17.3.2015

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 72/53

---

ΑΠΌΦΑΣΗ (ΕΚ, Ευρατόμ) 2015/444 ΤΗΣ ΕΠΙΤΡΟΠΉΣ

της 13ης Μαρτίου 2015

σχετικά με τους κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 249,

Έχοντας υπόψη τη Συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας Ατομικής Ενέργειας, και ιδίως το άρθρο 106,

Έχοντας υπόψη το πρωτόκολλο αριθ. 7 περί των προνομίων και ασυλιών της Ευρωπαϊκής Ένωσης που προσαρτάται στις Συνθήκες, και ιδίως το άρθρο 18,

Εκτιμώντας τα ακόλουθα:

(1)	Οι διατάξεις ασφαλείας της Επιτροπής σχετικά με την προστασία των διαβαθμισμένων πληροφοριών της Ευρωπαϊκής Ένωσης (ΔΠΕΕ) πρέπει να επανεξεταστούν και να επικαιροποιηθούν, λαμβανομένων υπόψη των θεσμικών, οργανωτικών, επιχειρησιακών και τεχνολογικών εξελίξεων.

(2)	Η Ευρωπαϊκή Επιτροπή έχει συνάψει πράξεις σχετικά με θέματα ασφαλείας για τους κύριους τόπους εργασίας της με τις κυβερνήσεις του Βελγίου, του Λουξεμβούργου και της Ιταλίας. (1)

(3)	Η Επιτροπή, το Συμβούλιο και η Ευρωπαϊκή Υπηρεσία Εξωτερικής Δράσης έχουν δεσμευθεί να εφαρμόζουν ισοδύναμες προδιαγραφές ασφαλείας για την προστασία των ΔΠΕΕ.

(4)

Πρέπει να αποδοθεί ιδιαίτερη σημασία στη συμμετοχή του Ευρωπαϊκού Κοινοβουλίου και άλλων θεσμικών οργάνων, υπηρεσιών, οργανισμών ή γραφείων της Ένωσης, όπου ενδείκνυται, στην εφαρμογή των αρχών, προδιαγραφών και κανόνων προστασίας των διαβαθμισμένων πληροφοριών που απαιτούνται για την προστασία των συμφερόντων της Ένωσης και των κρατών μελών της.

(5)

Οι κίνδυνοι κατά των ΔΠΕΕ αντιμετωπίζονται στο πλαίσιο διαδικασίας. Η διαδικασία αυτή αποσκοπεί στον προσδιορισμό των γνωστών κινδύνων κατά της ασφάλειας, τον καθορισμό μέτρων ασφαλείας για τον περιορισμό των κινδύνων αυτών σε αποδεκτό επίπεδο σύμφωνα με τις βασικές αρχές και τις ελάχιστες προδιαγραφές της παρούσας απόφασης και στην εφαρμογή των εν λόγω μέτρων σύμφωνα με την έννοια της ασφάλειας εις βάθος. Η αποτελεσματικότητα των εν λόγω μέτρων τελεί υπό συνεχή αξιολόγηση.

(6)	Εντός της Επιτροπής, φυσική ασφάλεια, η οποία αποσκοπεί στην προστασία των διαβαθμισμένων πληροφοριών, είναι η εφαρμογή φυσικών και τεχνικών μέτρων προστασίας προκειμένου να παρεμποδίζεται η αναρμόδια πρόσβαση σε ΔΠΕΕ.

(7)

Διαχείριση των ΔΠΕΕ είναι η εφαρμογή διοικητικών μέτρων για τον έλεγχο των ΔΠΕΕ καθ' όλη τη διάρκεια του κύκλου ζωής τους με στόχο τη συμπλήρωση των μέτρων που προβλέπονται στα κεφάλαια 2, 3 και 5 της παρούσας απόφασης και την κατ' αυτόν τον τρόπο συμβολή στην αποτροπή και ανίχνευση εσκεμμένων ή τυχαίων διαρροών ή απωλειών των εν λόγω πληροφοριών, καθώς και στην ανάκτησή τους. Τα εν λόγω μέτρα αφορούν ειδικότερα τη δημιουργία, την αποθήκευση, την καταχώριση, την αντιγραφή, τη μετάφραση, τον υποχαρακτηρισμό, τον αποχαρακτηρισμό, τη μεταφορά και την καταστροφή των ΔΠΕΕ και συμπληρώνουν τους γενικούς κανόνες για τη διαχείριση των εγγράφων της Επιτροπής (απόφαση 2002/47/ΕΚ, ΕΚΑΧ, Ευρατόμ (2) και απόφαση 2004/563/ΕΚ, Ευρατόμ (3)).

(8)

Οι διατάξεις της παρούσας απόφασης ισχύουν με την επιφύλαξη: α) του κανονισμού (Ευρατόμ) αριθ. 3 (4)· β) του κανονισμού (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (5)· γ) του κανονισμού (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6)· δ) του κανονισμού (ΕΟΚ, Ευρατόμ) αριθ. 354/83 (7),

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

ΚΕΦΑΛΑΙΟ 1

ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΚΑΙ ΕΛΑΧΙΣΤΕΣ ΠΡΟΔΙΑΓΡΑΦΕΣ

Άρθρο 1

Ορισμοί

Για τους σκοπούς της παρούσας απόφασης, ισχύουν οι ακόλουθοι ορισμοί:

1)	ως «τμήμα της Επιτροπής» νοείται κάθε Γενική Διεύθυνση ή υπηρεσία της Επιτροπής ή ιδιαίτερο γραφείο μέλους της Επιτροπής·

2)	ως «κρυπτογραφικό υλικό» νοούνται οι κρυπτογραφικοί αλγόριθμοι, το κρυπτογραφικό υλικό και οι ενότητες λογισμικού, καθώς και τα προϊόντα που περιέχουν λεπτομέρειες εφαρμογής και τη συναφή τεκμηρίωση και το υλικό πληκτρολόγησης·

3)	ως «αποχαρακτηρισμός» νοείται η κατάργηση οποιασδήποτε διαβάθμισης ασφαλείας·

4)	ως «ασφάλεια εις βάθος» νοείται η εφαρμογή μιας σειράς μέτρων ασφαλείας, τα οποία οργανώνονται ως πολλαπλά επίπεδα άμυνας·

5)	ως «έγγραφο» νοείται κάθε καταγεγραμμένη πληροφορία ανεξαρτήτως φυσικής μορφής ή χαρακτηριστικών·

6)	ως «υποχαρακτηρισμός» νοείται η μείωση του επιπέδου της διαβάθμισης ασφαλείας·

7)

ως «χειρισμός» ΔΠΕΕ νοούνται όλες οι δυνατές ενέργειες στις οποίες είναι δυνατόν να υποβληθούν οι ΔΠΕΕ καθ' όλη τη διάρκεια του κύκλου ζωής τους. Περιλαμβάνει τη δημιουργία, την επεξεργασία, τη μεταφορά, τον υποχαρακτηρισμό, τον αποχαρακτηρισμό και την καταστροφή τους. Σε σχέση με τα συστήματα επικοινωνίας και πληροφοριών (CIS) περιλαμβάνει επίσης τη συλλογή, την επίδειξη, τη διαβίβαση και την αποθήκευσή τους·

8)	ως «κάτοχος» νοείται το δεόντως εξουσιοδοτημένο πρόσωπο με προσδιορισμένη ανάγκη γνώσης που κατέχει ένα στοιχείο ΔΠΕΕ και είναι αντιστοίχως υπεύθυνο για την προστασία του·

9)	ως «κανόνες εφαρμογής» νοείται κάθε σύνολο κανόνων ή κοινοποιήσεων ασφαλείας που εκδίδονται σύμφωνα με το κεφάλαιο 5 της απόφασης (ΕΕ, Ευρατόμ) 2015/443 της Επιτροπής (8)·

10)	ως «υλικό» νοείται κάθε μέσο αποθήκευσης, φορέας δεδομένων ή στοιχείο μηχανημάτων ή εξοπλισμού που έχει ήδη κατασκευαστεί ή είναι υπό κατασκευή·

11)	ως «φορέας προέλευσης» νοείται το θεσμικό όργανο, οργανισμός ή υπηρεσία της ΕΕ, κράτος μέλος, τρίτο κράτος ή διεθνής οργανισμός υπό την εξουσία του οποίου διαβαθμισμένες πληροφορίες έχουν δημιουργηθεί ή/και εισαχθεί στις δομές της ΕΕ·

12)	ως «εγκαταστάσεις» νοούνται τα στοιχεία ακίνητης ή εξομοιούμενης περιουσίας που ανήκουν στην ιδιοκτησία ή βρίσκονται στην κατοχή της Επιτροπής·

13)

ως «διαδικασία διαχείρισης κινδύνων ασφαλείας» νοείται το σύνολο της διαδικασίας εντοπισμού, ελέγχου και ελαχιστοποίησης αβέβαιων γεγονότων που μπορούν να θίξουν την ασφάλεια οργανισμού ή οποιουδήποτε από τα συστήματα που χρησιμοποιεί. Καλύπτει το σύνολο των δραστηριοτήτων σχετικά με τους κινδύνους, περιλαμβανομένης της αξιολόγησης, της επεξεργασίας, της αποδοχής και της κοινοποίησης·

14)	ως «κανονισμός υπηρεσιακής κατάστασης» νοείται ο κανονισμός υπηρεσιακής κατάστασης των υπαλλήλων της Ευρωπαϊκής Ένωσης και το καθεστώς που εφαρμόζεται στο λοιπό προσωπικό της Ευρωπαϊκής Ένωσης, όπως ορίζονται στον κανονισμό (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου (9)·

15)	ως «απειλή» νοείται η πιθανή αιτία ανεπιθύμητου συμβάντος που μπορεί να θίξει έναν οργανισμό ή οποιοδήποτε από τα συστήματα που χρησιμοποιεί· οι απειλές μπορεί να είναι τυχαίες ή εσκεμμένες (δόλιες) και χαρακτηρίζονται από απειλητικά στοιχεία, πιθανούς στόχους και μεθόδους επίθεσης·

16)

ως «τρωτό σημείο» νοείται κάθε είδους αδυναμία που μπορούν να εκμεταλλευθούν μία ή περισσότερες απειλές. Το τρωτό σημείο μπορεί να προκύπτει από παράλειψη ή να απορρέει από αδυναμία των ελέγχων όσον αφορά την αυστηρότητα, την πληρότητα ή τη σταθερότητά τους, μπορεί δε να είναι τεχνικής, διαδικαστικής, φυσικής, οργανωτικής ή επιχειρησιακής φύσης.

Άρθρο 2

Αντικείμενο και πεδίο εφαρμογής

1.   Η παρούσα απόφαση καθορίζει τις βασικές αρχές και τις ελάχιστες προδιαγραφές ασφαλείας για την προστασία των ΔΠΕΕ.

2.   Η παρούσα απόφαση εφαρμόζεται σε όλα τα τμήματα και σε όλες τις εγκαταστάσεις της Επιτροπής.

3.   Με την επιφύλαξη τυχόν ειδικών ενδείξεων που αφορούν συγκεκριμένες ομάδες προσωπικού, η παρούσα απόφαση εφαρμόζεται στα μέλη της Επιτροπής, στο προσωπικό της Επιτροπής που εμπίπτει στο πεδίο εφαρμογής του κανονισμού υπηρεσιακής κατάστασης και του καθεστώτος που εφαρμόζεται επί του λοιπού προσωπικού της Ευρωπαϊκής Ένωσης, στους εθνικούς εμπειρογνώμονες που είναι αποσπασμένοι στην Επιτροπή (ΑΕΕ), στους παρόχους υπηρεσιών και στο προσωπικό τους, στους ασκουμένους και σε κάθε πρόσωπο που έχει πρόσβαση σε κτίρια ή άλλα περιουσιακά στοιχεία της Επιτροπής ή σε πληροφορίες τις οποίες χειρίζεται η Επιτροπή.

4.   Οι διατάξεις της παρούσας απόφασης εφαρμόζονται με την επιφύλαξη της απόφασης 2002/47/ΕΚ, ΕΚΑΧ, Ευρατόμ και της απόφασης 2004/563/ΕΚ, Ευρατόμ.

Άρθρο 3

Ορισμός των ΔΠΕΕ, διαβαθμίσεις και σημάνσεις ασφαλείας

1.   Ως «διαβαθμισμένες πληροφορίες της Ευρωπαϊκής Ένωσης» (ΔΠΕΕ) νοείται κάθε πληροφορία ή υλικό που έχει χαρακτηριστεί με διαβάθμιση ασφαλείας ΕΕ και των οποίων η άνευ αδείας κοινολόγηση μπορεί να βλάψει ποικιλοτρόπως τα συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών.

2.   Οι ΔΠΕΕ διαβαθμίζονται σε ένα από τα παρακάτω επίπεδα:

α)   TRES SECRET UE/EU TOP SECRET: πληροφορίες και υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να προξενήσει εξαιρετικά σοβαρή ζημία στα ζωτικά συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών·

β)   SECRET UE/EU SECRET: πληροφορίες και υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να βλάψει σοβαρά τα ζωτικά συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών της·

γ)   CONFIDENTIEL UE/EU CONFIDENTIAL: πληροφορίες και υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να βλάψει τα ζωτικά συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών της·

δ)   RESTREINT UE/EU RESTRICTED: πληροφορίες και υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να είναι αντίθετη προς τα συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών της.

3.   Οι ΔΠΕΕ φέρουν σήμανση διαβάθμισης ασφαλείας σύμφωνα με την παράγραφο 2. Μπορούν να φέρουν πρόσθετες σημάνσεις, οι οποίες δεν αποτελούν σημάνσεις διαβάθμισης, αλλά με τις οποίες ορίζεται ο τομέας δραστηριότητας με τον οποίο σχετίζονται, προσδιορίζεται ο φορέας προέλευσης, περιορίζεται η διανομή, περιορίζεται η χρήση ή δηλώνεται η δυνατότητα κοινοποίησης.

Άρθρο 4

Διαχείριση των διαβαθμίσεων

1.   Κάθε μέλος της Επιτροπής ή τμήμα της Επιτροπής μεριμνά για την ορθή διαβάθμιση των ΔΠΕΕ που δημιουργεί, για τον σαφή προσδιορισμό τους ως διαβαθμισμένων πληροφοριών, καθώς και για τη διατήρηση του επιπέδου διαβάθμισής τους μόνο για το διάστημα που είναι απαραίτητο.

2.   Με την επιφύλαξη των διατάξεων του άρθρου 26 κατωτέρω, οι ΔΠΕΕ δεν υποχαρακτηρίζονται ούτε αποχαρακτηρίζονται ούτε τροποποιείται ή αφαιρείται οποιαδήποτε από τις σημάνσεις διαβάθμισης ασφαλείας που αναφέρονται στο άρθρο 3 παράγραφος 2 χωρίς την προηγούμενη γραπτή συγκατάθεση του φορέα προέλευσης.

3.   Κατά περίπτωση, εκδίδονται, σύμφωνα με το άρθρο 60 κατωτέρω, κανόνες εφαρμογής σχετικά με τον χειρισμό των ΔΠΕΕ, συμπεριλαμβανομένου πρακτικού οδηγού των διαβαθμίσεων ασφαλείας.

Άρθρο 5

Προστασία διαβαθμισμένων πληροφοριών

1.   Η προστασία των ΔΠΕΕ γίνεται σύμφωνα με την παρούσα απόφαση και τους κανόνες εφαρμογής της.

2.   Ο κάτοχος κάθε ΔΠΕΕ είναι υπεύθυνος για την προστασία της σύμφωνα με την παρούσα απόφαση και τους κανόνες εφαρμογής της, δυνάμει των κανόνων που καθορίζονται στο κεφάλαιο 4 κατωτέρω.

3.   Όταν τα κράτη μέλη αποστέλλουν διαβαθμισμένες πληροφορίες με εθνική σήμανση διαβάθμισης ασφαλείας στις δομές ή στα δίκτυα της Επιτροπής, η Επιτροπή προστατεύει τις πληροφορίες αυτές σύμφωνα με τις απαιτήσεις που ισχύουν για τις ΔΠΕΕ στο αντίστοιχο επίπεδο, όπως ορίζεται στον πίνακα αντιστοιχίας των διαβαθμίσεων ασφαλείας του παραρτήματος I.

4.   Ένα σύνολο ΔΠΕΕ μπορεί να δικαιολογεί επίπεδο προστασίας που να αντιστοιχεί σε υψηλότερη διαβάθμιση από αυτήν των επιμέρους στοιχείων του.

Άρθρο 6

Διαχείριση των κινδύνων ασφαλείας

1.   Τα μέτρα ασφαλείας για την προστασία των ΔΠΕΕ καθ' όλη τη διάρκεια του κύκλου ζωής τους πρέπει να είναι ανάλογα ιδίως προς τη διαβάθμιση ασφαλείας τους, τη μορφή και τον όγκο των πληροφοριών ή του υλικού, την τοποθεσία και την κατασκευή των εγκαταστάσεων όπου βρίσκονται οι ΔΠΕΕ και την επιτόπου εκτιμώμενη απειλή δόλιων ή/και εγκληματικών δραστηριοτήτων, συμπεριλαμβανομένης της κατασκοπείας, της δολιοφθοράς και της τρομοκρατίας.

2.   Τα σχέδια έκτακτης ανάγκης λαμβάνουν υπόψη την ανάγκη προστασίας των ΔΠΕΕ σε καταστάσεις έκτακτης ανάγκης προκειμένου να εμποδίζονται η αναρμόδια πρόσβαση, η κοινολόγηση και η απώλεια ακεραιότητας ή διαθεσιμότητας.

3.   Προληπτικά και επανορθωτικά μέτρα με στόχο να ελαχιστοποιούνται οι συνέπειες σοβαρών αστοχιών ή συμβάντων κατά τον χειρισμό και την αποθήκευση ΔΠΕΕ πρέπει να περιλαμβάνονται στα σχέδια συνέχισης των δραστηριοτήτων όλων των υπηρεσιών.

Άρθρο 7

Εφαρμογή της παρούσας απόφασης

1.   Εφόσον απαιτείται, εκδίδονται, σύμφωνα με το άρθρο 60 κατωτέρω, κανόνες εφαρμογής προς συμπλήρωση ή υποστήριξη της παρούσας απόφασης.

2.   Τα τμήματα της Επιτροπής λαμβάνουν κάθε απαραίτητο μέτρο που εμπίπτει στην αρμοδιότητά τους ώστε να εξασφαλιστεί ότι, κατά τον χειρισμό ή την αποθήκευση ΔΠΕΕ ή άλλων διαβαθμισμένων πληροφοριών, εφαρμόζονται η παρούσα απόφαση και οι συναφείς κανόνες εφαρμογής.

3.   Τα μέτρα ασφαλείας που λαμβάνονται κατ' εφαρμογή της παρούσας απόφασης συνάδουν με τις αρχές για την ασφάλεια στην Επιτροπή που καθορίζονται στο άρθρο 3 της απόφασης (ΕΕ, Ευρατόμ) 2015/443.

4.   Ο Γενικός Διευθυντής Ανθρωπίνων Πόρων και Ασφάλειας συγκροτεί την Αρχή Ασφαλείας της Επιτροπής εντός της Γενικής Διεύθυνσης Ανθρωπίνων Πόρων και Ασφάλειας. Η Αρχή Ασφαλείας της Επιτροπής αναλαμβάνει τις ευθύνες που της ανατίθενται δυνάμει της παρούσας απόφασης και των κανόνων εφαρμογής της.

5.   Στο πλαίσιο κάθε τμήματος της Επιτροπής, ο τοπικός υπεύθυνος ασφαλείας (ΤΥΑ), όπως αναφέρεται στο άρθρο 20 της απόφασης (ΕΕ, Ευρατόμ) 2015/443, αναλαμβάνει τα γενικά καθήκοντα που παρατίθενται κατωτέρω με σκοπό την προστασία των ΔΠΕΕ σύμφωνα με την παρούσα απόφαση, σε στενή συνεργασία με τη Γενική Διεύθυνση Ανθρωπίνων Πόρων και Ασφάλειας:

α)	διαχείριση αιτήσεων έγκρισης ασφαλείας για τα μέλη του προσωπικού·

β)	συμβολή στην κατάρτιση σε θέματα ασφαλείας και στις ενημερώσεις ευαισθητοποίησης·

γ)	εποπτεία του ελεγκτικού υπαλλήλου γραμματείας (ΕΥΓ) του τμήματος·

δ)	αναφορά παραβιάσεων της ασφάλειας και διαρροής ΔΠΕΕ·

ε)	φύλαξη εφεδρικών κλειδιών και γραπτής καταχώρισης κάθε συνδυασμού·

στ)	ανάληψη άλλων καθηκόντων που συνδέονται με την προστασία των ΔΠΕΕ ή ορίζονται στους κανόνες εφαρμογής.

Άρθρο 8

Παραβιάσεις της ασφάλειας και διαρροή ΔΠΕΕ

1.   Παραβίαση της ασφάλειας προκύπτει ως αποτέλεσμα πράξης ή παράλειψης προσώπου η οποία είναι αντίθετη προς τους κανονισμούς ασφαλείας που καθορίζονται στην παρούσα απόφαση και στους κανόνες εφαρμογής της.

2.   Διαρροή ΔΠΕΕ προκύπτει όταν, εξαιτίας παραβίασης της ασφάλειας, αυτές κοινολογούνται εξ ολοκλήρου ή εν μέρει σε μη εξουσιοδοτημένα πρόσωπα.

3.   Κάθε παραβίαση ή υπόνοια παραβίασης της ασφάλειας αναφέρεται αμέσως στην Αρχή Ασφαλείας της Επιτροπής.

4.   Όταν είναι γνωστό ή υπάρχουν εύλογες υπόνοιες ότι επήλθε διαρροή ή απώλεια ΔΠΕΕ, διενεργείται έρευνα ασφαλείας σύμφωνα με το άρθρο 13 της απόφασης (ΕΕ, Ευρατόμ) 2015/443.

5.   Λαμβάνονται όλα τα κατάλληλα μέτρα προκειμένου:

α)	να ενημερωθεί ο φορέας προέλευσης·

β)	να εξασφαλιστεί ότι η υπόθεση διερευνάται από προσωπικό που δεν σχετίζεται άμεσα με την παραβίαση προκειμένου να διαπιστωθούν τα πραγματικά περιστατικά·

γ)	να αξιολογηθεί η τυχόν ζημία που προκλήθηκε στα συμφέροντα της Ένωσης ή των κρατών μελών·

δ)	να ληφθούν τα κατάλληλα μέτρα για να αποτραπεί τυχόν επανάληψη· και

ε)	να ειδοποιηθούν οι αρμόδιες αρχές για τα ληφθέντα μέτρα.

6.   Κάθε πρόσωπο που ευθύνεται για παραβίαση των κανονισμών ασφαλείας της παρούσας απόφασης ενδέχεται να υποστεί πειθαρχικές κυρώσεις σύμφωνα με τον κανονισμό υπηρεσιακής κατάστασης. Κάθε πρόσωπο που ευθύνεται για διαρροή ή απώλεια ΔΠΕΕ υπόκειται σε πειθαρχικές κυρώσεις ή/και δικαστικές ενέργειες σύμφωνα με τους εφαρμοστέους νόμους, κανόνες και κανονισμούς.

ΚΕΦΑΛΑΙΟ 2

ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΟΥ

Άρθρο 9

Ορισμοί

Για τους σκοπούς του παρόντος κεφαλαίου, ισχύουν οι ακόλουθοι ορισμοί:

1)

Ως «εξουσιοδότηση για πρόσβαση σε ΔΠΕΕ» νοείται η απόφαση που λαμβάνει η Αρχή Ασφαλείας της Επιτροπής βάσει διαβεβαίωσης που δίνει η αρμόδια αρχή κράτους μέλους ότι υπάλληλος της Επιτροπής, μέλος του λοιπού προσωπικού ή αποσπασμένος εθνικός εμπειρογνώμονας μπορεί, υπό τον όρο ότι έχει προσδιοριστεί η ανάγκη γνώσης του και ότι έχει ενημερωθεί καταλλήλως σχετικά με τις ευθύνες του, να έχει πρόσβαση σε ΔΠΕΕ μέχρις ενός συγκεκριμένου επιπέδου (CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερου) έως προκαθορισμένη ημερομηνία· το πρόσωπο που περιγράφεται κατά τον τρόπο αυτόν ορίζεται ως «κάτοχος έγκρισης ασφαλείας».

2)

Ως «έγκριση ασφαλείας προσωπικού» νοείται η εφαρμογή μέτρων προκειμένου να εξασφαλίζεται ότι πρόσβαση στις ΔΠΕΕ επιτρέπεται μόνο στα πρόσωπα τα οποία: α) έχουν ανάγκη γνώσης· β) έχουν λάβει εξουσιοδότηση ασφαλείας του αντίστοιχου επιπέδου, εφόσον απαιτείται· και γ) έχουν ενημερωθεί ως προς τις ευθύνες τους.

3)

Ως «εξουσιοδότηση ασφαλείας προσωπικού» (ΕΑΠ) νοείται η δήλωση αρμόδιας αρχής κράτους μέλους στην οποία προβαίνει μετά την ολοκλήρωση έρευνας ασφαλείας από τις αρμόδιες αρχές του εν λόγω κράτους μέλους και πιστοποιεί ότι ένα άτομο μπορεί, υπό τον όρο ότι έχει προσδιοριστεί η ανάγκη γνώσης του και ότι έχει ενημερωθεί καταλλήλως σχετικά με τις ευθύνες του, να έχει πρόσβαση σε διαβαθμισμένες πληροφορίες μέχρις ενός συγκεκριμένου επιπέδου (ισοδύναμου με CONFIDENTIEL UE/EU CONFIDENTIAL ή ανώτερου) έως προκαθορισμένη ημερομηνία.

4)

Ως «πιστοποιητικό εξουσιοδότησης ασφαλείας προσωπικού» (ΠΕΑΠ) νοείται το πιστοποιητικό που εκδίδει αρμόδια αρχή με το οποίο πιστοποιείται ότι συγκεκριμένο άτομο διαθέτει έγκυρη εξουσιοδότηση ασφαλείας ή πρόσβασης που εξέδωσε η Αρχή Ασφαλείας της Επιτροπής και στο οποίο αναφέρονται το επίπεδο των ΔΠΕΕ στις οποίες μπορεί να έχει πρόσβαση (CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερο), η διάρκεια ισχύος της σχετικής εξουσιοδότησης ασφαλείας ή πρόσβασης και η ημερομηνία λήξης του πιστοποιητικού.

5)

Ως «έρευνα ασφαλείας» νοούνται οι διαδικασίες έρευνας που διενεργούνται από την αρμόδια εθνική αρχή κράτους μέλους σύμφωνα με τους σχετικούς νόμους και κανονισμούς που ισχύουν στο εν λόγω κράτος μέλος για την εξασφάλιση της διαβεβαίωσης ότι δεν είναι γνωστό τίποτε αρνητικό που να εμποδίζει τη χορήγηση εξουσιοδότησης ασφαλείας στο εν λόγω πρόσωπο μέχρι ενός συγκεκριμένου επιπέδου (CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερου).

Άρθρο 10

Βασικές αρχές

1.   Ένα πρόσωπο λαμβάνει άδεια πρόσβασης σε ΔΠΕΕ μόνον εφόσον:

1)	έχει προσδιοριστεί η ανάγκη γνώσης του·

2)	έχει ενημερωθεί για τους κανόνες ασφαλείας για την προστασία των ΔΠΕΕ, καθώς και για τις συναφείς προδιαγραφές και κατευθυντήριες γραμμές ασφαλείας, και έχει αναγνωρίσει τις ευθύνες του όσον αφορά την προστασία των πληροφοριών αυτών·

3)	προκειμένου για πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη, του έχει χορηγηθεί έγκριση ασφαλείας αντίστοιχου επιπέδου ή έχει λάβει άλλη δέουσα εξουσιοδότηση βάσει των καθηκόντων του, σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις.

2.   Όλα τα πρόσωπα των οποίων τα καθήκοντα ενδέχεται να καθιστούν αναγκαία την πρόσβαση σε ΔΠΕΕ με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη λαμβάνουν έγκριση ασφαλείας του αντίστοιχου επιπέδου προτού τους επιτραπεί η πρόσβαση στις εν λόγω ΔΠΕΕ. Τα συγκεκριμένα πρόσωπα δηλώνουν γραπτώς τη συγκατάθεσή τους να υποβληθούν σε διαδικασία ελέγχου ασφαλείας προσωπικού. Σε αντίθετη περίπτωση, δεν μπορεί να ανατεθεί στο εν λόγω πρόσωπο θέση, αρμοδιότητα ή καθήκον που συνεπάγεται πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη.

3.   Οι διαδικασίες ελέγχου ασφαλείας του προσωπικού αποσκοπούν στην εξακρίβωση του κατά πόσον μπορεί να επιτραπεί σε ένα πρόσωπο, βάσει της νομιμοφροσύνης, της φερεγγυότητας και της αξιοπιστίας του, η πρόσβαση σε ΔΠΕΕ.

4.   Η νομιμοφροσύνη, η φερεγγυότητα και η αξιοπιστία ενός προσώπου για τους σκοπούς της λήψης εξουσιοδότησης ασφαλείας για την πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη ελέγχονται με έρευνα ασφαλείας, η οποία διενεργείται από τις αρμόδιες αρχές του οικείου κράτους μέλους σύμφωνα με τις κείμενες εθνικές νομοθετικές και κανονιστικές διατάξεις.

5.   Η Αρχή Ασφαλείας της Επιτροπής έχει την αποκλειστική ευθύνη για τη συνεργασία με τις εθνικές αρχές ασφαλείας («ΕΑΑ») ή άλλες αρμόδιες εθνικές αρχές στο πλαίσιο όλων των ζητημάτων εξουσιοδότησης ασφαλείας. Όλες οι επαφές των υπηρεσιών της Επιτροπής και του προσωπικού τους με τις ΕΑΑ και άλλες αρμόδιες αρχές πραγματοποιούνται μέσω της Αρχής Ασφαλείας της Επιτροπής.

Άρθρο 11

Διαδικασία έγκρισης ασφαλείας

1.   Κάθε Γενική Διεύθυνση ή προϊστάμενος υπηρεσίας της Επιτροπής προσδιορίζει στο πλαίσιο της οικείας υπηρεσίας τις θέσεις για τις οποίες οι κάτοχοι πρέπει να έχουν πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη για την εκτέλεση των καθηκόντων τους και πρέπει, συνεπώς, να λάβουν έγκριση ασφαλείας.

2.   Αμέσως μετά τη γνωστοποίηση του επικείμενου διορισμού ενός προσώπου σε θέση για την οποία απαιτείται πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη, ο τοπικός υπεύθυνος ασφαλείας (ΤΥΑ) της εν λόγω υπηρεσίας της Επιτροπής ενημερώνει την Αρχή Ασφαλείας της Επιτροπής, η οποία διαβιβάζει στο συγκεκριμένο πρόσωπο το ερωτηματολόγιο της εξουσιοδότησης ασφαλείας που εκδίδει η ΕΑΑ του κράτους μέλους υπό την ιθαγένεια του οποίου το πρόσωπο διορίστηκε μέλος του προσωπικού των ευρωπαϊκών θεσμικών οργάνων. Το εν λόγω πρόσωπο δηλώνει γραπτώς τη συγκατάθεσή του να υποβληθεί στη διαδικασία ελέγχου ασφαλείας και επιστρέφει συμπληρωμένο το ερωτηματολόγιο στην Αρχή Ασφαλείας της Επιτροπής το συντομότερο δυνατόν.

3.   Η Αρχή Ασφαλείας της Επιτροπής διαβιβάζει το συμπληρωμένο ερωτηματολόγιο εξουσιοδότησης ασφαλείας στην ΕΑΑ του κράτους μέλους υπό την ιθαγένεια του οποίου το πρόσωπο διορίστηκε μέλος του προσωπικού των ευρωπαϊκών θεσμικών οργάνων, αιτούμενη να διεξαχθεί έρευνα ασφαλείας για το επίπεδο των ΔΠΕΕ στο οποίο το άτομο θα ζητήσει πρόσβαση.

4.   Όταν πληροφορίες σημαντικές για έρευνα ασφαλείας γίνονται γνωστές στην Αρχή Ασφαλείας της Επιτροπής σχετικά με πρόσωπο που έχει υποβάλει αίτηση εξουσιοδότησης ασφαλείας, η Αρχή Ασφαλείας της Επιτροπής, ενεργώντας σύμφωνα με τους οικείους κανόνες και κανονισμούς, ειδοποιεί σχετικά την αρμόδια ΕΑΑ.

5.   Μετά την ολοκλήρωση της έρευνας ασφαλείας, και το συντομότερο δυνατόν μετά την κοινοποίηση εκ μέρους της αρμόδιας ΕΑΑ της γενικής της αξιολόγησης όσον αφορά τα πορίσματα της έρευνας ασφαλείας, η Αρχή Ασφαλείας της Επιτροπής:

α)

μπορεί να χορηγήσει στον ενδιαφερόμενο εξουσιοδότηση για πρόσβαση σε ΔΠΕΕ και να επιτρέψει την πρόσβαση σε ΔΠΕΕ έως το αντίστοιχο επίπεδο και έως συγκεκριμένη ημερομηνία που ορίζει ο ίδιος για μέγιστο χρονικό διάστημα 5 ετών, εφόσον τα αποτελέσματα της έρευνας ασφαλείας καταλήγουν στη διαβεβαίωση ότι δεν είναι γνωστό τίποτε αρνητικό που θα έθετε υπό αμφισβήτηση τη νομιμοφροσύνη, τη φερεγγυότητα και την αξιοπιστία του προσώπου·

β)

υποχρεούται, όταν η έρευνα ασφαλείας δεν καταλήγει σε αυτή τη διαβεβαίωση, και σύμφωνα με τους συναφείς κανόνες και κανονισμούς, να ειδοποιήσει τον ενδιαφερόμενο, ο οποίος μπορεί να ζητήσει ακρόαση από την Αρχή Ασφαλείας της Επιτροπής, η οποία δύναται, με τη σειρά της, να ζητήσει από την αρμόδια ΕΑΑ οποιεσδήποτε περαιτέρω διευκρινίσεις μπορεί να της παράσχει σύμφωνα με τις οικείες εθνικές νομοθετικές και κανονιστικές διατάξεις. Εάν επιβεβαιωθεί το αποτέλεσμα της έρευνας ασφαλείας, δεν χορηγείται εξουσιοδότηση για πρόσβαση σε ΔΠΕΕ.

6.   Η έρευνα ασφαλείας μαζί με τα πορίσματά της υπόκειται στις νομοθετικές και κανονιστικές διατάξεις που ισχύουν εν προκειμένω στο οικείο κράτος μέλος, περιλαμβανομένων εκείνων που αφορούν την άσκηση προσφυγών. Κατά των αποφάσεων της Αρχής Ασφαλείας της Επιτροπής μπορούν να ασκηθούν προσφυγές σύμφωνα με τον κανονισμό υπηρεσιακής κατάστασης.

7.   Η Επιτροπή κάνει δεκτή την εξουσιοδότηση για πρόσβαση σε ΔΠΕΕ που χορηγείται από οποιοδήποτε άλλο θεσμικό ή λοιπό όργανο ή οργανισμό της Ένωσης, εφόσον διατηρεί την ισχύ της. Οι εξουσιοδοτήσεις καλύπτουν την ανάθεση οιουδήποτε καθήκοντος στον ενδιαφερόμενο εντός της Επιτροπής. Το θεσμικό ή λοιπό όργανο ή οργανισμός της Ένωσης όπου προσλαμβάνεται το πρόσωπο ενημερώνει την αρμόδια ΕΑΑ σχετικά με την αλλαγή του εργοδότη.

8.   Εάν η περίοδος υπηρεσίας του ατόμου δεν αρχίσει εντός 12 μηνών από την ανακοίνωση του αποτελέσματος της έρευνας ασφαλείας στην Αρχή Ασφαλείας της Επιτροπής ή εάν υπάρξει διακοπή 12 μηνών στην υπηρεσία του, κατά το οποίο διάστημα δεν έχει υπηρετήσει στην Επιτροπή ή σε οποιοδήποτε θεσμικό ή λοιπό όργανο ή οργανισμό της Ένωσης ή σε θέση της κρατικής διοίκησης κράτους μέλους, η Αρχή Ασφαλείας της Επιτροπής παραπέμπει το ζήτημα στην οικεία ΕΑΑ προκειμένου να επιβεβαιωθεί ότι εξακολουθεί να ισχύει.

9.   Όταν η Αρχή Ασφαλείας της Επιτροπής λάβει γνώση της ύπαρξης κινδύνου κατά της ασφάλειας εκ μέρους προσώπου που κατέχει έγκυρη έγκριση ασφαλείας, η Αρχή Ασφαλείας της Επιτροπής, ενεργώντας σύμφωνα με τους οικείους κανόνες και κανονισμούς, ειδοποιεί σχετικά την αρμόδια ΕΑΑ.

10.   Όταν μια ΕΑΑ κοινοποιεί στην Αρχή Ασφαλείας της Επιτροπής την ανάκληση της διαβεβαίωσης που δόθηκε σύμφωνα με την παράγραφο 5 στοιχείο α) για πρόσωπο που διαθέτει έγκυρη εξουσιοδότηση πρόσβασης σε ΔΠΕΕ, η Αρχή Ασφαλείας της Επιτροπής μπορεί να ζητήσει οποιαδήποτε διευκρίνιση μπορεί να παράσχει η ΕΑΑ σύμφωνα με τις οικείες εθνικές νομοθετικές και κανονιστικές διατάξεις. Εφόσον επιβεβαιωθούν οι δυσμενείς πληροφορίες από την αρμόδια ΕΑΑ, η εξουσιοδότηση ανακαλείται και απαγορεύεται η πρόσβαση του εν λόγω προσώπου σε ΔΠΕΕ και σε θέσεις όπου είναι δυνατή αυτή η πρόσβαση ή όπου μπορεί να θέσει σε κίνδυνο την ασφάλεια.

11.   Κάθε απόφαση απόσυρσης ή ανάκλησης εξουσιοδότησης πρόσβασης σε ΔΠΕΕ από οποιοδήποτε πρόσωπο το οποίο εμπίπτει στο πεδίο εφαρμογής της παρούσας απόφασης, καθώς και, εάν είναι σκόπιμο, οι σχετικοί λόγοι κοινοποιούνται στον ενδιαφερόμενο, ο οποίος μπορεί να ζητήσει ακρόαση από την Αρχή Ασφαλείας της Επιτροπής. Οι πληροφορίες που παρέχει η ΕΑΑ υπόκεινται στις νομοθετικές και κανονιστικές διατάξεις που ισχύουν εν προκειμένω στο οικείο κράτος μέλος. Κατά των αποφάσεων της Αρχής Ασφαλείας της Επιτροπής μπορούν να ασκηθούν προσφυγές σύμφωνα με τον κανονισμό υπηρεσιακής κατάστασης.

12.   Οι υπηρεσίες της Επιτροπής μεριμνούν ώστε οι εθνικοί εμπειρογνώμονες που είναι αποσπασμένοι σε αυτές σε θέση που απαιτεί έγκριση ασφαλείας για την πρόσβαση σε ΔΠΕΕ επιδεικνύουν στην Αρχή Ασφαλείας της Επιτροπής, προτού αναλάβουν καθήκοντα, έγκυρη ΕΑΠ ή έγκυρο πιστοποιητικό εξουσιοδότησης ασφαλείας προσωπικού («ΠΕΑΠ»), σύμφωνα με τις οικείες εθνικές νομοθετικές και κανονιστικές διατάξεις, βάσει του οποίου η Αρχή Ασφαλείας της Επιτροπής χορηγεί έγκριση ασφαλείας για την πρόσβαση σε ΔΠΕΕ έως το αντίστοιχο επίπεδο που αναφέρεται στην εθνική εξουσιοδότηση ασφαλείας, με μέγιστη διάρκεια ισχύος που καλύπτει την περίοδο άσκησης των καθηκόντων τους.

13.   Τα μέλη της Επιτροπής, τα οποία έχουν πρόσβαση σε ΔΠΕΕ λόγω των καθηκόντων τους βάσει της Συνθήκης, ενημερώνονται σχετικά με τις υποχρεώσεις ασφαλείας που υπέχουν όσον αφορά την προστασία των ΔΠΕΕ.

14.   Δυνάμει της παρούσας απόφασης, η Αρχή Ασφαλείας της Επιτροπής τηρεί αρχεία των εξουσιοδοτήσεων και εγκρίσεων ασφαλείας οι οποίες χορηγούνται για πρόσβαση σε ΔΠΕΕ. Τα αρχεία αυτά περιέχουν τουλάχιστον το επίπεδο των ΔΠΕΕ για το οποίο χορηγείται πρόσβαση στον ενδιαφερόμενο, την ημερομηνία χορήγησης της εξουσιοδότησης ασφαλείας και τη διάρκεια ισχύος της.

15.   Η Αρχή Ασφαλείας της Επιτροπής μπορεί να εκδώσει ΠΕΑΠ, στο οποίο αναφέρονται το επίπεδο ΔΠΕΕ για το οποίο δικαιούται πρόσβαση το συγκεκριμένο άτομο (διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη), η ημερομηνία ισχύος της σχετικής εξουσιοδότησης για πρόσβαση σε ΔΠΕΕ και η ημερομηνία λήξης του ίδιου του πιστοποιητικού.

16.   Μετά τις αρχικές εγκρίσεις ασφαλείας και υπό τον όρο ότι το άτομο εξακολουθεί αδιαλείπτως να υπηρετεί στην Ευρωπαϊκή Επιτροπή ή σε άλλο θεσμικό ή λοιπό όργανο ή οργανισμό της Ένωσης και εξακολουθεί να έχει ανάγκη πρόσβασης σε ΔΠΕΕ, η έγκριση ασφαλείας για πρόσβαση σε ΔΠΕΕ επανεξετάζεται με σκοπό την ανανέωση, κατά κανόνα, κάθε πέντε έτη από την ημερομηνία ανακοίνωσης του αποτελέσματος της τελευταίας έρευνας ασφαλείας στην οποία βασίστηκε.

17.   Η Αρχή Ασφαλείας της Επιτροπής δύναται να παρατείνει την ισχύ της τρέχουσας έγκρισης ασφαλείας για διάστημα έως 12 μηνών, εφόσον δεν έχουν ληφθεί δυσμενείς πληροφορίες από τη σχετική ΕΑΑ ή άλλη αρμόδια εθνική αρχή εντός προθεσμίας δύο μηνών από την ημερομηνία διαβίβασης της αίτησης ανανέωσης και του αντίστοιχου ερωτηματολογίου εξουσιοδότησης ασφαλείας. Εάν, κατά τη λήξη αυτού του δωδεκάμηνου χρονικού διαστήματος, η σχετική ΕΑΑ ή άλλη αρμόδια εθνική αρχή δεν έχει κοινοποιήσει τη γνωμοδότησή της στην Αρχή Ασφαλείας της Επιτροπής, ο ενδιαφερόμενος αναλαμβάνει καθήκοντα για τα οποία δεν απαιτείται έγκριση ασφαλείας.

Άρθρο 12

Ενημερώσεις σε θέματα έγκρισης ασφαλείας

1.   Μετά τη συμμετοχή τους στη συνεδρίαση ενημέρωσης που διοργανώνει η Αρχή Ασφαλείας της Επιτροπής για θέματα έγκρισης ασφαλείας, όλα τα άτομα στα οποία έχει χορηγηθεί έγκριση ασφαλείας δηλώνουν εγγράφως ότι έχουν κατανοήσει τις υποχρεώσεις τους όσον αφορά την προστασία των ΔΠΕΕ και τις συνέπειες σε περίπτωση διαρροής ΔΠΕΕ. Η Αρχή Ασφαλείας της Επιτροπής τηρεί αρχείο των γραπτών αυτών δηλώσεων.

2.   Όλα τα πρόσωπα στα οποία επιτρέπεται να έχουν πρόσβαση σε ΔΠΕΕ ή να τις χειρίζονται πρέπει να ευαισθητοποιούνται από την αρχή, και κατά διαστήματα να ενημερώνονται σχετικά με τις απειλές για την ασφάλεια και οφείλουν να αναφέρουν αμέσως στην Αρχή Ασφαλείας της Επιτροπής κάθε προσπάθεια προσέγγισής τους ή δραστηριότητα την οποία θεωρούν ύποπτη ή ασυνήθιστη.

3.   Όλα τα πρόσωπα που παύουν να απασχολούνται σε καθήκοντα τα οποία απαιτούν πρόσβαση σε ΔΠΕΕ ευαισθητοποιούνται για τις υποχρεώσεις τους, και εφόσον απαιτείται τις αναγνωρίζουν και γραπτώς, όσον αφορά τη συνεχή προστασία των ΔΠΕΕ.

Άρθρο 13

Προσωρινές εγκρίσεις ασφαλείας

1.   Σε εξαιρετικές περιστάσεις, όταν δικαιολογείται δεόντως από το συμφέρον της υπηρεσίας και εν αναμονή της ολοκλήρωσης πλήρους έρευνας ασφαλείας, η Αρχή Ασφαλείας της Επιτροπής δύναται, κατόπιν συνεννόησης με την ΕΑΑ του κράτους μέλους του οποίου είναι υπήκοος το εν λόγω πρόσωπο και ανάλογα με το αποτέλεσμα των προκαταρκτικών ελέγχων σχετικά με το αν είναι γνωστή κάποια σχετική αρνητική πληροφορία, να χορηγήσει στους ενδιαφερομένους προσωρινή εξουσιοδότηση προκειμένου να έχουν πρόσβαση σε ΔΠΕΕ για συγκεκριμένο καθήκον, με την επιφύλαξη των διατάξεων σχετικά με την ανανέωση των εξουσιοδοτήσεων ασφαλείας. Αυτές οι προσωρινές εξουσιοδοτήσεις για πρόσβαση σε ΔΠΕΕ ισχύουν για μία μόνο περίοδο όχι ανώτερη του εξαμήνου και δεν επιτρέπουν την πρόσβαση σε πληροφορίες με διαβάθμιση TRES SECRET UE/EU TOP SECRET.

2.   Κατόπιν ενημέρωσής τους σύμφωνα με τις διατάξεις του άρθρου 12 παράγραφος 1, όλα τα άτομα στα οποία έχει χορηγηθεί προσωρινή έγκριση δηλώνουν εγγράφως ότι έχουν κατανοήσει τις υποχρεώσεις τους όσον αφορά την προστασία των ΔΠΕΕ και τις συνέπειες σε περίπτωση διαρροής ΔΠΕΕ. Η Αρχή Ασφαλείας της Επιτροπής τηρεί αρχείο των γραπτών αυτών δηλώσεων.

Άρθρο 14

Συμμετοχή σε διαβαθμισμένες συνεδριάσεις υπό τη διοργάνωση της Επιτροπής

1.   Οι υπηρεσίες της Επιτροπής οι οποίες είναι υπεύθυνες για τη διοργάνωση συνεδριάσεων κατά τις οποίες συζητούνται πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη υποχρεούνται, μέσω του οικείου ΤΥΑ ή μέσω του διοργανωτή της συνεδρίασης, να ενημερώνουν εγκαίρως την Αρχή Ασφαλείας της Επιτροπής για της ημερομηνίες, τις ώρες, τους χώρους και τους συμμετέχοντες των εν λόγω συνεδριάσεων.

2.   Με την επιφύλαξη των διατάξεων του άρθρου 11 παράγραφος 13, τα πρόσωπα στα οποία έχει ανατεθεί να συμμετέχουν σε συνεδριάσεις που διοργανώνονται από την Επιτροπή και κατά τις οποίες συζητούνται πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη μπορούν να το πράξουν μόνον έπειτα από επιβεβαίωση του επιπέδου εξουσιοδότησης ή έγκρισης ασφαλείας που διαθέτουν. Η πρόσβαση στις εν λόγω διαβαθμισμένες συνεδριάσεις δεν επιτρέπεται σε πρόσωπα για τα οποία η Αρχή Ασφαλείας της Επιτροπής δεν έχει λάβει ΠΕΑΠ ή άλλο αποδεικτικό εξουσιοδότησης ασφαλείας ή σε συμμετέχοντες από την Επιτροπή οι οποίοι δεν είναι κάτοχοι έγκρισης ασφαλείας.

3.   Πριν από τη διοργάνωση διαβαθμισμένης συνεδρίασης, ο αρμόδιος διοργανωτής της συνεδρίασης ή ο ΤΥΑ του τμήματος της Επιτροπής που διοργανώνει τη συνεδρίαση ζητεί από τους εξωτερικούς συμμετέχοντες να υποβάλουν στην Αρχή Ασφαλείας της Επιτροπής ΠΕΑΠ ή άλλο αποδεικτικό εξουσιοδότησης ασφαλείας. Η Αρχή Ασφαλείας της Επιτροπής ενημερώνει τον ΤΥΑ ή τον διοργανωτή της συνεδρίασης σχετικά με το ΠΕΑΠ ή άλλο αποδεικτικό ΕΑΠ που έχει λάβει. Εφόσον συντρέχει περίπτωση, μπορεί να χρησιμοποιείται ενοποιημένος κατάλογος ονομάτων, όπου αναγράφεται το σχετικό αποδεικτικό εξουσιοδότησης ασφαλείας.

4.   Σε περίπτωση που η Αρχή Ασφαλείας της Επιτροπής ενημερώνεται από τις αρμόδιες αρχές σχετικά με την ανάκληση του ΠΕΑΠ για κάποιο πρόσωπο του οποίου τα καθήκοντα απαιτούν τη συμμετοχή του σε συνεδριάσεις που διοργανώνει η Επιτροπή, η Αρχή Ασφαλείας της Επιτροπής ενημερώνει σχετικά τον ΤΥΑ του τμήματος της Επιτροπής που είναι υπεύθυνο για τη διοργάνωση της συνεδρίασης.

Άρθρο 15

Δυνητική πρόσβαση σε ΔΠΕΕ

Οι ταχυμεταφορείς, οι φύλακες και οι συνοδοί λαμβάνουν έγκριση ασφαλείας του κατάλληλου επιπέδου ή άλλη ανάλογη έρευνα σύμφωνα με τους εθνικούς νόμους και κανονισμούς, ενημερώνονται σχετικά με τις διαδικασίες ασφαλείας για την προστασία των ΔΠΕΕ και λαμβάνουν οδηγίες για την υποχρέωσή τους να προστατεύουν τις πληροφορίες που έχουν στην κατοχή τους.

ΚΕΦΑΛΑΙΟ 3

ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΜΕ ΣΚΟΠΟ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΙΑΒΑΘΜΙΣΜΕΝΩΝ ΠΛΗΡΟΦΟΡΙΩΝ

Άρθρο 16

Βασικές αρχές

1.   Τα μέτρα φυσικής ασφαλείας σχεδιάζονται έτσι ώστε να μην επιτρέπεται η λαθραία ή βίαιη είσοδος αναρμοδίων, να αποτρέπονται, να παρεμποδίζονται και να ανιχνεύονται οι μη εξουσιοδοτημένες ενέργειες και να καθίσταται δυνατός ο διαχωρισμός του προσωπικού όσον αφορά την πρόσβασή του σε ΔΠΕΕ βάσει της «ανάγκης γνώσης». Τα μέτρα αυτά καθορίζονται βάσει διαδικασίας διαχείρισης κινδύνων, σύμφωνα με την παρούσα απόφαση και τους κανόνες εφαρμογής της.

2.   Ειδικότερα, τα μέτρα φυσικής ασφαλείας προορίζονται για να αποτρέπουν την άνευ εξουσιοδότησης πρόσβαση σε ΔΠΕΕ με τους εξής τρόπους:

α)	εξασφαλίζοντας ότι οι ΔΠΕΕ διεκπεραιώνονται και αποθηκεύονται με κατάλληλο τρόπο·

β)	επιτρέποντας τον διαχωρισμό του προσωπικού όσον αφορά την πρόσβαση σε ΔΠΕΕ βάσει της ανάγκης γνώσης και, εφόσον απαιτείται, της έγκρισης ασφαλείας τους·

γ)	αποτρέποντας, παρεμποδίζοντας και ανιχνεύοντας τις μη εξουσιοδοτημένες ενέργειες· και

δ)	απαγορεύοντας ή καθυστερώντας τη λαθραία ή βίαιη είσοδο αναρμοδίων.

3.   Τα μέτρα φυσικής ασφαλείας τίθενται σε ισχύ για όλες τις εγκαταστάσεις, τα κτίρια, τα γραφεία, τις αίθουσες και άλλους χώρους όπου γίνεται ο χειρισμός ή η αποθήκευση ΔΠΕΕ, συμπεριλαμβανομένων των χώρων που στεγάζουν συστήματα επικοινωνίας και πληροφοριών, όπως ορίζονται στο κεφάλαιο 5.

4.   Οι χώροι στους οποίους αποθηκεύονται ΔΠΕΕ με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη καθορίζονται ως χώροι ασφαλείας σύμφωνα με το παρόν κεφάλαιο και εγκρίνονται από την αρχή πιστοποίησης της ασφάλειας (ΑΠΑ) της Επιτροπής.

5.   Για την προστασία ΔΠΕΕ σε επίπεδο CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερο χρησιμοποιούνται μόνον εξοπλισμός ή συσκευές που έχουν εγκριθεί από την Αρχή Ασφαλείας της Επιτροπής.

Άρθρο 17

Προδιαγραφές και μέτρα φυσικής ασφαλείας

1.   Τα μέτρα φυσικής ασφαλείας επιλέγονται βάσει αξιολόγησης απειλών που διενεργεί η Αρχή Ασφαλείας της Επιτροπής, κατά περίπτωση κατόπιν διαβούλευσης με άλλα τμήματα της Επιτροπής, άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης ή/και αρμόδιες αρχές των κρατών μελών. Η Επιτροπή εφαρμόζει διαδικασία διαχείρισης κινδύνων για την προστασία των ΔΠΕΕ στις εγκαταστάσεις της προκειμένου να εξασφαλίσει την παροχή ανάλογου επιπέδου φυσικής προστασίας έναντι του εκτιμώμενου κινδύνου. Κατά τη διαδικασία διαχείρισης κινδύνων συνεκτιμώνται όλοι οι σχετικοί παράγοντες και ειδικότερα:

α)	το επίπεδο διαβάθμισης των ΔΠΕΕ·

β)	η μορφή και η ποσότητα των ΔΠΕΕ, λαμβάνοντας υπόψη ότι οι μεγάλες ποσότητες ή η συγκέντρωση ΔΠΕΕ ενδέχεται να απαιτούν την εφαρμογή αυστηρότερων προστατευτικών μέτρων·

γ)	ο περιβάλλων χώρος και η δομή των κτιρίων ή των χώρων στέγασης των ΔΠΕΕ· και

δ)	η εκτιμώμενη απειλή από μυστικές υπηρεσίες στο στόχαστρο των οποίων βρίσκονται η Ένωση, τα θεσμικά και λοιπά όργανα και οργανισμοί της ή τα κράτη μέλη και η απειλή δολιοφθοράς, τρομοκρατικών, ανατρεπτικών ή άλλων εγκληματικών δραστηριοτήτων.

2.   Η Αρχή Ασφαλείας της Επιτροπής, εφαρμόζοντας την έννοια της προστασίας εις βάθος, καθορίζει τον δέοντα εφαρμοστέο συνδυασμό μέτρων φυσικής ασφαλείας. Προς τον σκοπό αυτόν, η Αρχή Ασφαλείας της Επιτροπής καταρτίζει ελάχιστες προδιαγραφές, κανόνες και κριτήρια, που καθορίζονται στους κανόνες εφαρμογής.

3.   Η Αρχή Ασφαλείας της Επιτροπής μπορεί να εξουσιοδοτηθεί να διενεργεί έρευνες κατά την είσοδο και έξοδο με σκοπό την αποτροπή μη εξουσιοδοτημένης εισαγωγής υλικού ή μη εξουσιοδοτημένης αφαίρεσης ΔΠΕΕ από εγκαταστάσεις ή κτίρια.

4.   Όταν οι ΔΠΕΕ διατρέχουν κίνδυνο λαθροβλεψίας, έστω και τυχαίας, οι υπηρεσίες της Επιτροπής λαμβάνουν τα δέοντα μέτρα, όπως ορίζονται από την Αρχή Ασφαλείας της Επιτροπής, για την αποτροπή του κινδύνου.

5.   Για τις νέες εγκαταστάσεις, οι προδιαγραφές φυσικής ασφαλείας και οι λειτουργικές προδιαγραφές τους καθορίζονται, κατόπιν συναίνεσης της Αρχής Ασφαλείας της Επιτροπής, στο πλαίσιο του γενικού και κατασκευαστικού σχεδιασμού των εγκαταστάσεων. Για τις ήδη υπάρχουσες εγκαταστάσεις, οι προδιαγραφές φυσικής ασφαλείας εφαρμόζονται βάσει των ελάχιστων προδιαγραφών, κανόνων και κριτηρίων που καθορίζονται στους κανόνες εφαρμογής.

Άρθρο 18

Εξοπλισμός για τη φυσική προστασία των ΔΠΕΕ

1.   Δύο τύποι χώρων που τυγχάνουν φυσικής προστασίας καθορίζονται για τη φυσική προστασία των ΔΠΕΕ:

α)	διοικητικοί χώροι· και

β)	χώροι ασφαλείας (συμπεριλαμβανομένων των χώρων τεχνικής ασφαλείας).

2.   Η αρχή πιστοποίησης της ασφάλειας της Επιτροπής κρίνει αν ένας χώρος καλύπτει τις προδιαγραφές ώστε να χαρακτηριστεί διοικητικός χώρος, χώρος ασφαλείας ή χώρος τεχνικής ασφαλείας.

3.   Για τους διοικητικούς χώρους:

α)	ορίζεται εμφανώς οριοθετημένη περίμετρος που επιτρέπει τον έλεγχο προσώπων και, ει δυνατόν, οχημάτων·

β)	ασυνόδευτη πρόσβαση επιτρέπεται μόνο στα πρόσωπα που έχουν δέουσα εξουσιοδότηση της Αρχής Ασφαλείας της Επιτροπής ή οποιασδήποτε άλλης αρμόδιας αρχής· και

γ)	όλα τα άλλα πρόσωπα πρέπει να συνοδεύονται συνεχώς ή να υποβάλλονται σε ανάλογους ελέγχους.

4.   Για τους χώρους ασφαλείας:

α)	ορίζεται εμφανώς καθορισμένη και προστατευμένη περίμετρος στην οποία ελέγχεται κάθε είσοδος και έξοδος μέσω συστήματος ταυτοτήτων ή αναγνώρισης προσώπων·

β)	ασυνόδευτη πρόσβαση επιτρέπεται μόνο στα πρόσωπα με προσήκουσα εξουσιοδότηση ασφαλείας και διαθέτουν ειδική άδεια εισόδου στον χώρο βάσει της ανάγκης γνώσης τους·

γ)	όλα τα άλλα πρόσωπα πρέπει να συνοδεύονται συνεχώς ή να υποβάλλονται σε ανάλογους ελέγχους.

5.   Όταν η είσοδος σε χώρο ασφαλείας συνιστά, στην πράξη, άμεση πρόσβαση στις διαβαθμισμένες πληροφορίες που φυλάσσονται στον οικείο χώρο, ισχύουν οι ακόλουθες συμπληρωματικές προϋποθέσεις:

α)	αναφέρεται σαφώς το επίπεδο ανώτατης διαβάθμισης ασφαλείας των πληροφοριών που φυλάσσονται συνήθως στον χώρο·

β)	όλοι οι επισκέπτες πρέπει να έχουν ειδική άδεια εισόδου στον χώρο, να συνοδεύονται συνεχώς και να έχουν λάβει την προσήκουσα έγκριση ασφαλείας, εκτός εάν ληφθούν μέτρα τα οποία καθιστούν αδύνατη την πρόσβαση σε ΔΠΕΕ.

6.   Οι χώροι ασφαλείας που προστατεύονται από τη λαθρακρόαση χαρακτηρίζονται ως χώροι τεχνικής ασφαλείας. Ισχύουν οι ακόλουθες συμπληρωματικές προϋποθέσεις:

α)	οι χώροι αυτοί φέρουν εξοπλισμό συστήματος ανίχνευσης εισβολών (IDS), κλειδώνονται όταν δεν χρησιμοποιούνται και φυλάσσονται όταν χρησιμοποιούνται· η διαχείριση όλων των κλειδιών πραγματοποιείται σύμφωνα με τις διατάξεις του άρθρου 20·

β)	όλα τα πρόσωπα και το υλικό που εισέρχονται σε αυτούς τους χώρους ελέγχονται·

γ)	οι χώροι αυτοί υποβάλλονται τακτικά σε φυσικούς ή/και τεχνικούς ελέγχους από την Αρχή Ασφαλείας της Επιτροπής· οι εν λόγω έλεγχοι πραγματοποιούνται και ύστερα από κάθε μη εξουσιοδοτημένη είσοδο ή υπόνοια μη εξουσιοδοτημένης εισόδου· και

δ)	οι χώροι αυτοί δεν έχουν μη εξουσιοδοτημένες τηλεπικοινωνιακές γραμμές, μη εξουσιοδοτημένα τηλέφωνα ή άλλες μη εξουσιοδοτημένες τηλεπικοινωνιακές συσκευές και ηλεκτρικό ή ηλεκτρονικό εξοπλισμό.

7.   Παρά τα οριζόμενα στην παράγραφο 6 στοιχείο δ), προτού χρησιμοποιηθούν σε χώρους όπου διεξάγονται συνεδριάσεις ή εργασίες που αφορούν πληροφορίες με διαβάθμιση SECRET UE/EU SECRET ή υψηλότερη και σε περιστάσεις όπου η απειλή για τις ΔΠΕΕ θεωρείται σοβαρή, οι τηλεπικοινωνιακές συσκευές και ο ηλεκτρικός ή ηλεκτρονικός εξοπλισμός παντός είδους εξετάζονται καταρχάς από την Αρχή Ασφαλείας της Επιτροπής για να εξασφαλιστεί ότι δεν είναι δυνατή η μετάδοση καταληπτών πληροφοριών μέσω του εξοπλισμού αυτού, είτε ακούσια είτε παράνομα, πέραν της περιμέτρου του χώρου ασφαλείας.

8.   Οι χώροι ασφαλείας στους οποίους δεν υπάρχει προσωπικό υπηρεσίας επί 24ώρου βάσεως επιθεωρούνται, εφόσον είναι σκόπιμο, κατά τη λήξη του κανονικού ωραρίου εργασίας και σε τυχαία διαστήματα εκτός του κανονικού ωραρίου εργασίας, εκτός εάν είναι εξοπλισμένοι με IDS.

9.   Χώροι ασφαλείας και χώροι τεχνικής ασφαλείας μπορούν να δημιουργούνται προσωρινά εντός διοικητικού χώρου για τη διεξαγωγή διαβαθμισμένης συνεδρίασης ή κάθε άλλο παρόμοιο σκοπό.

10.   Ο ΤΥΑ του οικείου τμήματος της Επιτροπής εκπονεί για κάθε χώρο ασφαλείας που εμπίπτει στην αρμοδιότητά του λειτουργικές διαδικασίες ασφαλείας («SecOPs»), στις οποίες αναφέρονται, σύμφωνα με τις διατάξεις της παρούσας απόφασης και των κανόνων εφαρμογής της, τα εξής:

α)	το επίπεδο των ΔΠΕΕ οι οποίες υποβάλλονται σε χειρισμό και αποθηκεύονται στον χώρο·

β)	τα μέτρα επιτήρησης και προστασίας που πρέπει να τηρούνται·

γ)	τα πρόσωπα τα οποία έχουν άδεια ασυνόδευτης πρόσβασης στον χώρο βάσει της ανάγκης γνώσης και της έγκρισης ασφαλείας τους·

δ)	ενδεχομένως, οι διαδικασίες συνοδείας ή προστασίας των ΔΠΕΕ όταν επιτρέπεται σε οποιαδήποτε άλλα πρόσωπα η πρόσβαση στον χώρο·

ε)	οποιαδήποτε άλλα σχετικά μέτρα και διαδικασίες.

11.   Εντός των χώρων ασφαλείας κατασκευάζονται θωρακισμένες αίθουσες. Οι τοίχοι, τα πατώματα, οι οροφές, τα παράθυρα και οι θύρες που κλειδώνουν εγκρίνονται από την Αρχή Ασφαλείας της Επιτροπής και παρέχουν προστασία ισοδύναμη με φωριαμό ασφαλείας που έχει εγκριθεί για την αποθήκευση ΔΠΕΕ του ίδιου επιπέδου διαβάθμισης.

Άρθρο 19

Φυσικά μέτρα προστασίας για τον χειρισμό και την αποθήκευση ΔΠΕΕ

1.   Ο χειρισμός ΔΠΕΕ με διαβάθμιση RESTREINT UE/EU RESTRICTED διεξάγεται:

α)	σε χώρο ασφαλείας,

β)	σε διοικητικό χώρο, εφόσον οι ΔΠΕΕ προστατεύονται από την πρόσβαση μη εξουσιοδοτημένων προσώπων, ή

γ)

εκτός χώρου ασφαλείας ή διοικητικού χώρου, εφόσον ο κάτοχος μεταφέρει τις ΔΠΕΕ σύμφωνα με το άρθρο 31 και έχει αναλάβει να συμμορφώνεται με τα αντισταθμιστικά μέτρα που καθορίζονται στα μέτρα εφαρμογής, ούτως ώστε να διασφαλίζεται ότι οι ΔΠΕΕ προστατεύονται από την πρόσβαση μη εξουσιοδοτημένων προσώπων.

2.   Οι ΔΠΕΕ με διαβάθμιση RESTREINT UE/EU RESTRICTED αποθηκεύονται σε κατάλληλα έπιπλα γραφείου με κλειδαριά σε διοικητικό χώρο ή χώρο ασφαλείας. Μπορούν προσωρινά να αποθηκευθούν εκτός διοικητικού χώρου ή χώρου ασφαλείας, εφόσον ο κάτοχος έχει αναλάβει να συμμορφώνεται με τα αντισταθμιστικά μέτρα που καθορίζονται στους κανόνες εφαρμογής.

3.   Ο χειρισμός ΔΠΕΕ με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET διεξάγεται:

α)	σε χώρο ασφαλείας·

β)	σε διοικητικό χώρο, εφόσον οι ΔΠΕΕ προστατεύονται από την πρόσβαση μη εξουσιοδοτημένων προσώπων· ή

γ)

εκτός χώρου ασφαλείας ή διοικητικού χώρου, εφόσον ο κάτοχος: i) έχει αναλάβει να συμμορφώνεται με τα αντισταθμιστικά μέτρα που καθορίζονται στους κανόνες εφαρμογής, προκειμένου να εξασφαλίζεται ότι οι ΔΠΕΕ προστατεύονται από την πρόσβαση μη εξουσιοδοτημένων προσώπων· ii) διατηρεί ανά πάσα στιγμή τις ΔΠΕΕ υπό τον έλεγχό του· και iii) σε περίπτωση εγγράφων σε χαρτί, έχει ενημερώσει σχετικά την αρμόδια γραμματεία.

4.   Οι ΔΠΕΕ με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET αποθηκεύονται σε χώρο ασφαλείας είτε εντός φωριαμού ασφαλείας είτε εντός θωρακισμένης αίθουσας.

5.   Ο χειρισμός ΔΠΕΕ με διαβάθμιση ασφαλείας TRES SECRET UE/EU TOP SECRET διεξάγεται σε χώρο ασφαλείας, ο οποίος δημιουργείται και συντηρείται από την Αρχή Ασφαλείας της Επιτροπής, και για τον οποίο έχει ληφθεί έγκριση για το συγκεκριμένο επίπεδο διαβάθμισης από την αρχή πιστοποίησης της ασφάλειας της Επιτροπής.

6.   Οι ΔΠΕΕ με διαβάθμιση TRES SECRET UE/EU TOP SECRET αποθηκεύονται σε χώρο ασφαλείας, για τον οποίο έχει ληφθεί διαπίστευση για το συγκεκριμένο επίπεδο διαβάθμισης από την αρχή πιστοποίησης της ασφάλειας της Επιτροπής, στο πλαίσιο μιας εκ των κατωτέρω προϋποθέσεων:

α)

εντός φωριαμού ασφαλείας, σύμφωνα με τις διατάξεις του άρθρου 18, με τουλάχιστον έναν από τους ακόλουθους συμπληρωματικούς ελέγχους: 1) συνεχή προστασία ή επαλήθευση από προσωπικό ασφαλείας ή προσωπικό υπηρεσίας με τη δέουσα διαβάθμιση· 2) εγκεκριμένο IDS σε συνδυασμό με προσωπικό αντιμετώπισης περιστατικών ασφαλείας· ή

β)	εντός θωρακισμένης αίθουσας εξοπλισμένης με IDS σε συνδυασμό με προσωπικό αντιμετώπισης περιστατικών ασφαλείας.

Άρθρο 20

Διαχείριση κλειδιών και συνδυασμών που χρησιμοποιούνται για την προστασία ΔΠΕΕ

1.   Οι διαδικασίες για τη διαχείριση των κλειδιών και των συνδυασμών για τα γραφεία, τις αίθουσες, τις θωρακισμένες αίθουσες και τους φωριαμούς ασφαλείας καθορίζονται στους κανόνες εφαρμογής σύμφωνα με το άρθρο 60 κατωτέρω. Οι διαδικασίες αυτές προστατεύουν από το ενδεχόμενο εισόδου μη εξουσιοδοτημένων ατόμων.

2.   Οι συνδυασμοί απομνημονεύονται από τον μικρότερο δυνατό αριθμό ατόμων που πρέπει να τους γνωρίζουν. Οι συνδυασμοί των φωριαμών ασφαλείας στους οποίους αποθηκεύονται οι ΔΠΕΕ αλλάζουν:

α)	όποτε παραλαμβάνεται νέος φωριαμός·

β)	σε κάθε αλλαγή προσωπικού που γνωρίζει τον συνδυασμό·

γ)	όποτε σημειώνεται διαρροή ή υπάρχουν υπόνοιες διαρροής·

δ)	όποτε συντηρήθηκε ή επισκευάστηκε κλειδαριά· και

ε)	ανά δωδεκάμηνο τουλάχιστον.

ΚΕΦΑΛΑΙΟ 4

ΔΙΑΧΕΙΡΙΣΗ ΔΙΑΒΑΘΜΙΣΜΕΝΩΝ ΠΛΗΡΟΦΟΡΙΩΝ ΤΗΣ ΕΕ

Άρθρο 21

Βασικές αρχές

1.   Η διαχείριση όλων των εγγράφων ΔΠΕΕ πρέπει να συνάδει με την πολιτική της Επιτροπής για τη διαχείριση των εγγράφων και, ως εκ τούτου, πρέπει να αποτελούν αντικείμενο καταχώρισης, αρχειοθέτησης, φύλαξης και, τέλος, καταστροφής, δειγματοληψίας ή μεταφοράς στη μονάδα ιστορικών αρχείων σύμφωνα με τον κοινό σε επίπεδο Επιτροπής κατάλογο διατήρησης για τα έγγραφα της Ευρωπαϊκής Επιτροπής.

2.   Οι πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη καταχωρίζονται, για λόγους ασφαλείας, πριν από τη διανομή και κατά την παραλαβή. Πληροφορίες με διαβάθμιση TRES SECRET UE/EU TOP SECRET καταχωρίζονται σε ειδικές προς τούτο γραμματείες.

3.   Εντός της Επιτροπής καθιερώνεται γραμματειακό σύστημα ΔΠΕΕ σύμφωνα με τις διατάξεις του άρθρου 27.

4.   Τα τμήματα της Επιτροπής και οι χώροι χειρισμού ή αποθήκευσης ΔΠΕΕ υπόκεινται σε τακτική επιθεώρηση από την Αρχή Ασφαλείας της Επιτροπής.

5.   Οι ΔΠΕΕ διαβιβάζονται μεταξύ των υπηρεσιών και των εγκαταστάσεων που ευρίσκονται εκτός των περιοχών που τυγχάνουν φυσικής προστασίας ως εξής:

α)	κατά κανόνα, οι ΔΠΕΕ διαβιβάζονται με ηλεκτρονικά μέσα προστατευόμενα με κρυπτογραφικά προϊόντα που έχουν εγκριθεί σύμφωνα με το κεφάλαιο 5·

β)

όταν δεν χρησιμοποιούνται τα μέσα που αναφέρονται στο στοιχείο α), οι ΔΠΕΕ μεταφέρονται είτε: i) με ηλεκτρονικά μέσα (π.χ. κλειδιά USB, CD, σκληρούς δίσκους) που προστατεύονται με κρυπτογραφικά προϊόντα εγκεκριμένα σύμφωνα με το κεφάλαιο 5· είτε ii) σε κάθε άλλη περίπτωση, όπως ορίζεται στους κανόνες εφαρμογής.

Άρθρο 22

Διαβαθμίσεις και σημάνσεις

1.   Οι πληροφορίες λαμβάνουν διαβάθμιση όταν απαιτείται προστασία του απόρρητου χαρακτήρα τους, σύμφωνα με το άρθρο 3 παράγραφος 1.

2.   Ο φορέας προέλευσης των ΔΠΕΕ είναι υπεύθυνος για τον καθορισμό του επιπέδου διαβάθμισης ασφαλείας, σύμφωνα με τους σχετικούς κανόνες εφαρμογής και τις σχετικές προδιαγραφές και κατευθυντήριες γραμμές όσον αφορά τη διαβάθμιση, καθώς και για την αρχική κοινοποίηση των πληροφοριών.

3.   Το επίπεδο διαβάθμισης των ΔΠΕΕ καθορίζεται σύμφωνα με το άρθρο 3 παράγραφος 2 και τους συναφείς κανόνες εφαρμογής.

4.   Η διαβάθμιση ασφαλείας σημαίνεται με σαφή και προσήκοντα τρόπο, ανεξαρτήτως εάν οι ΔΠΕΕ είναι σε έντυπη, προφορική, ηλεκτρονική ή οποιαδήποτε άλλη μορφή.

5.   Επιμέρους τμήματα δεδομένου εγγράφου (ήτοι σελίδες, παράγραφοι, τμήματα, παραρτήματα και προσαρτήματα καθώς και τυχόν συνημμένα έγγραφα) ενδέχεται να απαιτούν διαφορετικές διαβαθμίσεις και σημαίνονται αναλόγως, μεταξύ άλλων και όταν αποθηκεύονται σε ηλεκτρονική μορφή.

6.   Το γενικό επίπεδο διαβάθμισης ενός εγγράφου ή ενός φακέλου είναι τουλάχιστον τόσο υψηλό όσο το επίπεδο του στοιχείου του με την υψηλότερη διαβάθμιση. Όταν συγκεντρώνει πληροφορίες από διάφορες πηγές, το τελικό προϊόν επανεξετάζεται προκειμένου να καθοριστεί το γενικό του επίπεδο διαβάθμισης ασφαλείας, δεδομένου ότι μπορεί να απαιτεί υψηλότερη διαβάθμιση από τις συνιστώσες του.

7.   Στο μέτρο του δυνατού, τα έγγραφα που περιέχουν μέρη με διαφορετικά επίπεδα διαβάθμισης διαρθρώνονται κατά τρόπον ώστε τα μέρη με διαφορετικό επίπεδο διαβάθμισης να προσδιορίζονται και να αποχωρίζονται εύκολα, εφόσον είναι απαραίτητο.

8.   Η διαβάθμιση επιστολής ή σημειώματος που περιλαμβάνει συνημμένα έγγραφα καθορίζεται στο επίπεδο του υψηλότερα διαβαθμισμένου συνημμένου εγγράφου. Ο φορέας προέλευσης επισημαίνει σαφώς σε ποιο επίπεδο διαβαθμίζεται όταν αποχωριστεί από τα συνημμένα έγγραφα μέσω κατάλληλης σήμανσης, π.χ.:

CONFIDENTIEL UE/EU CONFIDENTIAL

Χωρίς το (τα) συνημμένο(-α) έγγραφο(-α) RESTREINT UE/EU RESTRICTED

Άρθρο 23

Σημάνσεις

Εκτός των σημάνσεων διαβάθμισης ασφαλείας που προβλέπονται στο άρθρο 3 παράγραφος 2, οι διαβαθμισμένες πληροφορίες της ΕΕ είναι δυνατόν να φέρουν πρόσθετες σημάνσεις, όπως:

α)	αναγνωριστικό στοιχείο του φορέα προέλευσης·

β)	τυχόν προειδοποιήσεις, κωδικές λέξεις ή αρκτικόλεξα που διευκρινίζουν τον τομέα δραστηριότητας που αφορά το έγγραφο, ιδιαίτερη διανομή βάσει της «ανάγκης γνώσης» ή περιορισμούς χρήσης·

γ)	σημάνσεις δυνατότητας κοινοποίησης·

δ)	κατά περίπτωση, την ημερομηνία ή το συγκεκριμένο γεγονός μετά την παρέλευση των οποίων μπορούν να υποχαρακτηριστούν ή να αποχαρακτηριστούν.

Άρθρο 24

Συντετμημένες σημάνσεις διαβάθμισης

1.   Οι τυποποιημένες συντετμημένες σημάνσεις διαβάθμισης μπορούν να χρησιμοποιούνται ως ενδείξεις του επιπέδου διαβάθμισης των επιμέρους παραγράφων ενός κειμένου. Οι συντομογραφίες δεν αντικαθιστούν τις πλήρεις σημάνσεις διαβάθμισης.

2.   Οι ακόλουθες τυποποιημένες συντομογραφίες μπορούν να χρησιμοποιούνται στα διαβαθμισμένα έγγραφα της ΕΕ ως ενδείξεις του επιπέδου διαβάθμισης τμημάτων ή ενοτήτων του κειμένου που δεν υπερβαίνουν μία σελίδα:

TRES SECRET UE/EU TOP SECRET	TS-UE/EU-TS
SECRET UE/EU SECRET	S-UE/EU-S
CONFIDENTIEL UE/EU CONFIDENTIAL	C-UE/EU-C
RESTREINT UE/EU RESTRICTED	R-UE/EU-R

Άρθρο 25

Δημιουργία ΔΠΕΕ

1.   Κατά τη σύνταξη διαβαθμισμένου εγγράφου της ΕΕ:

α)	το επίπεδο διαβάθμισης αναγράφεται καθαρά σε κάθε σελίδα·

β)	όλες οι σελίδες αριθμούνται·

γ)	το έγγραφο φέρει αριθμό αναφοράς και θέμα το οποίο δεν αποτελεί το ίδιο διαβαθμισμένη πληροφορία, εκτός εάν σημειώνεται άλλως·

δ)	το έγγραφο φέρει ημερομηνία·

ε)	εάν τα έγγραφα με διαβάθμιση SECRET UE/EU SECRET ή υψηλότερη πρόκειται να διανεμηθούν σε πολλαπλά αντίτυπα, φέρουν αριθμό αντιτύπου σε κάθε σελίδα.

2.   Εάν δεν είναι δυνατή η εφαρμογή της παραγράφου 1 στις ΔΠΕΕ, λαμβάνονται άλλα κατάλληλα μέτρα σύμφωνα με τους κανόνες εφαρμογής.

Άρθρο 26

Υποχαρακτηρισμός και αποχαρακτηρισμός των ΔΠΕΕ

1.   Κατά τη δημιουργία τους, ο φορέας προέλευσης δηλώνει, όπου είναι δυνατόν, αν οι ΔΠΕΕ μπορούν να υποχαρακτηριστούν ή να αποχαρακτηριστούν σε ορισμένη ημερομηνία ή κατόπιν συγκεκριμένου γεγονότος.

2.   Κάθε τμήμα της Επιτροπής επανεξετάζει τακτικά τις ΔΠΕΕ για τις οποίες εναπόκειται στον φορέα προέλευσης να εξακριβώσει αν ισχύει ακόμα το επίπεδο διαβάθμισης. Δυνάμει των κανόνων εφαρμογής καθιερώνεται σύστημα επανεξέτασης, τουλάχιστον ανά πενταετία, του επιπέδου διαβάθμισης των καταχωρισμένων ΔΠΕΕ που έχουν δημιουργηθεί εντός της Επιτροπής. Η επανεξέταση αυτή δεν είναι απαραίτητη όταν ο φορέας προέλευσης έχει δηλώσει εξαρχής ότι οι πληροφορίες υποχαρακτηρίζονται ή αποχαρακτηρίζονται αυτόματα και φέρουν ανάλογη σήμανση.

3.   Πληροφορίες με διαβάθμιση RESTREINT UE/EU RESTRICTED που έχουν δημιουργηθεί εντός της Επιτροπής θεωρείται ότι αποχαρακτηρίζονται αυτόματα μετά την παρέλευση τριάντα ετών, σύμφωνα με τον κανονισμό (ΕΟΚ), Ευρατόμ) αριθ. 354/83, όπως τροποποιήθηκε από τον κανονισμό (ΕΚ, Ευρατόμ) αριθ. 1700/2003 του Συμβουλίου (10).

Άρθρο 27

Γραμματειακό σύστημα καταχώρισης ΔΠΕΕ εντός της Επιτροπής

1.   Με την επιφύλαξη του άρθρου 52 παράγραφος 5 κατωτέρω, σε κάθε τμήμα της Επιτροπής στο οποίο γίνεται χειρισμός ή αποθήκευση ΔΠΕΕ σε επίπεδο διαβάθμισης CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET, ορίζεται αρμόδια τοπική γραμματεία ΔΠΕΕ, ούτως ώστε να διασφαλίζεται ο χειρισμός των ΔΠΕΕ κατ' εφαρμογή της παρούσας απόφασης.

2.   Ως γραμματεία ΔΠΕΕ που τελεί υπό τη διαχείριση της Γενικής Γραμματείας ορίζεται η Κεντρική Γραμματεία ΔΠΕΕ της Επιτροπής και ασκεί καθήκοντα:

—	τοπικής γραμματείας ΔΠΕΕ για τη Γενική Γραμματεία της Επιτροπής,

—	γραμματείας ΔΠΕΕ για τα ιδιαίτερα γραφεία των μελών της Επιτροπής, εκτός εάν αυτά έχουν ορίσει τοπική γραμματεία ΔΠΕΕ,

—	γραμματείας ΔΠΕΕ για τις Γενικές Διευθύνσεις ή τις υπηρεσίες οι οποίες δεν διαθέτουν τοπική γραμματεία ΔΠΕΕ,

—

κυρίου σημείου εισόδου και εξόδου για το σύνολο των πληροφοριών με επίπεδο διαβάθμισης RESTREINT UE/EU RESTRICTED και έως και SECRET UE/EU SECRET που ανταλλάσσονται μεταξύ της Επιτροπής και των υπηρεσιών της και τρίτων κρατών και διεθνών οργανισμών, καθώς και για άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, εφόσον προβλέπεται σε ειδικές προς τον σκοπό αυτόν ρυθμίσεις.

3.   Εντός της Επιτροπής, ορίζεται από την Αρχή Ασφαλείας της Επιτροπής γραμματεία η οποία θα ενεργεί ως κεντρική αρχή παραλαβής και αποστολής πληροφοριών με διαβάθμιση TRES SECRET UE/EU TOP SECRET. Οσάκις απαιτείται, μπορούν να ορίζονται υπογραμματείες για τον χειρισμό των πληροφοριών αυτών για λόγους καταχώρισης.

4.   Οι υπογραμματείες αυτές δεν δικαιούνται να διαβιβάζουν έγγραφα με διαβάθμιση TRES SECRET UE/EU TOP SECRET απευθείας σε άλλες υπογραμματείες της ίδιας κεντρικής γραμματείας TRES SECRET UE/EU TOP SECRET ή έξωθεν χωρίς τη ρητή γραπτή έγκριση της τελευταίας.

5.   Οι γραμματείες ΔΠΕΕ χαρακτηρίζονται ως χώροι ασφαλείας κατά τον ορισμό που παρέχεται στο κεφάλαιο 3 και λαμβάνουν έγκριση από την αρχή πιστοποίησης της ασφάλειας (ΑΠΑ) της Επιτροπής.

Άρθρο 28

Ελεγκτικός υπάλληλος γραμματείας

1.   Κάθε γραμματεία ΔΠΕΕ τελεί υπό τη διαχείριση ελεγκτικού υπαλλήλου γραμματείας («ΕΥΓ»).

2.   Ο ΕΥΓ έχει λάβει τη δέουσα έγκριση ασφαλείας.

3.   Ο ΕΥΓ υπόκειται στον έλεγχο του ΤΥΑ εντός του τμήματος της Επιτροπής, όσον αφορά την εφαρμογή των διατάξεων για τον χειρισμό εγγράφων ΔΠΕΕ και την τήρηση των σχετικών κανόνων, προδιαγραφών και κατευθυντήριων γραμμών ασφαλείας.

4.   Στο πλαίσιο της αρμοδιότητας που του έχει ανατεθεί όσον αφορά τη διαχείριση της γραμματείας ΔΠΕΕ, ο ΕΥΓ αναλαμβάνει, δυνάμει της παρούσας απόφασης και των συναφών κανόνων εφαρμογής, προδιαγραφών και κατευθυντήριων γραμμών, τα ακόλουθα γενικά καθήκοντα:

—	τη διαχείριση των εργασιών καταχώρισης, διατήρησης, αναπαραγωγής, μετάφρασης, διαβίβασης, αποστολής και καταστροφής ή μεταφοράς των ΔΠΕΕ στη μονάδα ιστορικών αρχείων,

—	τον περιοδικό έλεγχο της ανάγκης διατήρησης του χαρακτηρισμού των πληροφοριών,

—	την ανάληψη τυχόν άλλων καθηκόντων που συνδέονται με την προστασία των ΔΠΕΕ, όπως ορίζεται στους κανόνες εφαρμογής.

Άρθρο 29

Καταχώριση ΔΠΕΕ για λόγους ασφαλείας

1.   Για τους σκοπούς της παρούσας απόφασης, ως καταχώριση για λόγους ασφαλείας (εφεξής «καταχώριση») νοείται η εφαρμογή διαδικασιών που επιτρέπουν την καταγραφή του κύκλου ζωής των ΔΠΕΕ, περιλαμβανομένης και της διάδοσής τους.

2.   Όλες οι πληροφορίες ή το υλικό με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη καταχωρίζονται στις αρμόδιες γραμματείες κατά την παραλαβή ή την αποστολή τους από μια οργανωτική μονάδα.

3.   Κατά τον χειρισμό ή την αποθήκευση ΔΠΕΕ με τη χρήση συστήματος επικοινωνίας και πληροφοριών (CIS), οι διαδικασίες καταχώρισης μπορούν να διεκπεραιώνονται με διεργασίες εντός του ίδιου του CIS.

4.   Λεπτομερέστερες διατάξεις σχετικά με την καταχώριση ΔΠΕΕ για λόγους ασφαλείας περιλαμβάνονται στους κανόνες εφαρμογής.

Άρθρο 30

Αντιγραφή και μετάφραση διαβαθμισμένων εγγράφων της ΕΕ

1.   Τα έγγραφα με διαβάθμιση TRES SECRET UE/EU TOP SECRET μπορούν να αντιγραφούν ή να μεταφραστούν μόνο με την προηγούμενη γραπτή συγκατάθεση του φορέα προέλευσης.

2.   Όταν ο φορέας προέλευσης εγγράφων με διαβάθμιση SECRET UE/EU SECRET ή κατώτερη δεν έχει επιβάλει προειδοποιήσεις ως προς την αντιγραφή ή τη μετάφρασή τους, τα έγγραφα αυτά μπορούν να αντιγράφονται ή να μεταφράζονται κατόπιν εντολής του κατόχου τους.

3.   Τα μέτρα ασφαλείας που εφαρμόζονται για το αρχικό έγγραφο εφαρμόζονται και στα αντίγραφα και στις μεταφράσεις του.

Άρθρο 31

Μεταφορά των ΔΠΕΕ

1.   Οι ΔΠΕΕ μεταφέρονται κατά τέτοιον τρόπο ώστε να προστατεύονται από άνευ αδείας κοινολόγηση κατά τη μεταφορά τους.

2.   Η μεταφορά των ΔΠΕΕ υπόκειται στα προστατευτικά μέτρα τα οποία:

—	είναι ανάλογα του επιπέδου διαβάθμισης των μεταφερόμενων ΔΠΕΕ και

—

προσαρμόζονται στους ειδικούς όρους μεταφοράς τους, ιδίως σε συνάρτηση με το εάν οι ΔΠΕΕ μεταφέρονται: — εντός κτιρίου της Επιτροπής ή αυτοτελούς συνόλου κτιρίων της Επιτροπής, — μεταξύ κτιρίων της Επιτροπής τα οποία βρίσκονται στο ίδιο κράτος μέλος, — εντός της Ένωσης, — από την Ένωση προς το έδαφος τρίτου κράτους και — προσαρμόζονται στη φύση και τη μορφή των ΔΠΕΕ.

3.   Τα εν λόγω προστατευτικά μέτρα καθορίζονται λεπτομερώς στους κανόνες εφαρμογής ή, στην περίπτωση των έργων και των προγραμμάτων που αναφέρονται στο άρθρο 42, αποτελούν αναπόσπαστο μέρος των εντολών ασφαλείας του αντίστοιχου προγράμματος ή έργου (PSI).

4.   Οι κανόνες εφαρμογής ή οι εντολές ασφαλείας του προγράμματος/έργου περιλαμβάνουν διατάξεις οι οποίες είναι ανάλογες του επιπέδου διαβάθμισης των ΔΠΕΕ, όσον αφορά:

—	τον τύπο μεταφοράς, όπως ιδιόχειρη μεταφορά, μεταφορά με διπλωματικό ή στρατιωτικό μεταφορέα, μεταφορά με ταχυδρομικές υπηρεσίες ή με εμπορικές υπηρεσίες ταχυμεταφοράς,

—	τη συσκευασία των ΔΠΕΕ,

—	τα τεχνικά αντίμετρα για τις ΔΠΕΕ που μεταφέρονται με ηλεκτρονικά μέσα,

—	τυχόν άλλα διαδικαστικά, φυσικά ή ηλεκτρονικά μέτρα,

—	τις διαδικασίες καταχώρισης,

—	τη χρήση μελών του προσωπικού που είναι κάτοχοι έγκρισης ασφαλείας.

5.   Όταν οι ΔΠΕΕ διαβιβάζονται ηλεκτρονικά, και παρά τα οριζόμενα στο άρθρο 21 παράγραφος 5, τα προστατευτικά μέτρα που προβλέπονται στους συναφείς κανόνες εφαρμογής μπορούν να συμπληρώνονται με κατάλληλα τεχνικά αντίμετρα που εγκρίνονται από την Αρχή Ασφαλείας της Επιτροπής προκειμένου να ελαχιστοποιείται ο κίνδυνος απώλειας ή διαρροής.

Άρθρο 32

Καταστροφή ΔΠΕΕ

1.   Τα διαβαθμισμένα έγγραφα ΕΕ που δεν χρειάζονται πλέον μπορούν να καταστρέφονται, λαμβανομένων υπόψη των κανονισμών περί αρχειοθέτησης και των κανόνων και κανονισμών της Επιτροπής για τη διαχείριση και την αρχειοθέτηση των εγγράφων, και ιδίως όσον αφορά τον κοινό σε επίπεδο Επιτροπής κατάλογο διατήρησης.

2.   Οι ΔΠΕΕ με διαβάθμιση επιπέδου CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη καταστρέφονται από τον ΕΥΓ της αρμόδιας γραμματείας ΔΠΕΕ με εντολή του κατόχου ή αρμόδιας αρχής. Ο ΕΥΓ ενημερώνει αναλόγως τα ημερολόγια και τις λοιπές πληροφορίες καταχώρισης.

3.   Για τα έγγραφα με διαβαθμίσεις SECRET UE/EU SECRET ή TRES SECRET UE/EU TOP SECRET, η καταστροφή πραγματοποιείται από τον ΕΥΓ παρουσία μάρτυρα, ο οποίος έχει διαβάθμιση ασφαλείας τουλάχιστον έως το επίπεδο διαβάθμισης του προς καταστροφή εγγράφου.

4.   Ο γραμματέας και, οσάκις απαιτείται η παρουσία του, ο μάρτυρας υπογράφουν πιστοποιητικό καταστροφής, το οποίο καταχωρίζεται στη γραμματεία. Ο ΕΥΓ της αρμόδιας γραμματείας ΔΠΕΕ τηρεί τα πιστοποιητικά καταστροφής των εγγράφων με διαβάθμιση TRES SECRET UE/EU TOP SECRET για δεκαετία τουλάχιστον και των εγγράφων με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET για πενταετία τουλάχιστον.

5.   Τα διαβαθμισμένα έγγραφα, περιλαμβανομένων και εκείνων με διαβάθμιση RESTREINT UE/EU RESTRICTED, καταστρέφονται με μεθόδους που καθορίζονται στους κανόνες εφαρμογής και που ανταποκρίνονται στα σχετικά ενωσιακά πρότυπα ή αντίστοιχα πρότυπα.

6.   Οι ηλεκτρονικοί φορείς αποθήκευσης που χρησιμοποιούνται για τις ΔΠΕΕ καταστρέφονται σύμφωνα με διαδικασίες που καθορίζονται στους κανόνες εφαρμογής.

Άρθρο 33

Καταστροφή ΔΠΕΕ σε καταστάσεις έκτακτης ανάγκης

1.   Τα τμήματα της Επιτροπής που τηρούν ΔΠΕΕ καταρτίζουν σχέδια, βάσει των τοπικών συνθηκών, για τη διαφύλαξη του διαβαθμισμένου υλικού ΕΕ σε περίπτωση κρίσης, τα οποία περιλαμβάνουν, εφόσον απαιτείται, σχέδια καταστροφής και εκκένωσης σε κατάσταση έκτακτης ανάγκης. Εκδίδουν τις οδηγίες που κρίνονται αναγκαίες ώστε να μην περιπέσουν διαβαθμισμένες πληροφορίες ΕΕ εις χείρας μη εξουσιοδοτημένων ατόμων.

2.   Οι ρυθμίσεις για τη διαφύλαξη ή/και την καταστροφή του υλικού CONFIDENTIEL UE/EU CONFIDENTIAL και SECRET UE/EU SECRET σε περίπτωση κρίσης δεν πρέπει σε καμία περίπτωση να επηρεάζουν αρνητικά τη διαφύλαξη ή την καταστροφή υλικού TRES SECRET UE/EU TOP SECRET, συμπεριλαμβανομένου του κρυπτογραφικού εξοπλισμού, η μεταχείριση του οποίου έχει προτεραιότητα έναντι κάθε άλλης εργασίας.

3.   Σε κατάσταση έκτακτης ανάγκης, εάν υπάρχει άμεσος κίνδυνος άνευ αδείας κοινολόγησης, οι ΔΠΕΕ καταστρέφονται από τον κάτοχο με τρόπο που να μην επιτρέπει την ανασύστασή τους πλήρως ή εν μέρει. Ο φορέας και η γραμματεία προέλευσης ενημερώνονται σχετικά με την έκτακτη καταστροφή των καταχωρισμένων ΔΠΕΕ.

4.   Λεπτομερέστερες διατάξεις σχετικά με την καταστροφή ΔΠΕΕ περιλαμβάνονται στους κανόνες εφαρμογής.

ΚΕΦΑΛΑΙΟ 5

ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΙΑΒΑΘΜΙΣΜΕΝΩΝ ΠΛΗΡΟΦΟΡΙΩΝ ΤΗΣ ΕΕ ΣΕ ΣΥΣΤΗΜΑΤΑ ΕΠΙΚΟΙΝΩΝΙΑΣ ΚΑΙ ΠΛΗΡΟΦΟΡΙΩΝ (CIS)

Άρθρο 34

Βασικές αρχές διασφάλισης των πληροφοριών

1.   Διασφάλιση των πληροφοριών (IA) στον τομέα των συστημάτων επικοινωνίας και πληροφοριών είναι η βεβαιότητα ότι τα συστήματα αυτά θα προστατεύουν τις πληροφορίες που χειρίζονται και θα λειτουργούν οσοδήποτε και οποτεδήποτε χρειάζεται υπό τον έλεγχο των νομίμων χρηστών.

2.   Η αποτελεσματική διασφάλιση των πληροφοριών εξασφαλίζει κατάλληλα επίπεδα όσον αφορά την τήρηση των ακόλουθων αρχών

γνησιότητα	:	η εγγύηση ότι οι πληροφορίες είναι γνήσιες και από καλόπιστες πηγές·
διαθεσιμότητα	:	η ιδιότητα του συστήματος να είναι προσβάσιμο και έτοιμο προς χρήση κατόπιν αιτήματος εξουσιοδοτημένου φορέα·
εμπιστευτικότητα	:	η ιδιότητα της μη κοινολόγησης πληροφοριών σε μη εξουσιοδοτημένα πρόσωπα, φορείς ή διαδικασίες·
ακεραιότητα	:	η ιδιότητα της διαφύλαξης της ακρίβειας και της πληρότητας των πληροφοριών και των στοιχείων·
μη άρνηση αναγνώρισης	:	η ικανότητα απόδειξης της διεξαγωγής ενέργειας ή γεγονότος, ούτως ώστε να μην είναι δυνατή η άρνηση της εν λόγω ενέργειας ή του γεγονότος.

3.   Η ΙΑ βασίζεται σε διαδικασία διαχείρισης κινδύνων.

Άρθρο 35

Ορισμοί

Για τους σκοπούς του παρόντος κεφαλαίου, ισχύουν οι ακόλουθοι ορισμοί:

α)	ως «πιστοποίηση» νοείται η επίσημη εξουσιοδότηση και έγκριση που χορηγεί η αρχή πιστοποίησης της ασφάλειας (ΑΠΑ) σε σύστημα επικοινωνίας και πληροφοριών για την επεξεργασία ΔΠΕΕ στο λειτουργικό περιβάλλον του, μετά την επίσημη έγκριση του σχεδίου ασφαλείας και της ορθής εφαρμογής του·

β)	ως «διαδικασία πιστοποίησης» νοούνται τα απαραίτητα στάδια και οι εργασίες που απαιτούνται πριν από την πιστοποίηση εκ μέρους της αρχής πιστοποίησης της ασφάλειας. Τα εν λόγω στάδια και οι σχετικές εργασίες προσδιορίζονται σε σχετικό πρότυπο διαδικασίας πιστοποίησης·

γ)

ως «σύστημα επικοινωνίας και πληροφοριών» (CIS) νοείται οιοδήποτε σύστημα επιτρέπει τον χειρισμό πληροφοριών υπό ηλεκτρονική μορφή, με αυτόματα μέσα. Ένα σύστημα επικοινωνίας και πληροφοριών περιλαμβάνει το σύνολο των στοιχείων που απαιτούνται για τη λειτουργία του, συμπεριλαμβανομένης της υποδομής, της οργάνωσης, του προσωπικού και των πληροφοριών·

δ)	ως «υπολειπόμενος κίνδυνος» νοείται ο κίνδυνος που εξακολουθεί να υφίσταται και μετά την εφαρμογή των μέτρων ασφαλείας, δεδομένου ότι δεν είναι δυνατόν να αντιμετωπιστούν όλες οι απειλές και να εξαλειφθούν όλα οι τα τρωτά σημεία·

ε)

ως «κίνδυνος» νοείται η πιθανότητα μια δεδομένη απειλή να εκμεταλλευθεί τα εσωτερικά και εξωτερικά τρωτά σημεία ενός οργανισμού ή των συστημάτων που χρησιμοποιεί και να προκαλέσει βλάβη στον οργανισμό και στα υλικά ή άυλα στοιχεία του. Μετράται ως ο συνδυασμός της ενδεχόμενης υλοποίησης των απειλών και των συνεπειών τους·

στ)	ως «αποδοχή του κινδύνου» νοείται η απόφαση με την οποία συμφωνείται ότι υφίσταται υπολειπόμενος κίνδυνος μετά τον χειρισμό του·

ζ)	η «αξιολόγηση κινδύνου» συνίσταται στον εντοπισμό των απειλών και των τρωτών σημείων και στη διεξαγωγή σχετικής ανάλυσης του κινδύνου, ήτοι ανάλυση της ενδεχόμενης υλοποίησης και των συνεπειών της.

η)	η «κοινοποίηση του κινδύνου» συνίσταται στην ευαισθητοποίηση ως προς τους κινδύνους μεταξύ των κοινοτήτων των χρηστών CIS, στην ενημέρωση των αρχών έγκρισης ως προς τους κινδύνους αυτούς και στην υποβολή σχετικών εκθέσεων στις επιχειρησιακές αρχές·

θ)	ο «χειρισμός του κινδύνου» συνίσταται στην άμβλυνση, αναίρεση ή μείωση του κινδύνου (μέσω κατάλληλου συνδυασμού τεχνικών, φυσικών, οργανωτικών ή διαδικαστικών μέτρων), μεταφορά ή παρακολούθηση του κινδύνου.

Άρθρο 36

CIS που χειρίζονται ΔΠΕΕ

1.   Τα CIS χειρίζονται τις ΔΠΕΕ σύμφωνα με την έννοια της IA.

2.   Για τα CIS που χειρίζονται ΔΠΕΕ, η συμμόρφωση προς την πολιτική της Επιτροπής για την ασφάλεια των συστημάτων πληροφορικής, όπως αναφέρεται στην απόφαση C(2006) 3602 της Επιτροπής (11), συνεπάγεται τα εξής:

α)	ότι εφαρμόζεται η προσέγγιση «Σχεδιασμός-Υλοποίηση-Έλεγχος-Πράξη» για την εφαρμογή της πολιτικής στον τομέα της ασφάλειας των συστημάτων πληροφορικής καθ' όλη τη διάρκεια του κύκλου ζωής του συστήματος πληροφορικής·

β)	ότι οι ανάγκες ασφαλείας πρέπει να προσδιορίζονται μέσω εκτίμησης των επιπτώσεων για τις επιχειρήσεις·

γ)	ότι το σύστημα πληροφορικής και τα δεδομένα που περιέχει πρέπει να υποβάλλονται σε επίσημη διαβάθμιση στοιχείων·

δ)	ότι πρέπει να εφαρμόζονται όλα τα υποχρεωτικά μέτρα ασφαλείας, όπως ορίζονται στο πλαίσιο της πολιτικής για την ασφάλεια των συστημάτων πληροφορικής·

ε)	ότι πρέπει να εφαρμόζεται διαδικασία διαχείρισης κινδύνων, η οποία συνίσταται στα ακόλουθα στάδια: προσδιορισμός της απειλής και των τρωτών σημείων, αξιολόγηση του κινδύνου, χειρισμός του κινδύνου, αποδοχή του κινδύνου και κοινοποίηση του κινδύνου·

στ)	ότι καταρτίζεται, υλοποιείται, ελέγχεται και επανεξετάζεται σχέδιο ασφαλείας, στο οποίο συμπεριλαμβάνονται η πολιτική ασφαλείας και οι λειτουργικές διαδικασίες ασφαλείας.

3.   Όλα τα μέλη του προσωπικού που συμμετέχουν στον σχεδιασμό, την ανάπτυξη, τη λειτουργική δοκιμή, τη λειτουργία, τη διαχείριση ή τη χρήση CIS που χειρίζονται ΔΠΕΕ κοινοποιούν στην ΑΠΑ το σύνολο των δυνητικών αδυναμιών και συμβάντων όσον αφορά την ασφάλεια, παραβιάσεων ασφαλείας ή διαρροών που ενδέχεται να έχουν αντίκτυπο στην προστασία των CIS ή/και των ΔΠΕΕ που περιέχουν.

4.   Όταν η προστασία ΔΠΕΕ παρέχεται με κρυπτογραφικά προϊόντα, τα προϊόντα αυτά εγκρίνονται ως εξής:

α)	δίδεται προτεραιότητα στα προϊόντα που εγκρίνει το Συμβούλιο ή ο γενικός γραμματέας του Συμβουλίου υπό την ιδιότητά του ως αρχής έγκρισης κρυπτογραφικών μεθόδων του Συμβουλίου, κατόπιν συστάσεως της ομάδας εμπειρογνωμόνων ασφαλείας της Επιτροπής·

β)

οσάκις δικαιολογείται για συγκεκριμένους επιχειρησιακούς λόγους, η αρχή έγκρισης κρυπτογραφικών μεθόδων (CAA) της Επιτροπής μπορεί, κατόπιν συστάσεως της ομάδας εμπειρογνωμόνων ασφαλείας της Επιτροπής, να αποφασίσει ότι δεν θα εφαρμοστούν οι προδιαγραφές του στοιχείου α) και να χορηγήσει προσωρινή έγκριση για συγκεκριμένη περίοδο.

5.   Κατά τη διαβίβαση, την επεξεργασία και την αποθήκευση ΔΠΕΕ με ηλεκτρονικά μέσα χρησιμοποιούνται εγκεκριμένα κρυπτογραφικά προϊόντα. Παρά την απαίτηση αυτή, μπορούν να χρησιμοποιούνται ειδικές διαδικασίες σε έκτακτες περιστάσεις ή σε ειδικές τεχνικές διαμορφώσεις κατόπιν έγκρισης από τη CAA.

6.   Εφαρμόζονται μέτρα ασφαλείας για την προστασία CIS που χειρίζονται πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη από κάθε διαρροή τέτοιων πληροφοριών μέσω ακούσιων ηλεκτρομαγνητικών εκπομπών («μέτρα ασφαλείας TEMPEST»). Τα εν λόγω μέτρα ασφαλείας είναι ανάλογα με τον κίνδυνο εκμετάλλευσης και το επίπεδο διαβάθμισης των πληροφοριών.

7.   Η Αρχή Ασφαλείας της Επιτροπής αναλαμβάνει τις ακόλουθες λειτουργίες:

—	αρχή IA (IAA),

—	αρχή πιστοποίησης της ασφάλειας (ΑΠΑ),

—	αρχή TEMPEST (TA),

—	αρχή έγκρισης κρυπτογραφικών μεθόδων (CAA),

—	αρχή διανομής κρυπτογραφικών μεθόδων (CDA).

8.   Η Αρχή Ασφαλείας της Επιτροπής ορίζει για κάθε σύστημα την επιχειρησιακή αρχή IA.

9.   Οι αρμοδιότητες των λειτουργιών που περιγράφονται στις παραγράφους 7 και 8 καθορίζονται στους κανόνες εφαρμογής.

Άρθρο 37

Πιστοποίηση των CIS που χειρίζονται ΔΠΕΕ

1.   Όλα τα CIS που χειρίζονται ΔΠΕΕ υποβάλλονται σε διαδικασία πιστοποίησης, βάσει των αρχών CIS, το επίπεδο ανάλυσης της οποίας πρέπει να είναι ανάλογο του απαιτούμενου επιπέδου προστασίας.

2.   Η διαδικασία πιστοποίησης περιλαμβάνει την επίσημη έγκριση εκ μέρους της ΑΠΑ της Επιτροπής του σχεδίου ασφαλείας για το συγκεκριμένο CIS, ούτως ώστε να διασφαλίζεται ότι:

α)	έχει εφαρμοστεί δεόντως η διαδικασία διαχείρισης κινδύνων, όπως αναφέρεται στο άρθρο 36 παράγραφος 2·

β)	ο ιδιοκτήτης του συστήματος έχει εν επιγνώσει αποδεχθεί τον υπολειπόμενο κίνδυνο· και

γ)	έχει επιτευχθεί, σύμφωνα με την παρούσα απόφαση, επαρκές επίπεδο προστασίας του CIS και των ΔΠΕΕ που αποτελούν αντικείμενο χειρισμού στο πλαίσιό του.

3.   Η ΑΠΑ της Επιτροπής εκδίδει δήλωση έγκρισης λειτουργίας, με την οποία καθορίζεται το μέγιστο επιτρεπτό επίπεδο διαβάθμισης των ΔΠΕΕ που μπορούν να αποτελέσουν αντικείμενο χειρισμού στο πλαίσιο ενός CIS, καθώς και τους αντίστοιχους όρους και προϋποθέσεις. Η παρούσα διάταξη εφαρμόζεται με την επιφύλαξη των καθηκόντων που ανατίθενται στο Συμβούλιο Πιστοποίησης Ασφαλείας, όπως ορίζεται στο άρθρο 11 του κανονισμού (ΕΕ) αριθ. 512/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (12).

4.   Το κοινό Συμβούλιο Πιστοποίησης Ασφαλείας (ΣΠΑ) είναι υπεύθυνο για την έγκριση των CIS της Επιτροπής και στη σύνθεσή του συμμετέχουν διάφορα μέλη. Αποτελείται από έναν εκπρόσωπο ΑΠΑ εκάστου μέλους και στις συνεδριάσεις του προεδρεύει εκπρόσωπος ΑΠΑ της Επιτροπής.

5.   Η διαδικασία πιστοποίησης συνίσταται σε μια σειρά εργασιών που πρέπει να εκτελέσουν τα συμμετέχοντα μέλη. Η ευθύνη για την κατάρτιση των φακέλων πιστοποίησης και των εγγράφων τεκμηρίωσης ανήκει εξ ολοκλήρου στον ιδιοκτήτη του συστήματος CIS.

6.   Η ευθύνη της πιστοποίησης ανατίθεται στην ΑΠΑ της Επιτροπής, η οποία έχει, ανά πάσα στιγμή του κύκλου ζωής του CIS, το δικαίωμα:

α)	να απαιτήσει τη διεξαγωγή διαδικασίας πιστοποίησης·

β)	να διενεργήσει έλεγχο ή επιθεώρηση του CIS·

γ)

εφόσον δεν πληρούνται πλέον οι όροι λειτουργίας, να απαιτήσει την κατάρτιση και την αποτελεσματική εφαρμογή σχεδίου βελτίωσης της ασφάλειας εντός προκαθορισμένου χρονοδιαγράμματος, με ανάκληση ενδεχομένως της άδειας λειτουργίας του CIS έως ότου διασφαλιστεί ότι πληρούνται εκ νέου οι όροι λειτουργίας του συστήματος.

7.   Η διαδικασία πιστοποίησης καθορίζεται σε πρότυπο σχετικά με τη διαδικασία πιστοποίησης για τα CIS που χειρίζονται ΔΠΕΕ, το οποίο εκδίδεται σύμφωνα με το άρθρο 10 παράγραφος 3 της απόφασης C(2006) 3602.

Άρθρο 38

Καταστάσεις έκτακτης ανάγκης

1.   Με την επιφύλαξη των διατάξεων του παρόντος κεφαλαίου, οι κατωτέρω περιγραφόμενες ειδικές διαδικασίες μπορούν να εφαρμόζονται σε περιπτώσεις έκτακτης ανάγκης, όπως καταστάσεις επικείμενης ή πραγματικής κρίσης, σύγκρουσης ή πολέμου ή υπό εξαιρετικές επιχειρησιακές περιστάσεις.

2.   Οι ΔΠΕΕ μπορούν να διαβιβάζονται με τη χρήση κρυπτογραφικών προϊόντων που έχουν λάβει έγκριση για χαμηλότερο επίπεδο διαβάθμισης ή χωρίς κρυπτογράφηση, με τη συγκατάθεση της αρμόδιας αρχής, εάν οποιαδήποτε καθυστέρηση θα ήταν ικανή να προξενήσει ζημία σαφώς μεγαλύτερη από τη ζημία που θα προκαλούσε η τυχόν κοινολόγηση του διαβαθμισμένου υλικού και εφόσον:

α)	ο αποστολέας και ο παραλήπτης δεν διαθέτουν αντιστοίχως τους απαιτούμενους κρυπτογραφικούς χώρους· και

β)	δεν υπάρχει άλλος τρόπος έγκαιρης μετάδοσης του διαβαθμισμένου υλικού.

3.   Οι διαβαθμισμένες πληροφορίες που διαβιβάζονται υπό τις περιστάσεις που περιγράφονται στην παράγραφο 1 δεν πρέπει να φέρουν σημάνσεις ή ενδείξεις που τις διακρίνουν από μη διαβαθμισμένες πληροφορίες ή από πληροφορίες που μπορούν να προστατευθούν με τα διαθέσιμα κρυπτογραφικά προϊόντα. Οι παραλήπτες τους πρέπει να ενημερώνονται αμελλητί για το επίπεδο διαβάθμισης με άλλα μέσα.

4.   Αποστέλλεται σχετική έκθεση στην αρμόδια αρχή και στην ομάδα εμπειρογνωμόνων ασφαλείας της Επιτροπής.

ΚΕΦΑΛΑΙΟ 6

ΒΙΟΜΗΧΑΝΙΚΗ ΑΣΦΑΛΕΙΑ

Άρθρο 39

Βασικές αρχές

1.   Ως βιομηχανική ασφάλεια νοείται η εφαρμογή μέτρων διασφάλισης της προστασίας των ΔΠΕΕ

α)	στο πλαίσιο διαβαθμισμένων συμβάσεων, από: i) τους υποψηφίους ή τους υποβάλλοντες προσφορά καθ' όλη τη διάρκεια της διαδικασίας υποβολής προσφορών και ανάθεσης συμβάσεων· ii) τους εργολάβους ή τους υπεργολάβους καθ' όλη τη διάρκεια του κύκλου ζωής των διαβαθμισμένων συμβάσεων·

β)	στο πλαίσιο διαβαθμισμένων συμφωνιών επιδότησης, από i) τους αιτούντες κατά τη διάρκεια των διαδικασιών χορήγησης επιδότησης· ii) τους δικαιούχους καθ' όλη τη διάρκεια του κύκλου ζωής των διαβαθμισμένων συμφωνιών επιδότησης.

2.   Οι εν λόγω συμβάσεις ή συμφωνίες επιδότησης δεν περιλαμβάνουν πληροφορίες με διαβάθμιση TRES SECRET UE/EU TOP SECRET.

3.   Εκτός εάν άλλως ορίζεται, οι διατάξεις του παρόντος κεφαλαίου σχετικά με τις διαβαθμισμένες συμβάσεις ή τους εργολάβους εφαρμόζονται επίσης στις διαβαθμισμένες συμβάσεις υπεργολαβίας ή στους υπεργολάβους.

Άρθρο 40

Ορισμοί

Για τους σκοπούς του παρόντος κεφαλαίου ισχύουν οι ακόλουθοι ορισμοί:

α)

ως «διαβαθμισμένη σύμβαση» νοείται η σύμβαση-πλαίσιο ή σύμβαση, όπως αναφέρεται στον κανονισμό (ΕΚ, Ευρατόμ) αριθ. 1605/2002 του Συμβουλίου (13), την οποία συνάπτει η Επιτροπή ή τμήμα της Επιτροπής με εργολάβο για την προμήθεια στοιχείων κινητής ή ακίνητης περιουσίας, την εκτέλεση έργου ή την παροχή υπηρεσιών, και της οποίας η εκτέλεση απαιτεί ή συνεπάγεται τη δημιουργία, τον χειρισμό ή την αποθήκευση ΔΠΕΕ·

β)

ως «διαβαθμισμένη σύμβαση υπεργολαβίας» νοείται η σύμβαση την οποία συνάπτει εργολάβος της Επιτροπής ή τμήματος της Επιτροπής με άλλον εργολάβο (δηλαδή τον υπεργολάβο) για την προμήθεια στοιχείων κινητής ή ακίνητης περιουσίας, την εκτέλεση έργου ή την παροχή υπηρεσιών, και της οποίας η εκτέλεση απαιτεί ή συνεπάγεται τη δημιουργία, τον χειρισμό ή την αποθήκευση ΔΠΕΕ·

γ)	ως «διαβαθμισμένη συμφωνία επιδότησης» νοείται η συμφωνία στο πλαίσιο της οποίας η Επιτροπή χορηγεί επιδότηση, όπως αναφέρεται στο μέρος I τίτλος VI του κανονισμού (ΕΚ, Ευρατόμ) αριθ. 1605/2002, και της οποίας η εκτέλεση απαιτεί ή συνεπάγεται τη δημιουργία, τον χειρισμό ή την αποθήκευση ΔΠΕΕ·

δ)

ως «καθορισμένη αρχή ασφαλείας» (ΚΑΑ) νοείται η αρχή η οποία είναι υπόλογη στην εθνική αρχή ασφαλείας (ΕΑΑ) κράτους μέλους και έχει καθήκον, αφενός, να ενημερώνει τους βιομηχανικούς και άλλους φορείς σχετικά με την εθνική πολιτική στα θέματα βιομηχανικής ασφαλείας και, αφετέρου, να τους καθοδηγεί και να τους παρέχει συνδρομή κατά την εφαρμογή αυτής της εθνικής πολιτικής. Τα καθήκοντα της ΚΑΑ μπορούν να εκτελούνται από την ΕΑΑ ή από οποιαδήποτε άλλη αρμόδια αρχή.

Άρθρο 41

Διαδικασία για τις διαβαθμισμένες συμβάσεις ή συμφωνίες επιδότησης

1.   Κατά την ανάθεση διαβαθμισμένων συμβάσεων ή συμφωνιών επιδότησης, κάθε τμήμα της Επιτροπής διασφαλίζει, ως αναθέτουσα αρχή, αφενός ότι στη σύμβαση αναφέρονται ή ενσωματώνονται οι ελάχιστες προδιαγραφές βιομηχανικής ασφάλειας που καθορίζονται στο παρόν κεφάλαιο, και αφετέρου εξασφαλίζει την τήρησή τους.

2.   Για τους σκοπούς της παραγράφου 1, οι αρμόδιες υπηρεσίες της Επιτροπής συμβουλεύονται τη Γενική Διεύθυνση Ανθρωπίνων Πόρων και Ασφάλειας, και ιδίως τη Διεύθυνση Ασφάλειας, και διασφαλίζουν ότι τα υποδείγματα των συμβάσεων και των συμβάσεων υπεργολαβίας, καθώς και τα υποδείγματα των συμφωνιών επιδότησης, συμπεριλαμβάνουν διατάξεις οι οποίες αντικατοπτρίζουν τις βασικές αρχές και τις ελάχιστες προδιαγραφές για την προστασία των ΔΠΕΕ που πρέπει να τηρούν οι εργολάβοι και οι υπεργολάβοι, καθώς και οι δικαιούχοι των συμφωνιών επιδότησης αντιστοίχως.

3.   Η Επιτροπή συνεργάζεται στενά με την ΕΑΑ, την ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή των αντίστοιχων κρατών μελών.

4.   Όταν η αναθέτουσα αρχή προτίθεται να κινήσει διαδικασία με σκοπό τη σύναψη διαβαθμισμένης σύμβασης ή συμφωνίας επιδότησης, συμβουλεύεται την Αρχή Ασφαλείας της Επιτροπής σε θέματα που αφορούν τον διαβαθμισμένο χαρακτήρα και τα συναφή στοιχεία της διαδικασίας, σε όλα της τα στάδια.

5.   Στους κανόνες εφαρμογής για τη βιομηχανική ασφάλεια καθορίζονται, κατόπιν διαβούλευσης με την ομάδα εμπειρογνωμόνων ασφαλείας της Επιτροπής, πρότυπα και υποδείγματα διαβαθμισμένων συμβάσεων και συμβάσεων υπεργολαβίας, διαβαθμισμένων συμφωνιών επιδότησης, καθώς και προκηρύξεων διαγωνισμών, οδηγίες σχετικά με τις περιστάσεις στις οποίες απαιτούνται εξουσιοδοτήσεις ασφαλείας φορέα (FSC), εντολές ασφαλείας του προγράμματος/έργου (PSI), έγγραφα θεμάτων ασφαλείας (ΕΘΑ), επισκέψεις, διαβίβαση και μεταφορά των ΔΠΕΕ στο πλαίσιο διαβαθμισμένων συμβάσεων ή διαβαθμισμένων συμφωνιών επιδότησης.

6.   Η Επιτροπή μπορεί να αναθέτει με διαβαθμισμένη σύμβαση ή συμφωνία επιδότησης σε οικονομικούς φορείς που έχουν την έδρα τους σε κράτος μέλος ή σε τρίτο κράτος που έχει συνάψει συμφωνία ή διοικητικό διακανονισμό σύμφωνα με το κεφάλαιο 7 της παρούσας απόφασης καθήκοντα που αφορούν ή συνεπάγονται πρόσβαση σε ΔΠΕΕ ή τον χειρισμό ή την αποθήκευσή τους.

Άρθρο 42

Στοιχεία ασφαλείας σε διαβαθμισμένη σύμβαση ή συμφωνία επιδότησης

1.   Οι διαβαθμισμένες συμβάσεις ή συμφωνίες επιδότησης περιλαμβάνουν τα ακόλουθα στοιχεία ασφαλείας:

Εντολές ασφαλείας του προγράμματος/έργου

α)	Ως «εντολές ασφαλείας του προγράμματος/έργου» (PSI) νοείται ο κατάλογος των διαδικασιών ασφαλείας που εφαρμόζονται σε συγκεκριμένο πρόγραμμα ή έργο για την τυποποίησή τους. Μπορούν να αναθεωρούνται μέσω του προγράμματος ή του έργου.

β)	Η Γενική Διεύθυνση Ανθρωπίνων Πόρων και Ασφάλειας εκπονεί γενικές PSI. Τα τμήματα της Επιτροπής τα οποία είναι αρμόδια για προγράμματα ή έργα που συνεπάγονται τον χειρισμό ή την αποθήκευση ΔΠΕΕ δύνανται να εκπονούν, κατά περίπτωση, ειδικές PSI, οι οποίες βασίζονται στις γενικές PSI.

γ)

Ειδικές PSI εκπονούνται ιδίως για προγράμματα και έργα που παρουσιάζουν ιδιαίτερη βαρύτητα όσον αφορά το πεδίο εφαρμογής τους, την κλίμακα ή την περιπλοκότητά τους ή που χαρακτηρίζονται από υψηλό αριθμό ή/και υψηλό βαθμό διαφοροποίησης ως προς τους εργολάβους, τους δικαιούχους και άλλους εταίρους και ενδιαφερόμενους φορείς που συμμετέχουν, για παράδειγμα όσον αφορά τη νομική μορφή τους. Οι ειδικές PSI εκπονούνται από το τμήμα ή τα τμήματα της Επιτροπής που διαχειρίζονται το πρόγραμμα ή το έργο, σε στενή συνεργασία με τη Γενική Διεύθυνση Ανθρωπίνων Πόρων και Ασφάλειας.

δ)	Η Γενική Διεύθυνση Ανθρωπίνων Πόρων και Ασφάλειας υποβάλλει τόσο τις γενικές όσο και τις ειδικές PSI στην ομάδα εμπειρογνωμόνων ασφαλείας της Επιτροπής για την παροχή συμβουλών.

Έγγραφο θεμάτων ασφαλείας

α)

Ως «έγγραφο θεμάτων ασφαλείας» (ΕΘΑ) νοείται το σύνολο ειδικών συμβατικών όρων, που εκδίδει η αναθέτουσα αρχή, το οποίο αποτελεί αναπόσπαστο μέρος διαβαθμισμένης σύμβασης που συνεπάγεται πρόσβαση σε ΔΠΕΕ ή δημιουργία τέτοιων πληροφοριών και καθορίζει τις απαιτήσεις ασφαλείας και τα στοιχεία της σύμβασης που χρήζουν προστασίας.

β)	Οι προδιαγραφές ασφαλείας της εκάστοτε σύμβασης περιγράφονται σε έγγραφο θεμάτων ασφαλείας (ΕΘΑ). Το ΕΘΑ περιέχει, κατά περίπτωση, τον οδηγό διαβάθμισης ασφαλείας («ΟΔΑ») και αποτελεί αναπόσπαστο μέρος της διαβαθμισμένης σύμβασης, σύμβασης υπεργολαβίας ή συμφωνίας επιδότησης.

γ)

Το ΕΘΑ περιέχει τις διατάξεις που προβλέπουν ότι ο εργολάβος ή ο δικαιούχος οφείλει να συμμορφώνεται προς τις ελάχιστες προδιαγραφές της παρούσας απόφασης. Η αναθέτουσα αρχή διασφαλίζει ότι στο ΕΘΑ δηλώνεται ότι η μη συμμόρφωση προς τις εν λόγω ελάχιστες προδιαγραφές μπορεί να αποτελεί επαρκή λόγο για την καταγγελία της σύμβασης ή της συμφωνίας επιδότησης.

2.   Τόσο οι εντολές ασφαλείας προγράμματος/έργου όσο και τα έγγραφα θεμάτων ασφαλείας περιέχουν ΟΔΑ ως υποχρεωτικό στοιχείο ασφαλείας:

α)

Ως «οδηγός διαβάθμισης ασφαλείας» (ΟΔΑ) νοείται το έγγραφο στο οποίο περιγράφονται τα στοιχεία προγράμματος, έργου, σύμβασης ή συμφωνίας επιδότησης που είναι διαβαθμισμένα και καθορίζονται τα εφαρμοστέα επίπεδα διαβάθμισης ασφαλείας. Ο ΟΔΑ μπορεί να επεκτείνεται καθ' όλη τη διάρκεια του προγράμματος, του έργου, της σύμβασης ή της συμφωνίας επιδότησης και ενδέχεται να γίνεται εκ νέου διαβάθμιση των στοιχείων, ακόμα και σε κατώτερη βαθμίδα· όταν υπάρχει ΟΔΑ, πρέπει να αποτελεί τμήμα του ΕΘΑ.

β)

Πριν από την έναρξη διαδικασίας πρόσκλησης υποβολής προσφορών ή τη σύναψη διαβαθμισμένης σύμβασης, το τμήμα της Επιτροπής καθορίζει, ως αναθέτουσα αρχή, τη διαβάθμιση ασφαλείας κάθε πληροφορίας που πρέπει να παρέχεται στους υποψηφίους και στους υποβάλλοντες προσφορά ή στους εργολάβους, καθώς και τη διαβάθμιση ασφαλείας κάθε πληροφορίας που παράγεται από τον εργολάβο. Προς τούτο, καταρτίζει ΟΔΑ που θα χρησιμοποιείται για την εκτέλεση της σύμβασης, σύμφωνα με την παρούσα απόφαση και τους κανόνες εφαρμογής της, κατόπιν διαβούλευσης με την Αρχή Ασφαλείας της Επιτροπής.

γ)

Προκειμένου να καθοριστεί η διαβάθμιση ασφαλείας των διαφόρων στοιχείων μιας διαβαθμισμένης σύμβασης, εφαρμόζονται οι ακόλουθες αρχές: i) κατά την κατάρτιση ΟΔΑ, το τμήμα της Επιτροπής, ως αναθέτουσα αρχή, λαμβάνει υπόψη κάθε σχετικό ζήτημα ασφαλείας, συμπεριλαμβανομένης της διαβάθμισης ασφαλείας των πληροφοριών που παρέχονται και που εγκρίνονται προς χρήση για τη σύμβαση από τον φορέα προέλευσης των πληροφοριών· ii) η συνολική διαβάθμιση ασφαλείας της σύμβασης δεν επιτρέπεται να είναι κατώτερη από την ανώτατη διαβάθμιση οποιουδήποτε μέρους της· και iii) εφόσον απαιτείται, η αναθέτουσα αρχή συνεργάζεται, μέσω της Αρχής Ασφαλείας της Επιτροπής, με τις ΕΑΑ, τις ΚΑΑ ή κάθε άλλη σχετική αρμόδια αρχή ασφαλείας των κρατών μελών σε περίπτωση τυχόν μεταβολών της διαβάθμισης των πληροφοριών που παράγονται από ή παρέχονται σε εργολάβους κατά την εκτέλεση σύμβασης, και για τυχόν επακόλουθες τροποποιήσεις του ΟΔΑ.

Άρθρο 43

Πρόσβαση σε ΔΠΕΕ για το προσωπικό των εργολάβων και των δικαιούχων

Η αναθέτουσα ή χορηγούσα αρχή μεριμνά ώστε η διαβαθμισμένη σύμβαση ή η διαβαθμισμένη συμφωνία επιδότησης να περιλαμβάνει διατάξεις οι οποίες ορίζουν ότι στον εργολάβο, τον υπεργολάβο ή τον δικαιούχο που χρειάζεται πρόσβαση σε ΔΠΕΕ για την εκτέλεση της διαβαθμισμένης σύμβασης, σύμβασης υπεργολαβίας ή συμφωνίας επιδότησης, χορηγείται η εν λόγω πρόσβαση μόνον εφόσον:

α)	του έχει χορηγηθεί έγκριση ασφαλείας αντίστοιχου επιπέδου ή έχει λάβει άλλη δέουσα εξουσιοδότηση βάσει της προσδιορισθείσας ανάγκης γνώσης του·

β)	έχει ενημερωθεί για τους ισχύοντες κανόνες ασφαλείας για την προστασία των ΔΠΕΕ και έχει αναγνωρίσει τις ευθύνες του όσον αφορά την προστασία των πληροφοριών αυτών·

γ)	του έχει χορηγηθεί εξουσιοδότηση ασφαλείας αντίστοιχου επιπέδου για τις πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET από τις αρμόδιες ΕΑΑ, ΚΑΑ ή από οποιαδήποτε άλλη αρμόδια αρχή.

Άρθρο 44

Εξουσιοδότηση ασφαλείας φορέα

1.   Ως «εξουσιοδότηση ασφαλείας φορέα» (FSC) νοείται η διοικητική απόφαση της ΕΑΑ, της ΚΑΑ ή οποιασδήποτε άλλης αρμόδιας αρχής η οποία βεβαιώνει ότι, από πλευράς ασφαλείας, ο φορέας μπορεί να εξασφαλίσει επαρκές επίπεδο προστασίας ΔΠΕΕ ορισμένης διαβάθμισης ασφαλείας.

2.   Η FSC, η οποία χορηγείται από την ΕΑΑ την ΚΑΑ ή οποιασδήποτε άλλη αρμόδια αρχή ασφαλείας κράτους μέλους και δηλώνει, βάσει των εθνικών νομοθετικών και κανονιστικών διατάξεων, ότι ένας οικονομικός φορέας μπορεί να προστατεύει τις ΔΠΕΕ ανάλογα με τη διαβάθμιση ασφαλείας τους (CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET) στις εγκαταστάσεις του, προσκομίζεται στην Αρχή Ασφαλείας της Επιτροπής, η οποία τη διαβιβάζει στο τμήμα της Επιτροπής που ενεργεί με την ιδιότητα της αναθέτουσας ή χορηγούσας αρχής, πριν χορηγηθεί πρόσβαση σε ΔΠΕΕ στον υποψήφιο, τον υποβάλλοντα προσφορά, τον αιτούντα επιδότηση ή τον δικαιούχο.

3.   Οσάκις απαιτείται, η αναθέτουσα αρχή ενημερώνει, μέσω της Αρχής Ασφαλείας της Επιτροπής, την αντίστοιχη ΕΑΑ, ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας ότι απαιτείται η υποβολή FSC για την εκτέλεση της σύμβασης. Απαιτείται FSC ή ΕΑΠ όταν πρέπει να παρασχεθούν ΔΠΕΕ με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET κατά τη διάρκεια της διαδικασίας ανάθεσης σύμβασης ή χορήγησης επιδότησης.

4.   Η αναθέτουσα ή χορηγούσα αρχή δεν αναθέτει διαβαθμισμένη σύμβαση ή δεν συνάπτει αντιστοίχως διαβαθμισμένη συμφωνία επιδότησης στον προτιμώμενο υποψήφιο ή συμμετέχοντα προτού λάβει επιβεβαίωση από την ΕΑΑ, την ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας του κράτους μέλους στο οποίο έχει την έδρα του ο εργολάβος ή υπεργολάβος ότι έχει εκδοθεί η δέουσα FSC όπου απαιτείται.

5.   Όταν η Αρχή Ασφαλείας της Επιτροπής ενημερώνεται από την ΕΑΑ, την ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας που έχει εκδώσει FSC για τυχόν αλλαγές που επηρεάζουν την FSC, ενημερώνει σχετικά το αντίστοιχο τμήμα της Επιτροπής υπό την ιδιότητά του ως αναθέτουσας ή χορηγούσας αρχής. Σε περίπτωση υπεργολαβίας, η ΕΑΑ, η ΚΑΑ ή κάθε άλλη αρμόδια αρχή ασφαλείας ενημερώνεται αναλόγως.

6.   Η ανάκληση FSC από την αρμόδια ΕΑΑ, ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας συνιστά επαρκή λόγο για την αναθέτουσα ή χορηγούσα αρχή να καταγγείλει διαβαθμισμένη σύμβαση ή να αποκλείσει υποψήφιο, υποβάλλοντα προσφορά ή αιτούντα από τον διαγωνισμό. Προς τον σκοπό αυτόν, συμπεριλαμβάνεται σχετική διάταξη στα υποδείγματα των συμβάσεων και των συμφωνιών επιδότησης που πρόκειται να καταρτιστούν.

Άρθρο 45

Διατάξεις σχετικά με τις διαβαθμισμένες συμβάσεις και συμφωνίες επιδότησης

1.   Οσάκις κατά τη διαδικασία σύναψης σύμβασης παρέχονται ΔΠΕΕ στον υποψήφιο, τον υποβάλλοντα προσφορά ή τον αιτούντα, η πρόσκληση υποβολής προσφορών ή η πρόσκληση υποβολής προτάσεων περιλαμβάνει διάταξη βάσει της οποίας ο υποψήφιος, ο υποβάλλων προσφορά ή ο αιτών που δεν υποβάλει προσφορά ή πρόταση ή που δεν έχει επιλεγεί υποχρεούται να επιστρέψει όλα τα διαβαθμισμένα έγγραφα εντός καθορισμένης προθεσμίας.

2.   Η αναθέτουσα ή χορηγούσα αρχή κοινοποιεί, μέσω της Αρχής Ασφαλείας της Επιτροπής, στην αρμόδια ΕΑΑ, ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας το γεγονός της ανάθεσης διαβαθμισμένης σύμβασης ή της σύναψης διαβαθμισμένης συμφωνίας επιδότησης, καθώς και τα σχετικά στοιχεία, όπως το όνομα του ενός ή των περισσοτέρων εργολάβων ή δικαιούχων, η διάρκεια ισχύος της σύμβασης και το ανώτατο επίπεδο διαβάθμισης.

3.   Σε περίπτωση καταγγελίας των εν λόγω συμβάσεων ή συμφωνιών επιδότησης, η αναθέτουσα ή χορηγούσα αρχή κοινοποιεί αμέσως, μέσω της Αρχής Ασφαλείας της Επιτροπής, την καταγγελία στην ΕΑΑ, στην ΚΑΑ ή σε οποιαδήποτε άλλη αρμόδια αρχή ασφαλείας του κράτους μέλους στο οποίο έχει την έδρα του ο εργολάβος ή ο δικαιούχος της επιδότησης.

4.   Κατά κανόνα, ο εργολάβος ή ο δικαιούχος της επιδότησης οφείλει να επιστρέψει στην αναθέτουσα ή χορηγούσα αρχή, άμα τη λύσει της διαβαθμισμένης σύμβασης ή συμφωνίας επιδότησης ή της συμμετοχής δικαιούχου επιδότησης, τυχόν ΔΠΕΕ που έχει στην κατοχή του.

5.   Ειδικές διατάξεις για τη διάθεση των ΔΠΕΕ κατά την εκτέλεση ή κατά τη λύση της διαβαθμισμένης σύμβασης ή της διαβαθμισμένης συμφωνίας επιδότησης ορίζονται στο ΕΘΑ.

6.   Όταν ο εργολάβος ή ο δικαιούχος επιδότησης έχει δικαίωμα διατήρησης των ΔΠΕΕ μετά τη λύση της διαβαθμισμένης σύμβασης ή συμφωνίας επιδότησης, οι ελάχιστες προδιαγραφές που προβλέπονται στην παρούσα απόφαση συνεχίζουν να τηρούνται και το απόρρητο των ΔΠΕΕ προστατεύεται από τον εργολάβο ή τον δικαιούχο επιδότησης.

Άρθρο 46

Ειδικές διατάξεις για τις διαβαθμισμένες συμβάσεις

1.   Οι όροι σχετικά με την προστασία των ΔΠΕΕ υπό τους οποίους ο κύριος εργολάβος μπορεί να συνάπτει σύμβαση υπεργολαβίας καθορίζονται στην πρόσκληση υποβολής προσφορών και στη διαβαθμισμένη σύμβαση.

2.   Ο εργολάβος λαμβάνει άδεια από την αναθέτουσα αρχή προτού αναθέσει τμήματα διαβαθμισμένης σύμβασης σε υπεργολάβους. Δεν επιτρέπεται η ανάθεση σύμβασης που συνεπάγεται πρόσβαση σε ΔΠΕΕ σε υπεργολάβους που έχουν την έδρα τους σε τρίτη χώρα, εκτός εάν υφίσταται κανονιστικό πλαίσιο για την ασφάλεια των πληροφοριών, όπως προβλέπεται στο κεφάλαιο 7.

3.   Ο εργολάβος οφείλει να μεριμνά ώστε όλες οι υπεργολαβικές δραστηριότητες να αναλαμβάνονται σύμφωνα με τις ελάχιστες προδιαγραφές της παρούσας απόφασης και δεν παρέχει ΔΠΕΕ σε υπεργολάβο χωρίς την προηγούμενη γραπτή συγκατάθεση της αναθέτουσας αρχής.

4.   Όσον αφορά τις ΔΠΕΕ τις οποίες παράγει ή χειρίζεται ο εργολάβος, η Επιτροπή θεωρείται φορέας προέλευσης και τα δικαιώματα του φορέα προέλευσης ασκούνται από την αναθέτουσα αρχή.

Άρθρο 47

Επισκέψεις σε συνάρτηση με διαβαθμισμένες συμβάσεις

1.   Όταν μέλος του προσωπικού της Επιτροπής, των εργολάβων ή των δικαιούχων επιδότησης χρειάζεται πρόσβαση σε πληροφορίες με τη διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET στις αντίστοιχες εγκαταστάσεις τους για την εκτέλεση διαβαθμισμένης σύμβασης ή συμφωνίας επιδότησης, διοργανώνονται επισκέψεις σε συνεργασία με τις ΕΑΑ, τις ΚΑΑ ή κάθε άλλη ενδιαφερόμενη αρμόδια αρχή ασφαλείας. Η Αρχή Ασφαλείας της Επιτροπής τηρείται ενήμερη για τις εν λόγω επισκέψεις. Ωστόσο, στο πλαίσιο ειδικών προγραμμάτων ή έργων, οι ΕΑΑ, οι ΚΑΑ ή κάθε άλλη αρμόδια αρχή ασφαλείας μπορούν επίσης να συμφωνούν διαδικασία απευθείας οργάνωσης των επισκέψεων.

2.   Όλοι οι επισκέπτες φέρουν τη δέουσα εξουσιοδότηση ασφαλείας και έχουν ανάγκη γνώσης προκειμένου να τους επιτραπεί πρόσβαση στις ΔΠΕΕ που σχετίζονται με τη διαβαθμισμένη σύμβαση.

3.   Οι επισκέπτες δικαιούνται πρόσβαση μόνο στις ΔΠΕΕ που έχουν σχέση με τον σκοπό της επίσκεψης.

4.   Λεπτομερέστερες διατάξεις ορίζονται στους κανόνες εφαρμογής.

5.   Η τήρηση των διατάξεων όσον αφορά τις επισκέψεις που συνδέονται με διαβαθμισμένες συμβάσεις, όπως ορίζονται στην παρούσα απόφαση και στους κανόνες εφαρμογής που αναφέρονται στην παράγραφο 4, είναι υποχρεωτική.

Άρθρο 48

Διαβίβαση και μεταφορά των ΔΠΕΕ στο πλαίσιο διαβαθμισμένων συμβάσεων ή διαβαθμισμένων συμφωνιών επιδότησης

1.   Όσον αφορά τη διαβίβαση των ΔΠΕΕ με ηλεκτρονικά μέσα, ισχύουν οι οικείες διατάξεις του κεφαλαίου 5 της παρούσας απόφασης.

2.   Όσον αφορά τη μεταφορά των ΔΠΕΕ, ισχύουν οι οικείες διατάξεις του κεφαλαίου 4 της παρούσας απόφασης και των κανόνων εφαρμογής της, σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις.

3.   Κατά τον καθορισμό των ρυθμίσεων ασφαλείας για τη μεταφορά διαβαθμισμένου υλικού ως φορτίου, εφαρμόζονται οι ακόλουθες αρχές:

α)	η ασφάλεια πρέπει να είναι εγγυημένη σε όλα τα στάδια της μεταφοράς από το αρχικό σημείο προέλευσης έως τον τελικό προορισμό·

β)	ο βαθμός προστασίας κάθε αποστολής στοιχείων προσδιορίζεται με βάση την ανώτατη διαβάθμιση του υλικού που περιέχεται στην αποστολή·

γ)	πριν από κάθε διασυνοριακή μεταφορά υλικού με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET, ο αποστολέας καταρτίζει σχέδιο μεταφοράς το οποίο εγκρίνεται από την ΕΑΑ, την ΚΑΑ ή οποιαδήποτε άλλη σχετική αρμόδια αρχή ασφαλείας·

δ)	οι μεταφορές εκτελούνται κατά το δυνατόν από σημείο σε σημείο και ολοκληρώνονται όσο πιο γρήγορα το επιτρέπουν οι εκάστοτε συνθήκες·

ε)	εφόσον είναι εφικτό, τα δρομολόγια πρέπει να διέρχονται μόνον από κράτη μέλη. δρομολόγια μέσω κρατών άλλων από τα κράτη μέλη πρέπει να πραγματοποιούνται μόνον κατόπιν εξουσιοδότησης της ΕΑΑ, της ΚΑΑ ή οποιασδήποτε άλλης αρμόδιας αρχής ασφαλείας των κρατών τόσο του αποστολέα όσο και του παραλήπτη.

Άρθρο 49

Μεταφορά ΔΠΕΕ στους εργολάβους ή στους δικαιούχους επιδότησης που βρίσκονται σε τρίτα κράτη

Η μεταφορά ΔΠΕΕ σε εργολάβους ή δικαιούχους επιδότησης που βρίσκονται σε τρίτα κράτη διεξάγεται σύμφωνα με τα μέτρα ασφαλείας μεταξύ της Αρχής Ασφαλείας της Επιτροπής, του αντίστοιχου τμήματος της Επιτροπής, ως αναθέτουσας ή χορηγούσας αρχής, και της ΕΑΑ, της ΚΑΑ ή άλλης αρμόδιας αρχής ασφαλείας του ενδιαφερόμενου τρίτου κράτους όπου έχει την έδρα του ο εργολάβος ή ο δικαιούχος της επιδότησης.

Άρθρο 50

Χειρισμός των πληροφοριών με διαβάθμιση RESTREINT UE/EU RESTRICTED στο πλαίσιο διαβαθμισμένων συμβάσεων ή διαβαθμισμένων συμφωνιών επιδότησης

1.   Η προστασία των πληροφοριών με διαβάθμιση RESTREINT UE/EU RESTRICTED που αποτελούν αντικείμενο χειρισμού ή αποθήκευσης στο πλαίσιο διαβαθμισμένων συμβάσεων ή συμφωνιών επιδότησης βασίζεται στις αρχές της αναλογικότητας και της σχέσης κόστους/αποτελεσματικότητας.

2.   Δεν απαιτείται FSC ή ΕΑΠ στο πλαίσιο των διαβαθμισμένων συμβάσεων ή των διαβαθμισμένων συμφωνιών επιδότησης που συνεπάγονται τον χειρισμό πληροφοριών με διαβάθμιση RESTREINT UE/EU RESTRICTED.

3.   Όταν μια σύμβαση ή συμφωνία επιδότησης αφορά τον χειρισμό πληροφοριών με διαβάθμιση RESTREINT UE/EU RESTRICTED σε CIS που διαχειρίζεται εργολάβος ή δικαιούχος επιδότησης, η αναθέτουσα ή χορηγούσα αρχή μεριμνά, κατόπιν διαβούλευσης με την Αρχή Ασφαλείας της Επιτροπής, ώστε η σύμβαση ή η συμφωνία επιδότησης να καθορίζει τις απαραίτητες τεχνικές και διοικητικές προδιαγραφές όσον αφορά την πιστοποίηση ή την έγκριση CIS σε αναλογία προς τον αξιολογούμενο κίνδυνο, λαμβανομένων υπόψη όλων των συναφών παραγόντων. Το πεδίο πιστοποίησης ή έγκρισης του CIS συμφωνείται μεταξύ της Αρχής Ασφαλείας της Επιτροπής και της οικείας ΕΑΑ ή ΚΑΑ.

ΚΕΦΑΛΑΙΟ 7

ΑΝΤΑΛΛΑΓΗ ΔΙΑΒΑΘΜΙΣΜΕΝΩΝ ΠΛΗΡΟΦΟΡΙΩΝ ΜΕ ΑΛΛΑ ΘΕΣΜΙΚΑ ΚΑΙ ΛΟΙΠΑ ΟΡΓΑΝΑ ΚΑΙ ΟΡΓΑΝΙΣΜΟΥΣ Η ΓΡΑΦΕΙΑ ΤΗΣ ΈΝΩΣΗΣ, ΜΕ ΚΡΑΤΗ ΜΕΛΗ ΚΑΙ ΜΕ ΤΡΙΤΑ ΚΡΑΤΗ ΚΑΙ ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ

Άρθρο 51

Βασικές αρχές

1.   Όταν η Επιτροπή ή κάποια από τις υπηρεσίες της κρίνει ότι είναι αναγκαία η ανταλλαγή ΔΠΕΕ με άλλα θεσμικά και λοιπά όργανα και οργανισμούς ή γραφεία της Ένωσης, ή με τρίτα κράτη ή διεθνείς οργανισμούς, γίνονται οι αναγκαίες ενέργειες για να δημιουργηθεί κατάλληλο νομικό ή διοικητικό πλαίσιο προς τον σκοπό αυτόν, που μπορεί να περιλαμβάνει συμφωνίες ασφαλείας των πληροφοριών ή διοικητικούς διακανονισμούς που συνάπτονται σύμφωνα με τους συναφείς κανονισμούς.

2.   Με την επιφύλαξη του άρθρου 57, ΔΠΕΕ ανταλλάσσονται με άλλα θεσμικά και λοιπά όργανα και οργανισμούς ή γραφεία της Ένωσης ή με τρίτα κράτη ή διεθνείς οργανισμούς, υπό τον όρο ότι έχει δημιουργηθεί κατάλληλο νομικό ή διοικητικό πλαίσιο και ότι υπάρχουν επαρκείς εγγυήσεις ότι τα εν λόγω θεσμικά και λοιπά όργανα και οργανισμοί ή γραφεία της Ένωσης ή τα τρίτα κράτη ή διεθνείς οργανισμοί εφαρμόζουν ισοδύναμες βασικές αρχές και ελάχιστες προδιαγραφές για την προστασία των διαβαθμισμένων πληροφοριών.

Άρθρο 52

Ανταλλαγή ΔΠΕΕ με άλλα θεσμικά όργανα, υπηρεσίες, οργανισμούς ή γραφεία της Ένωσης

1.   Πριν προβεί σε διοικητικό διακανονισμό για την ανταλλαγή ΔΠΕΕ με άλλα θεσμικά όργανα, υπηρεσίες, οργανισμούς ή γραφεία της Ένωσης, η Επιτροπή επιδιώκει να λάβει διαβεβαιώσεις ότι τα εν λόγω θεσμικά όργανα, υπηρεσίες, οργανισμοί ή γραφεία της Ένωσης:

α)	έχουν δημιουργήσει κανονιστικό πλαίσιο για την προστασία των ΔΠΕΕ στο οποίο καθορίζονται βασικές αρχές και ελάχιστες προδιαγραφές που είναι ισοδύναμες με αυτές που καθορίζονται στην παρούσα απόφαση και στους κανόνες εφαρμογής της·

β)

εφαρμόζουν προδιαγραφές ασφαλείας και κατευθυντήριες γραμμές σχετικά με την ασφάλεια του προσωπικού, τη φυσική ασφάλεια, τη διαχείριση ΔΠΕΕ και την ασφάλεια των συστημάτων επικοινωνίας και πληροφοριών (CIS), οι οποίες διασφαλίζουν ισοδύναμο επίπεδο προστασίας των ΔΠΕΕ με εκείνο που παρέχεται στην Επιτροπή·

γ)	μεριμνούν για τη σήμανση των διαβαθμισμένων πληροφοριών που παράγουν ως ΔΠΕΕ.

2.   Η Γενική Διεύθυνση Ανθρωπίνων Πόρων και Ασφάλειας ορίζεται, σε στενή συνεργασία με άλλα αρμόδια τμήματα της Επιτροπής, ως επικεφαλής υπηρεσία εντός της Επιτροπής για τη σύναψη διοικητικών διακανονισμών με σκοπό την ανταλλαγή ΔΠΕΕ με άλλα θεσμικά όργανα, υπηρεσίες, οργανισμούς ή γραφεία της Ένωσης.

3.   Οι διοικητικοί διακανονισμοί λαμβάνουν κατά κανόνα τη μορφή ανταλλαγής επιστολών, τις οποίες υπογράφει εξ ονόματος της Επιτροπής η Γενική Διεύθυνση Ανθρωπίνων Πόρων και Ασφάλειας.

4.   Πριν από τη σύναψη διοικητικού διακανονισμού σχετικά με την ανταλλαγή ΔΠΕΕ, η Αρχή Ασφαλείας της Επιτροπής πραγματοποιεί επίσκεψη αξιολόγησης προκειμένου να αξιολογήσει το κανονιστικό πλαίσιο για την προστασία των ΔΠΕΕ και να διακριβώσει την αποτελεσματικότητα των μέτρων που εφαρμόζονται για την προστασία των ΔΠΕΕ. Ο διοικητικός διακανονισμός τίθεται σε ισχύ, και ανταλλάσσονται ΔΠΕΕ, μόνον εάν το αποτέλεσμα της εν λόγω επίσκεψης αξιολόγησης είναι ικανοποιητικό και εφόσον τηρούνται οι συστάσεις που διατυπώθηκαν μετά την επίσκεψη. Ανά τακτά χρονικά διαστήματα πραγματοποιούνται επακόλουθες επισκέψεις αξιολόγησης προκειμένου να ελέγχεται αν τηρείται ο διοικητικός διακανονισμός και εάν τα ισχύοντα μέτρα ασφαλείας εξακολουθούν να τηρούν τις συμφωνηθείσες βασικές αρχές και ελάχιστες προδιαγραφές.

5.   Στο εσωτερικό της Επιτροπής, η γραμματεία ΔΠΕΕ που τελεί υπό τη διαχείριση της Γενικής Γραμματείας αποτελεί, κατά κανόνα, το κύριο σημείο εισόδου και εξόδου στο πλαίσιο των ανταλλαγών διαβαθμισμένων πληροφοριών με άλλα θεσμικά και λοιπά όργανα και οργανισμούς ή γραφεία της Ένωσης. Ωστόσο, όταν με σκοπό την προστασία των ΔΠΕΕ κρίνεται σκόπιμο για λόγους ασφαλείας, οργανωτικούς ή επιχειρησιακούς λόγους, οι τοπικές γραμματείες ΔΠΕΕ που δημιουργούνται εντός των τμημάτων της Επιτροπής δυνάμει της παρούσας απόφασης και των κανόνων εφαρμογής της, λειτουργούν ως σημείο εισόδου και εξόδου για τις διαβαθμισμένες πληροφορίες σχετικά με θέματα που εμπίπτουν την αρμοδιότητα των ενδιαφερόμενων τμημάτων της Επιτροπής.

6.   Η ομάδα εμπειρογνωμόνων ασφαλείας της Επιτροπής ενημερώνεται για τη διαδικασία σύναψης διοικητικών διακανονισμών δυνάμει της παραγράφου 2.

Άρθρο 53

Ανταλλαγή ΔΠΕΕ με κράτη μέλη

1.   Η ανταλλαγή και κοινοποίηση ΔΠΕΕ σε κράτη μέλη επιτρέπεται υπό τον όρο ότι οι πληροφορίες προστατεύονται σύμφωνα με τις απαιτήσεις που ισχύουν για τις διαβαθμισμένες πληροφορίες που φέρουν εθνική διαβάθμιση ασφαλείας στο αντίστοιχο επίπεδο, όπως ορίζεται στον πίνακα αντιστοιχίας των διαβαθμίσεων ασφαλείας του παραρτήματος I.

2.   Όταν τα κράτη μέλη αποστέλλουν διαβαθμισμένες πληροφορίες με εθνική σήμανση διαβάθμισης ασφαλείας στις δομές ή στα δίκτυα της Ευρωπαϊκής Ένωσης, η Επιτροπή προστατεύει τις πληροφορίες αυτές σύμφωνα με τις απαιτήσεις που ισχύουν για τις ΔΠΕΕ στο αντίστοιχο επίπεδο, όπως ορίζεται στον πίνακα αντιστοιχίας των διαβαθμίσεων ασφαλείας του παραρτήματος I.

Άρθρο 54

Ανταλλαγή ΔΠΕΕ με τρίτα κράτη και διεθνείς οργανισμούς

1.   Όταν η Επιτροπή κρίνει ότι υπάρχει μακροπρόθεσμη ανάγκη ανταλλαγής διαβαθμισμένων πληροφοριών με τρίτα κράτη ή διεθνείς οργανισμούς, γίνονται οι αναγκαίες ενέργειες για να δημιουργηθεί κατάλληλο νομικό ή διοικητικό πλαίσιο προς τον σκοπό αυτόν, που μπορεί να περιλαμβάνει συμφωνίες ασφαλείας των πληροφοριών ή διοικητικούς διακανονισμούς που συνάπτονται σύμφωνα με τους συναφείς κανονισμούς.

2.   Οι συγκεκριμένες συμφωνίες ασφαλείας πληροφοριών και οι διοικητικοί διακανονισμοί που αναφέρονται στην παράγραφο 1 περιέχουν διατάξεις που εξασφαλίζουν ότι όταν τρίτα κράτη ή διεθνείς οργανισμοί λαμβάνουν ΔΠΕΕ, στις εν λόγω πληροφορίες παρέχεται η δέουσα προστασία για το επίπεδο διαβάθμισής τους και σύμφωνα με προδιαγραφές τουλάχιστον ισοδύναμες με τις προδιαγραφές που ορίζονται στην παρούσα απόφαση.

3.   Η Επιτροπή μπορεί να συνάπτει διοικητικούς διακανονισμούς σύμφωνα με το άρθρο 56 εφόσον το επίπεδο διαβάθμισης των ΔΠΕΕ δεν είναι κατά κανόνα υψηλότερο από τη διαβάθμιση RESTREINT UE/EU RESTRICTED.

4.   Οι διοικητικοί διακανονισμοί για την ανταλλαγή διαβαθμισμένων πληροφοριών που αναφέρονται στην παράγραφο 3 περιέχουν διατάξεις που εξασφαλίζουν ότι όταν τρίτα κράτη ή διεθνείς οργανισμοί λαμβάνουν ΔΠΕΕ, στις εν λόγω πληροφορίες παρέχεται η δέουσα προστασία για το επίπεδο διαβάθμισής τους και σύμφωνα με προδιαγραφές τουλάχιστον ισοδύναμες με τις προδιαγραφές που ορίζονται στην παρούσα απόφαση. Για τη σύναψη συμφωνιών ασφαλείας των πληροφοριών ή διοικητικών διακανονισμών ζητείται η γνωμοδότηση της ομάδας εμπειρογνωμόνων ασφαλείας της Επιτροπής.

5.   Η απόφαση κοινολόγησης ΔΠΕΕ που προέρχονται από την Επιτροπή σε τρίτο κράτος ή διεθνή οργανισμό λαμβάνεται από το οικείο τμήμα της Επιτροπής, ως φορέα προέλευσης των εν λόγω ΔΠΕΕ, κατά περίπτωση, ανάλογα με τη φύση και το περιεχόμενο των εν λόγω πληροφοριών, την ανάγκη γνώσης του παραλήπτη και τα σχετικά πλεονεκτήματα για την Ένωση. Εάν ο φορέας προέλευσης των διαβαθμισμένων πληροφοριών των οποίων ζητείται η κοινολόγηση ή του πρωτογενούς υλικού που ενδεχομένως περιέχουν δεν είναι η Επιτροπή, τότε το τμήμα της Επιτροπής που έχει στην κατοχή του αυτές τις διαβαθμισμένες πληροφορίες ζητεί πρώτα τη γραπτή συγκατάθεση του εν λόγω φορέα προέλευσης. Εάν δεν μπορεί να εξακριβωθεί ο φορέας προέλευσης, τότε το τμήμα της Επιτροπής που έχει στην κατοχή του τις εν λόγω διαβαθμισμένες πληροφορίες αναλαμβάνει την ευθύνη αυτή κατόπιν διαβούλευσης με την ομάδα εμπειρογνωμόνων ασφαλείας της Επιτροπής.

Άρθρο 55

Συμφωνίες για την ασφάλεια πληροφοριών

1.   Οι συμφωνίες για την ασφάλεια των πληροφοριών συνάπτονται με τρίτα κράτη ή διεθνείς οργανισμούς σύμφωνα με το άρθρο 218 της ΣΛΕΕ.

2.   Οι συμφωνίες για την ασφάλεια πληροφοριών:

α)	θεσπίζουν τις βασικές αρχές και τις ελάχιστες προδιαγραφές που διέπουν την ανταλλαγή διαβαθμισμένων πληροφοριών μεταξύ της Ένωσης και τρίτου κράτους ή διεθνούς οργανισμού·

β)

προβλέπουν τεχνικούς διακανονισμούς εφαρμογής οι οποίοι συμφωνούνται μεταξύ των αρμόδιων αρχών ασφαλείας των σχετικών οργάνων και οργανισμών της Ένωσης και της αρμόδιας αρχής ασφαλείας του εν λόγω τρίτου κράτους ή διεθνούς οργανισμού. Στους διακανονισμούς αυτούς λαμβάνεται δεόντως υπόψη το επίπεδο προστασίας που προβλέπουν οι κανονισμοί, οι δομές και οι διαδικασίες ασφαλείας που εφαρμόζονται στο εν λόγω τρίτο κράτος ή διεθνή οργανισμό·

γ)	προβλέπουν ότι, πριν από την ανταλλαγή διαβαθμισμένων πληροφοριών στο πλαίσιο της συμφωνίας, διακριβώνεται ότι ο παραλήπτης είναι σε θέση να προστατεύσει και να διαφυλάξει με κατάλληλο τρόπο τις πληροφορίες που παραλαμβάνει.

3.   Όταν διαπιστώνεται ανάγκη ανταλλαγής διαβαθμισμένων πληροφοριών σύμφωνα με το άρθρο 51 παράγραφος 1, η Επιτροπή προβαίνει σε διαβούλευση με την Ευρωπαϊκή Υπηρεσία Εξωτερικής Δράσης, τη Γενική Γραμματεία του Συμβουλίου και τα άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, κατά περίπτωση, προκειμένου να αποφασίσει αν θα πρέπει να υποβληθεί σύσταση σύμφωνα με το άρθρο 218 παράγραφος 3 της ΣΛΕΕ.

4.   Ηλεκτρονική ανταλλαγή ΔΠΕΕ πραγματοποιείται μόνον εφόσον προβλέπεται ρητώς από τη συμφωνία ασφαλείας των πληροφοριών ή τους τεχνικούς διακανονισμούς εφαρμογής.

5.   Στο εσωτερικό της Επιτροπής, η γραμματεία ΔΠΕΕ που τελεί υπό τη διαχείριση της Γενικής Γραμματείας αποτελεί, κατά κανόνα, το κύριο σημείο εισόδου και εξόδου στο πλαίσιο των ανταλλαγών διαβαθμισμένων πληροφοριών με τρίτα κράτη και διεθνείς οργανισμούς. Ωστόσο, όταν με σκοπό την προστασία των ΔΠΕΕ κρίνεται σκόπιμο για λόγους ασφαλείας, οργανωτικούς ή επιχειρησιακούς λόγους, οι τοπικές γραμματείες ΔΠΕΕ που δημιουργούνται εντός των τμημάτων της Επιτροπής δυνάμει της παρούσας απόφασης και των κανόνων εφαρμογής της, λειτουργούν ως σημείο εισόδου και εξόδου για τις διαβαθμισμένες πληροφορίες σχετικά με θέματα που εμπίπτουν την αρμοδιότητα των ενδιαφερόμενων τμημάτων της Επιτροπής.

6.   Για την αξιολόγηση της αποτελεσματικότητας των κανονισμών, δομών και διαδικασιών ασφαλείας στο οικείο τρίτο κράτος ή διεθνή οργανισμό, η Επιτροπή, σε συνεργασία με τα άλλα θεσμικά και λοιπά όργανα ή οργανισμούς της Ένωσης, συμμετέχει σε επισκέψεις αξιολόγησης, κατόπιν αμοιβαίας συμφωνίας με το συγκεκριμένο τρίτο κράτος ή διεθνή οργανισμό. Οι εν λόγω επισκέψεις αξιολόγησης αφορούν τα ακόλουθα στοιχεία:

α)	το ρυθμιστικό πλαίσιο που εφαρμόζεται για την προστασία των διαβαθμισμένων πληροφοριών·

β)	τυχόν συγκεκριμένα χαρακτηριστικά της πολιτικής ασφαλείας και τον τρόπο οργάνωσης της ασφάλειας στο τρίτο κράτος ή στον διεθνή οργανισμό που ενδέχεται να έχει επιπτώσεις στο επίπεδο των προς ανταλλαγή διαβαθμισμένων πληροφοριών·

γ)	τα ισχύοντα μέτρα και διαδικασίες ασφαλείας· και

δ)	τις διαδικασίες ελέγχου ασφαλείας για το επίπεδο των ΔΠΕΕ που θα κοινοποιηθούν.

Άρθρο 56

Διοικητικοί διακανονισμοί

1.   Όταν υπάρχει εντός πολιτικού ή νομοθετικού πλαισίου της Ένωσης μακροπρόθεσμη ανάγκη ανταλλαγής πληροφοριών με διαβάθμιση κατά κανόνα όχι άνω του RESTREINT UE/EU RESTRICTED με τρίτο κράτος ή διεθνή οργανισμό, και όταν η Αρχή Ασφαλείας της Επιτροπής έχει διαπιστώσει ειδικότερα, κατόπιν διαβούλευσης με την ομάδα εμπειρογνωμόνων ασφαλείας της Επιτροπής, ότι το εν λόγω μέρος δεν διαθέτει επαρκώς ανεπτυγμένο σύστημα ασφαλείας ώστε να μπορεί να συνάψει συμφωνία ασφαλείας πληροφοριών, η Επιτροπή δύναται να λάβει την απόφαση να προβεί σε διοικητικό διακανονισμό με τις αρμόδιες αρχές του εν λόγω τρίτου κράτους ή διεθνούς οργανισμού.

2.   Αυτοί οι διοικητικοί διακανονισμοί λαμβάνουν κατά κανόνα τη μορφή ανταλλαγής επιστολών.

3.   Πριν από τη σύναψη του διακανονισμού πραγματοποιείται επίσκεψη αξιολόγησης. Η ομάδα εμπειρογνωμόνων ασφαλείας της Επιτροπής ενημερώνεται για το αποτέλεσμα της επίσκεψης αξιολόγησης. Όταν υφίστανται έκτακτοι λόγοι επείγουσας ανταλλαγής διαβαθμισμένων πληροφοριών, επιτρέπεται η κοινοποίηση των ΔΠΕΕ εφόσον καταβληθεί κάθε δυνατή προσπάθεια για την ταχύτερη δυνατή διεξαγωγή επίσκεψης αξιολόγησης.

4.   Ανταλλαγή ΔΠΕΕ με ηλεκτρονικά μέσα πραγματοποιείται μόνον εφόσον προβλέπεται ρητώς από τον διοικητικό διακανονισμό.

Άρθρο 57

Έκτακτη ad hoc κοινοποίηση ΔΠΕΕ

1.   Όταν δεν υφίσταται συμφωνία ασφαλείας πληροφοριών ή διοικητικός διακανονισμός, και η Επιτροπή ή κάποιο από τα τμήματά της κρίνει ότι υπάρχει εντός πολιτικού ή νομοθετικού πλαισίου της Ένωσης έκτακτη ανάγκη κοινοποίησης ΔΠΕΕ σε τρίτο κράτος ή διεθνή οργανισμό, η Αρχή Ασφαλείας της Επιτροπής ελέγχει, στο μέτρο του δυνατού, με τις αρχές ασφαλείας του οικείου τρίτου κράτους ή διεθνούς οργανισμού ότι οι κανονισμοί, δομές και διαδικασίες ασφαλείας του διασφαλίζουν ότι οι κοινοποιούμενες σε αυτό ΔΠΕΕ θα προστατεύονται βάσει προδιαγραφών εξίσου αυστηρών με τις οριζόμενες στην παρούσα απόφαση.

2.   Η Επιτροπή, κατόπιν διαβούλευσης με την ομάδα εμπειρογνωμόνων ασφαλείας της Επιτροπής, λαμβάνει την απόφαση κοινοποίησης των ΔΠΕΕ στο εν λόγω τρίτο κράτος ή διεθνή οργανισμό βάσει πρότασης του μέλους της Επιτροπής που είναι αρμόδιο για θέματα ασφαλείας.

3.   Μετά την απόφαση της Επιτροπής για κοινοποίηση των ΔΠΕΕ, και με την επιφύλαξη της προηγούμενης γραπτής συγκατάθεσης του φορέα προέλευσης, συμπεριλαμβανομένων των φορέων προέλευσης του πρωτογενούς υλικού που ενδεχομένως περιέχουν, το αρμόδιο τμήμα της Επιτροπής προωθεί τις εν λόγω πληροφορίες που φέρουν σήμανση δυνατότητας κοινοποίησης στην οποία αναφέρεται το τρίτο κράτος ή ο διεθνής οργανισμός στον οποίο κοινοποιήθηκε. Πριν από ή κατά την κοινοποίηση, το εν λόγω τρίτο μέρος δεσμεύεται γραπτώς να προστατεύσει τις ΔΠΕΕ που λαμβάνει σύμφωνα με τις βασικές αρχές και τις ελάχιστες προδιαγραφές που περιγράφονται στην παρούσα απόφαση.

ΚΕΦΑΛΑΙΟ 8

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 58

Αντικατάσταση προηγούμενης απόφασης

Η παρούσα απόφαση καταργεί και αντικαθιστά την απόφαση 2001/844/ΕΚ, ΕΚΑΧ, Ευρατόμ της Επιτροπής (14).

Άρθρο 59

Διαβαθμισμένες πληροφορίες που έχουν δημιουργηθεί πριν από την έναρξη ισχύος της παρούσας απόφασης

1.   Όλες οι ΔΠΕΕ που διαβαθμίζονται σύμφωνα με την απόφαση 2001/844/ΕΚ, ΕΚΑΧ, Ευρατόμ εξακολουθούν να προστατεύονται σύμφωνα με τις σχετικές διατάξεις της παρούσας απόφασης.

2.   Εξαιρουμένων των διαβαθμισμένων πληροφοριών της Ευρατόμ, όλες οι διαβαθμισμένες πληροφορίες που βρίσκονται στην κατοχή της Επιτροπής την ημερομηνία έναρξης ισχύος της απόφασης 2001/844/ΕΚ, ΕΚΑΧ, Ευρατόμ:

α)

εφόσον δημιουργήθηκαν από την Επιτροπή, εξακολουθούν εξ ορισμού να θεωρούνται αναχαρακτηρισμένες πληροφορίες διαβάθμισης RESTREINT UE, εκτός εάν ο συντάκτης τους είχε αποφασίσει τον χαρακτηρισμό τους με διαφορετική διαβάθμιση πριν από τις 31 Ιανουαρίου 2002 και είχε ενημερώσει όλους τους αποδέκτες του εν λόγω εγγράφου·

β)	εφόσον δημιουργήθηκαν από συντάκτες εκτός της Επιτροπής, διατηρούν την αρχική τους διαβάθμιση και επομένως αντιμετωπίζονται ως ΔΠΕΕ ισοδύναμου επιπέδου, εκτός αν ο συντάκτης αποφασίσει τον αποχαρακτηρισμό ή τον υποχαρακτηρισμό των πληροφοριών.

Άρθρο 60

Κανόνες εφαρμογής και κοινοποιήσεις ασφαλείας

1.   Εφόσον κριθεί απαραίτητο, η έγκριση των κανόνων εφαρμογής για την παρούσα απόφαση θα αποτελέσει αντικείμενο χωριστής απόφασης εξουσιοδότησης της Επιτροπής υπέρ του μέλους της Επιτροπής που είναι αρμόδιο για ζητήματα ασφαλείας, σε πλαίσιο πλήρους τήρησης του εσωτερικού κανονισμού.

2.   Αφού εξουσιοδοτηθεί βάσει της προαναφερόμενης απόφασης της Επιτροπής, το μέλος της Επιτροπής που είναι αρμόδιο για ζητήματα ασφάλειας μπορεί να καταρτίζει κοινοποιήσεις ασφαλείας καθορίζοντας κατευθυντήριες γραμμές και βέλτιστες πρακτικές ασφαλείας στο πλαίσιο του πεδίου εφαρμογής της παρούσας απόφασης και των κανόνων εφαρμογής της.

3.   Η Επιτροπή δύναται να αναθέσει τα καθήκοντα που αναφέρονται στην πρώτη και τη δεύτερη παράγραφο του παρόντος άρθρου στον Γενικό Διευθυντή Ανθρωπίνων Πόρων και Ασφάλειας με την έκδοση χωριστής απόφασης ανάθεσης, τηρουμένων πλήρως των διατάξεων του εσωτερικού κανονισμού.

Άρθρο 61

Έναρξη ισχύος

Η παρούσα απόφαση αρχίζει να ισχύει την επομένη της δημοσίευσής της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

---

(1)  Πρβλ. τη ρύθμιση με τίτλο «Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité», της 31ης Δεκεμβρίου 2004, τη συμφωνία με τίτλο «Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois», της 20ής Ιανουαρίου 2007, και τη συμφωνία με τίτλο «Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Ευρατόμ) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale», της 22ας Ιουλίου 1959.

(2)  Απόφαση 2002/47/ΕΚ, ΕΚΑΧ, Ευρατόμ της Επιτροπής, της 23ης Ιανουαρίου 2002, για την τροποποίηση του εσωτερικού της κανονισμού (ΕΕ L 21 της 24.1.2002, σ. 23).

(3)  Απόφαση 2004/563/ΕΚ, Ευρατόμ της Επιτροπής, της 7ης Ιουλίου 2004, για την τροποποίηση του εσωτερικού της κανονισμού (ΕΕ L 251 της 27.7.2004, σ. 9).

(4)  Κανονισμός (Ευρατόμ) αριθ. 3, της 31ης Ιουλίου 1958, περί εφαρμογής του άρθρου 24 της Συνθήκης για την ίδρυση της Ευρωπαϊκής Κοινότητας Ατομικής Ενέργειας (ΕΕ 17 της 6.10.1958, σ. 406/58).

(5)  Κανονισμός (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 30ής Μαΐου 2001, για την πρόσβαση του κοινού στα έγγραφα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής (ΕΕ L 145 της 31.5.2001, σ. 43).

(6)  Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της 12.1.2001, σ. 1).

(7)  Κανονισμός (ΕΟΚ, Ευρατόμ) αριθ. 354/83 του Συμβουλίου, της 1ης Φεβρουαρίου 1983, για το άνοιγμα στο κοινό των ιστορικών αρχείων της Ευρωπαϊκής Οικονομικής Κοινότητας και της Ευρωπαϊκής Κοινότητας Ατομικής Ενέργειας (ΕΕ L 43 της 15.2.1983, σ. 1).

(8)  Απόφαση (ΕΕ, Ευρατόμ) 2015/443 της Επιτροπής, της 13ης Μαρτίου 2015, σχετικά με την ασφάλεια στην Επιτροπή (βλέπε σελίδα 41 της παρούσας Επίσημης Εφημερίδας).

(9)  Κανονισμός (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου, της 29ης Φεβρουαρίου 1968, περί καθορισμού του κανονισμού υπηρεσιακής καταστάσεως των υπαλλήλων και του καθεστώτος που εφαρμόζεται επί του λοιπού προσωπικού των Ευρωπαϊκών Κοινοτήτων και περί θεσπίσεως ειδικών μέτρων προσωρινώς εφαρμοστέων στους υπαλλήλους της Επιτροπής (καθεστώς που εφαρμόζεται επί του λοιπού προσωπικού (ΕΕ L 56 της 4.3.1968, σ. 1).

(10)  Κανονισμός (ΕΚ, Ευρατόμ) αριθ. 1700/2003 του Συμβουλίου, της 22ας Σεπτεμβρίου 2003, για την τροποποίηση του κανονισμού (ΕΟΚ, Ευρατόμ) αριθ. 354/83 για το άνοιγμα στο κοινό των ιστορικών αρχείων της Ευρωπαϊκής Οικονομικής Κοινότητας και της Ευρωπαϊκής Κοινότητας Ατομικής Ενέργειας (ΕΕ L 243 της 27.9.2003, σ. 1).

(11)  Απόφαση C(2006) 3602, της 16ης Αυγούστου 2006, για την ασφάλεια των συστημάτων πληροφορικής που χρησιμοποιεί η Ευρωπαϊκή Επιτροπή.

(12)  Κανονισμός (ΕΕ) αριθ. 512/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Απριλίου 2014, για την τροποποίηση του κανονισμού (ΕΕ) αριθ. 912/2010 σχετικά με τη σύσταση Οργανισμού του Ευρωπαϊκού GNSS (ΕΕ L 150 της 20.5.2014, σ. 72).

(13)  Κανονισμός (ΕΚ, Ευρατόμ) αριθ. 1605/2002 του Συμβουλίου, της 25ης Ιουνίου 2002, για τη θέσπιση του δημοσιονομικού κανονισμού που εφαρμόζεται στο γενικό προϋπολογισμό των Ευρωπαϊκών Κοινοτήτων (ΕΕ L 248 της 16.9.2002, σ. 1).

(14)  Απόφαση 2001/844/ΕΚ, ΕΚΑΧ, Ευρατόμ της Επιτροπής, της 29ης Νοεμβρίου 2001, για την τροποποίηση του εσωτερικού κανονισμού της (ΕΕ L 317 της 3.12.2001, σ. 1).

---

---

---

---