)   Αποτροπή: μέτρα ασφαλείας που αποσκοπούν στην αποτροπή οποιουδήποτε αντίπαλου σχεδιασμού για επίθεση σε CIS,

β)   Πρόληψη: μέτρα ασφαλείας που αποσκοπούν στην παρεμπόδιση ή στην ανάσχεση επίθεσης σε CIS,

γ)   Ανίχνευση: μέτρα ασφαλείας που αποσκοπούν στον εντοπισμό της εμφάνισης επίθεσης σε CIS,

δ)   Ανθεκτικότητα: μέτρα ασφαλείας που αποσκοπούν στον περιορισμό των συνεπειών της επίθεσης σε ελάχιστο σύνολο πληροφοριών ή στοιχείων CIS και στην πρόληψη περαιτέρω ζημιών και

ε)   Ανάκτηση: μέτρα ασφαλείας που αποσκοπούν στην αποκατάσταση της ασφάλειας του CIS.

Ο βαθμός αυστηρότητας των εν λόγω μέτρων ασφαλείας καθορίζεται από την αξιολόγηση κινδύνου.

17.

Η ΕΑΑ ή άλλη αρμόδια αρχή εξασφαλίζει ότι:

18.

Για την αντιμετώπιση των λειτουργικών απαιτήσεων θα χρησιμοποιούνται μόνον οι βασικές λειτουργίες, συσκευές και υπηρεσίες προκειμένου να αποφεύγονται οι περιττοί κίνδυνοι.

19.

Στους χρήστες CIS και στις αυτοματοποιημένες διαδικασίες θα παρέχονται μόνο οι απαραίτητες δυνατότητες πρόσβασης, προνόμια ή εξουσιοδοτήσεις για την εκτέλεση των καθηκόντων τους προκειμένου να περιορίζονται τυχόν βλάβες λόγω ατυχήματος, σφάλματος ή μη εξουσιοδοτημένης χρήσης των πόρων των CIS.

20.

Οι διαδικασίες καταχώρισης που εκτελεί ένα CIS, εφόσον απαιτείται, επαληθεύονται ως μέρος της διαδικασίας έγκρισης.

21.

Η ευαισθητοποίηση ως προς τους κινδύνους και τα διαθέσιμα μέτρα ασφαλείας αποτελεί την πρώτη γραμμή άμυνας για την ασφάλεια των CIS. Ειδικότερα, το σύνολο του προσωπικού που συμμετέχει στον κύκλο ζωής του CIS, περιλαμβανομένων και των χρηστών, πρέπει να κατανοεί:

22.

Για να διασφαλισθεί ότι γίνονται αντιληπτές οι ευθύνες ως προς την ασφάλεια, η εκπαίδευση και η ευαισθητοποίηση σε θέματα ΙΑ είναι υποχρεωτική για όλα τα μέλη του προσωπικού, συμπεριλαμβανομένων των ανώτερων στελεχών και των χρηστών CIS.

23.

Ο απαιτούμενος βαθμός εμπιστοσύνης στα μέτρα ασφαλείας, οριζόμενος ως επίπεδο βεβαιότητας, καθορίζεται ανάλογα με την έκβαση της διαδικασίας διαχείρισης κινδύνων και σύμφωνα με τις οικείες πολιτικές και κατευθυντήριες γραμμές ασφαλείας.

24.

Το επίπεδο βεβαιότητας επαληθεύεται με τη χρήση διεθνώς αναγνωρισμένων ή εθνικά εγκεκριμένων διαδικασιών και μεθόδων. Πρόκειται κυρίως για τη διενέργεια αξιολογήσεων και διεξαγωγή ελέγχων.

25.

Τα κρυπτογραφικά προϊόντα προστασίας ΔΠΕΕ αξιολογούνται και εγκρίνονται από εθνική CAA κράτους μέλους.

26.

Προτού προταθούν για έγκριση από το Συμβούλιο ή τον γενικό γραμματέα σύμφωνα με το άρθρο 10 παράγραφος 6, τα κρυπτογραφικά αυτά προϊόντα υφίστανται μια δεύτερη επιτυχή αξιολόγηση από εγκεκριμένη αρχή αξιολόγησης (AQUA) κράτους μέλους που δεν συμμετέχει στο σχεδιασμό ή την κατασκευή του εξοπλισμού. Ο βαθμός λεπτομέρειας που απαιτείται κατά τη δεύτερη αξιολόγηση εξαρτάται από το μελετώμενο μέγιστο επίπεδο διαβάθμισης των ΔΠΕΕ που θα προστατεύονται από τα προϊόντα αυτά. Το Συμβούλιο εγκρίνει πολιτική ασφαλείας για την αξιολόγηση και έγκριση κρυπτογραφικών προϊόντων.

27.

Οσάκις δικαιολογείται για συγκεκριμένους επιχειρησιακούς λόγους, το Συμβούλιο ή ενδεχομένως ο γενικός γραμματέας μπορούν, κατόπιν συστάσεως της Επιτροπής Ασφαλείας, να αποφασίσουν ότι δεν θα εφαρμοσθούν οι προδιαγραφές των παραγράφων 25 ή 26 του παρόντος παραρτήματος και να χορηγήσουν προσωρινή έγκριση για συγκεκριμένη περίοδο, με τη διαδικασία του άρθρου 10 παράγραφος 6.

28.

Το Συμβούλιο, ύστερα από σύσταση της Επιτροπής Ασφαλείας, δύναται να κάνει δεκτή τη διαδικασία αξιολόγησης, επιλογής και έγκρισης των κρυπτογραφικών προϊόντων ενός τρίτου κράτους ή διεθνούς οργανισμού και να θεωρεί συνεπώς ότι τα εν λόγω προϊόντα εγκρίνονται για την προστασία ΔΠΕΕ που κοινοποιούνται στο συγκεκριμένο τρίτο κράτος ή διεθνή οργανισμό.

29.

Η AQUA πρέπει να είναι CAA ενός κράτους μέλους που έχει λάβει έγκριση βάσει κριτηρίων που έχει ορίσει το Συμβούλιο, για τη διεξαγωγή της δεύτερης αξιολόγησης των κρυπτογραφικών προϊόντων για την προστασία ΔΠΕΕ.

30.

Το Συμβούλιο εγκρίνει πολιτική ασφαλείας για την αποδοχή και έγκριση μη κρυπτογραφικών προϊόντων ασφαλείας ΤΠ.

31.

Με την επιφύλαξη των διατάξεων της παρούσας απόφασης, όταν η διαβίβαση των ΔΠΕΕ περιορίζεται εντός ασφαλών χώρων ή διοικητικών χώρων, μπορεί να χρησιμοποιείται η μη κρυπτογραφημένη διαβίβαση ή η κρυπτογράφηση σε χαμηλότερο επίπεδο βασιζόμενη στα αποτελέσματα διαδικασίας διαχείρισης του κινδύνου και με την έγκριση της ΕΠΑ.

32.

Για τους σκοπούς της παρούσας απόφασης, ως διασύνδεση νοείται η άμεση διασύνδεση μονής ή πολλαπλής κατεύθυνσης, δύο ή περισσοτέρων συστημάτων ΤΠ για την ανταλλαγή δεδομένων και άλλων πληροφοριών (π.χ. επικοινωνία).

33.

Ένα CIS πρέπει να αντιμετωπίζει οποιοδήποτε διασυνδεδεμένο σύστημα ΤΠ ως μη έμπιστο και να εφαρμόζει μέτρα προστασίας για τον έλεγχο της ανταλλαγής διαβαθμισμένων πληροφοριών.

34.

Για όλες τις διασυνδέσεις CIS με άλλο σύστημα ΤΠ πρέπει να τηρούνται οι ακόλουθες βασικές απαιτήσεις:

35.

Δεν επιτρέπεται διασύνδεση μεταξύ ενός CIS που έχει λάβει έγκριση με μη προστατευόμενο ή δημόσιο δίκτυο, εκτός εάν το CIS έχει εγκρίνει υπηρεσίες περιφερειακής προστασίας (BPS) που έχουν εγκατασταθεί για το σκοπό αυτό μεταξύ του CIS και του μη προστατευόμενου ή δημόσιου δικτύου. Τα μέτρα ασφαλείας για τις διασυνδέσεις αυτές επανεξετάζονται από την αρμόδια IA και εγκρίνονται από την αρμόδια ΕΠΑ.

Όταν το μη προστατευόμενο ή δημόσιο δίκτυο χρησιμοποιείται αποκλειστικά ως φορέας και τα δεδομένα έχουν κρυπτογραφηθεί από κρυπτογραφικό προϊόν που έχει λάβει έγκριση σύμφωνα με το άρθρο 10, η σύνδεση αυτή δεν θεωρείται ως διασύνδεση.

36.

Η άμεση ή διαδοχική σύνδεση ενός CIS που έχει λάβει έγκριση να χειρίζεται διαβάθμιση TRÈS SECRET UE/EU TOP SECRET με μη προστατευόμενο ή δημόσιο δίκτυο απαγορεύεται.

37.

Οι ηλεκτρονικοί φορείς αποθήκευσης καταστρέφονται σύμφωνα με εγκεκριμένες από την αρμόδια αρχή ασφαλείας διαδικασίες.

38.

Οι ηλεκτρονικοί φορείς αποθήκευσης επαναχρησιμοποιούνται, υποχαρακτηρίζονται ή αποχαρακτηρίζονται σύμφωνα με κατευθυντήριες γραμμές ασφαλείας που καταρτίζονται κατά το άρθρο 6 παράγραφος 2.

39.

Παρά τις διατάξεις της παρούσας απόφασης, οι κατωτέρω περιγραφόμενες ειδικές διαδικασίες μπορούν να εφαρμόζονται σε περιπτώσεις έκτακτης ανάγκης, όπως καταστάσεις επικείμενης ή πραγματικής κρίσης, σύγκρουσης ή πολέμου ή υπό εξαιρετικές επιχειρησιακές περιστάσεις.

40.

Οι ΔΠΕΕ μπορούν να διαβιβάζονται με τη χρήση κρυπτογραφικών προϊόντων που έχουν λάβει έγκριση για χαμηλότερο επίπεδο διαβάθμισης ή χωρίς κρυπτογράφηση, με τη συγκατάθεση της αρμόδιας αρχής, εάν οποιαδήποτε καθυστέρηση θα ήταν ικανή να προξενήσει ζημιά σαφώς μεγαλύτερη από τη ζημιά που θα προκαλούσε η τυχόν κοινολόγηση του διαβαθμισμένου υλικού και εφόσον:

41.

Οι διαβαθμισμένες πληροφορίες που διαβιβάζονται υπό τις περιστάσεις που περιγράφονται στην παράγραφο 39 δεν πρέπει να φέρουν σημάνσεις ή ενδείξεις που τις διακρίνουν από μη διαβαθμισμένες πληροφορίες ή από πληροφορίες που μπορούν να προστατευθούν με τα διαθέσιμα κρυπτογραφικά προϊόντα. Οι παραλήπτες τους πρέπει να ενημερώνονται αμελλητί για το επίπεδο διαβάθμισης με άλλα μέσα.

42.

Σε περίπτωση εφαρμογής της παραγράφου 39, αποστέλλεται σχετική έκθεση στην αρμόδια αρχή και στην Επιτροπή Ασφαλείας.

43.

Θεσπίζονται οι ακόλουθες λειτουργίες ΙΑ στα κράτη μέλη και στη ΓΓΣ. Οι λειτουργίες αυτές δεν απαιτούν τη σύσταση ενιαίων οργανωτικών μονάδων. Έχουν χωριστές εντολές. Ωστόσο, οι λειτουργίες αυτές και οι σχετικές ευθύνες μπορούν να συνδυάζονται ή να εντάσσονται στην ίδια μονάδα ή να χωρίζονται σε διαφορετικές μονάδες, υπό την προϋπόθεση ότι αποφεύγονται οι εσωτερικές συγκρούσεις συμφερόντων ή καθηκόντων.

44.

Η ΙΑ είναι υπεύθυνη για τα εξής:

45.

Η Αρχή TEMPEST (ΤΑ) είναι αρμόδια για την εξασφάλιση της συμμόρφωσης του CIS με τις πολιτικές και κατευθυντήριες γραμμές του TEMPEST. Εγκρίνει αντίμετρα TEMPEST για εγκαταστάσεις και προϊόντα που προορίζονται για την προστασία των ΔΠΕΕ μέχρις ορισμένου επιπέδου διαβάθμισης στο επιχειρησιακό τους περιβάλλον.

46.

Η Αρχή Έγκρισης Κρυπτογραφικών Μεθόδων (CAA) είναι αρμόδια να διασφαλίζει τη συμβατότητα των κρυπτογραφικών προϊόντων με την εθνική κρυπτογραφική πολιτική ή την κρυπτογραφική πολιτική του Συμβουλίου. Εγκρίνει κρυπτογραφικά προϊόντα για την προστασία ΔΠΕΕ μέχρις ορισμένου επιπέδου διαβάθμισης στο επιχειρησιακό τους περιβάλλον. Όσον αφορά τα κράτη μέλη, η CAA είναι επίσης αρμόδια για την αξιολόγηση κρυπτογραφικών μεθόδων.

47.

Η Αρχή Διανομής Κρυπτογραφικών Μεθόδων (CDA) είναι υπεύθυνη για τα εξής:

48.

Η ΑΠΑ κάθε συστήματος είναι επιφορτισμένη με τα εξής:

49.

Η ΑΠΑ της ΓΓΣ είναι αρμόδια για την έγκριση όλων των CIS που λειτουργούν στο πλαίσιο των αρμοδιοτήτων της ΓΓΣ.

50.

Οι αρμόδιες ΑΠΑ των κρατών μελών είναι αρμόδιες για την έγκριση όλων των CIS και των συνιστωσών των CIS που λειτουργούν στο πλαίσιο των αρμοδιοτήτων των κρατών μελών.

51.

Το κοινό Συμβούλιο Πιστοποίησης Ασφαλείας (ΣΠΑ) είναι υπεύθυνο για την έγκριση CIS στο πλαίσιο των αρμοδιοτήτων τόσο της ΑΠΑ της ΓΓΣ όσο και των ΑΠΑ των κρατών μελών. Αποτελείται από έναν εκπρόσωπο ΑΠΑ εκάστου κράτους μέλους και στις συνεδριάσεις του συμμετέχει εκπρόσωπος ΑΠΑ της Επιτροπής. Θα καλούνται να συμμετέχουν και άλλοι φορείς που διαθέτουν κόμβους σε CIS όταν θα συζητείται το εν λόγω σύστημα.

Το ΣΠΑ προεδρεύεται από εκπρόσωπο της ΑΠΑ της ΓΓΣ. Ενεργεί με τη συναίνεση των εκπροσώπων ΑΠΑ των θεσμικών οργάνων, των κρατών μελών και άλλων φορέων που διαθέτουν κόμβους στο CIS. Το ΣΠΑ υποβάλλει περιοδικές εκθέσεις ως προς τις δραστηριότητές του στην Επιτροπή ασφαλείας και της κοινοποιεί όλες τις δηλώσεις έγκρισης λειτουργίας.

52.

Η Επιχειρησιακή Αρχή ΙΑ κάθε συστήματος είναι επιφορτισμένη με τα εξής:

1.

Το παρόν παράρτημα περιέχει διατάξεις για την εφαρμογή του άρθρου 11. Ορίζει γενικές διατάξεις ασφαλείας που εφαρμόζονται στους βιομηχανικούς ή άλλους φορείς κατά τις διαπραγματεύσεις πριν από την ανάθεση σύμβασης και καθ’ όλη τη διάρκεια του κύκλου ζωής των διαβαθμισμένων συμβάσεων που συνάπτει η ΓΓΣ.

2.

Το Συμβούλιο εγκρίνει κατευθυντήριες γραμμές βιομηχανικής ασφαλείας στην οποία περιγράφονται ιδίως λεπτομερείς απαιτήσεις όσον αφορά τις εξουσιοδοτήσεις ασφαλείας φορέα (FSC), τα έγγραφα θεμάτων ασφαλείας (ΕΘΑ), επισκέψεις, διαβίβαση και μεταφορά των ΔΠΕΕ.

3.

Πριν από την έναρξη διαδικασίας πρόσκλησης υποβολής προσφορών ή τη σύναψη διαβαθμισμένης σύμβασης, η ΓΓΣ, ως αναθέτουσα αρχή, καθορίζει τη διαβάθμιση ασφαλείας κάθε πληροφορίας που πρέπει να παρέχεται στους υποβάλλοντες προσφορά και στους εργολάβους, καθώς και τη διαβάθμιση ασφαλείας κάθε πληροφορίας που παράγεται από τον εργολάβο. Προς τούτο, η ΓΓΣ καταρτίζει ΟΔΑ που θα χρησιμοποιείται για την εκτέλεση της σύμβασης.

4.

Προκειμένου να καθορισθεί η διαβάθμιση ασφαλείας των διάφορων στοιχείων μιας διαβαθμισμένης σύμβασης, εφαρμόζονται οι ακόλουθες αρχές:

5.

Οι προδιαγραφές ασφαλείας της εκάστοτε σύμβασης περιγράφονται σε έγγραφο θεμάτων ασφαλείας (ΕΘΑ). Εφόσον απαιτείται, το ΕΘΑ περιλαμβάνει τον ΟΔΑ και αποτελεί αναπόσπαστο μέρος διαβαθμισμένης σύμβασης ή υπεργολαβίας.

6.

Το ΕΘΑ περιέχει τις διατάξεις που προβλέπουν ότι ο εργολάβος και/ή ο υπεργολάβος οφείλει να συμμορφώνεται προς τις ελάχιστες προδιαγραφές της παρούσας απόφασης. Η μη συμμόρφωση με τις ελάχιστες προδιαγραφές μπορεί να συνιστά επαρκή λόγο καταγγελίας της σύμβασης.

7.

Ανάλογα με το πεδίο εφαρμογής προγραμμάτων ή έργων που αφορούν την πρόσβαση σε ΔΠΕΕ ή το χειρισμό ή την αποθήκευσή τους, η αρχή ανάθεσης η οποία έχει αναλάβει τη διαχείριση του προγράμματος ή του έργου μπορεί να εκπονήσει ειδικές PSI. Οι PSI πρέπει να εγκρίνονται από τις ΕΑΑ/ΚΑΑ των κρατών μελών ή από οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας που συμμετέχει στο PSI και ενδέχεται να προβλέπουν πρόσθετες απαιτήσεις ασφαλείας.

8.

Η FSC χορηγείται από την ΕΑΑ/ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας κράτους μέλους και δηλώνει, βάσει των εθνικών νομοθετικών και κανονιστικών διατάξεων, ότι ένας βιομηχανικός ή άλλος φορέας μπορεί να προστατεύει τις ΔΠΕΕ στις εγκαταστάσεις του ανάλογα με τη διαβάθμιση ασφαλείας τους (CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET). Προσκομίζεται στη ΓΓΣ, ως αναθέτουσα αρχή, προκειμένου να παρασχεθούν ΔΠΕΕ σε εργολάβο ή υπεργολάβο ή ενδεχόμενο εργολάβο ή υπεργολάβο ή να εγκριθεί η πρόσβαση των εν λόγω προσώπων σε ΔΠΕΕ.

9.

Κατά τη χορήγηση της FSC, η οικεία ΕΑΑ/ΚΑΑ προβαίνει τουλάχιστον στις εξής ενέργειες:

10.

Οσάκις απαιτείται, η ΓΓΣ, ως αναθέτουσα αρχή, ενημερώνει την αρμόδια ΕΑΑ/ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας ότι απαιτείται FSC κατά το προσυμβατικό στάδιο ή για την εκτέλεση της σύμβασης. Απαιτείται FSC ή ΕΑΠ κατά το προσυμβατικό στάδιο όταν πρέπει να παρασχεθούν ΔΠΕΕ με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET κατά τη διάρκεια της διαδικασίας υποβολής προσφορών.

11.

Η αναθέτουσα αρχή δεν αναθέτει διαβαθμισμένη σύμβαση στον προτιμώμενο υποψήφιο προτού λάβει επιβεβαίωση από την ΕΑΑ/ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας του κράτους μέλους στο οποίο έχει την έδρα του ο εργολάβος ή υπεργολάβος ότι έχει εκδοθεί η δέουσα FSC όπου απαιτείται.

12.

Η ΕΑΑ/ΚΑΑ ή κάθε άλλη αρμόδια αρχή ασφαλείας που έχει εκδώσει FSC γνωστοποιεί στη ΓΓΣ, υπό την ιδιότητά της ως αναθέτουσας αρχής, τυχόν αλλαγές που επηρεάζουν τη FSC. Σε περίπτωση υπεργολαβίας, η ΕΑΑ/ΚΑΑ ή κάθε άλλη αρμόδια αρχή ασφαλείας ενημερώνεται αναλόγως.

13.

Η ανάκληση FSC από την αρμόδια ΕΑΑ/ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας συνιστά επαρκή λόγο για τη ΓΓΣ, ως αναθέτουσα αρχή, να καταγγείλει διαβαθμισμένη σύμβαση ή να αποκλείσει συμμετέχοντα από το διαγωνισμό.

14.

Όταν, κατά το προσυμβατικό στάδιο, παρέχονται ΔΠΕΕ σε υποψήφιο, η πρόσκληση υποβολής προσφοράς πρέπει να περιέχει διάταξη που να υποχρεώνει τον υποψήφιο ο οποίος τελικά δεν υποβάλλει προσφορά ή δεν επιλέγεται, να επιστρέψει όλα τα διαβαθμισμένα έγγραφα εντός συγκεκριμένου χρονικού διαστήματος.

15.

Μόλις ανατεθεί διαβαθμισμένη σύμβαση εργολαβίας ή υπεργολαβίας, η ΓΓΣ, ως αναθέτουσα αρχή, ενημερώνει την ΕΑΑ/ΚΑΑ του εργολάβου ή του υπεργολάβου ή οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας σχετικά με τις διατάξεις ασφαλείας της διαβαθμισμένης σύμβασης.

16.

Σε περίπτωση καταγγελίας των συμβάσεων αυτών, η ΓΓΣ, ως αναθέτουσα αρχή, (και/ή η ΕΑΑ/ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας, αναλόγως, σε περίπτωση υπεργολαβίας), ενημερώνει αμέσως την ΕΑΑ/ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας του κράτους μέλους στο οποίο έχει την έδρα του ο εργολάβος ή ο υπεργολάβος.

17.

Κατά κανόνα, ο εργολάβος ή υπεργολάβος οφείλει να επιστρέψει στην αναθέτουσα αρχή, άμα τη λύσει της διαβαθμισμένης σύμβασης εργολαβίας ή υπεργολαβίας, τυχόν ΔΠΕΕ που έχει στην κατοχή του.

18.

Ειδικές διατάξεις για τη διάθεση των ΔΠΕΕ κατά την εκτέλεση της σύμβασης ή κατά τη λύση της ορίζονται στο ΕΘΑ.

19.

Όταν ο εργολάβος ή ο υπεργολάβος έχει δικαίωμα διατήρησης των ΔΠΕΕ μετά τη λύση της σύμβασης, οι ελάχιστες προδιαγραφές που προβλέπονται στην παρούσα απόφαση συνεχίζουν να τηρούνται και το απόρρητο των ΔΠΕΕ προστατεύεται από τον εργολάβο ή τον υπεργολάβο.

20.

Οι όροι υπό τους οποίους ο κύριος εργολάβος μπορεί να συνάπτει σύμβαση υπεργολαβίας καθορίζονται στην προσφορά και στη σύμβαση.

21.

Ο εργολάβος λαμβάνει άδεια από τη ΓΓΣ, ως αναθέτουσα αρχή, προτού αναθέσει τμήματα διαβαθμισμένης σύμβασης σε υπεργολάβους. Δεν ανατίθεται σύμβαση υπεργολαβίας σε βιομηχανικούς ή άλλους φορείς οι οποίοι έχουν την έδρα τους σε κράτος μη μέλος της ΕΕ το οποίο δεν έχει συνάψει συμφωνία ασφάλειας πληροφοριών με την Ένωση.

22.

Ο εργολάβος οφείλει να μεριμνά ώστε όλες οι υπεργολαβικές δραστηριότητες αναλαμβάνονται σύμφωνα με τις ελάχιστες προδιαγραφές της παρούσας απόφασης και δεν παρέχει ΔΠΕΕ σε υπεργολάβο χωρίς την προηγούμενη γραπτή συγκατάθεση της αναθέτουσας αρχής.

23.

Όσον αφορά τις ΔΠΕΕ τις οποίες παράγει ή χειρίζεται ο εργολάβος ή ο υπεργολάβος, τα δικαιώματα του φορέα προέλευσης ασκούνται από την αναθέτουσα αρχή.

24.

Όταν το προσωπικό της ΓΓΣ, των εργολάβων ή υπεργολάβων χρειάζεται πρόσβαση σε πληροφορίες με τη διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET στις αντίστοιχες εγκαταστάσεις τους για την εκτέλεση διαβαθμισμένης σύμβασης, διοργανώνονται επισκέψεις σε συνεργασία με τις ΕΑΑ/ΚΑΑ ή κάθε άλλη ενδιαφερόμενη αρχή ασφαλείας. Ωστόσο, στο πλαίσιο ειδικών σχεδίων, οι ΕΑΑ/ΚΑΑ μπορούν επίσης να συμφωνούν διαδικασία απευθείας οργάνωσης των επισκέψεων.

25.

Όλοι οι επισκέπτες φέρουν τη δέουσα ΕΑΠ και έχουν ανάγκη γνώσης προκειμένου να τους επιτραπεί πρόσβαση στις διαβαθμισμένες ΔΠΕΕ που σχετίζονται με τη σύμβαση της ΓΓΣ.

26.

Οι επισκέπτες δικαιούνται πρόσβαση μόνο στις ΔΠΕΕ που έχουν σχέση με το σκοπό της επίσκεψης.

27.

Όσον αφορά τη διαβίβαση των ΔΠΕΕ με ηλεκτρονικά μέσα, ισχύουν οι οικείες διατάξεις του άρθρου 10 και του παραρτήματος IV.

28.

Όσον αφορά τη μεταφορά των ΔΠΕΕ, ισχύουν οι οικείες διατάξεις του παραρτήματος III, σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις.

29.

Κατά τον καθορισμό των ρυθμίσεων ασφαλείας για τη μεταφορά διαβαθμισμένου υλικού ως φορτίου, εφαρμόζονται οι ακόλουθες αρχές:

30.

Η μεταφορά ΔΠΕΕ σε εργολάβους και υπεργολάβους που ευρίσκονται σε τρίτα κράτη διεξάγεται σύμφωνα με τα μέτρα ασφαλείας μεταξύ της ΓΓΣ, ως αναθέτουσας αρχής, και των ΕΑΑ/ΚΑΑ του ενδιαφερόμενου τρίτου κράτους όπου έχει την έδρα του ο εργολάβος.

31.

Σε συνεργασία με τις ΕΑΑ/ΚΑΑ των κρατών μελών κατά περίπτωση, η ΓΓΣ, ως αναθέτουσα αρχή, έχει το δικαίωμα διεξαγωγής επιθεωρήσεων στις εγκαταστάσεις των εργολάβων/υπεργολάβων βάσει συμβατικών διατάξεων προκειμένου να εξακριβώσει ότι έχουν τεθεί σε ισχύ τα οικεία μέτρα ασφαλείας για την προστασία των ΔΠΕΕ στο επίπεδο RESTREINT UE/EU RESTRICTED όπως απαιτείται στο πλαίσιο της σύμβασης.

32.

Στον βαθμό που απαιτείται δυνάμει εθνικών νομοθετικών και κανονιστικών διατάξεων, η ΓΓΣ, ως αναθέτουσα αρχή, γνωστοποιεί στις ΕΑΑ/ΚΑΑ ή σε οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας τις συμβάσεις ή τις συμβάσεις υπεργολαβίας που περιέχουν πληροφορίες με διαβάθμιση RESTREINT UE/EU RESTRICTED.

33.

Δεν απαιτείται FSC ή ΕΑΠ για τους εργολάβους ή τους υπεργολάβους και το προσωπικό τους για τις συμβάσεις που ανατίθενται από τη ΓΓΣ και περιέχουν πληροφορίες με διαβάθμιση RESTREINT UE/EU RESTRICTED.

34.

Η ΓΓΣ, ως αναθέτουσα αρχή, εξετάζει τις απαντήσεις στις προσκλήσεις υποβολής προσφορών για τις συμβάσεις που απαιτούν πρόσβαση σε πληροφορίες με διαβάθμιση RESTREINT UE/EU RESTRICTED, παρά τις οποιεσδήποτε απαιτήσεις σχετικά με FSC ή ΕΑΠ που ενδέχεται να υπάρχουν βάσει των εθνικών νομοθετικών και κανονιστικών διατάξεων.

35.

Οι όροι βάσει των οποίων ο κύριος εργολάβος μπορεί να συνάπτει σύμβαση υπεργολαβίας καθορίζονται σύμφωνα με την παράγραφο 21.

36.

Όταν μια σύμβαση αφορά τον χειρισμό πληροφοριών με διαβάθμιση RESTREINT UE/EU RESTRICTED σε CIS που διαχειρίζεται εργολήπτης, η ΓΓΣ ως αναθέτουσα αρχή μεριμνά ώστε η σύμβαση να καθορίζει τις απαραίτητες τεχνικές και διοικητικές προδιαγραφές όσον αφορά την έγκριση CIS σε αναλογία προς τον αξιολογούμενο κίνδυνο, λαμβάνοντας υπόψη όλους τους συναφείς παράγοντες. Το πεδίο έγκρισης του CIS συμφωνείται μεταξύ της αναθέτουσας αρχής και της οικείας ΕΑΑ/ΚΑΑ.

1.

Το παρόν παράρτημα περιέχει διατάξεις για την εφαρμογή του άρθρου 13.

2.

Όταν το Συμβούλιο κρίνει ότι υφίσταται μακροπρόθεσμα ανάγκη ανταλλαγής διαβαθμισμένων πληροφοριών,

σύμφωνα με το άρθρο 13 παράγραφος 2 και τα τμήματα III και IV και βάσει συστάσεως της Επιτροπής Ασφαλείας.

3.

Όταν ΔΠΕΕ οι οποίες παράγονται για τους σκοπούς επιχείρησης ΚΠΑΑ πρόκειται να κοινοποιηθούν σε τρίτα κράτη ή διεθνείς οργανισμούς που συμμετέχουν στην επιχείρηση αυτή και εφόσον δεν υφίσταται κανένα από τα πλαίσια της παραγράφου 2, η ανταλλαγή ΔΠΕΕ με το συμβάλλον τρίτο κράτος η διεθνή οργανισμό διέπεται, σύμφωνα με το τμήμα V, από:

4.

Ελλείψει πλαισίου προβλεπομένου στις παραγράφους 2 και 3 και όταν λαμβάνεται απόφαση κοινοποίησης ΔΠΕΕ σε τρίτο κράτος ή διεθνή οργανισμό σε κατ’ εξαίρεση ad hoc βάση, σύμφωνα με το τμήμα VI, πρέπει να ζητούνται γραπτές διασφαλίσεις από το τρίτο κράτος ή το διεθνή οργανισμό για να εξασφαλίζεται ότι προστατεύουν τις ΔΠΕΕ που τους κοινοποιούνται σύμφωνα με τις βασικές αρχές και τις ελάχιστες προδιαγραφές της παρούσας απόφασης.

5.

Οι συμφωνίες για την ασφάλεια των πληροφοριών θεσπίζουν τις βασικές αρχές και τις ελάχιστες προδιαγραφές που διέπουν την ανταλλαγή διαβαθμισμένων πληροφοριών μεταξύ της Ένωσης και τρίτου κράτους ή διεθνούς οργανισμού.

6.

Οι συμφωνίες για την ασφάλεια των πληροφοριών προβλέπουν τεχνικούς διακανονισμούς εφαρμογής οι οποίοι συμφωνούνται μεταξύ των αρμόδιων αρχών ασφαλείας των σχετικών οργάνων και οργανισμών της Ένωσης και της αρμόδιας αρχής ασφαλείας του εν λόγω τρίτου κράτους ή διεθνούς οργανισμού. Στους διακανονισμούς αυτούς λαμβάνεται δεόντως υπόψη το επίπεδο προστασίας που προβλέπουν οι κανονισμοί, δομές και διαδικασίες ασφαλείας που εφαρμόζονται στο εν λόγω τρίτο κράτος ή διεθνή οργανισμό. Εγκρίνονται από την Επιτροπή Ασφαλείας.

7.

Ηλεκτρονική ανταλλαγή ΔΠΕΕ στο πλαίσιο συμφωνίας ασφάλειας των πληροφοριών πραγματοποιείται μόνον εφόσον προβλέπεται ρητώς στη συμφωνία ή στους αντίστοιχους τεχνικούς διακανονισμούς εφαρμογής.

8.

Όταν το Συμβούλιο συνάπτει συμφωνία ασφαλείας των πληροφοριών, ορίζεται γραμματεία σε κάθε συμβαλλόμενο μέρος ως το κύριο σημείο εισόδου και εξόδου για τις ανταλλαγές διαβαθμισμένων πληροφοριών.

9.

Για την αξιολόγηση της αποτελεσματικότητας των κανονισμών, δομών και διαδικασιών ασφαλείας στο οικείο τρίτο κράτος ή διεθνή οργανισμό, διεξάγονται επισκέψεις αξιολόγησης κατόπιν αμοιβαίας συμφωνίας με το συγκεκριμένο τρίτο κράτος ή διεθνή οργανισμό. Οι εν λόγω επισκέψεις αξιολόγησης διεξάγονται σύμφωνα με τις σχετικές διατάξεις του παραρτήματος III και αξιολογούν:

10.

Η ομάδα που διενεργεί επίσκεψη αξιολόγησης εξ ονόματος της Ένωσης αξιολογεί κατά πόσον οι κανονισμοί και οι διαδικασίες ασφαλείας στο εν λόγω τρίτο κράτος ή διεθνή οργανισμό είναι επαρκείς για την προστασία των ΔΠΕΕ στο ζητούμενο επίπεδο.

11.

Τα συμπεράσματα των επισκέψεων αυτών περιέχονται σε έκθεση βάσει της οποίας η Επιτροπή Ασφαλείας καθορίζει το ανώτατο επίπεδο των προς ανταλλαγή ΔΠΕΕ σε έντυπη και, εφόσον είναι σκόπιμο, σε ηλεκτρονική μορφή με το ενδιαφερόμενο τρίτο μέρος καθώς και τους τυχόν ειδικούς όρους που διέπουν την ανταλλαγή με το εν λόγω μέρος.

12.

Καταβάλλεται κάθε προσπάθεια για τη διεξαγωγή πλήρους επίσκεψης αξιολόγησης ασφαλείας στο οικείο τρίτο κράτος ή διεθνή οργανισμό πριν η Επιτροπή Ασφαλείας εγκρίνει τους διακανονισμούς εφαρμογής προκειμένου να προσδιορισθούν ο χαρακτήρας και η αποτελεσματικότητα του ισχύοντος συστήματος ασφαλείας. Ωστόσο όταν αυτό δεν είναι εφικτό, η Υπηρεσία Ασφαλείας της ΓΓΣ αποστέλλει στην Επιτροπή Ασφαλείας όσο το δυνατόν πληρέστερη έκθεση, βασιζόμενη στις πληροφορίες τις οποίες διαθέτει, προκειμένου να ενημερωθεί η Επιτροπή Ασφαλείας για τους ισχύοντες κανόνες ασφαλείας και τον τρόπο οργάνωσης της ασφάλειας στο οικείο τρίτο κράτος ή τον διεθνή οργανισμό.

13.

Προτού χορηγηθούν πράγματι οι ΔΠΕΕ στο οικείο τρίτο κράτος ή διεθνή οργανισμό, η έκθεση σχετικά με την επίσκεψη αξιολόγησης ή, ελλείψει τέτοιας έκθεσης, η έκθεση που αναφέρεται στην παράγραφο 12, διαβιβάζεται στην Επιτροπή Ασφαλείας η οποία και κρίνει εάν είναι ικανοποιητική.

14.

Οι αρμόδιες αρχές ασφαλείας των οργάνων και οργανισμών της Ένωσης κοινοποιούν στο τρίτο κράτος ή διεθνή οργανισμό την ημερομηνία από την οποία η Ένωση είναι σε θέση να κοινοποιήσει ΔΠΕΕ στο πλαίσιο της συμφωνίας, καθώς και το ανώτατο επίπεδο ΔΠΕΕ που μπορούν να ανταλλαχθούν σε έντυπη ή ηλεκτρονική μορφή.

15.

Αν κριθεί σκόπιμο πραγματοποιούνται επακόλουθες επισκέψεις αξιολόγησης, ιδίως αν:

16.

Όταν τεθεί σε ισχύ η συμφωνία ασφαλείας των πληροφοριών και ανταλλάσσονται οι διαβαθμισμένες πληροφορίες με το οικείο τρίτο κράτος ή τον διεθνή οργανισμό, η Επιτροπή ασφάλειας μπορεί να αποφασίσει την τροποποίηση του μέγιστου επιπέδου ΔΠΕΕ που δύνανται να ανταλλάσσονται σε έντυπη ή ηλεκτρονική μορφή, και βάσει τυχόν επισκέψεων επακόλουθης αξιολόγησης.

17.

Όταν υπάρχει μακροπρόθεσμη ανάγκη ανταλλαγής πληροφοριών με διαβάθμιση κατά κανόνα όχι άνω του RESTREINT UE/EU RESTRICTED με τρίτο κράτος ή διεθνή οργανισμό, και όταν η επιτροπή ασφαλείας έχει διαπιστώσει ότι το εν λόγω μέρος δεν διαθέτει επαρκώς ανεπτυγμένο σύστημα ασφαλείας ώστε να συνάπτει συμφωνία ασφαλείας πληροφοριών, ο γενικός γραμματέας δύναται, μετά από έγκριση του Συμβουλίου, να προβεί σε διοικητικό διακανονισμό εξ ονόματος της ΓΓΣ με τις αρμόδιες αρχές του εν λόγω τρίτου κράτους ή διεθνούς οργανισμού.

18.

Όταν επιβάλλεται, για επείγοντες επιχειρησιακούς λόγους, η ταχεία σύσταση πλαισίου ανταλλαγής διαβαθμισμένων πληροφοριών, το Συμβούλιο μπορεί εκτάκτως να αποφασίζει τη σύναψη διοικητικού διακανονισμού για την ανταλλαγή πληροφοριών υψηλότερου επιπέδου διαβάθμισης.

19.

Οι διοικητικοί διακανονισμοί λαμβάνουν κατά κανόνα τη μορφή ανταλλαγής επιστολών.

20.

Προτού χορηγηθούν πράγματι οι ΔΠΕΕ στο οικείο τρίτο κράτος ή διεθνή οργανισμό, διεξάγεται επίσκεψη αξιολόγησης όπως αναφέρεται στην παράγραφο 9 και η έκθεση ή, ελλείψει τέτοιας έκθεσης, η έκθεση που αναφέρεται στην παράγραφο 12, διαβιβάζεται στην Επιτροπή Ασφαλείας η οποία και κρίνει εάν είναι ικανοποιητική.

21.

Ηλεκτρονική ανταλλαγή ΔΠΕΕ στο πλαίσιο διοικητικού διακανονισμού πραγματοποιείται μόνο εφόσον προβλέπεται ρητώς από τον διακανονισμό.

22.

Οι συμφωνίες-πλαίσια συμμετοχής διέπουν τη συμμετοχή τρίτων κρατών ή διεθνών οργανισμών στις επιχειρήσεις ΚΠΑΑ. Οι συμφωνίες αυτές περιλαμβάνουν διατάξεις για την κοινοποίηση ΔΠΕΕ που παράγονται για τους σκοπούς επιχειρήσεων ΚΠΑΑ στα συμβάλλοντα τρίτα κράτη ή διεθνείς οργανισμούς. Το ανώτατο επίπεδο διαβάθμισης των ΔΠΕΕ που μπορούν να ανταλλάσσονται είναι RESTREINT UE/EU RESTRICTED για μη στρατιωτικές επιχειρήσεις ΚΠΑΑ και CONFIDENTIEL UE/EU CONFIDENTIAL για στρατιωτικές επιχειρήσεις ΚΠΑΑ, εκτός εάν ορίζεται άλλως στην απόφαση για τη σύσταση κάθε επιχείρησης ΚΠΑΑ.

23.

Οι ad hoc συμφωνίες συμμετοχής που συνάπτονται για συγκεκριμένη επιχείρηση ΚΠΑΑ περιλαμβάνουν διατάξεις για την κοινοποίηση ΔΠΕΕ που παράγονται για τους σκοπούς της εν λόγω επιχείρησης στο συμβάλλον κράτος ή διεθνή οργανισμό. Το ανώτατο επίπεδο διαβάθμισης των ΔΠΕΕ που μπορούν να ανταλλάσσονται είναι RESTREINT UE/EU RESTRICTED για μη στρατιωτικές επιχειρήσεις ΚΠΑΑ και CONFIDENTIEL UE/EU CONFIDENTIAL για στρατιωτικές επιχειρήσεις ΚΠΑΑ, εκτός εάν ορίζεται άλλως στην απόφαση για τη σύσταση κάθε επιχείρησης ΚΠΑΑ.

24.

Απουσία συμφωνίας ασφάλειας των πληροφοριών και εν αναμονή της σύναψης συμφωνίας συμμετοχής, η κοινοποίηση ΔΠΕΕ που παράγονται για τους σκοπούς της επιχείρησης σε τρίτο κράτος ή διεθνή οργανισμό που συμμετέχει στην επιχείρηση διέπεται από διοικητικό διακανονισμό τον οποίο συνάπτει ο Ύπατος Εκπρόσωπος ή υπόκειται σε απόφαση σχετικά με ad hoc κοινοποίηση σύμφωνα με το μέρος VI. ΔΠΕΕ ανταλλάσσονται στο πλαίσιο τέτοιας συμφωνίας υπό τον όρο ότι εξακολουθεί να προβλέπεται η συμμετοχή του τρίτου κράτους ή διεθνούς οργανισμού. Το ανώτατο επίπεδο διαβάθμισης των ΔΠΕΕ που μπορούν να ανταλλάσσονται είναι RESTREINT UE/EU RESTRICTED για μη στρατιωτικές επιχειρήσεις ΚΠΑΑ και CONFIDENTIEL UE/EU CONFIDENTIAL για στρατιωτικές επιχειρήσεις ΚΠΑΑ, εκτός εάν ορίζεται άλλως στην απόφαση για τη σύσταση κάθε επιχείρησης ΚΠΑΑ.

25.

Στις διατάξεις περί διαβαθμισμένων πληροφοριών που περιλαμβάνονται σε συμφωνίες πλαίσια συμμετοχής, ad hoc συμφωνίες συμμετοχής και ad hoc διακανονισμούς συμμετοχής που αναφέρονται στις παραγράφους 22 έως 24 προβλέπεται ότι το οικείο τρίτο κράτος ή διεθνής οργανισμός διασφαλίζει ότι το αποσπώμενο στις επιχειρήσεις προσωπικό του θα προστατεύει τις ΔΠΕΕ σύμφωνα με τους κανόνες ασφαλείας του Συμβουλίου και με περαιτέρω οδηγίες των αρμοδίων αρχών, περιλαμβανομένης και της ιεραρχίας της επιχείρησης.

26.

Εάν συναφθεί εν συνεχεία συμφωνία ασφαλείας των πληροφοριών μεταξύ της Ένωσης και συμβάλλοντος τρίτου κράτους ή διεθνούς οργανισμού, η συμφωνία ασφαλείας των πληροφοριών υπερισχύει των διατάξεων σχετικά με την ανταλλαγή διαβαθμισμένων πληροφοριών που προβλέπονται σε τυχόν συμφωνίες-πλαίσια συμμετοχής, ad hoc συμφωνίες συμμετοχής ή ad hoc διοικητικούς διακανονισμούς, όσον αφορά την ανταλλαγή και το χειρισμό των ΔΠΕΕ.

27.

Εάν δεν προβλέπεται ρητώς από την εν λόγω συμφωνία ή τον διακανονισμό, δεν επιτρέπεται η ηλεκτρονική ανταλλαγή ΔΠΕΕ στο πλαίσιο συμφωνίας-πλαισίου συμμετοχής, ad hoc συμφωνίας συμμετοχής ή ad hoc διοικητικού διακανονισμού με τρίτο κράτος ή διεθνή οργανισμό.

28.

Οι ΔΠΕΕ που παράγονται για τους σκοπούς επιχείρησης ΚΠΑΑ μπορούν να κοινολογούνται στο προσωπικό που έχει αποσπασθεί στην εν λόγω επιχείρηση από τρίτα κράτη ή διεθνείς οργανισμούς σύμφωνα με τις παραγράφους 22 έως 27. Όταν εγκρίνεται η πρόσβαση του προσωπικού αυτού σε ΔΠΕΕ σε χώρους ή σε CIS επιχείρησης ΚΠΑΑ, εφαρμόζονται μέτρα (όπως καταγραφή των κοινολογούμενων ΔΠΕΕ) για τον περιορισμό του κινδύνου απώλειας ή διαρροής. Τα μέτρα αυτά περιγράφονται στα οικεία έγγραφα σχεδιασμού ή αποστολής.

29.

Απουσία συμφωνίας ασφάλειας των πληροφοριών, η κοινοποίηση ΔΠΕΕ, σε περίπτωση συγκεκριμένης και άμεσης επιχειρησιακής ανάγκης, στο κράτος υποδοχής στο έδαφος του οποίου διεξάγεται επιχείρηση ΚΠΑΑ μπορεί να διέπεται από διοικητικό διακανονισμό τον οποίο συνάπτει ο Ύπατος Εκπρόσωπος. Η δυνατότητα αυτή προβλέπεται στην απόφαση για τη σύσταση της επιχείρησης ΚΠΑΑ. Οι ΔΠΕΕ που ανταλλάσσονται υπό τις συνθήκες αυτές περιορίζονται στις πληροφορίες που παράγονται για τους σκοπούς της επιχείρησης ΚΠΑΑ και η διαβάθμισή τους δεν υπερβαίνει τη RESTREINT UE/EU RESTRICTED, εκτός αν προβλέπεται υψηλότερο επίπεδο διαβάθμισης στην απόφαση που θεσπίζει την επιχείρηση ΚΠΑΑ. Βάσει του εν λόγω διοικητικού διακανονισμού, ζητείται από το κράτος υποδοχής να αναλάβει την προστασία των ΔΠΕΕ σύμφωνα με ελάχιστες προδιαγραφές τουλάχιστον ισοδύναμες με τις οριζόμενες στην παρούσα απόφαση.

30.

Απουσία συμφωνίας ασφάλειας των πληροφοριών, η κοινοποίηση ΔΠΕΕ σε σχετικά τρίτα κράτη και διεθνείς οργανισμούς, εκτός από όσους συμμετέχουν σε επιχείρηση ΚΠΑΑ, μπορεί να διέπεται από διοικητικό διακανονισμό τον οποίο συνάπτει ο Ύπατος Εκπρόσωπος. Όπου κρίνεται σκόπιμο, η δυνατότητα αυτή καθώς και τυχόν σχετικές προϋποθέσεις προβλέπονται στην απόφαση με την οποία θεσπίζεται η επιχείρηση ΚΠΑΑ. Οι ΔΠΕΕ που ανταλλάσσονται υπό τις συνθήκες αυτές περιορίζονται στις πληροφορίες που παράγονται για τους σκοπούς της επιχείρησης ΚΠΑΑ και η διαβάθμισή τους δεν υπερβαίνει τη RESTREINT UE/EU RESTRICTED, εκτός αν προβλέπεται υψηλότερο επίπεδο διαβάθμισης στην απόφαση που θεσπίζει την επιχείρηση ΚΠΑΑ. Βάσει του εν λόγω διοικητικού διακανονισμού, ζητείται από το κράτος υποδοχής να αναλάβει την προστασία των ΔΠΕΕ σύμφωνα με ελάχιστες προδιαγραφές τουλάχιστον ισοδύναμες με τις οριζόμενες στην παρούσα απόφαση.

31.

Δεν απαιτούνται διακανονισμοί εφαρμογής ή επισκέψεις αξιολόγησης προ της εφαρμογής των διατάξεων περί κοινοποίησης ΔΠΕΕ στο πλαίσιο των παραγράφων 22, 23 και 24.

32.

Όταν δεν υφίσταται πλαίσιο σύμφωνα με τα τμήματα III έως V, και το Συμβούλιο ή κάποιο από τα προπαρασκευαστικά του όργανα κρίνει ότι υπάρχει έκτακτη ανάγκη κοινοποίησης ΔΠΕΕ σε τρίτο κράτος ή διεθνή οργανισμό, η ΓΓΣ:

33.

Εάν η Επιτροπή Ασφαλείας εκδώσει ευνοϊκή σύσταση όσον αφορά την κοινοποίηση των ΔΠΕΕ, το ζήτημα παραπέμπεται στην Επιτροπή των Μονίμων Αντιπροσώπων (ΕΜΑ) η οποία λαμβάνει τη σχετική απόφαση.

34.

Εάν η Επιτροπή Ασφαλείας δεν εκδώσει ευνοϊκή σύσταση για την κοινοποίηση των ΔΠΕΕ:

35.

Εφόσον κρίνεται σκόπιμο, και με την επιφύλαξη της προηγούμενης γραπτής συγκατάθεσης του φορέα προέλευσης, η ΕΜΑ δύναται να αποφασίσει ότι οι διαβαθμισμένες πληροφορίες μπορούν να κοινοποιηθούν μόνο εν μέρει ή μόνο εφόσον υποχαρακτηρισθούν ή αποχαρακτηρισθούν προηγουμένως, ή ότι οι προς παροχή πληροφορίες πρέπει να ετοιμασθούν χωρίς αναφορά στην πηγή ή το αρχικό επίπεδο διαβάθμισης της ΕΕ.

36.

Μετά την απόφαση κοινοποίησης των ΔΠΕΕ, η ΓΓΣ προωθεί το εν λόγω έγγραφο το οποίο φέρει σήμανση κοινοποιησιμότητας στην οποία αναφέρεται το τρίτο κράτος ή ο διεθνής οργανισμός στον οποίο κοινοποιήθηκε. Πριν από ή κατά την κοινοποίηση, το εν λόγω τρίτο μέρος δεσμεύεται γραπτώς να προστατεύσει τις ΔΠΕΕ που λαμβάνει σύμφωνα με τις βασικές αρχές και τις ελάχιστες προδιαγραφές που περιγράφονται στην παρούσα απόφαση.

37.

Όταν υφίσταται πλαίσιο σύμφωνα με την παράγραφο 2 για την ανταλλαγή διαβαθμισμένων πληροφοριών με τρίτο κράτος ή διεθνή οργανισμό, το Συμβούλιο λαμβάνει απόφαση με την οποία εξουσιοδοτεί τον γενικό γραμματέα να κοινοποιήσει τις ΔΠΕΕ, σύμφωνα με την αρχή της συγκατάθεσης του φορέα προέλευσης των πληροφοριών, στο οικείο τρίτο κράτος ή διεθνή οργανισμό. Ο γενικός γραμματέας δύναται να μεταβιβάζει την αρμοδιότητα αυτή σε ανώτατα στελέχη της ΓΓΣ.

38.

Όταν υφίσταται συμφωνία ασφάλειας των πληροφοριών σύμφωνα με την παράγραφο 2 πρώτη περίπτωση, το Συμβούλιο μπορεί να λάβει την απόφαση να εξουσιοδοτήσει τον Ύπατο Εκπρόσωπο να κοινοποιήσει ΔΠΕΕ που παράγονται στο Συμβούλιο στον τομέα της κοινής εξωτερικής πολιτικής και της πολιτικής ασφάλειας, αφού εξασφαλίσει τη συγκατάθεση του φορέα προέλευσης του πρωτογενούς υλικού που ενδεχομένως περιέχουν, στο οικείο τρίτο κράτος ή διεθνή οργανισμό. Ο Ύπατος Εκπρόσωπος δύναται να μεταβιβάζει την αρμοδιότητα αυτή σε ανώτατα στελέχη της ΕΥΕΔ ή σε ΕΕΕΕ.

39.

Όταν υφίσταται πλαίσιο σύμφωνα με την παράγραφο 2 ή την παράγραφο 3 για την ανταλλαγή διαβαθμισμένων πληροφοριών με τρίτο κράτος ή διεθνή οργανισμό, ο Ύπατος Εκπρόσωπος εξουσιοδοτείται να κοινοποιήσει ΔΠΕΕ, σύμφωνα με την απόφαση για τη σύσταση της επιχείρησης ΚΠΑΑ και με την αρχή της συγκατάθεσης του φορέα προέλευσης των πληροφοριών. Ο Ύπατος Εκπρόσωπος δύναται να μεταβιβάζει την αρμοδιότητα αυτή σε ανώτατα στελέχη της ΕΥΕΔ, στους διοικητές επιχείρησης, αποστολής ή δύναμης της ΕΕ ή στους επικεφαλής αποστολής της ΕΕ.

«Πιστοποίηση» είναι η διαδικασία που καταλήγει σε τυπική δήλωση της Αρχής Πιστοποίησης της Ασφάλειας (ΕΠΑ) ότι το δεδομένο σύστημα έχει λάβει έγκριση να λειτουργεί με καθορισμένο βαθμό ασφαλείας, με συγκεκριμένο τρόπο ασφαλείας στο επιχειρησιακό του περιβάλλον και με αποδεκτό βαθμό κινδύνου, βασιζόμενο στην παραδοχή ότι εφαρμόζεται εγκεκριμένο σύνολο τεχνικών, φυσικών, οργανωτικών και διαδικαστικών μέτρων ασφαλείας.

«Στοιχείο» είναι οτιδήποτε έχει αξία για τον οργανισμό, τις επιχειρήσεις και τη συνέχιση των δραστηριοτήτων, περιλαμβανομένων των πηγών πληροφοριών που υποστηρίζουν την αποστολή του οργανισμού.

«Εξουσιοδότηση για πρόσβαση σε ΔΠΕΕ» είναι η απόφαση που λαμβάνει η αρμόδια για τους διορισμούς αρχή της ΓΓΣ βάσει διαβεβαίωσης που δίνει η αρμόδια αρχή κράτους μέλους ότι υπάλληλος, μέλος του λοιπού προσωπικού της ΓΓΣ ή αποσπασμένος εθνικός εμπειρογνώμων μπορεί, υπό τον όρο ότι έχει προσδιοριστεί η ανάγκη γνώσης του και ότι έχει ενημερωθεί καταλλήλως σχετικά με τις ευθύνες του, να έχει πρόσβαση σε ΔΠΕΕ μέχρις ενός συγκεκριμένου επιπέδου (CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερου) έως προκαθορισμένη ημερομηνία.

«Κύκλος ζωής CIS» είναι η συνολική διάρκεια ύπαρξης ενός CIS, που περιλαμβάνει την έναρξη της διαδικασίας, την αρχική σύλληψη, τον προγραμματισμό, την ανάλυση απαιτήσεων, τον σχεδιασμό, την ανάπτυξη, τη δοκιμή, την εφαρμογή, τη λειτουργία, τη συντήρηση και τον παροπλισμό.

«Διαβαθμισμένη σύμβαση» είναι η σύμβαση που συνάπτεται μεταξύ της ΓΓΣ και ενός εργολάβου για την προμήθεια υλικού, την εκτέλεση έργου ή την παροχή υπηρεσιών, της οποίας η υλοποίηση απαιτεί ή περιλαμβάνει την πρόσβαση σε ΔΠΕΕ ή τη δημιουργία τους.

«Διαβαθμισμένη σύμβαση υπεργολαβίας» είναι η σύμβαση που συνάπτεται μεταξύ ενός εργολάβου της ΓΓΣ και ενός άλλου εργολάβου (ήτοι του υπεργολάβου) για την προμήθεια υλικού, την εκτέλεση έργου ή την παροχή υπηρεσιών, της οποίας η υλοποίηση απαιτεί ή περιλαμβάνει την πρόσβαση σε ΔΠΕΕ ή τη δημιουργία τους.

«Σύστημα επικοινωνίας και πληροφοριών» (CIS) — βλέπε άρθρο 10 παράγραφος 2.

«Εργολάβος» είναι το φυσικό ή νομικό πρόσωπο που έχει τη νομική ικανότητα ανάληψης συμβάσεων.

«Κρυπτογραφικό υλικό» είναι οι κρυπτογραφικοί αλγόριθμοι, το κρυπτογραφικό υλικό και οι ενότητες λογισμικού, καθώς και τα προϊόντα που περιέχουν λεπτομέρειες εφαρμογής και τη συναφή τεκμηρίωση και το υλικό πληκτρολόγησης.

«Κρυπτογραφικό προϊόν» είναι το προϊόν του οποίου η πρωταρχική και κύρια λειτουργία είναι η παροχή υπηρεσιών ασφαλείας (εμπιστευτικότητα, ακεραιότητα, γνησιότητα, μη άρνηση αναγνώρισης των πληροφοριών) μέσω ενός ή περισσότερων κρυπτογραφικών μηχανισμών.

«Επιχείρηση ΚΠΑΑ» είναι η επιχείρηση διαχείρισης στρατιωτικών και μη στρατιωτικών κρίσεων σύμφωνα με τον τίτλο V κεφάλαιο 2 της Συνθήκης ΕΕ.

«Αποχαρακτηρισμός» είναι η κατάργηση οποιασδήποτε διαβάθμισης ασφαλείας.

«Ασφάλεια εις βάθος» είναι η εφαρμογή μιας σειράς μέτρων ασφαλείας, τα οποία οργανώνονται ως πολλαπλά επίπεδα άμυνας.

«Καθορισμένη αρχή ασφαλείας» (ΚΑΑ) είναι η αρχή η οποία είναι υπόλογη στην Εθνική Αρχή Ασφαλείας (ΕΑΑ) κράτους μέλους και έχει καθήκον, αφενός, να ενημερώνει τους βιομηχανικούς και άλλους φορείς σχετικά με την εθνική πολιτική στα θέματα βιομηχανικής ασφαλείας και, αφετέρου, να τους καθοδηγεί και να τους παρέχει συνδρομή κατά την εφαρμογή αυτής της εθνικής πολιτικής. Τα καθήκοντα της ΚΑΑ μπορούν να εκτελούνται από την ΕΑΑ ή από οποιαδήποτε άλλη αρμόδια αρχή.

«Έγγραφο» είναι κάθε καταγεγραμμένη πληροφορία ανεξαρτήτως φυσικής μορφής ή χαρακτηριστικών.

«Υποχαρακτηρισμός» είναι η μείωση του επιπέδου της διαβάθμισης ασφαλείας.

«Διαβαθμισμένες πληροφορίες ΕΕ» (ΔΠΕΕ) — βλέπε άρθρο 2 παράγραφος 1.

«Εξουσιοδότηση ασφαλείας φορέα» (FSC) είναι η διοικητική απόφαση της ΕΑΑ/ΚΑΑ η οποία βεβαιώνει ότι, από πλευράς ασφαλείας, ο φορέας μπορεί να εξασφαλίσει επαρκές επίπεδο προστασίας ΔΠΕΕ ορισμένης διαβάθμισης ασφαλείας.

«Χειρισμός» ΔΠΕΕ είναι όλες οι δυνατές ενέργειες στις οποίες είναι δυνατόν να υποβληθούν οι ΔΠΕΕ καθ’ όλη τη διάρκεια του κύκλου ζωής τους. Περιλαμβάνει τη δημιουργία, την επεξεργασία, τη μεταφορά, τον υποχαρακτηρισμό, τον αποχαρακτηρισμό και την καταστροφή τους. Σε σχέση με το CIS περιλαμβάνει επίσης τη συλλογή, την επίδειξη, τη διαβίβαση και την αποθήκευσή τους.

«Κάτοχος» είναι το δεόντως εξουσιοδοτημένο πρόσωπο με προσδιορισμένη ανάγκη γνώσης που κατέχει ένα στοιχείο ΔΠΕΕ και είναι αντιστοίχως υπεύθυνο για την προστασία του.

«Βιομηχανικός ή άλλος φορέας» είναι ο φορέας που ασχολείται με την προμήθεια φυσικών αγαθών, την εκτέλεση έργων ή την παροχή υπηρεσιών· ο ορισμός αυτός αφορά βιομηχανικούς, εμπορικούς, επιστημονικούς, ερευνητικούς, εκπαιδευτικούς ή αναπτυξιακούς φορείς, φορείς παροχής υπηρεσιών ή αυτοαπασχολούμενους.

«Βιομηχανική ασφάλεια» — βλέπε άρθρο 11 παράγραφος 1.

«Διασφάλιση των πληροφοριών» — βλέπε άρθρο 10 παράγραφος 1.

«Διασύνδεση» — βλέπε παράρτημα IV παράγραφος 32.

«Διαχείριση διαβαθμισμένων πληροφοριών» — βλέπε άρθρο 9 παράγραφος 1.

«Υλικό» είναι κάθε έγγραφο, φορέας δεδομένων ή στοιχείο μηχανημάτων ή εξοπλισμού που έχει ήδη κατασκευασθεί ή ευρίσκεται υπό κατασκευή.

«Φορέας προέλευσης» είναι το όργανο, οργανισμός ή υπηρεσία της ΕΕ, κράτος μέλος, τρίτο κράτος ή διεθνής οργανισμός υπό την εξουσία του οποίου διαβαθμισμένες πληροφορίες έχουν δημιουργηθεί και/ή εισαχθεί στις δομές της ΕΕ.

«Ασφάλεια προσωπικού» — βλέπε άρθρο 7 παράγραφος 1.

«Εξουσιοδότηση ασφαλείας προσωπικού» (ΕΑΠ) είναι η δήλωση αρμόδιας αρχής κράτους μέλους στην οποία προβαίνει μετά την ολοκλήρωση έρευνας ασφαλείας από τις αρμόδιες αρχές του εν λόγω κράτους μέλους και πιστοποιεί ότι ένα άτομο μπορεί να έχει πρόσβαση σε διαβαθμισμένες πληροφορίες μέχρις ενός συγκεκριμένου επιπέδου (ισοδύναμου με CONFIDENTIEL UE/EU CONFIDENTIAL ή ανώτερου) έως προκαθορισμένη ημερομηνία.

«Πιστοποιητικό ελέγχου ασφαλείας προσωπικού» (ΠΕΑΠ) είναι το πιστοποιητικό που εκδίδει αρμόδια αρχή με το οποίο πιστοποιείται ότι συγκεκριμένο άτομο έχει υποστεί έλεγχο ασφαλείας και διαθέτει έγκυρο πιστοποιητικό διαβάθμισης ασφαλείας από την αρμόδια για τους διορισμούς αρχή για πρόσβαση σε ΔΠΕΕ και στο οποίο αναφέρονται το επίπεδο των ΔΠΕΕ στις οποίες μπορεί να έχει πρόσβαση (CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερο), η ημερομηνία ισχύος της σχετικής ΕΑΠ και η ημερομηνία λήξης του πιστοποιητικού.

«Φυσική ασφάλεια» — βλέπε άρθρο 8 παράγραφος 1.

«Πρόγραμμα/Σχέδιο εντολών ασφαλείας» (PSI) είναι ο κατάλογος των διαδικασιών ασφαλείας που εφαρμόζονται σε συγκεκριμένο πρόγραμμα/σχέδιο για την τυποποίησή τους. Μπορεί να αναθεωρείται μέσω του προγράμματος/σχεδίου.

«Καταχώριση» — βλέπε παράρτημα III παράγραφος 18.

«Υπολειπόμενος κίνδυνος» είναι ο κίνδυνος που εξακολουθεί να υφίσταται και μετά την εφαρμογή των μέτρων ασφαλείας, δεδομένου ότι δεν είναι δυνατόν να αντιμετωπισθούν όλες οι απειλές και να εξαλειφθούν όλες οι τρωτότητες.

«Κίνδυνος» είναι η πιθανότητα μια δεδομένη απειλή να εκμεταλλευθεί τα εσωτερικά και εξωτερικά τρωτά σημεία ενός οργανισμού ή των συστημάτων που χρησιμοποιεί και να προκαλέσει βλάβη στον οργανισμό και στα υλικά ή άυλα στοιχεία του. Μετράται ως ο συνδυασμός της ενδεχόμενης υλοποίησης των απειλών και των συνεπειών τους.

«Έγγραφο θεμάτων ασφαλείας» (ΕΘΑ) είναι το σύνολο ειδικών συμβατικών όρων, που εκδίδει η αναθέτουσα αρχή, το οποίο αποτελεί αναπόσπαστο μέρος διαβαθμισμένης σύμβασης που συνεπάγεται πρόσβαση σε ΔΠΕΕ ή δημιουργία τέτοιων πληροφοριών και καθορίζει τις απαιτήσεις ασφαλείας ή τα στοιχεία της σύμβασης που χρειάζονται προστασία.

«Οδηγός διαβαθμίσεων ασφαλείας» («ΟΔΑ») είναι το έγγραφο στο οποίο περιγράφονται τα στοιχεία προγράμματος ή σύμβασης που είναι διαβαθμισμένα και καθορίζεται η εφαρμοστέα διαβάθμιση ασφαλείας. Ο ΟΔΑ μπορεί να επεκτείνεται καθ’ όλη τη διάρκεια του προγράμματος ή της σύμβασης και ενδέχεται να γίνεται εκ νέου διαβάθμιση των στοιχείων, ακόμα και σε κατώτερη βαθμίδα· όταν υπάρχει ΟΔΑ, πρέπει να αποτελεί τμήμα του ΕΘΑ.

«Έρευνα ασφαλείας» είναι οι διαδικασίες έρευνας που διενεργούνται από την αρμόδια εθνική αρχή κράτους μέλους σύμφωνα με τους σχετικούς νόμους και κανονισμούς που ισχύουν στο εν λόγω κράτος μέλος για την εξασφάλιση διαβεβαίωσης ότι δεν είναι γνωστό τίποτε αρνητικό που να εμποδίζει τη χορήγηση στο εν λόγω πρόσωπο ΕΑΠ ή εξουσιοδότησης για πρόσβαση σε ΔΠΕΕ μέχρις ενός συγκεκριμένου επιπέδου (CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερου).

«Επίπεδο ασφαλείας λειτουργίας» είναι ο ορισμός των προϋποθέσεων υπό τις οποίες λειτουργεί το CIS βάσει της ταξινόμησης των πληροφοριών τις οποίες χειρίζεται και των επιπέδων διαβάθμισης, των τυπικών εγκρίσεων πρόσβασης και της «ανάγκης γνώσης» των χρηστών του. Για το χειρισμό ή τη διαβίβαση διαβαθμισμένων πληροφοριών υφίστανται τέσσερις τρόποι λειτουργίας: απόλυτο επίπεδο, υψηλό επίπεδο, τμηματικό επίπεδο και πολλαπλό επίπεδο:

«Διαδικασία διαχείρισης κινδύνων ασφαλείας» είναι το σύνολο της διαδικασίας εντοπισμού, ελέγχου και ελαχιστοποίησης αβέβαιων γεγονότων που μπορούν να θίξουν την ασφάλεια οργανισμού ή οποιουδήποτε από τα συστήματα που χρησιμοποιεί. Καλύπτει το σύνολο των δραστηριοτήτων σχετικά με τους κινδύνους, περιλαμβανομένων της αξιολόγησης, της επεξεργασίας, της αποδοχής και της κοινοποίησης.

«TEMPEST» είναι η έρευνα, η μελέτη και ο έλεγχος του κινδύνου διαρροής μέσω ηλεκτρομαγνητικών εκπομπών και τα μέτρα εξάλειψης των εκπομπών αυτών.

«Απειλή» είναι η πιθανή αιτία ανεπιθύμητου συμβάντος που μπορεί να θίξει ένα οργανισμό ή οποιοδήποτε από τα συστήματα που χρησιμοποιεί· οι απειλές μπορεί να είναι τυχαίες ή εσκεμμένες (δόλιες) και χαρακτηρίζονται από απειλητικά στοιχεία, πιθανούς στόχους και μεθόδους επίθεσης.

«Τρωτότητα» είναι η οποιαδήποτε αδυναμία που μπορούν να εκμεταλλευθούν μία ή περισσότερες απειλές. Η τρωτότητα μπορεί να οφείλεται σε κάποια παράλειψη ή να απορρέει από κάποια αδυναμία των ελέγχων όσον αφορά την αυστηρότητα, την πληρότητα ή τη σταθερότητά τους, μπορεί δε να είναι τεχνικής, διαδικαστικής, φυσικής, οργανωτικής ή επιχειρησιακής φύσεως.