1.

Dette bilag indeholder bestemmelser til gennemførelse af artikel 7. Det fastsætter kriterier for fastlæggelse af, om en person under hensyntagen til vedkommendes loyalitet, troværdighed og pålidelighed kan autoriseres til at få adgang til EUCI, samt de undersøgelsesmæssige og administrative procedurer, der skal følges i den forbindelse.

2.

En person kan kun få adgang til klassificerede informationer, efter at:

3.

Hver medlemsstat og GSR identificerer de stillinger i deres struktur, der kræver adgang til informationer, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller højere, og hvortil der derfor kræves sikkerhedsgodkendelse til den relevante klassifikationsgrad.

4.

Efter at have modtaget en behørigt autoriseret anmodning er NSA'er eller andre kompetente nationale myndigheder ansvarlige for at sikre, at der gennemføres sikkerhedsundersøgelser af egne statsborgere, der skal have adgang til informationer, som er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller højere. Standarderne for undersøgelserne skal være i overensstemmelse med nationale love og bestemmelser med henblik på udstedelse af en PSC eller sikring af, at personen kan autoriseres til at få adgang til EUCI, når det er relevant.

5.

Såfremt den pågældende person har sin bopæl på en anden medlemsstats eller et tredjelands område, anmoder de kompetente nationale myndigheder om bistand fra den kompetente myndighed i bopælslandet i overensstemmelse med nationale love og bestemmelser. Medlemsstaterne bistår hinanden med gennemførelsen af sikkerhedsundersøgelserne i overensstemmelse med nationale love og bestemmelser.

6.

Hvis der er hjemmel herfor i nationale love og bestemmelser, kan NSA'er eller andre kompetente nationale myndigheder gennemføre undersøgelser af ikkestatsborgere, der skal have adgang til informationer, som er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller højere. Standarderne for undersøgelserne skal være i overensstemmelse med nationale love og bestemmelser.

7.

For at fastslå en persons loyalitet, troværdighed og pålidelighed med henblik på at blive sikkerhedsgodkendt til at få adgang til informationer, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller højere, foretages en sikkerhedsundersøgelse. Den kompetente nationale myndighed foretager en overordnet vurdering på grundlag af resultaterne af en sådan sikkerhedsundersøgelse. De væsentlige kriterier, der anvendes hertil, omfatter, så vidt det er muligt i henhold til nationale love og bestemmelser, en undersøgelse af, om personen:

8.

Når det er hensigtsmæssigt og i overensstemmelse med nationale love og bestemmelser, kan en persons økonomiske og medicinske baggrund også anses for at være relevant i forbindelse med sikkerhedsgodkendelsen.

9.

Når det er hensigtsmæssigt og i overensstemmelse med nationale love og bestemmelser, kan en ægtefælles eller samlevers eller et nært familiemedlems adfærd eller situation ligeledes anses for at være relevant i forbindelse med sikkerhedsgodkendelsen.

10.

Den første sikkerhedsgodkendelse med henblik på adgang til informationer, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET, baseres på en sikkerhedsundersøgelse, der går mindst fem år tilbage, eller som dækker perioden fra personens fyldte 18. år frem til nutiden, alt efter hvad der er kortest, og omfatter følgende:

11.

Den første sikkerhedsgodkendelse med henblik på adgang til informationer, der er klassificeret TRÈS SECRET UE/EU TOP SECRET, baseres på en sikkerhedsundersøgelse, der går mindst ti år tilbage, eller som dækker perioden fra 18 år frem til nutiden, alt efter hvad der er kortest. Hvis der gennemføres samtaler som omhandlet i litra e), skal undersøgelserne gå mindst syv år tilbage eller dække perioden fra 18 år frem til nutiden, alt efter hvad der er kortest. Ud over de kriterier, der er omhandlet i punkt 7 ovenfor, skal de herunder opstillede forhold undersøges, så vidt det er muligt i henhold til nationale love og bestemmelser, inden der tildeles en PSC til klassifikationsgraden TRÈS SECRET UE/EU TOP SECRET; de kan også undersøges, inden der tildeles en PSC til klassifikationsgraden CONFIDENTIEL UE/EU CONFIDENTIAL og SECRET UE/EU SECRET, hvor det er påkrævet i henhold til nationale love og bestemmelser:

12.

Når det er nødvendigt og i overensstemmelse med nationale love og bestemmelser, kan der gennemføres yderligere undersøgelser for at finde frem til alle relevante oplysninger om en person og for at bekræfte eller afkræfte negative oplysninger.

13.

Har personen været i uafbrudt tjeneste i en national administration eller i GSR efter den første tildeling af en sikkerhedsgodkendelse, og har den pågældende fortsat behov for adgang til EUCI, skal sikkerhedsgodkendelsen tages op til revision med henblik på fornyelse mindst hvert femte år for en sikkerhedsgodkendelse til klassifikationsgraden TRÈS SECRET UE/EU TOP SECRET og mindst hvert tiende år for en sikkerhedsgodkendelse til klassifikationsgraden SECRET UE/EU SECRET og CONFIDENTIEL UE/EU CONFIDENTIAL regnet fra datoen for meddelelsen af resultatet af den seneste sikkerhedsundersøgelse, som de er baseret på. Alle sikkerhedsundersøgelser med henblik på fornyelse af en sikkerhedsgodkendelse skal omfatte den periode, som er forløbet siden den foregående undersøgelse.

14.

I forbindelse med fornyelsen af sikkerhedsgodkendelser skal de forhold, der er skitseret i punkt 10 og 11, undersøges.

15.

Anmodninger om fornyelse skal indgives rettidigt under hensyntagen til den tid, der er nødvendig til sikkerhedsundersøgelser. Såfremt den relevante NSA eller anden kompetent national myndighed har modtaget den relevante anmodning om fornyelse og det tilsvarende spørgeskema om personelsikkerhed, inden en sikkerhedsgodkendelse udløber, og den nødvendige sikkerhedsundersøgelse ikke er afsluttet, kan den kompetente nationale myndighed, hvis der er hjemmel herfor i nationale love og bestemmelser, dog forlænge gyldigheden af den eksisterende sikkerhedsgodkendelse i en periode på op til 12 måneder. Hvis sikkerhedsundersøgelsen stadig ikke er afsluttet ved udløbet af denne periode på 12 måneder, skal den pågældende person pålægges arbejdsopgaver, der ikke kræver en sikkerhedsgodkendelse.

16.

For tjenestemænd og øvrige ansatte i GSR fremsender GSR's sikkerhedsmyndighed det udfyldte spørgeskema om personelsikkerhed til NSA'en i den medlemsstat, hvor den pågældende er statsborger, og anmoder om, at der foretages en sikkerhedsundersøgelse med henblik på den klassifikationsgrad for EUCI, som den pågældende skal have adgang til.

17.

Hvis GSR får kendskab til oplysninger, der er relevante for en sikkerhedsundersøgelse, om en person, der har ansøgt om en sikkerhedsgodkendelse med henblik på adgang til EUCI, underretter GSR den relevante NSA herom i overensstemmelse med de relevante regler og bestemmelser.

18.

Efter gennemførelsen af sikkerhedsundersøgelsen underretter den relevante NSA GSR's sikkerhedsmyndighed om resultatet af undersøgelsen under anvendelse af det standardformat for korrespondance, der er foreskrevet af Sikkerhedsudvalget.

19.

Sikkerhedsundersøgelsen samt de opnåede resultater er underlagt de relevante love og bestemmelser, som er gældende i den pågældende medlemsstat, herunder bestemmelser om klageadgang. Der kan indgives klager over afgørelser truffet af GSR's ansættelsesmyndighed i overensstemmelse med vedtægten for tjenestemænd ved Den Europæiske Union og ansættelsesvilkårene for de øvrige ansatte ved Den Europæiske Union, som fastsat i Rådets forordning (EØF, Euratom, EKSF) nr. 259/68 (1) (»personalevedtægten og ansættelsesvilkårene«).

20.

Nationale eksperter, der udstationeres ved GSR i en stilling, hvortil der kræves adgang til EUCI, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller højere, skal fremlægge et gyldigt certifikat for personelsikkerhedsgodkendelse (PSCC) for adgang til EUCI for GSR's sikkerhedsmyndighed, inden de påbegynder arbejdet, på grundlag af hvilken ansættelsesmyndigheden tildeler en autorisation til at få adgang til EUCI.

21.

GSR accepterer en autorisation til at få adgang til EUCI, der er tildelt af en anden EU-institution eller et andet EU-organ eller -agentur, forudsat at den stadig er gyldig. Autorisationen skal omfatte alle de arbejdsopgaver, den pågældende person udfører inden for GSC. Den EU-institution eller det EU-organ eller -agentur, hvor personen påbegynder sin ansættelse, giver den relevante NSA meddelelse om den nye arbejdsgiver.

22.

Hvis en persons ansættelsesperiode ikke påbegyndes inden for 12 måneder efter meddelelsen af sikkerhedsundersøgelsens resultat til GSR's ansættelsesmyndighed, eller hvis personens ansættelse afbrydes i en periode på 12 måneder, uden at der i samme periode sker ansættelse i GSR eller i en medlemsstats nationale administration, skal dette resultat meddeles den relevante NSA med henblik på at få bekræftet, at det fortsat er gyldigt og relevant.

23.

Hvis GSR får kendskab til oplysninger om, at en person, der er autoriseret til at få adgang til EUCI, udgør en sikkerhedsrisiko, underretter GSR den relevante NSA herom i overensstemmelse med de relevante regler og bestemmelser og kan suspendere adgangen til EUCI eller inddrage autorisationen til at få adgang til EUCI.

24.

Når en NSA underretter GSR om, at den inddrager en sikkerhedskonklusion, der er givet i overensstemmelse med punkt 18, litra a), vedrørende en person, der er autoriseret til at få adgang til EUCI, kan GSR's ansættelsesmyndighed anmode NSA'en om de nærmere oplysninger, som denne er i stand til at give i henhold til de nationale love og bestemmelser. Hvis de negative oplysninger bekræftes, inddrages autorisationen, og personen har ikke længere adgang til EUCI eller til stillinger, hvor en sådan adgang er mulig, eller hvor den pågældende ville kunne udgøre en sikkerhedsrisiko.

25.

En beslutning om at inddrage eller suspendere en autorisation til en tjenestemand eller øvrig ansat ved GSR til at få adgang til EUCI og, når det er relevant, grundene hertil meddeles den pågældende person, som kan anmode om at blive hørt af ansættelsesmyndigheden. Oplysninger, der videregives af en NSA, er underlagt de relevante love og bestemmelser, som er gældende i den pågældende medlemsstat, herunder bestemmelser om klageadgang. Der kan indgives klager over afgørelser truffet af GSR's ansættelsesmyndighed i overensstemmelse med personalevedtægten og ansættelsesvilkårene.

26.

Hver medlemsstat og GSR fører registre henholdsvis over de PSC'er og autorisationer, der er tildelt med henblik på adgang til informationer, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller højere. Disse registre skal mindst indeholde den klassifikationsgrad for EUCI, som personen kan få adgang til, datoen for sikkerhedsgodkendelsen samt dens gyldighedsperiode.

27.

Den kompetente sikkerhedsmyndighed kan udstede en PSCC med angivelse af den klassifikationsgrad for EUCI, som personen kan få adgang til (CONFIDENTIEL UE/EU CONFIDENTIAL eller højere), gyldighedsdatoen for den relevante PSC for adgang til EUCI eller den relevante autorisation til at få adgang til EUCI og certifikatets udløbsdato.

28.

For personer i medlemsstaterne, der er behørigt autoriseret i kraft af deres funktioner, afgøres adgang til EUCI i overensstemmelse med nationale love og bestemmelser; disse personer skal gøres bekendt med deres sikkerhedsmæssige forpligtelser med hensyn til beskyttelse af EUCI.

29.

Alle personer, der har fået tildelt en sikkerhedsgodkendelse, skal skriftligt bekræfte, at de har forstået deres forpligtelser med hensyn til beskyttelse af EUCI og de konsekvenser, det kan få, hvis EUCI kompromitteres. Sådanne skriftlige bekræftelser registreres af medlemsstaten og GSR, afhængigt af hvad der er hensigtsmæssigt.

30.

Alle personer, der er autoriseret til at få adgang til eller skal håndtere EUCI, skal indledningsvis gøres opmærksom på og med regelmæssige mellemrum gøres bekendt med sikkerhedsrisici og skal øjeblikkelig indberette enhver henvendelse eller aktivitet, de finder mistænkelig eller usædvanlig, til de relevante sikkerhedsmyndigheder.

31.

Alle personer, der ikke længere udfører funktioner, der kræver adgang til EUCI, skal underrettes om og, når det er relevant, skriftligt bekræfte deres forpligtelser med hensyn til fortsat beskyttelse af EUCI.

32.

Hvis der er hjemmel herfor i nationale love og bestemmelser, kan en sikkerhedsgodkendelse, der er tildelt af en medlemsstats kompetente nationale myndighed med henblik på adgang til nationale klassificerede informationer, i en midlertidig periode, inden der tildeles en PSC med henblik på adgang til EUCI, give nationale tjenestemænd adgang til EUCI op til en tilsvarende klassifikationsgrad, jf. den sammenlignende oversigt i tillæg B, hvis en sådan midlertidig adgang er påkrævet af hensyn til Unionens interesser. NSA'erne underretter Sikkerhedsudvalget, hvis nationale love og bestemmelser ikke tillader en sådan midlertidig adgang til EUCI.

33.

GSR's ansættelsesmyndighed kan i hastetilfælde, hvor det er behørigt begrundet i tjenestens interesse, og inden en fuldstændig sikkerhedsundersøgelse er afsluttet, efter samråd med NSA'en i den medlemsstat, hvor den pågældende er statsborger, og med forbehold af resultatet af en foreløbig kontrol for at undersøge, at der ikke er konstateret negative oplysninger, give tjenestemænd og øvrige ansatte ved GSR midlertidig autorisation til at få adgang til EUCI med henblik på en specifik opgave. Sådanne midlertidige autorisationer er gyldige i en periode, der ikke overstiger seks måneder, og tillader ikke adgang til informationer, der er klassificeret TRÈS SECRET UE/EU TOP SECRET. Alle personer, der har fået en midlertidig autorisation, skal skriftligt bekræfte, at de har forstået deres forpligtelser med hensyn til beskyttelse af EUCI og konsekvenserne af en eventuel kompromittering af EUCI. GSR fører et register over sådanne skriftlige bekræftelser.

34.

Når en person skal tiltræde en stilling, hvortil der kræves en sikkerhedsgodkendelse med en højere klassifikationsgrad end den, den pågældende allerede har, kan tiltrædelsen ske midlertidigt, forudsat at:

35.

Ovennævnte procedure anvendes for engangsadgang til EUCI med en klassifikationsgrad, der er ét trin højere end den, personen er sikkerhedsgodkendt til. Der må ikke gøres tilbagevendende brug af denne procedure.

36.

Under ganske særlige omstændigheder, f.eks. i forbindelse med missioner i fjendtlige miljøer eller under en eskalerende international krise, kan medlemsstaterne og generalsekretæren, såfremt det er tvingende nødvendigt, især for at redde menneskeliv, give tilladelse, så vidt muligt skriftligt, til, at personer, der ikke har den krævede sikkerhedsgodkendelse, får adgang til informationer, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET, hvis en sådan tilladelse er absolut nødvendig, og der ikke er rimelige grunde til at betvivle de pågældende personers loyalitet, troværdighed og pålidelighed. Denne tilladelse skal registreres med en beskrivelse af de informationer, der er givet adgang til.

37.

Drejer det sig om informationer, der er klassificeret TRÈS SECRET UE/EU TOP SECRET, begrænses denne nødadgang til EU-borgere, som allerede er autoriseret til at få adgang enten til den nationale klassifikationsgrad, der svarer til TRÈS SECRET UE/EU TOP SECRET, eller til informationer, der er klassificeret SECRET UE/EU SECRET.

38.

Sikkerhedsudvalget underrettes om tilfælde, hvor proceduren i punkt 36 og 37 anvendes.

39.

Hvis en medlemsstats nationale love og bestemmelser fastsætter strengere regler for personers adgang til klassificerede informationer i forbindelse med midlertidige autorisationer, midlertidige arbejdsopgaver, engangsadgang eller nødadgang, gennemføres procedurerne i dette afsnit kun inden for de begrænsninger, der er fastsat i de relevante nationale love og bestemmelser.

40.

Sikkerhedsudvalget forelægges hvert år en rapport om anvendelsen af procedurerne i dette afsnit.

41.

Når personer skal deltage i møder i Rådet eller Rådets forberedende organer, hvor der drøftes informationer, som er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller højere, skal deres sikkerhedsgodkendelsesstatus bekræftes, jf. dog punkt 28. For delegerede fremsendes et PSCC eller anden dokumentation for sikkerhedsgodkendelse af de relevante myndigheder til GSR's Sikkerhedskontor, eller de forelægges undtagelsesvis af den pågældende delegerede. Der kan eventuelt anvendes en konsolideret navneliste, som indeholder den relevante dokumentation for sikkerhedsgodkendelse.

42.

Hvis en PSC for adgang til EUCI af sikkerhedsgrunde inddrages fra en person, hvis arbejdsopgaver kræver deltagelse i møder i Rådet eller Rådets forberedende organer, underretter den kompetente myndighed GSR herom.

43.

Kurerer, vagter og eskorter skal sikkerhedsgodkendes til den relevante klassifikationsgrad eller på anden vis undersøges i passende omfang i overensstemmelse med nationale love og bestemmelser, gøres bekendt med sikkerhedsprocedurer til beskyttelse af EUCI og orienteres om de forpligtelser, der påhviler dem med hensyn til beskyttelse af de informationer, de får betroet.

1.

Dette bilag indeholder bestemmelser til gennemførelse af artikel 8. Det fastsætter mindstekrav til den fysiske beskyttelse af lokaliteter, bygninger, kontorer, lokaler og andre områder, hvor EUCI håndteres og opbevares, herunder områder, der huser CIS'er.

2.

De fysiske sikkerhedsforanstaltninger udformes med henblik på at forhindre uautoriseret adgang til EUCI ved:

3.

De fysiske sikkerhedsforanstaltninger udvælges på grundlag af de kompetente myndigheders trusselsvurdering. GSR og medlemsstaterne skal anvende en risikostyringsproces med henblik på sikkerhedsbeskyttelse af EUCI i deres lokaliteter for at sikre, at der anvendes et fysisk beskyttelsesniveau, der svarer til den vurderede risiko. Risikostyringsprocessen skal tage hensyn til alle relevante faktorer, navnlig:

4.

Den kompetente sikkerhedsmyndighed fastlægger under anvendelse af begrebet dybdeforsvar den rette kombination af de fysiske sikkerhedsforanstaltninger, der skal iværksættes. De kan omfatte en eller flere af følgende foranstaltninger:

5.

Den kompetente myndighed kan bemyndiges til at foretage visitation ved ind- og udgang som afskrækkelse mod uautoriseret indførelse af materiale eller uautoriseret fjernelse af EUCI fra lokaliteter eller bygninger.

6.

Når der er risiko for indblik i EUCI, selv uforsætligt, skal der træffes passende foranstaltninger til at imødegå denne risiko.

7.

I forbindelse med nye faciliteter skal der defineres fysiske sikkerhedskrav og funktionelle specifikationer som en del af planlægningen og udformningen af faciliteterne. I forbindelse med eksisterende faciliteter skal de fysiske sikkerhedskrav opfyldes i videst mulig udstrækning.

8.

Når der skal anskaffes udstyr (f.eks. sikkerhedscontainere, makulatorer, dørlåse, elektroniske adgangskontrolsystemer, IDS, alarmsystemer) til fysisk beskyttelse af EUCI, skal den kompetente sikkerhedsmyndighed sikre, at udstyret opfylder de godkendte tekniske standarder og minimumskrav.

9.

De tekniske specifikationer for udstyr, der skal anvendes til fysisk beskyttelse af EUCI, fastsættes i sikkerhedsretningslinjer, der skal godkendes af Sikkerhedsudvalget.

10.

Sikkerhedssystemer skal inspiceres med jævne mellemrum, og udstyret skal vedligeholdes regelmæssigt. Vedligeholdelsesarbejdet skal tage hensyn til resultatet af inspektionerne for at sikre, at udstyret fortsat fungerer optimalt.

11.

Effektiviteten af de individuelle sikkerhedsforanstaltninger og af det samlede sikkerhedssystem skal reevalueres ved hver inspektion.

12.

Der etableres to typer fysisk beskyttede områder, eller nationale pendanter hertil, med henblik på den fysiske beskyttelse af EUCI:

I denne afgørelse omfatter enhver omtale af administrative områder og sikrede områder, herunder teknisk sikrede områder, også nationale pendanter hertil.

13.

Den kompetente sikkerhedsmyndighed bestemmer, at et område opfylder kravene til at blive betegnet som et administrativt område, et sikret område eller et teknisk sikret område.

14.

For så vidt angår administrative områder:

15.

For så vidt angår sikrede områder:

16.

Hvis adgang til et sikret område i praksis indebærer direkte adgang til de klassificerede informationer, der opbevares deri, gælder følgende yderligere krav:

17.

Sikrede områder, der er beskyttet mod aflytning, udpeges som teknisk sikrede områder. Følgende yderligere krav gælder:

18.

Inden der skal anvendes kommunikationsanordninger og elektrisk eller elektronisk udstyr af enhver art i områder, hvor der afholdes møder om eller arbejdes med informationer, der er klassificeret SECRET UE/EU SECRET eller højere, og når truslen for EUCI vurderes som værende stor, skal dette udstyr uanset punkt 17, litra d), først undersøges af den kompetente sikkerhedsmyndighed for at sikre, at ingen forståelige informationer uagtsomt eller ulovligt transmitteres ud af det sikrede områdes perimeter ved hjælp af sådant udstyr.

19.

Sikrede områder, hvor der ikke er vagtpersonale døgnet rundt, skal, når det er relevant, inspiceres ved afslutningen af normal arbejdstid og med tilfældige intervaller uden for normal arbejdstid, medmindre der findes et IDS.

20.

Sikrede områder og teknisk sikrede områder kan etableres midlertidigt inden for et administrativt område med henblik på at afholde et klassificeret møde eller til et andet lignende formål.

21.

Der skal udarbejdes operationelle sikkerhedsprocedurer for hvert sikret område, der indeholder bestemmelser om:

22.

Der skal bygges bokslokaler inden for sikrede områder. Vægge, gulve, lofter, vinduer og låsbare døre skal godkendes af den kompetente sikkerhedsmyndighed og yde tilsvarende beskyttelse som den, en sikkerhedscontainer, der er godkendt til opbevaring af EUCI af samme klassifikationsgrad, yder.

23.

EUCI, der er klassificeret RESTREINT UE/EU RESTRICTED, kan håndteres:

24.

EUCI, der er klassificeret RESTREINT UE/EU RESTRICTED, skal opbevares i passende aflåste kontormøbler i et administrativt område eller et sikret område. De kan opbevares midlertidigt uden for et sikret område eller et administrativt område, forudsat at den, der er i besiddelse af informationerne, har lovet at overholde kompenserende foranstaltninger, der er fastlagt i sikkerhedsinstruktioner udstedt af den kompetente sikkerhedsmyndighed.

25.

EUCI, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET, kan håndteres:

26.

EUCI, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL og SECRET UE/EU SECRET, skal opbevares i et sikret område enten i en sikkerhedscontainer eller i et bokslokale.

27.

EUCI, der er klassificeret TRÈS SECRET UE/EU TOP SECRET, skal håndteres i et sikret område.

28.

EUCI, der er klassificeret TRÈS SECRET UE/EU TOP SECRET, skal opbevares i et sikret område under et af følgende forhold:

29.

Regler for transport af EUCI uden for fysisk beskyttede områder findes i bilag III.

30.

Den kompetente sikkerhedsmyndighed fastsætter procedurer for forvaltning af nøgler og koder til kontorer, rum, bokslokaler og sikkerhedscontainere. Sådanne procedurer skal beskytte mod uautoriseret adgang.

31.

Koder skal læres udenad af det mindst mulige antal personer, der har behov for at kende dem. Koder til sikkerhedscontainere og bokslokaler, hvor der opbevares EUCI, skal ændres:

1.

Dette bilag indeholder bestemmelser til gennemførelse af artikel 9. Det fastsætter de administrative foranstaltninger til kontrol af EUCI i hele deres livscyklus for at bidrage til at afskrække fra og afsløre forsætlig eller uagtsom kompromittering eller tab af sådanne informationer.

2.

Informationer klassificeres, hvis de kræver beskyttelse med hensyn til fortroligheden.

3.

Det er udstederen af EUCI, der er ansvarlig for at fastlægge klassifikationsgraden i overensstemmelse med de relevante klassifikationsretningslinjer og for den første udbredelse af informationerne.

4.

EUCI's klassifikationsgrad fastlægges i overensstemmelse med artikel 2, stk. 2, og ved henvisning til den sikkerhedspolitik, der godkendes i henhold til artikel 3, stk. 3.

5.

Sikkerhedsklassifikationen skal fremgå klart og korrekt, uanset om EUCI gives i papirform, mundtligt, elektronisk eller i en anden form.

6.

De enkelte dele af et dokument (dvs. sider, afsnit og punkter i et dokument samt bilag, tillæg og vedhæftet materiale) kan kræve forskellig klassifikationsgrad, og skal mærkes i overensstemmelse hermed, også under opbevaring i elektronisk form.

7.

Et dokuments eller dossiers samlede klassifikationsgrad skal mindst være den samme som den del, der har den højeste klassifikationsgrad. Når informationer er indsamlet fra forskellige kilder, skal det endelige produkt tages op til revision for at fastlægge dets samlede klassifikationsgrad, da det kan tilsige en højere klassifikationsgrad end de enkelte dele.

8.

I videst muligt omfang skal dokumenter, der indeholder dele med forskellig klassifikationsgrad, struktureres, så dele med en anden klassifikationsgrad let kan identificeres og udskilles, hvis det er nødvendigt.

9.

En følgeskrivelse klassificeres lige så højt som bilagenes højeste klassifikationsgrad. Udstederen skal klart ved hjælp af en passende mærkning angive, på hvilket niveau følgeskrivelsen skal klassificeres, hvis den adskilles fra sine bilag, f.eks.:

CONFIDENTIEL UE/EU CONFIDENTIAL

Uden vedhæftet materiale RESTREINT UE/EU RESTRICTED

10.

Ud over en af de klassifikationsmærkninger, der er nævnt i artikel 2, stk. 2, kan EUCI forsynes med yderligere mærkninger, f.eks. med:

11.

Standardiserede forkortede klassifikationsmærkninger kan anvendes for at angive klassifikationsgraden for de enkelte afsnit af en tekst. Forkortelserne erstatter ikke den uforkortede klassifikationsmærkning.

12.

Følgende standardforkortelser kan anvendes i EU's klassificerede dokumenter for at angive afsnits eller tekstdeles klassifikationsgrad, hvis teksten er kortere end en enkelt side:

13.

Når der udarbejdes et klassificeret EU-dokument,

14.

Hvis punkt 13 ikke kan finde anvendelse på EUCI, træffes der andre passende foranstaltninger i overensstemmelse med de sikkerhedsretningslinjer, der skal fastlægges i medfør af artikel 6, stk. 2.

15.

På det tidspunkt, hvor informationerne udarbejdes, angiver udstederen så vidt muligt og især i forbindelse med informationer, der er klassificeret RESTREINT UE/EU RESTRICTED, om EUCI kan nedklassificeres eller afklassificeres på en bestemt dato eller efter en specifik begivenhed.

16.

GSR tager regelmæssigt EUCI i dets besiddelse op til revision for at vurdere, om klassifikationsgraden fortsat skal finde anvendelse. GSR opretter et system, således at klassifikationsgraden for EUCI, som det har udfærdiget, tages op til revision mindst hvert femte år. En sådan revision er ikke nødvendig, hvis udstederen fra begyndelsen har angivet, at informationerne automatisk nedklassificeres eller afklassificeres, og informationerne er mærket i overensstemmelse hermed.

17.

For alle organisatoriske enheder i GSR og i medlemsstaternes nationale administrationer, som håndterer EUCI, udpeges en ansvarlig registratur for at sikre, at EUCI håndteres i overensstemmelse med denne afgørelse. Registraturerne oprettes som sikrede områder som defineret i bilag II.

18.

I denne afgørelse forstås ved sikkerhedsregistrering (»registrering«) anvendelse af procedurer, som registrerer materialets livscyklus, inklusive dets udbredelse og destruktion.

19.

Alt materiale, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller højere, skal registreres i dertil oprettede registraturer, når det ankommer til eller forlader en organisatorisk enhed.

20.

Den centrale registratur i GSR fører en fortegnelse over alle klassificerede informationer, der videregives af Rådet og GSR til tredjelande og internationale organisationer, og over alle klassificerede informationer, der modtages fra tredjelande eller internationale organisationer.

21.

I forbindelse med et CIS kan registreringsprocedurerne gennemføres ved processer i selve CIS'et.

22.

Rådet skal godkende en sikkerhedspolitik for sikkerhedsregistrering af EUCI.

23.

Der oprettes en registratur i medlemsstaterne og i GSR, der skal fungere som central myndighed for modtagelse og afsendelse af informationer, der er klassificeret TRÈS SECRET UE/EU TOP SECRET. Der kan i det nødvendige omfang oprettes underregistraturer, der håndterer disse informationer i registreringsøjemed.

24.

Underregistraturer må ikke sende TRÈS SECRET UE/EU TOP SECRET-dokumenter direkte til andre underregistraturer under samme centrale TRÈS SECRET UE/EU TOP SECRET-registratur eller til anden side uden sidstnævntes udtrykkelige skriftlige godkendelse.

25.

Dokumenter, der er klassificeret TRÈS SECRET UE/EU TOP SECRET, må kun kopieres eller oversættes med udstederens forudgående skriftlige samtykke.

26.

Hvis udstederen af dokumenter, der er klassificeret SECRET UE/EU SECRET eller lavere, ikke har stillet særlige betingelser for kopiering eller oversættelse af dem, kan sådanne dokumenter kopieres eller oversættes efter instruks fra den, der er i besiddelse af dem.

27.

De sikkerhedsforanstaltninger, der gælder for det oprindelige dokument, gælder også for kopier og oversættelser af det.

28.

Transport af EUCI er omfattet af beskyttelsesforanstaltningerne i punkt 30-41. Ved transport af EUCI ved hjælp af elektroniske medier kan nedennævnte sikkerhedsforanstaltninger uanset artikel 9, stk. 4, suppleres med de relevante tekniske modforanstaltninger som foreskrevet af den kompetente sikkerhedsmyndighed med henblik på at minimere risikoen for tab eller kompromittering.

29.

De kompetente sikkerhedsmyndigheder i GSR og i medlemsstaterne udfærdiger instruktioner for transport af EUCI i overensstemmelse med denne afgørelse.

30.

EUCI, der transporteres i en bygning eller en selvstændig gruppe af bygninger, skal tildækkes for at forhindre observation af deres indhold.

31.

I en bygning eller en selvstændig gruppe af bygninger skal informationer, der er klassificeret TRÈS SECRET UE/EU TOP SECRET, transporteres i en sikret kuvert, hvorpå kun modtagerens navn er angivet.

32.

EUCI, der transporteres mellem bygninger eller lokaliteter inden for EU, skal pakkes således, at de er beskyttet mod uautoriseret videregivelse.

33.

Transport af informationer, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET, skal inden for Unionen ske på en af følgende måder:

Ved transport fra en medlemsstat til en anden finder bestemmelserne i litra c) kun anvendelse på informationer, der er klassificeret op til CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Informationer, der er klassificeret RESTREINT UE/EU RESTRICTED, kan også transporteres af posttjenester eller kommercielle kurertjenester. Et kurercertifikat er ikke påkrævet for transporten af sådanne oplysninger.

35.

Materiale, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET (f.eks. udstyr eller maskiner), der ikke kan transporteres på de i punkt 33 omhandlede måder, transporteres som fragt af kommercielle fragtfirmaer i overensstemmelse med bilag V.

36.

Transport af informationer, der er klassificeret TRÈS SECRET UE/EU TOP SECRET, mellem bygninger eller lokaliteter inden for Unionen, skal ske ved hjælp af militær, officiel eller diplomatisk kurer, alt efter hvad der er hensigtsmæssigt.

37.

EUCI, der transporteres fra Unionen til et tredjelands område, skal pakkes således, at de er beskyttet mod uautoriseret videregivelse.

38.

Transport af informationer, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET, fra Unionen til et tredjelands område, skal ske på en af følgende måder:

39.

Transport af informationer, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET, og som videregives af Unionen til et tredjeland eller en international organisation, skal overholde de relevante bestemmelser i en informationssikkerhedsaftale eller en administrativ ordning i henhold til artikel 13, stk. 2, litra a) eller b).

40.

Informationer, der er klassificeret RESTREINT UE/EU RESTRICTED, kan også transporteres af posttjenester eller kommercielle kurertjenester.

41.

Transport af informationer, der er klassificeret TRÈS SECRET UE/EU TOP SECRET, fra Unionen til et tredjelands område, skal ske ved hjælp af militær eller diplomatisk kurer.

42.

EU's klassificerede dokumenter, som der ikke længere er brug for, kan destrueres, jf. dog de relevante regler og bestemmelser om arkivering.

43.

Dokumenter, der er omfattet af registrering i henhold til artikel 9, stk. 2, destrueres af den ansvarlige registratur efter anvisning fra den, der er i besiddelse af dem, eller fra en kompetent myndighed. Journalerne og andre registreringsinformationer ajourføres i overensstemmelse hermed.

44.

For så vidt angår dokumenter, der er klassificeret SECRET UE/EU SECRET eller TRÈS SECRET UE/EU TOP SECRET, foretages destruktionen i overværelse af et vidne, der er sikkerhedsgodkendt til mindst den klassifikationsgrad, som det destruerede dokument har.

45.

Den registeransvarlige og vidnet, hvis dettes tilstedeværelse er påkrævet, underskriver en destruktionsattest, der opbevares i registraturen. Registraturen opbevarer destruktionsattester vedrørende dokumenter, der er klassificeret TRÈS SECRET UE/EU TOP SECRET, i en periode på mindst ti år og vedrørende dokumenter, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL og SECRET UE/EU SECRET, i en periode på mindst fem år.

46.

Klassificerede dokumenter, herunder dokumenter, der er klassificeret RESTREINT UE/EU RESTRICTED, destrueres ved metoder, som opfylder de relevante EU-standarder eller tilsvarende standarder eller er godkendt af medlemsstaterne i overensstemmelse med nationale tekniske standarder, for at forhindre hel eller delvis rekonstruktion.

47.

Destruktion af edb-lagringsmedier, der anvendes til lagring af EUCI, foregår i overensstemmelse med bilag IV, punkt 37.

48.

Hvis der i en nødsituation er overhængende fare for uautoriseret videregivelse, skal EUCI destrueres af den, der er i besiddelse af informationerne, på en sådan måde, at de ikke kan rekonstrueres helt eller delvis. Udstederen og det udstedende registratur skal underrettes om destruktionen af de registrerede EUCI i den pågældende nødsituation.

49.

Ordet »vurderingsbesøg« anvendes i det følgende som betegnelse for enhver form for

for at evaluere effektiviteten af foranstaltninger til beskyttelse af EUCI.

50.

Vurderingsbesøg udføres bl.a. for:

51.

Inden udgangen af hvert kalenderår vedtager Rådet det vurderingsbesøgsprogram, der er fastsat i artikel 16, stk. 1, litra c), for det efterfølgende år. De faktiske datoer for hvert vurderingsbesøg fastlægges efter aftale med det EU-organ eller -agentur, den medlemsstat, det tredjeland eller den internationale organisation, der er berørt.

52.

Vurderingsbesøg gennemføres for at kontrollere den besøgte enheds relevante regler, forskrifter og procedurer og for at kontrollere, at enhedens praksis er i overensstemmelse med grundprincipperne og minimumsstandarderne i denne afgørelse og i bestemmelserne for udveksling af klassificerede informationer med den pågældende enhed.

53.

Vurderingsbesøg gennemføres i to faser. Forud for selve besøget tilrettelægges der om nødvendigt et forberedende møde med den pågældende enhed. Efter dette forberedende møde opstiller vurderingsholdet efter aftale med den pågældende enhed et detaljeret vurderingsbesøgsprogram, der omfatter alle sikkerhedsområder. Vurderingsholdet bør have adgang til alle steder, hvor der håndteres EUCI, navnlig de steder, hvor registraturerne og CIS'erne findes.

54.

Vurderingsbesøg i medlemsstaternes nationale administrationer, tredjelande og internationale organisationer gennemføres i fuldt samarbejde med medarbejderne i den enhed, det tredjeland eller den internationale organisation, der besøges.

55.

Vurderingsbesøg i EU-organer, -agenturer, og -enheder, der anvender denne afgørelse eller principperne deri, gennemføres med ekspertbistand fra den NSA, på hvis område organet eller agenturet er beliggende.

56.

Ved vurderingsbesøg i EU- organer, -agenturer, og -enheder, der anvender denne afgørelse eller principperne deri, og i tredjelande og internationale organisationer kan der anmodes om bistand og bidrag fra NSA-eksperter i overensstemmelse med detaljerede ordninger, der skal aftales med Sikkerhedsudvalget.

57.

Ved afslutningen af vurderingsbesøget forelægges de vigtigste konklusioner og anbefalinger for den besøgte enhed. Der udarbejdes derefter en rapport om vurderingsbesøget. Hvis der foreslås korrigerende foranstaltninger og fremsættes anbefalinger, medtages der tilstrækkelige detaljer i rapporten til at understøtte konklusionerne. Rapporten fremsendes til den relevante myndighed for den besøgte enhed.

58.

For så vidt angår vurderingsbesøg i medlemsstaternes nationale administrationer gælder følgende:

Der udarbejdes regelmæssigt en rapport under GSR's sikkerhedsmyndigheds (Sikkerhedskontorets) ansvar, som fremhæver erfaringerne fra de vurderingsbesøg, der er gennemført i medlemsstaterne i en nærmere angivet periode og behandlet af Sikkerhedsudvalget.

59.

Med hensyn til vurderingsbesøg i tredjelande og internationale organisationer distribueres rapporten til Sikkerhedsudvalget. Rapporten skal mindst klassificeres som RESTREINT UE/EU RESTRICTED. Korrigerende foranstaltninger kontrolleres ved et opfølgningsbesøg og indberettes til Sikkerhedsudvalget.

60.

Med hensyn til vurderingsbesøg navnlig i EU-organer, -agenturer og -enheder, der anvender denne afgørelse eller principperne deri, distribueres rapporter om vurderingsbesøg til Sikkerhedsudvalget. Udkastet til rapport om vurderingsbesøget fremsendes til vedkommende agentur eller organ for at kontrollere, at den er faktuelt korrekt, og at den ikke indeholder informationer, der er klassificeret højere end RESTREINT UE/EU RESTRICTED. Korrigerende foranstaltninger kontrolleres ved et opfølgningsbesøg og indberettes til Sikkerhedsudvalget.

61.

GSR's sikkerhedsmyndighed gennemfører regelmæssigt inspektioner af organisatoriske enheder i GSR med de formål, der er fastlagt i punkt 50.

62.

GSR's sikkerhedsmyndighed (Sikkerhedskontoret) udarbejder og ajourfører en checkliste for de punkter, der skal kontrolleres under et vurderingsbesøg. Denne checkliste fremsendes til Sikkerhedsudvalget.

63.

Oplysninger til brug for checklisten indhentes, navnlig under besøget, hos de ledende sikkerhedsansvarlige i den enhed, der inspiceres. Når checklisten er udfyldt med de detaljerede svar, klassificeres den efter aftale med den inspicerede enhed. Den indgår ikke i inspektionsrapporten.

1.

Dette bilag indeholder bestemmelser til gennemførelse af artikel 10.

2.

Følgende IA-egenskaber og -koncepter er væsentlige for sikkerheden og for, at operationer i CIS'er kan fungere korrekt:

3.

Nedenstående bestemmelser er grundlaget for sikkerhedsbeskyttelse af al håndtering af EUCI i CIS'er. Detaljerede krav til gennemførelse af disse bestemmelser defineres i sikkerhedspolitikker og sikkerhedsretningslinjer for informationssikring.

4.

Sikkerhedsrisikostyringen skal være en integrerende del af at fastlægge, udvikle, drive og opretholde CIS'er. Risikostyringen (vurdering, behandling, accept og kommunikation) skal foregå som en gentagelsesproces, der gennemføres i fællesskab af repræsentanter for systemejere, projektmyndigheder, driftsmyndigheder og sikkerhedsgodkendelsesmyndigheder under anvendelse af en gennemprøvet, gennemsigtig og fuldt forståelig risikovurderingsproces. Anvendelsesområdet for CIS'et og dets aktiver skal klart defineres fra starten af risikostyringsprocessen.

5.

De kompetente myndigheder skal tage de potentielle trusler mod CIS'er op til revision og opretholde ajourførte og præcise trusselvurderinger, der afspejler det aktuelle operative miljø. De skal hele tiden ajourføre deres viden om spørgsmål i forbindelse med sårbarhed og regelmæssigt tage sårbarhedsvurderingen op til revision med afsæt i et informationsteknologimiljø (it-miljø) i stadig forandring.

6.

Formålet med sikkerhedsrisikobehandling er at anvende et sæt sikkerhedsforanstaltninger, der giver sig udslag i en tilfredsstillende balance mellem brugerkrav, omkostninger og residualrisiko.

7.

De specifikke krav og det detaljeringsomfang og den detaljeringsgrad, der fastlægges af den relevante SAA for akkreditering af et CIS, skal svare til den vurderede risiko under hensyntagen til alle relevante faktorer, herunder klassifikationsgraden for de EUCI, der håndteres i CIS'et. Akkreditering skal omfatte en formel udredning om residualrisikoen og en ansvarlig myndigheds accept af residualrisikoen.

8.

Opretholdelse af sikkerheden skal være et krav i hele CIS'ets livscyklus fra startfasen til udtagningen af drift.

9.

Den rolle, som hver enkelt aktør i et CIS spiller, og dens interaktion med hensyn til sikkerhed skal fastlægges for hver fase af livscyklussen.

10.

Ethvert CIS, herunder dets tekniske og ikketekniske sikkerhedsforanstaltninger, er underkastet afprøvning af sikkerheden under akkrediteringsprocessen for at sikre, at det relevante sikringsniveau er nået, og kontrollere, at de er korrekt implementeret, integreret og konfigureret.

11.

Der skal regelmæssigt udføres sikkerhedsvurderinger, -inspektioner og -revisioner under driften og vedligeholdelsen af et CIS, og når der opstår ekstraordinære omstændigheder.

12.

Sikkerhedsdokumentationen for et CIS skal udvikles i løbet af dets livscyklus som en integrerende del af ændrings- og konfigurationsstyringsprocessen.

13.

GSR og medlemsstaterne samarbejder om at udvikle bedste praksis for sikkerhedsbeskyttelse af EUCI, der håndteres i CIS'er. Retningslinjerne for bedste praksis skal omfatte de tekniske, fysiske, organisatoriske og proceduremæssige sikkerhedsforanstaltninger for CIS'er, som bevisligt er effektive med hensyn til imødegåelse af trusler og sårbarheder.

14.

Sikkerhedsbeskyttelsen af EUCI, der håndteres i CIS'er, skal trække på de erfaringer, som enheder involveret i IA både inden for og uden for Unionen har gjort.

15.

Udbredelsen og den efterfølgende gennemførelse af bedste praksis skal bidrage til at nå et ækvivalent sikringsniveau for de forskellige CIS'er, der drives af GSR og af medlemsstater, der håndterer EUCI.

16.

For at afbøde risikoen i forbindelse med CIS'er skal der gennemføres en række tekniske og ikketekniske sikkerhedsforanstaltninger, der er organiseret som en kæde af forsvarsmekanismer. Denne kæde skal omfatte:

a)   afskrækkelse: sikkerhedsforanstaltninger med det formål at afskrække fjendtlig planlægning af angreb på CIS'er

b)   forebyggelse: sikkerhedsforanstaltninger med det formål at hindre eller blokere angreb på CIS'er

c)   afsløring: sikkerhedsforanstaltninger med det formål at opdage angreb på CIS'er

d)   modstandsdygtighed: sikkerhedsforanstaltninger med det formål at begrænse virkningerne af et angreb til et minimum af informationer eller CIS-aktiver og afværge yderligere skade og

e)   genopretning: sikkerhedsforanstaltninger med det formål at genoprette en sikker situation for CIS'er.

Det skal afgøres ved en risikovurdering, hvor strenge disse tekniske sikkerhedsforanstaltninger skal være.

17.

NSA'en eller en anden kompetent myndighed skal sikre, at:

18.

Der implementeres kun de funktioner, det udstyr og de tjenester, der er vigtigst for at opfylde operative behov og undgå unødvendige risici.

19.

CIS-brugere og automatiserede processer skal kun gives den adgang, de privilegier eller de autorisationer, de har behov for til at udføre deres opgaver, med henblik på at begrænse enhver skade, der kan opstå ved uheld, fejl eller uautoriseret brug af CIS-ressourcer.

20.

De registreringsprocedurer, der udføres af et CIS, skal, hvor det er nødvendigt, kontrolleres som led i akkrediteringsprocessen.

21.

Den første forsvarslinje for CIS'ers sikkerhed er, at der er bevidsthed om risiciene, og at der findes sikkerhedsforanstaltninger. Det er navnlig nødvendigt, at alt det personale, der er involveret i CIS'ers livscyklus, herunder brugerne, forstår:

22.

For at sikre, at sikkerhedsansvaret forstås, skal IA-uddannelse og -bevidsthedstræning være obligatorisk for alt berørt personale, herunder ledere og CIS-brugere.

23.

Den nødvendige grad af tillid til sikkerhedsforanstaltningerne, defineret som et sikringsniveau, fastlægges i overensstemmelse med resultatet af risikostyringsprocessen og med de relevante sikkerhedspolitikker og sikkerhedsretningslinjer.

24.

Sikringsniveauet efterprøves ved at anvende internationalt anerkendte eller nationalt godkendte processer og metoder. Dette omfatter primært evaluering, kontrol og revision.

25.

Kryptoprodukter til sikkerhedsbeskyttelse af EUCI skal evalueres og godkendes af en national CAA i en medlemsstat.

26.

Inden de kan anbefales til godkendelse af Rådet eller generalsekretæren i overensstemmelse med artikel 10, stk. 6, skal sådanne kryptoprodukter undergå en andenpartsevaluering med positivt resultat foretaget af en kvalificeret evalueringsmyndighed (AQUA) i en medlemsstat, der ikke medvirker til at designe eller fremstille udstyret. Hvor detaljeret andenpartsevalueringen skal være, afhænger af den planlagte højeste klassifikationsgrad for de EUCI, der skal beskyttes ved hjælp af disse produkter. Rådet skal godkende en sikkerhedspolitik for evaluering og godkendelse af kryptoprodukter.

27.

Hvis det er berettiget af specifikke operative grunde, kan Rådet eller generalsekretæren, alt efter hvad der er relevant, efter henstilling fra Sikkerhedsudvalget dispensere fra kravene under punkt 25 eller 26 i nærværende bilag og udstede en midlertidig godkendelse for en specifik periode efter proceduren i artikel 10, stk. 6.

28.

Rådet, der handler efter henstilling fra Sikkerhedsudvalget, kan acceptere et tredjelands eller en international organisations evaluerings-, udvælgelses- og godkendelsesprocedure for kryptoprodukter og således anse disse kryptoprodukter for godkendt til sikkerhedsbeskyttelse af EUCI, der videregives til det pågældende tredjeland eller den pågældende internationale organisation.

29.

En AQUA skal være en CAA i en medlemsstat, der på grundlag af kriterier, som er fastsat af Rådet, er blevet akkrediteret til at foretage andenpartsevalueringen af kryptoprodukter til beskyttelse af EUCI.

30.

Rådet skal godkende en sikkerhedspolitik for kvalifikation og godkendelse af ikkekryptografiske it-sikkerhedsprodukter.

31.

Uanset bestemmelserne i denne afgørelse kan der ved transmission af EUCI inden for sikrede områder eller administrative områder anvendes ukrypteret transmission eller kryptering på et lavere niveau på grundlag af resultatet af en risikostyringsproces og med forbehold af godkendelse fra SAA'en.

32.

I denne afgørelse forstås ved systemsammenkobling direkte kobling af to eller flere it-systemer med henblik på udveksling af data og andre informationsressourcer (f.eks. kommunikation) i en eller flere retninger.

33.

Et CIS skal behandle et tilkoblet it-system som upålideligt og gennemføre beskyttelsesforanstaltninger for at kontrollere udvekslingen af klassificerede informationer.

34.

For alle sammenkoblinger af et CIS med et andet it-system skal følgende grundlæggende krav opfyldes:

35.

Der må ikke være nogen sammenkobling mellem et akkrediteret CIS og et ubeskyttet eller offentligt netværk, medmindre CIS'et har godkendt den BPS, der er installeret til dette formål mellem CIS'et og det ubeskyttede eller offentlige netværk. Sikkerhedsforanstaltningerne for sådanne sammenkoblinger skal tages op til revision af den kompetente IAA og godkendes af den kompetente SAA.

Hvis det ubeskyttede eller offentlige netværk udelukkende anvendes som bærer, og dataene er krypteret ved hjælp af et kryptoprodukt, som er godkendt i overensstemmelse med artikel 10, anses forbindelsen ikke for at være en sammenkobling.

36.

Direkte sammenkobling eller kaskadekobling mellem et CIS, der er godkendt til at håndtere informationer, der er klassificeret TRÈS SECRET UE/EU TOP SECRET, og et ubeskyttet eller offentligt netværk er forbudt.

37.

Edb-lagringsmedier skal destrueres i overensstemmelse med procedurer, der er godkendt af den kompetente sikkerhedsmyndighed.

38.

Edb-lagringsmedier skal genanvendes, nedklassificeres eller afklassificeres i overensstemmelse med sikkerhedsretningslinjer, der fastlægges i henhold til artikel 6, stk. 2.

39.

Uanset bestemmelserne i denne afgørelse kan de særlige procedurer, der er beskrevet i det følgende, anvendes i en nødsituation, f.eks. under forestående eller faktiske krise-, konflikt- eller krigssituationer eller under ekstraordinære operative forhold.

40.

EUCI kan transmitteres ved hjælp af kryptoprodukter, der er godkendt til en lavere klassifikationsgrad, eller endog ukrypteret med den kompetente myndigheds godkendelse, hvis enhver forsinkelse ville forvolde en skade, der er langt alvorligere end den skade, som videregivelse af det klassificerede materiale ville forvolde, og hvis:

41.

Klassificerede informationer, der transmitteres under de i punkt 39 nævnte omstændigheder, må ikke bære nogen mærkning eller påtegning, der skiller dem ud fra informationer, der er uklassificeret eller kan beskyttes ved hjælp af et disponibelt kryptoprodukt. Modtagerne skal med andre midler straks underrettes om klassifikationsgraden.

42.

Ved anvendelse af punkt 39 aflægges der efterfølgende rapport til den kompetente myndighed og Sikkerhedsudvalget.

43.

Følgende IA-funktioner skal etableres i medlemsstaterne og i GSR. Disse funktioner behøver ikke være organiseret i individuelle enheder. De skal have separate mandater. Disse funktioner og det medfølgende ansvar kan dog kombineres eller integreres i samme organisatoriske enhed eller opdeles i forskellige organisatoriske enheder, forudsat at det undgås, at der opstår interne interessekonflikter eller konflikter mellem arbejdsopgaver.

44.

Informationssikringsmyndigheden (IAA) er ansvarlig for:

45.

Tempestmyndigheden (TA) er ansvarlig for at sikre, at CIS'er er i overensstemmelse med Tempestpolitikkerne og -retningslinjerne. Den skal godkende Tempestmodforanstaltninger vedrørende anlæg og produkter til beskyttelse af EUCI til en bestemt klassifikationsgrad i det operative miljø.

46.

Kryptogodkendelsesmyndigheden (CAA) er ansvarlig for at sikre, at kryptoprodukter er i overensstemmelse med den nationale kryptopolitik eller Rådets kryptopolitik. Den skal godkende et kryptoprodukt til beskyttelse af EUCI til en bestemt klassifikationsgrad i det operative miljø. Med hensyn til medlemsstaterne er CAA desuden ansvarlig for at evaluere kryptoprodukter.

47.

Kryptodistributionsmyndigheden (CDA) er ansvarlig for:

48.

Sikkerhedsakkrediteringsmyndigheden (SAA) for hvert system er ansvarlig for:

49.

GSR's SAA er ansvarlig for akkreditering af alle CIS'er, der anvendes inden for GSR's kompetenceområde.

50.

En medlemsstats relevante SAA er ansvarlig for akkreditering af CIS'er og komponenter heraf, der anvendes inden for medlemsstatens kompetenceområde.

51.

Et fælles sikkerhedsakkrediteringsudvalg (SAB) er ansvarligt for akkreditering af CIS'er, der både henhører under GSR's SAA og medlemsstaternes SAA. Det består af en SAA-repræsentant fra hver medlemsstat med deltagelse af en SAA-repræsentant for Kommissionen. Andre enheder med knudepunkter i et CIS indbydes til at deltage, når det pågældende system drøftes.

SAB har en repræsentant for GSR's SAA som formand. Det træffer afgørelse ved konsensus blandt SAA-repræsentanterne for institutioner, medlemsstater og andre enheder med knudepunkter i CIS'et. Det aflægger regelmæssigt rapport om sine aktiviteter til Sikkerhedsudvalget og meddeler det alle akkrediteringsudredninger.

52.

Den operative IA-myndighed for hvert system er ansvarlig for:

1.

Dette bilag indeholder bestemmelser til gennemførelse af artikel 11. Det fastsætter generelle sikkerhedsbestemmelser, der er gældende for industrivirksomheder eller andre enheder under forhandlingerne forud for indgåelsen af en kontrakt og under hele livscyklussen for klassificerede kontrakter, der tildeles af GSR.

2.

Rådet godkender retningslinjer for industrisikkerhed, der navnlig indeholder detaljerede krav vedrørende FSC'er, de særlige sikkerhedsbetingelser (SAL), besøg, transmission og transport af EUCI.

3.

Inden der iværksættes et udbud eller tildeles en klassificeret kontrakt, skal GSR som kontraherende myndighed fastsætte klassifikationsgraden for informationer, som skal videregives til bydende og kontrahenter, samt klassifikationsgraden for informationer, som kontrahenten skal udarbejde. Med henblik herpå udarbejder GSR en SCG, der skal anvendes ved opfyldelsen af kontrakten.

4.

For at fastlægge klassifikationsgraden for de forskellige elementer i en klassificeret kontrakt anvendes følgende principper:

5.

Sikkerhedskravene for de enkelte kontrakter beskrives i SAL. SAL skal, når det er relevant, indeholde SCG og skal være en integrerende del af en klassificeret kontrakt eller underkontrakt.

6.

SAL skal indeholde bestemmelser om, at kontrahenten og/eller underkontrahenten skal opfylde minimumsstandarderne i denne afgørelse. Manglende overholdelse af minimumsstandarderne kan udgøre en tilstrækkelig grund til, at kontrakten ophæves.

7.

Afhængigt af omfanget af programmer eller projekter, der kræver adgang til eller håndtering eller opbevaring af EUCI, kan den kontraherende myndighed, der er udpeget til at forvalte programmet eller projektet, udarbejde specifikke PSI'er. PSI kræver godkendelse fra medlemsstaternes NSA'er/DSA'er eller anden berørt kompetent sikkerhedsmyndighed, der deltager i PSI'et, og kan indeholde yderligere sikkerhedskrav.

8.

En FSC meddeles af en medlemsstats NSA eller DSA eller anden kompetent sikkerhedsmyndighed som angivelse af, at en industrivirksomhed eller anden enhed i overensstemmelse med nationale love og bestemmelser kan sikkerhedsbeskytte EUCI med den relevante klassifikationsgrad (CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET) inden for sine faciliteter. Den skal forelægges for GSR som kontraherende myndighed, inden en kontrahent eller underkontrahent eller en potentiel kontrahent eller underkontrahent kan få rådighed over eller tildeles adgang til EUCI.

9.

Den relevante NSA eller DSA skal ved meddelelsen af en FSC som minimum:

10.

Når det er relevant, underretter GSR som kontraherende myndighed den relevante NSA/DSA eller anden kompetent sikkerhedsmyndighed om, at der er behov for en FSC i perioden forud for indgåelse af en kontrakt eller med henblik på opfyldelsen af en kontrakt. En FSC eller PSC er påkrævet i perioden forud for indgåelsen af en kontrakt, hvis EUCI, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET, skal videregives i løbet af udbudsproceduren.

11.

Den kontraherende myndighed tildeler ikke en klassificeret kontrakt til en udvalgt bydende, før den fra NSA'en/DSA'en eller anden kompetent sikkerhedsmyndighed i den medlemsstat, hvor den pågældende kontrahent eller underkontrahent er registreret, har fået bekræftet, at den relevante FSC, hvor det er påkrævet, er udstedt.

12.

Den NSA/DSA eller anden kompetent sikkerhedsmyndighed, der har udstedt en FSC, skal underrette GSR som kontraherende myndighed om ændringer, der berører FSC'en. I tilfælde af en underkontrakt underrettes NSA'en/DSA'en eller anden kompetent sikkerhedsmyndighed tilsvarende.

13.

Hvis den relevante NSA/DSA eller anden kompetent sikkerhedsmyndighed inddrager en FSC, er det en tilstrækkelig grund til, at GSR som kontraherende myndighed ophæver en klassificeret kontrakt eller udelukker en bydende fra udvælgelsen.

14.

Hvis EUCI videregives til en bydende i perioden forud for indgåelsen af en kontrakt, skal udbudsbekendtgørelsen indeholde en bestemmelse, der forpligter den bydende, der undlader at afgive bud, eller som ikke udvælges, til at returnere alle klassificerede dokumenter inden for en bestemt tidsfrist.

15.

Når der er tildelt en klassificeret kontrakt eller underkontrakt, underretter GSR som kontraherende myndighed kontrahentens eller underkontrahentens NSA/DSA eller anden kompetent sikkerhedsmyndighed om sikkerhedsbestemmelserne for den klassificerede kontrakt.

16.

Når sådanne kontrakter ophæves, underretter GSR som kontraherende myndighed (og/eller NSA'en/DSA'en eller anden kompetent sikkerhedsmyndighed i tilfælde af en underkontrakt, alt efter hvad der er hensigtsmæssigt) straks NSA'en/DSA'en eller anden kompetent sikkerhedsmyndighed i den medlemsstat, hvor kontrahenten eller underkontrahenten er registreret.

17.

Som hovedregel er kontrahenten eller underkontrahenten forpligtet til at returnere EUCI, som vedkommende er i besiddelse af, til den kontraherende myndighed ved ophævelsen af den klassificerede kontrakt eller underkontrakt.

18.

De særlige bestemmelser for bortskaffelse af EUCI under opfyldelsen af kontrakten eller ved dens ophævelse fastsættes i SAL.

19.

Er kontrahenten eller underkontrahenten autoriseret til at beholde EUCI efter kontraktens ophævelse, skal minimumsstandarderne i denne afgørelse fortsat opfyldes, og kontrahenten eller underkontrahenten skal beskytte EUCI's fortrolighed.

20.

De betingelser, hvorpå kontrahenten kan udbyde dele af kontrakten i underentreprise, skal fastsættes i udbuddet og i kontrakten.

21.

En kontrahent skal indhente tilladelse fra GSR som kontraherende myndighed, inden en del af en klassificeret kontrakt udbydes i underentreprise. En underkontrakt må ikke tildeles industrivirksomheder eller andre enheder, som er registreret i et tredjeland, der ikke har indgået en informationssikkerhedsaftale med Unionen.

22.

Kontrahenten er ansvarlig for at sikre, at alle underkontraheringsaktiviteter gennemføres i overensstemmelse med minimumsstandarderne i denne afgørelse, og må ikke videregive EUCI til en underkontrahent uden forudgående skriftligt samtykke fra den kontraherende myndighed.

23.

For så vidt angår EUCI, der udarbejdes eller håndteres af kontrahenten eller underkontrahenten, varetager den kontraherende myndighed udsteders rettigheder.

24.

Hvis GSR's, kontrahenters eller underkontrahenters personale skal have adgang til informationer, der er klassificeret CONFIDENTIEL UE/EU CONFIDENTIAL eller SECRET UE/EU SECRET, i hinandens lokaliteter med henblik på opfyldelse af en klassificeret kontrakt, skal der tilrettelægges besøg i samråd med de pågældende NSA'er/DSA'er eller anden berørt kompetent sikkerhedsmyndighed. I forbindelse med specifikke projekter kan NSA'en/DSA'en dog også aftale en procedure, hvorved sådanne besøg kan tilrettelægges direkte.

25.

Alle besøgende skal være i besiddelse af en relevant PSC og have need-to-know med henblik på adgang til EUCI vedrørende kontrakten med GSR.

26.

Besøgende kan kun få adgang til EUCI, der har relation til besøgets formål.

27.

For så vidt angår elektronisk transmission af EUCI anvendes de relevante bestemmelser i artikel 10 og bilag IV.

28.

For så vidt angår transport af EUCI anvendes de relevante bestemmelser i bilag III til denne afgørelse i overensstemmelse med nationale love og bestemmelser.

29.

For så vidt angår fragttransport af klassificeret materiale anvendes følgende principper ved fastlæggelsen af sikkerhedsordninger:

30.

EUCI videregives til kontrahenter og underkontrahenter i tredjelande i overensstemmelse med de sikkerhedsforanstaltninger, der er aftalt mellem GSR som kontraherende myndighed og NSA'en/DSA'en i det pågældende tredjeland, hvor kontrahenten er registreret.

31.

Sammen med medlemsstatens NSA/DSA, alt efter hvad der er hensigtsmæssigt, har GSR som kontraherende myndighed ret til at foretage inspektioner af kontrahenters/underkontrahenters faciliteter på grundlag af kontraktbestemmelser for at kontrollere, at de relevante sikkerhedsforanstaltninger til beskyttelse af EUCI, der er klassificeret RESTREINT UE/EU RESTRICTED, er iværksat som krævet ifølge kontrakten.

32.

I det omfang, det er nødvendigt i henhold til nationale love og bestemmelser, underrettes NSA'er/DSA'er eller anden kompetent sikkerhedsmyndighed af GSR som den kontraherende myndighed om kontrakter eller underkontrakter, der indeholder informationer, der er klassificeret RESTREINT UE/EU RESTRICTED.

33.

En FSC eller en PSC til kontrahenter eller underkontrahenter og deres personale er ikke påkrævet for kontrakter, der tildeles af GSR og indeholder informationer, som er klassificeret RESTREINT UE/EU RESTRICTED.

34.

GSR undersøger som kontraherende myndighed svarene på udbud vedrørende kontrakter, der kræver adgang til informationer, der er klassificeret RESTREINT UE/EU RESTRICTED, uanset de krav med hensyn til FSC eller PSC, der måtte findes i nationale love og bestemmelser.

35.

De betingelser, hvorpå kontrahenten kan udbyde dele af kontrakten i underentreprise, skal være i overensstemmelse med punkt 21.

36.

Hvis en kontrakt omfatter håndtering af informationer, der er klassificeret RESTREINT UE/EU RESTRICTED, i et CIS, som drives af en kontrahent, sikrer GSR som kontraherende myndighed, at kontrakten eller underkontrakten nærmere beskriver de nødvendige tekniske og administrative krav for akkreditering af CIS'et, som svarer til den vurderede risiko, under hensyntagen til alle relevante faktorer. Omfanget af akkrediteringen af et CIS aftales mellem den kontraherende myndighed og den relevante NSA/DSA.

1.

Dette bilag indeholder bestemmelser til gennemførelse af artikel 13.

2.

Hvis Rådet beslutter, at der er et langsigtet behov for udveksling af klassificerede informationer,

i overensstemmelse med artikel 13, stk. 2, og afsnit III og IV og på grundlag af en henstilling fra Sikkerhedsudvalget.

3.

Hvis EUCI, der er udarbejdet med henblik på en FSFP-operation, skal videregives til tredjelande eller internationale organisationer, der deltager i en sådan operation, og hvis ingen af rammerne i punkt 2 findes, reguleres udvekslingen af EUCI med det deltagende tredjeland eller den deltagende internationale organisation, i overensstemmelse med afsnit V, i:

4.

Hvis der ikke findes en ramme som omhandlet i punkt 2 og 3 og i tilfælde, hvor det besluttes at videregive EUCI til et tredjeland eller en international organisation på et ekstraordinært ad hoc-grundlag, jf. afsnit VI, indhentes der skriftlig garanti fra det pågældende tredjeland eller den pågældende internationale organisation for at sikre, at det/den beskytter de EUCI, der videregives, i overensstemmelse med grundprincipperne og minimumsstanderne i denne afgørelse.

5.

Informationssikkerhedsaftaler skal fastlægge grundprincipperne og minimumsstandarderne for udveksling af klassificerede informationer mellem Unionen og et tredjeland eller en international organisation.

6.

Informationssikkerhedsaftaler skal indeholde bestemmelser om tekniske gennemførelsesordninger, der aftales mellem de kompetente sikkerhedsmyndigheder i de relevante EU-institutioner og -organer og den kompetente sikkerhedsmyndighed i det pågældende tredjeland eller den pågældende internationale organisation. Ordningerne skal tage hensyn til beskyttelsesniveauet i de sikkerhedsforskrifter, -strukturer og -procedurer, der findes i tredjelandet eller den internationale organisation. De skal godkendes af Sikkerhedsudvalget.

7.

EUCI må ikke udveksles elektronisk i henhold til en informationssikkerhedsaftale, medmindre det udtrykkeligt er fastsat i aftalen eller i de tilsvarende tekniske gennemførelsesordninger.

8.

Når Rådet indgår en informationssikkerhedsaftale, udpeges en registratur hos hver part som hovedkanal for ind- og udgående udveksling af klassificerede informationer.

9.

For at vurdere effektiviteten af sikkerhedsforskrifterne, -strukturerne og -procedurerne i det pågældende tredjeland eller den pågældende internationale organisation gennemføres der vurderingsbesøg efter fælles aftale med tredjelandet eller den internationale organisation. Vurderingsbesøg gennemføres i overensstemmelse med de relevante bestemmelser i bilag III, og følgende evalueres:

10.

Det hold, der gennemfører et vurderingsbesøg på vegne af Unionen, skal vurdere, om sikkerhedsforskrifterne og -procedurerne i det pågældende tredjeland eller den pågældende internationale organisation er tilstrækkelige med henblik på beskyttelse af EUCI med en bestemt klassifikationsgrad.

11.

Resultaterne af sådanne besøg beskrives i en rapport, som danner grundlag for Sikkerhedsudvalgets beslutning om den højeste klassifikationsgrad for de EUCI, der kan udveksles i papirform og, hvis det er relevant, elektronisk med den berørte tredjepart, samt eventuelle særlige betingelser for udveksling med denne part.

12.

Alle bestræbelser skal sættes ind på at gennemføre et fuldt sikkerhedsvurderingsbesøg til det pågældende tredjeland eller den pågældende internationale organisation, inden Sikkerhedsudvalget godkender gennemførelsesordningerne, med henblik på at fastslå arten og effektiviteten af det sikkerhedssystem, der forefindes. Hvis dette imidlertid ikke er muligt, skal Sikkerhedsudvalget modtage så fuldstændig en rapport som muligt fra GSR's Sikkerhedskontor, baseret på de informationer, det råder over, der orienterer Sikkerhedsudvalget om de sikkerhedsforskrifter, der anvendes, og om den måde, hvorpå sikkerheden er organiseret i tredjelandet eller den internationale organisation.

13.

Rapporten om vurderingsbesøget eller, såfremt der ikke foreligger en sådan rapport, den rapport, der er omhandlet i punkt 12, fremsendes til Sikkerhedsudvalget, der skal vurdere den som tilfredsstillende, inden EUCI rent faktisk videregives til det pågældende tredjeland eller den pågældende internationale organisation.

14.

EU-institutionernes og -organernes kompetente sikkerhedsmyndigheder meddeler tredjelandet eller den internationale organisation den dato, fra hvilken Unionen er i stand til at videregive EUCI i henhold til aftalen, samt den højeste klassifikationsgrad for de EUCI, der kan udveksles i papirform eller elektronisk.

15.

Opfølgende vurderingsbesøg gennemføres efter behov, navnlig hvis:

16.

Når informationssikkerhedsaftalen er i kraft, og der udveksles klassificerede informationer med det pågældende tredjeland eller den pågældende internationale organisation, kan Sikkerhedsudvalget beslutte at ændre den højeste klassifikationsgrad for de EUCI, der kan udveksles i papirform eller elektronisk, navnlig i lyset af opfølgende vurderingsbesøg.

17.

Hvis der er et langsigtet behov for udveksling af informationer, der som hovedregel ikke må være klassificeret højere end RESTREINT UE/EU RESTRICTED, med et tredjeland eller en international organisation, og Sikkerhedsudvalget har fastslået, at den pågældende parts sikkerhedssystem ikke er tilstrækkelig udviklet til, at der kan indgås en informationssikkerhedsaftale, kan generalsekretæren, med forbehold af Rådets godkendelse, på vegne af GSR indgå en administrativ ordning med de relevante myndigheder i det pågældende tredjeland eller den pågældende internationale organisation.

18.

Hvis der, af presserende operative grunde, er behov for hurtigt at etablere en ramme for udveksling af klassificerede informationer, kan Rådet undtagelsesvis beslutte, at der kan indgås en administrativ ordning for udveksling af informationer med en højere klassifikationsgrad.

19.

Administrative ordninger skal som hovedregel have form af en brevveksling.

20.

Der gennemføres et vurderingsbesøg som omhandlet i punkt 9, og rapporten eller, såfremt der ikke foreligger en sådan rapport, den rapport, der er omhandlet i punkt 12, fremsendes til Sikkerhedsudvalget, der skal vurdere den som tilfredsstillende, inden EUCI rent faktisk videregives til det pågældende tredjeland eller den pågældende internationale organisation.

21.

EUCI må ikke udveksles elektronisk i henhold til en administrativ ordning, medmindre det udtrykkeligt er fastsat i ordningen.

22.

Rammeaftaler om deltagelse regulerer tredjelandes og internationale organisationers deltagelse i FSFP-operationer. Sådanne aftaler skal indeholde bestemmelser om videregivelse af EUCI, der er udarbejdet med henblik på FSFP-operationer, til de deltagende tredjelande eller internationale organisationer. Den højeste klassifikationsgrad for de EUCI, der kan udveksles, skal være RESTREINT UE/EU RESTRICTED for civile FSFP-operationer og CONFIDENTIEL UE/EU CONFIDENTIAL for militære FSFP-operationer, medmindre andet er fastlagt i afgørelsen om oprettelse af den enkelte FSFP-operation.

23.

Ad hoc-aftaler om deltagelse, der indgås med henblik på en bestemt FSFP-operation, skal indeholde bestemmelser om videregivelse af EUCI, der er udarbejdet med henblik på den pågældende operation, til det deltagende tredjeland eller den deltagende internationale organisation. Den højeste klassifikationsgrad for de EUCI, der kan udveksles, skal være RESTREINT UE/EU RESTRICTED for civile FSFP-operationer og CONFIDENTIEL UE/EU CONFIDENTIAL for militære FSFP-operationer, medmindre andet er fastlagt i afgørelsen om oprettelse af den enkelte FSFP-operation.

24.

Hvis der ikke foreligger en informationssikkerhedsaftale, og indtil der er indgået en aftale om deltagelse, reguleres videregivelsen af EUCI, der er udarbejdet med henblik på operationen, til et tredjeland eller en international organisation, der deltager i operationen, i en administrativ ordning, der indgås af den højtstående repræsentant, eller med forbehold af en afgørelse om en ad hoc-videregivelse i overensstemmelse med afsnit VI. EUCI må kun udveksles i henhold til en sådan ordning, så længe der stadig regnes med deltagelse af tredjelandet eller den internationale organisation. Den højeste klassifikationsgrad for de EUCI, der kan udveksles, skal være RESTREINT UE/EU RESTRICTED for civile FSFP-operationer og CONFIDENTIEL UE/EU CONFIDENTIAL for militære FSFP-operationer, medmindre andet er fastlagt i afgørelsen om oprettelse af den enkelte FSFP-operation.

25.

De bestemmelser om klassificerede informationer, der skal indgå i rammeaftaler om deltagelse, ad hoc-aftaler om deltagelse og administrative ad hoc-ordninger, jf. punkt 22-24, skal fastsætte, at det pågældende tredjeland eller den pågældende internationale organisation sikrer, at det personale, landet eller organisationen udstationerer til en given operation, vil beskytte EUCI i overensstemmelse med Rådets sikkerhedsregler og yderligere anvisninger udstedt af de kompetente myndigheder, herunder operationens kommandokæde.

26.

Hvis der efterfølgende indgås en informationssikkerhedsaftale mellem Unionen og et deltagende tredjeland eller en deltagende international organisation, erstatter informationssikkerhedsaftalen de bestemmelser om udveksling af klassificerede informationer, der er fastlagt i enhver rammeaftale om deltagelse, ad hoc-aftale om deltagelse eller administrativ ad hoc-ordning, for så vidt angår udveksling og håndtering af EUCI.

27.

Elektronisk udveksling af EUCI er ikke tilladt i henhold til en rammeaftale om deltagelse, en ad hoc-aftale om deltagelse eller en administrativ ad hoc-ordning med et tredjeland eller en international organisation, medmindre det udtrykkeligt er fastsat i den pågældende aftale eller ordning.

28.

EUCI, der er udarbejdet med henblik på en FSFP-operation, kan videregives til personale, som tredjelande eller internationale organisationer har udstationeret til den pågældende operation i overensstemmelse med punkt 22-27. Når sådant personale autoriseres til at få adgang til EUCI i en FSFP-operations lokaliteter eller CIS'er, skal der træffes foranstaltninger til at afbøde risikoen for tab eller kompromittering (herunder registrering af de videregivne EUCI). Sådanne foranstaltninger defineres i relevante planlægnings- eller missionsdokumenter.

29.

Hvis der ikke foreligger en informationssikkerhedsaftale, kan videregivelsen af EUCI i tilfælde af et specifikt og øjeblikkeligt operativt behov til det værtsland, på hvis område en FSFP-operation gennemføres, reguleres i en administrativ ordning, der indgås af den højtstående repræsentant. Denne mulighed skal fastsættes i afgørelsen om oprettelse af FSFP-operationen. EUCI, der videregives under sådanne omstændigheder, skal begrænses til de informationer, der er udarbejdet med henblik på FSFP-operationen og højst er klassificeret RESTREINT UE/EU RESTRICTED, medmindre en højere klassifikationsgrad er fastsat i afgørelsen om oprettelse af FSFP-operationen. I henhold til en sådan administrativ ordning skal værtsstaten give tilsagn om at beskytte EUCI i overensstemmelse med minimumsstandarder, der mindst svarer til dem, der er fastsat i denne afgørelse.

30.

Hvis der ikke foreligger en informationssikkerhedsaftale, kan videregivelsen af EUCI til andre relevante tredjelande og internationale organisationer end dem, der deltager i en FSFP-operation, reguleres i en administrativ ordning, der indgås af den højtstående repræsentant. Hvor det er relevant, skal denne mulighed samt eventuelle dertil knyttede betingelser være fastsat i afgørelsen om oprettelse af FSFP-operationen. EUCI, der videregives under sådanne omstændigheder, skal begrænses til de informationer, der er udarbejdet med henblik på FSFP-operationen og højst er klassificeret RESTREINT UE/EU RESTRICTED, medmindre en højere klassifikationsgrad er fastsat i afgørelsen om oprettelse af FSFP-operationen. I henhold til en sådan administrativ ordning skal det pågældende tredjeland eller den pågældende internationale organisation give tilsagn om at beskytte EUCI i overensstemmelse med minimumsstandarder, der mindst svarer til dem, der er fastsat i denne afgørelse.

31.

Ingen gennemførelsesordninger eller vurderingsbesøg er nødvendige, før bestemmelserne om videregivelse af EUCI som led i punkt 22, 23 og 24 gennemføres.

32.

Hvis der ikke er etableret en ramme i overensstemmelse med afsnit III-V, og Rådet eller et af dets forberedende organer beslutter, at der er et ekstraordinært behov for at videregive EUCI til et tredjeland eller en international organisation, skal GSR:

33.

Hvis Sikkerhedsudvalget i sin henstilling går ind for at videregive EUCI, forelægges sagen for De Faste Repræsentanters Komité (Coreper), der træffer afgørelse om videregivelsen.

34.

Hvis Sikkerhedsudvalget i sin henstilling ikke går ind for at videregive EUCI, sker følgende:

35.

Hvis det skønnes hensigtsmæssigt, kan Coreper med forbehold af forudgående skriftligt samtykke fra udstederen beslutte, at de klassificerede informationer kun må videregives delvist eller kun, hvis de forinden nedklassificeres eller afklassificeres, eller at de informationer, der skal videregives, skal udformes uden henvisning til kilden eller den oprindelige EU-klassifikationsgrad.

36.

Hvis det besluttes at videregive EUCI, fremsender GSR det pågældende dokument med en videregivelsespåtegning, der angiver det tredjeland eller den internationale organisation, som informationerne er videregivet til. Inden eller ved den faktiske videregivelse skal den berørte tredjepart skriftligt give tilsagn om at beskytte de EUCI, den modtager, i overensstemmelse med de grundprincipper og minimumsstandarder, der er fastlagt i denne afgørelse.

37.

Hvis der findes en ramme som omhandlet i punkt 2 for udveksling af klassificerede informationer med et tredjeland eller en international organisation, træffer Rådet afgørelse om bemyndigelse af generalsekretæren til i overensstemmelse med princippet om udstederens samtykke at videregive EUCI til det pågældende tredjeland eller den pågældende internationale organisation. Generalsekretæren kan uddelegere en sådan bemyndigelse til højtstående tjenestemænd i GSR.

38.

Når der findes en informationssikkerhedsaftale som omhandlet i punkt 2, første led, kan Rådet træffe afgørelse om bemyndigelse af den højtstående repræsentant til at videregive EUCI, der er udfærdiget i Rådet inden for den fælles udenrigs- og sikkerhedspolitik, efter at have indhentet samtykke fra udstederen af eventuelt kildemateriale indeholdt deri, til det pågældende tredjeland eller den pågældende internationale organisation. Den højtstående repræsentant kan uddelegere en sådan bemyndigelse til højtstående tjenestemænd i EU-Udenrigstjenesten eller til EUSR'er.

39.

Hvis der findes en ramme som omhandlet i punkt 2 eller 3 for udveksling af klassificerede informationer med et tredjeland eller en international organisation, er den højtstående repræsentant bemyndiget til at videregive EUCI i overensstemmelse med afgørelsen om oprettelse af FSFP-operationen og med princippet om udstederens samtykke. Den højtstående repræsentant kan uddelegere en sådan bemyndigelse til højtstående tjenestemænd i EU-Udenrigstjenesten, til den øverstbefalende for en operation, styrke eller mission eller til chefer for EU-missioner.