DECIZIA (UE, Euratom) 2019/1963 A COMISIEI din 17 octombrie 2019
DECIZIA (UE, Euratom) 2019/1963 A COMISIEI
din 17 octombrie 2019
de stabilire a normelor de punere în aplicare privind securitatea industrială în ceea ce privește contractele de achiziții publice clasificate
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 249,
având în vedere Tratatul de instituire a Comunității Europene a Energiei Atomice, în special articolul 106,
având în vedere Decizia (UE, Euratom) 2015/443 a Comisiei din 13 martie 2015 privind securitatea în cadrul Comi siei (1),
având în vedere Decizia (UE, Euratom) 2015/444 a Comisiei din 13 martie 2015 privind normele de securitate pentru protecția informațiilor UE clasificate (2),
având în vedere Decizia (UE, Euratom) 2017/46 a Comisiei din 10 ianuarie 2017 privind securitatea sistemelor informa tice și de comunicații în cadrul Comisiei Europene (3),
după consultarea Grupului de experți în materie de securitate al Comisiei, în conformitate cu articolul 41 alineatul (5) din Decizia (UE, Euratom) 2015/444,
întrucât:
(1) Articolele 41, 42, 47 și 48 din Decizia (UE, Euratom) 2015/444 prevăd că, în completarea și în sprijinul capitolu lui 6 din decizia menționată, urmează să fie stabilite dispoziții mai detaliate în normele de punere în aplicare privind securitatea industrială, reglementând aspecte precum licitațiile, încheierea de contracte clasificate, autoriză rile de securitate industrială, autorizările de securitate a personalului, vizitele, precum și transmiterea și transportul informațiilor clasificate ale Uniunii Europene (IUEC).
(2) Decizia (UE, Euratom) 2015/444 prevede că contractele clasificate trebuie puse în aplicare în strânsă cooperare cu autoritatea națională de securitate, autoritatea de securitate desemnată sau orice altă autoritate competentă a statului membru respectiv; statele membre au convenit să se asigure că orice entitate din jurisdicția lor care poate primi sau genera informații clasificate care provin de la Comisie este autorizată în mod corespunzător din punctul de vedere al securității și poate asigura o protecție adecvată, echivalentă celei asigurate de normele de securitate ale Consiliului Uniunii Europene pentru protecția informațiilor clasificate ale Uniunii Europene care poartă un marcaj de clasificare corespunzător, astfel cum se prevede în Acordul între statele membre ale Uniunii Europene, reunite în cadrul Consiliu lui, privind protecția informațiilor clasificate schimbate în interesul Uniunii Europene (2011/C 202/05) (4).
(3) Consiliul, Comisia și Înaltul Reprezentant al Uniunii pentru afaceri externe și politica de securitate au convenit să asigure o consecvență maximă în aplicarea normelor de securitate privind protecția IUEC, ținând seama, în același timp, de nevoile lor instituționale și organizatorice specifice, în conformitate cu declarațiile atașate la procesul-ver bal al reuniunii Consiliului în cadrul căreia a fost adoptată Decizia 2013/488/UE a Consiliului (5) privind normele de securitate pentru protecția informațiilor UE clasificate.
(4) Normele de punere în aplicare ale Comisiei privind securitatea industrială în ceea ce privește contractele clasificate ar trebui, prin urmare, să asigure, de asemenea, o consecvență maximă și să țină seama de Orientările privind securitatea industrială, aprobate de Comitetul de securitate al Consiliului la 13 decembrie 2016, precum și de articolele 7 și 22 din Directiva 2009/81/CE a Parlamentului European și a Consiliului (6).
(5) La 4 mai 2016, Comisia a adoptat o decizie (7) prin care membrul Comisiei responsabil de aspectele de securitate era abilitat să adopte, în numele Comisiei și sub responsabilitatea acesteia, normele de punere în aplicare prevăzute la articolul 60 din Decizia (UE, Euratom) 2015/444,
(1) | JO L 72, 17.3.2015, p. 41. |
(2) | JO L 72, 17.3.2015, p. 53. |
(3) | JO L 6, 11.1.2017, p. 40. |
(4) | JO C 202, 8.7.2011, p. 13. |
(5) | Decizia 2013/488/UE a Consiliului din 23 septembrie 2013 privind normele de securitate pentru protecția informațiilor UE clasificate (JO L 274, 15.10.2013, p. 1). |
(6) | Directiva 2009/81/CE a Parlamentului European și a Consiliului din 13 iulie 2009 privind coordonarea procedurilor privind atribui rea anumitor contracte de lucrări, de furnizare de bunuri și de prestare de servicii de către autoritățile sau entitățile contractante în domeniile apărării și securității (JO L 216, 20.8.2009, p. 76). |
(7) | Decizia Comisiei din 4 mai 2016 privind o abilitare legată de securitate [C(2016) 2797 final]. |
ADOPTĂ PREZENTA DECIZIE:
CAPITOLUL 1
DISPOZIȚII GENERALE
Articolul 1
Obiectul și domeniul de aplicare
(1) Prezenta decizie stabilește normele de punere în aplicare privind securitatea industrială referitoare la contractele de achiziții publice clasificate, în sprijinul punerii în aplicare a Deciziei (UE, Euratom) 2015/444 și, în special, a capitolului 6 din decizia menționată.
(2) Prezenta decizie stabilește cerințe specifice pentru asigurarea protecției informațiilor UE clasificate (IUEC) de către operatorii economici în etapa de precontract, pe parcursul întregului ciclu de viață al contractelor clasificate încheiate de Comisia Europeană, precum și în cadrul subcontractelor încheiate de contractanții Comisiei.
(3) Prezenta decizie vizează informațiile clasificate de la următoarele niveluri:
(a) RESTREINT UE/EU RESTRICTED;
(b) CONFIDENTIEL UE/EU CONFIDENTIAL;
(c) SECRET UE/EU SECRET.
Articolul 2
Responsabilitatea în cadrul Comisiei
(1) Ca parte a responsabilităților descrise în Regulamentul financiar (8), fiecare ordonator de credite al autorității con tractante a Comisiei trebuie să se asigure că respectivul contract clasificat face referire la standardele minime privind securitatea industrială prevăzute în capitolul 6 din Decizia (UE, Euratom) 2015/444, în prezentele norme de punere în aplicare și, după caz, în anunțul de participare sau invitația de participare la licitație, precum și că aceste standarde sunt respectate pe parcursul punerii în aplicare.
(2) În acest scop, ordonatorul de credite vizat trebuie să solicite, în toate etapele, consultanță din partea Autorității de securitate a Comisiei cu privire la aspecte legate de elementele de securitate ale unui contract, program sau proiect clasi ficat și să îl informeze pe ofițerul local de securitate cu privire la contractele încheiate. Decizia privind nivelul de clasifi care a unor subiecte specifice revine autorității contractante și este luată ținând seama în mod corespunzător de ghidul clasificărilor de securitate.
(3) Pentru respectarea cerințelor prevăzute în prezentele norme de punere în aplicare, Autoritatea de securitate a Comisiei trebuie să coopereze îndeaproape cu autoritățile naționale de securitate (ANS) și cu autoritățile de securitate desemnate (ASD) din statele membre vizate, îndeosebi în ceea ce privește autorizările de securitate industrială (ASI), autorizările de securitate a personalului (ASP), procedurile privind vizitele și planurile de transport.
CAPITOLUL 2
GESTIONAREA INVITAȚIILOR DE PARTICIPARE LA PROCEDURA DE OFERTARE PENTRU CONTRACTE CLASIFICATE
Articolul 3
Principii de bază
(1) Contractele clasificate le sunt atribuite numai operatorilor economici înregistrați într-un stat membru sau operato rilor economici înregistrați într-o țară terță sau înființați de o organizație internațională în cazul în care țara terță sau organizația internațională respectivă a încheiat un acord privind securitatea informațiilor cu Uniunea Europeană sau un acord administrativ cu Comisia (9).
(2) Înainte de lansarea unei invitații de participare la licitație pentru un contract clasificat, autoritatea contractantă stabilește clasificarea de securitate a tuturor informațiilor care ar putea fi furnizate ofertanților. Autoritatea contractantă stabilește, de asemenea, clasificarea de securitate maximă a oricărei informații generate în executarea contractului, a programului sau a proiectului ori, cel puțin, volumul anticipat și tipul de informații care urmează să fie produse sau gestionate, precum și necesitatea unui sistem informatic și de comunicații (SIC) clasificat.
(8) | Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului din 18 iulie 2018 privind normele financiare aplicabile bugetului general al Uniunii, de modificare a Regulamentelor (UE) nr. 1296/2013, (UE) nr. 1301/2013, (UE) nr. 1303/2013, (UE) nr. 1304/2013, (UE) nr. 1309/2013, (UE) nr. 1316/2013, (UE) nr. 223/2014, (UE) nr. 283/2014 și a Deciziei nr. 541/2014/UE și de abrogare a Regulamentului (UE, Euratom) nr. 966/2012 (JO L 193, 30.7.2018, p. 1). |
(9) | Lista acordurilor încheiate de UE și a acordurilor administrative încheiate de Comisia Europeană, pe baza cărora pot fi schimbate informații UE clasificate cu țări terțe și cu organizații internaționale, poate fi consultată pe site-ul Comisiei. |
(3) Autoritatea contractantă se asigură că anunțurile de participare pentru contracte clasificate furnizează informații privind obligațiile speciale în materie de securitate legate de informațiile clasificate. Anexa I conține un model pentru informațiile din anunțul de participare.
(4) Autoritatea contractantă se asigură că informațiile clasificate RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET sunt transmise ofertanților numai după ce aceștia au semnat un acord de confidențialitate, care îi obligă să gestioneze și să protejeze IUEC în conformitate cu Decizia (UE, Euratom) 2015/444 și cu normele de punere în aplicare a acesteia.
(5) Toți contractanții care sunt obligați să gestioneze sau să stocheze informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET în clădirile lor, fie în timpul executării propriu-zise a contractului clasificat, fie în etapa precontractuală, trebuie să dețină o ASI a nivelul solicitat. Mai jos sunt identificate cele trei scenarii care pot apărea în timpul etapei de ofertare pentru un contract clasificat care implică IUEC la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET:
(a) nu se acordă acces la IUEC la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET în timpul etapei de ofertare:
În cazul în care anunțul de participare sau invitația de participare la licitație privește un contract care va implica IUEC la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET, dar care nu prevede gestiona rea, de către ofertant, a unor astfel de informații în etapa de ofertare, ofertantul care nu deține o ASI la nivelul solicitat nu trebuie să fie exclus din procesul de licitare din motive legate de absența autorizării respective;
(b) accesul la IUEC la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET în incintele autorității contractante în timpul etapei de ofertare:
Se acordă acces personalului ofertantului care deține o ASP la nivelul solicitat și care are nevoie să cunoască informațiile respective. Înainte de acordarea accesului, autoritatea contractantă verifică, prin intermediul Autorității de securitate a Comisiei, împreună cu ANS/ASD respectivă, dacă în această etapă este necesară și o ASI în conformi tate cu actele cu putere de lege și normele administrative naționale;
(c) gestionarea sau stocarea IUEC la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET în incintele ofertantului în timpul etapei de ofertare:
În cazul în care anunțul de participare sau invitația de participare la licitație le impune ofertanților să gestioneze sau să stocheze IUEC în incintele lor, ofertanții trebuie să dețină o ASI la nivelul solicitat. În astfel de circumstanțe, autoritatea contractantă trebuie să obțină, prin intermediul Autorității de securitate a Comisiei, o asigurare din par tea ANS/ASD relevante, potrivit căreia ofertantului i s-a acordat o ASI adecvată. Se acordă acces personalului ofer tantului care deține o ASP la nivelul solicitat și care are nevoie să cunoască informațiile respective.
(6) În principiu, nu se impune obținerea unei ASI pentru accesul la informații clasificate RESTREINT UE/EU RESTRIC TED nici în etapa de ofertare, nici pentru executarea contractului. În cazul în care statele membre solicită o ASI pentru contracte sau subcontracte la nivelul RESTREINT UE/EU RESTRICTED în conformitate cu actele cu putere de lege și normele administrative naționale, astfel cum sunt enumerate în anexa IV, cerințele naționale respective nu trebuie să creeze obligații suplimentare pentru alte state membre și nu trebuie să excludă ofertanții, contractanții sau subcontrac tanții din state membre care nu au astfel de cerințe privind ASI în legătură cu accesul la informații clasificate RES TREINT UE/EU RESTRICTED rezultate din contracte/subcontracte conexe sau dintr-un concurs în acest sens. Aceste con tracte trebuie să fie executate în statele membre în conformitate cu actele cu putere de lege și cu normele administrative naționale ale acestora.
(7) În cazul în care este necesară o ASI pentru executarea unui contract clasificat, autoritatea contractantă transmite o solicitare ANS/ASD a contractantului, prin intermediul Autorității de securitate a Comisiei, folosind fișa de informații privind autorizarea de securitate industrială (FIASI). Apendicele D la anexa III conține un exemplu de FIASI (10). Contrac tul clasificat nu trebuie să fie atribuit până când ANS/ASD a contractantului nu a confirmat ASI a ofertantului. Răspun sul la o FIASI este furnizat, în măsura posibilului, în termen de 10 zile lucrătoare de la data solicitării.
(10) | Alte forme utilizate pot fi diferite de exemplul oferit în prezentele norme de punere în aplicare, în ceea ce privește modul în care sunt concepute. |
Articolul 4
Subcontractarea în cadrul contractelor clasificate
(1) Condițiile în care poate subcontracta un contractant căruia i-a fost atribuit un contract clasificat al Comisiei tre buie să fie definite în invitația de participare la licitație și în documentația contractului. În cazul în care un contract clasificat permite subcontractarea unor părți din acesta, subcontractarea respectivă trebuie să facă obiectul unui con simțământ scris prealabil din partea autorității contractante. Înainte de a-și da consimțământul, autoritatea contractantă consultă Autoritatea de securitate a Comisiei.
(2) Contractele clasificate sunt subcontractate numai operatorilor economici înregistrați într-un stat membru sau ope ratorilor economici înregistrați într-o țară terță sau înființați de o organizație internațională în cazul în care țara terță sau organizația internațională respectivă a încheiat un acord privind securitatea informațiilor cu UE sau un acord admi nistrativ cu Comisia (11).
CAPITOLUL 3
ATRIBUIREA CONTRACTELOR CLASIFICATE ALE COMISIEI
Articolul 5
Principii de bază
(1) La atribuirea unui contract clasificat, autoritatea contractantă, împreună cu Autoritatea de securitate a Comisiei, se asigură că obligațiile contractantului privind protecția IUEC furnizate acestuia sau generate în executarea contractului fac parte integrantă din contract. Cerințele de securitate specifice contractului iau forma unei anexe de securitate (AS). Un model de anexă de securitate este prezentat în anexa III.
(2) Înainte de a semna un contract clasificat, autoritatea contractantă elaborează, după consultarea Autorității de secu ritate a Comisiei, un ghid al clasificărilor de securitate (GCS) pentru sarcinile care urmează să fie executate și informațiile generate în executarea contractului sau la nivel de program ori proiect, după caz. GCS face parte din anexa de securitate.
(3) Cerințele de securitate specifice programului sau proiectului iau forma unor instrucțiuni de securitate pentru pro gram (sau proiect) (ISP). ISP pot fi elaborate pe baza dispozițiilor din modelul de anexă de securitate, astfel cum este prezentat în anexa III. ISP sunt elaborate de departamentul Comisiei care gestionează programul sau proiectul, în strânsă cooperare cu Autoritatea de securitate a Comisiei, și sunt transmise, în vederea acordării de consultanță, Grupului de experți în materie de securitate al Comisiei. În cazul în care un contract face parte dintr-un program sau proiect cu propriile ISP, anexa de securitate a contractului trebuie să aibă o formă simplificată și să includă referințe la dispozițiile privind securitatea stabilite în ISP ale programului sau proiectului.
(4) Autoritatea contractantă este considerată emitentul informațiilor clasificate create și gestionate în scopul executării contractului.
(5) Autoritatea contractantă, prin intermediul Autorității de securitate a Comisiei, notifică ANS/ASD ale tuturor con tractanților și subcontractanților cu privire la încheierea contractelor sau a subcontractelor clasificate și la orice prelun gire sau reziliere anticipată a respectivelor contracte ori subcontracte. O listă a cerințelor aferente fiecărei țări este furni zată în anexa IV.
(6) Contractele care implică informații clasificate RESTREINT UE/EU RESTRICTED trebuie să includă o clauză privind securitatea contractului care să prevadă obligativitatea pentru contractant a dispozițiilor prevăzute apendicele E la anexa III. Contractele respective trebuie să includă o anexă de securitate care să prevadă, cel puțin, cerințele pentru gestionarea informațiilor RESTREINT UE/EU RESTRICTED, inclusiv aspectele legate de asigurarea informațiilor și cerințele specifice care trebuie îndeplinite de contractant în temeiul unei delegări din partea autorității contractante pen tru acreditarea sistemului informatic și de comunicații (SIC) al contractantului care gestionează informații RESTREINT UE/EU RESTRICTED.
(11) | Lista acordurilor încheiate de UE și a acordurilor administrative încheiate de Comisia Europeană, pe baza cărora pot fi schimbate informații UE clasificate cu țări terțe și cu organizații internaționale, poate fi consultată pe site-ul Comisiei. |
(7) În cazul în care ofertanților sau potențialilor contractanți le sunt furnizate informații RESTREINT UE/EU RESTRIC TED, cerințele minime menționate la alineatul (6) trebuie să fie incluse în oferte sau în acordurile de confidențialitate relevante încheiate în etapa de ofertare.
(8) În cazul în care acest lucru este impus de actele cu putere de lege și normele administrative naționale ale statelor membre, ANS/ASD se asigură că toți contractanții și subcontractanții din jurisdicțiile lor respectă dispozițiile de securi tate aplicabile pentru protecția informațiilor RESTREINT UE/EU RESTRICTED și efectuează vizite de verificare în clădi rile contractanților situate pe teritoriul lor. În cazul în care ANS/ASD nu se află sub incidența unei astfel de obligații, autoritatea contractantă trebuie să se asigure că respectivul contractant pune în aplicare dispozițiile de securitate nece sare, stabilite în anexa III.
Articolul 6
Accesul personalului contractanților și al subcontractanților la IUEC
(1) Departamentul Comisiei, în calitate de autoritate contractantă, se asigură că în contractele clasificate sunt incluse dispoziții care indică faptul că membrilor personalului unui contractant sau subcontractant care, pentru executarea con tractului sau a subcontractului clasificat, au nevoie de acces la IUEC, li se poate acorda un astfel de acces numai dacă:
(a) s-a stabilit că este necesar ca aceștia să cunoască informațiile respective;
(b) pentru informațiile clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET, acestora li s-a acordat o ASP la nivelul relevant de către ANS/ASD respectivă sau orice altă autoritate de securitate competentă;
(c) au fost instruiți cu privire la normele de securitate aplicabile pentru protecția IUEC și au confirmat că au luat cunoștință de responsabilitățile care le revin în ceea ce privește protejarea acestor informații.
(2) În cazul în care un contractant sau subcontractant dorește să angajeze un resortisant dintr-o țară din afara UE pe un post care necesită accesul la IUEC clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET, contractantului sau subcontractantului respectiv îi revine responsabilitatea de a iniția procedura de acordare a autorizării de securitate pentru persoana în cauză, în conformitate cu actele cu putere de lege și normele administrative naționale aplicabile în locul în care urmează să fie acordat accesul la IUEC.
CAPITOLUL 4
VIZITE LEGATE DE CONTRACTELE CLASIFICATE
Articolul 7
Principii de bază
(1) În cazul în care Comisia, contractanții sau subcontractanții au nevoie de acces la informații clasificate CONFIDEN TIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET în incintele celeilalte părți în scopul executării unui contract clasificat, vizitele trebuie să fie organizate în colaborare cu ANS/ASD sau cu orice altă autoritate de securitate compe tentă implicată.
(2) Vizitele menționate la alineatul (1) fac obiectul următoarelor cerințe:
(a) vizitele trebuie să aibă un scop oficial legat de un contract clasificat atribuit de Comisie;
(b) orice vizitator trebuie să dețină o ASP la nivelul necesar și să aibă nevoie să cunoască informațiile respective pentru a avea acces la IUEC furnizate sau generate în executarea unui contract clasificat atribuit de Comisie.
Articolul 8
Cererile de vizită
(1) Vizitele efectuate de contractanți în clădirile altor contractanți sau în incintele Comisiei care implică accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET trebuie să fie organizate în conformitate cu următoarea procedură:
(a) ofițerul de securitate al clădirii care trimite vizitatorul completează toate părțile relevante ale formularului de cerere de vizită (CV) și transmite cererea către ANS/ASD a clădirii. Un model de formular de cerere de vizită este prezentat în apendicele C la anexa III;
(b) ANS/ASD a clădirii care trimite vizitatorul trebuie să confirme ASP a vizitatorului înainte de a transmite cererea de vizită ANS/ASD a clădirii-gazdă (sau Autorității de securitate a Comisiei în cazul în care vizita are loc în incintele Comisiei);
(c) ofițerul de securitate al clădirii care trimite vizitatorul obține ulterior de la propria ANS/ASD răspunsul ANS/ASD a clădirii-gazdă (sau al Autorității de securitate a Comisiei), care autorizează sau respinge cererea de vizită;
(d) o cerere de vizită este considerată aprobată în cazul în care nu sunt prezentate obiecțiuni cu până la cinci zile lucră toare înainte de data vizitei.
(2) Vizitele funcționarilor Comisiei în clădirile contractanților care implică accesul la informații clasificate CONFIDEN TIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET trebuie să fie organizate în conformitate cu următoarea procedură:
(a) vizitatorul completează toate părțile relevante ale formularului de cerere de vizită și îl transmite Autorității de securi tate a Comisiei;
(b) Autoritatea de securitate a Comisiei confirmă ASP a vizitatorului înainte de transmiterea cererii de vizită către ANS/ASD a clădirii-gazdă;
(c) Autoritatea de securitate a Comisiei obține un răspuns din partea ANS/ASD a clădirii-gazdă prin care cererea de vizită este autorizată sau respinsă;
(d) o cerere de vizită este considerată aprobată în cazul în care nu sunt prezentate obiecțiuni cu până la cinci zile lucră toare înainte de data vizitei.
(3) O cerere de vizită poate acoperi fie o singură vizită, fie vizite recurente. În cazul vizitelor recurente, cererea de vizită poate fi valabilă timp de până la un an de la data de începere solicitată.
(4) Valabilitatea oricărei cereri de vizită nu trebuie să depășească valabilitatea ASP a vizitatorului.
(5) Ca regulă generală, ar trebui ca o cerere de vizită să fie transmisă autorității de securitate competente a clădirii-gazdă cu cel puțin 15 zile lucrătoare înainte de data vizitei.
Articolul 9
Procedurile privind vizitele
(1) Înainte de a permite vizitatorului accesul la IUEC, ofițerul de securitate al clădirii-gazdă trebuie să respecte toate procedurile și normele privind securitatea în legătură cu vizitele, prevăzute de ANS/ASD.
(2) La sosirea în clădirea-gazdă, vizitatorii fac dovada identității lor prin prezentarea unei cărți de identitate valabile sau a unui pașaport valabil. Informațiile de identificare trebuie să corespundă cu informațiile furnizate în cererea de vizită.
(3) Clădirea-gazdă asigură păstrarea evidenței tuturor vizitatorilor, inclusiv numele acestora, organizația pe care o reprezintă, data expirării ASP, data vizitei și numele persoanelor vizitate. Aceste evidențe sunt păstrate pe o perioadă de cel puțin cinci ani sau mai mult, în cazul în care normele și reglementările naționale din țara în care este situată clădirea-gazdă impun acest lucru.
Articolul 10
Vizite organizate direct
(1) În contextul unor proiecte specifice, ANS/ASD relevante și Autoritatea de securitate a Comisiei pot conveni asupra unei proceduri prin care vizitele pentru un contract clasificat specific să poată fi organizate direct de ofițerul de securi tate al vizitatorului împreună cu ofițerul de securitate al clădirii care urmează să fie vizitată. Un model al formularului care trebuie folosit în acest scop este prezentat în apendicele C la anexa III. O astfel de procedură excepțională trebuie să fie stabilită în ISP sau în alte acorduri specifice. În aceste cazuri, procedurile prevăzute la articolul 8 și la articolul 9 alineatul (1) nu se aplică.
(2) Vizitele care implică accesul la informații clasificate RESTREINT UE/EU RESTRICTED trebuie să fie organizate direct de entitatea care trimite vizitatorul împreună cu entitatea care primește vizitatorul, fără a fi necesară parcurgerea procedurilor stabilite la articolul 8 și la articolul 9 alineatul (1).
CAPITOLUL 5
TRANSMITEREA ȘI TRANSPORTUL IUEC ÎN CADRUL EXECUTĂRII CONTRACTELOR CLASIFICATE
Articolul 11
Principii de bază
Autoritatea contractantă trebuie să se asigure că toate deciziile legate de transferul și transportul IUEC respectă Decizia (UE, Euratom) 2015/444 și normele de punere în aplicare a acesteia, precum și condițiile prevăzute în contractul clasifi cat, inclusiv consimțământul emitentului.
Articolul 12
Gestionarea electronică
(1) Gestionarea și transmiterea electronică a IUEC au loc în conformitate cu capitolele 5 și 6 din Decizia (UE, Eura tom) 2015/444 și cu normele de punere în aplicare a acesteia.
Sistemele informatice și de comunicații deținute de un contractant și utilizate pentru gestionarea IUEC în scopul execu tării contractului („SIC ale contractantului”) trebuie să facă obiectul acreditării de către autoritatea de acreditare în mate rie de securitate (AAS) responsabilă. Transmiterea electronică a IUEC trebuie să fie protejată prin intermediul unor pro duse criptografice aprobate în conformitate cu articolul 36 alineatul (4) din Decizia (UE, Euratom) 2015/444. Măsurile TEMPEST trebuie să fie puse în aplicare în conformitate cu articolul 36 alineatul (6) din decizia menționată.
(2) Acreditarea în materie de securitate a SIC ale contractantului care gestionează IUEC la nivel RESTREINT UE/EU RESTRICTED și orice interconexiune în acest sens pot fi delegate ofițerului de securitate al contractantului în cazul în care actele cu putere de lege și normele administrative naționale permit acest lucru. În cazul în care sarcina este dele gată, contractantul este responsabil de punerea în aplicare a cerințelor de securitate minime descrise în anexa de securi tate atunci când gestionează informații clasificate RESTREINT UE/EU RESTRICTED în cadrul sistemului său informatic și de comunicații. Totuși, ANS/ASD relevante și AAS păstrează responsabilitatea pentru protecția informațiilor RESTREINT UE/EU RESTRICTED gestionate de contractant, precum și dreptul de a inspecta măsurile de securitate luate de contrac tanți. În plus, contractantul trebuie să pună la dispoziția autorității contractante și, atunci când actele cu putere de lege și normele administrative naționale impun acest lucru, a AAS naționale competente, o declarație de conformitate care certifică faptul că SIC al contractantului și interconexiunile aferente au fost acreditate pentru gestionarea IUEC la nivelul RESTREINT UE/EU RESTRICTED (12).
Articolul 13
Transportul prin intermediul curierilor comerciali
Transportul IUEC prin intermediul curierilor comerciali trebuie să se desfășoare în conformitate cu dispozițiile relevante din deciziile Comisiei privind normele de punere în aplicare pentru gestionarea informațiilor RESTREINT UE/EU RES TRICTED și a informațiilor CONFIDENTIEL UE/EU CONFIDENTIAL.
Articolul 14
Transportul personal
(1) Transportul personal al informațiilor clasificate trebuie să facă obiectul unor cerințe de securitate stricte.
(2) Informațiile RESTREINT UE/EU RESTRICTED pot fi transportate personal de membrii personalului contractantului în cadrul UE, cu condiția îndeplinirii următoarelor cerințe:
(a) plicul sau ambalajul folosit să fie opac și să nu poarte nicio indicație privind clasificarea conținutului său;
(12) | Cerințele minime pentru sistemele informatice și de comunicații care gestionează IUEC la nivelul RESTREINT UE/EU RESTRICTED sunt prevăzute în apendicele E la anexa III. |
(b) informațiile clasificate să nu iasă din posesia persoanei care le transportă;
(c) plicul sau ambalajul să nu fie deschis pe drum.
(3) În cazul informațiilor clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET, transportul personal de către membrii personalului contractantului în cadrul unui stat membru a UE este organizat în prealabil de către entitățile expeditoare împreună cu entitățile destinatare. Autoritatea sau clădirea expeditoare informează autoritatea sau clădirea destinatară cu privire la detaliile transportului, inclusiv referința, clasificarea, ora estimată a sosirii și numele curierului. Transportul personal de acest tip este permis cu condiția îndeplinirii următoarelor cerințe:
(a) informațiile clasificate să fie transportate într-un plic sau ambalaj dublu;
(b) plicul sau ambalajul exterior să fie securizat și să nu poarte nicio indicație a clasificării conținutului său, iar plicul interior să poarte indicația nivelului de clasificare;
(c) IUEC să nu iasă din posesia persoanei care le transportă;
(d) plicul sau ambalajul să nu fie deschis pe drum;
(e) plicul sau ambalajul să fie transportat într-o servietă care poate fi încuiată sau într-un recipient similar aprobat, având o dimensiune și greutate care îi permit persoanei care efectuează transportul să o (îl) păstreze în permanență asupra sa și să nu o (îl) depoziteze într-un spațiu pentru bagaje;
(f) curierul să dețină un certificat de curier eliberat de autoritatea sa de securitate competentă, prin care este autorizat să transporte pachetul clasificat astfel cum este identificat.
(4) În cazul în care membrii personalului contractantului transportă personal informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET dintr-un stat membru al UE în altul, se aplică următoarele norme suplimentare:
(a) curierul trebuie să fie responsabil de păstrarea în siguranță a materialului clasificat transportat, până la momentul în care acesta este înmânat destinatarului;
(b) în eventualitatea unei încălcări a normelor de securitate, ANS/ASD a expeditorului poate solicita ca autoritățile din țara în care a avut loc încălcarea să desfășoare o anchetă, să raporteze constatările în urma acesteia și să ia măsurile legale sau alte măsuri adecvate;
(c) curierul trebuie să fie informat în prealabil cu privire la toate obligațiile de securitate care trebuie respectate în tim pul transportului și trebuie să semneze un document corespunzător de luare la cunoștință;
(d) instrucțiunile destinate curierului trebuie să fie atașate la certificatul curierului;
(e) curierului trebuie să i se furnizeze o descriere a transportului și itinerarul;
(f) documentele trebuie să fie returnate ANS/ASD emitente la finalizarea călătoriei (călătoriilor) sau să fie păstrate la dispoziție de către destinatar în scopuri de monitorizare;
(g) în cazul în care autoritățile vamale, autoritățile de imigrație sau poliția de frontieră solicită examinarea și inspectarea transportului, acestora trebuie să li se permită să deschidă și să observe părți suficiente din acesta, astfel încât să stabilească faptul că nu conține alte materiale decât cele declarate;
(h) autoritățile vamale ar trebui îndemnate să respecte autoritatea oficială a documentelor de transport și a documente lor de autorizare transportate de curier.
În cazul în care un transport este deschis de autoritățile vamale, acest lucru ar trebui realizat la distanță de persoane neautorizate și, pe cât posibil, în prezența curierului. Curierul trebuie să solicite ca transportul să fie reambalat și să le ceară autorităților care efectuează inspecția să resigileze transportul și să confirme în scris că acesta a fost deschis de ele.
(5) Transportul personal al informațiilor clasificate RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFI DENTIAL și SECRET UE/EU SECRET de către membrii personalului contractantului către o țară terță sau o organizație internațională va face obiectul dispozițiilor din acordul privind securitatea informațiilor sau din acordul administrativ încheiat între Uniunea Europeană sau Comisie, pe de o parte, și țara terță sau organizația internațională respectivă, pe de altă parte.
CAPITOLUL 6
PLANIFICAREA CONTINUITĂȚII ACTIVITĂȚII
Articolul 15
Planuri pentru situații neprevăzute și măsuri de recuperare
Departamentul Comisiei, în calitate de autoritate contractantă, se asigură că un contract clasificat îi impune contractan tului să stabilească planuri pentru situații neprevăzute (PSN) pentru protecția în situații de urgență a IUEC gestionate în legătură cu executarea contractului clasificat, precum și să instituie măsuri preventive și de recuperare în contextul plani ficării continuității activității, astfel încât să reducă la minimum impactul incidentelor legate de gestionarea și stocarea IUEC. Contractantul trebuie să informeze autoritatea contractantă cu privire la planul său pentru situații neprevăzute.
Articolul 16
Intrarea în vigoare
Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene. Adoptată la Bruxelles, 17 octombrie 2019.
Pentru Comisie, Pentru Președinte, Xxxxxxx XXXXXXXXX Membru al Comisiei
ANEXA I
INFORMAȚII STANDARD ÎN ANUNȚURILE DE PARTICIPARE LA ACHIZIȚIILE PUBLICE
(a se adapta în funcție de anunțul de participare utilizat)
Pentru contracte care implică informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET
Alte condiții speciale (dacă este cazul)
Executarea contractului face obiectul unor condiții speciale | da | nu |
(dacă da) Descrierea condițiilor speciale:
Contractul va implica accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET care fac obiectul normelor de securitate pentru protecția informațiilor UE clasificate prevăzute în Decizia (UE, Euratom) 2015/444 și al normelor de punere în aplicare a deciziei (1), gestionarea și/sau stocarea de astfel de informații.
Vor fi necesare autorizarea de securitate industrială, precum și autorizările de securitate ale personalului pentru persona lul contractantului care gestionează informații clasificate.
Obligațiile de securitate speciale vor face parte din contract (anexa de securitate, atașată la contract). Subcontractarea va face obiectul unui acord prealabil în scris din partea autorității contractante și va fi condiționată de respectarea tuturor normelor de securitate de către subcontractant și personalul acestuia.
Pentru contracte care implică informații clasificate RESTREINT UE/EU RESTRICTED
Alte condiții speciale (dacă este cazul)
Executarea contractului face obiectul unor condiții speciale | da | nu |
(dacă da) Descrierea condițiilor speciale:
Contractul va implica sau va presupune accesul la informații clasificate RESTREINT UE/EU RESTRICTED care fac obiec tul normelor de securitate pentru protecția informațiilor UE clasificate prevăzute în Decizia (UE, Euratom) 2015/444 și al normelor de punere în aplicare a deciziei (2), gestionarea și/sau stocarea de astfel de informații.
Obligațiile de securitate speciale vor face parte din contract (anexa de securitate, atașată la contract). Subcontractarea va face obiectul unui acord prealabil în scris din partea autorității contractante și va fi condiționată de respectarea tuturor normelor de securitate de către subcontractant și personalul acestuia.
(1) | Autoritatea contractantă ar trebui să introducă referințele după ce vor fi adoptate normele de punere în aplicare. |
(2) | Autoritatea contractantă ar trebui să introducă referințele după ce vor fi adoptate normele de punere în aplicare. |
ANEXA II
CLAUZE STANDARD ÎN CONTRACTELE DE ACHIZIȚII PUBLICE
(a se adapta în funcție de contractele utilizate)
ARTICOLUL XX
OBLIGAȚII LEGATE DE SECURITATE
XX.1 Informații UE clasificate
În cazul în care punerea în aplicare a contractului implică utilizarea sau generarea de informații UE clasificate, aceste informații trebuie tratate în conformitate cu anexa de securitate (AS) și ghidul clasificărilor de securitate (GCS) al aces teia, astfel cum se prevede în anexa 1, și cu Decizia (UE, Euratom) 2015/444 și normele de punere în aplicare a aces teia (1), până la declasificarea lor.
Orice prestație care conține informații clasificate trebuie transmisă în conformitate cu procedurile speciale convenite cu autoritatea contractantă.
Xxxxxxxxx care implică informații clasificate nu trebuie subcontractate fără aprobarea prealabilă explicită, în scris, a auto rității contractante.
Informațiile UE clasificate nu trebuie divulgate niciunei părți terțe (inclusiv subcontractanți) fără aprobarea prealabilă explicită, în scris, a autorității contractante.
(1) | Autoritatea contractantă ar trebui să introducă referințele după ce vor fi adoptate normele de punere în aplicare. |
ANEXA III
[Anexa IV (la contractul-cadru)]
ANEXA DE SECURITATE (AS)
[Model]
Apendicele A
CERINȚE DE SECURITATE
Autoritatea contractantă trebuie să includă în anexa de securitate (AS) următoarele cerințe de securitate. Este posibil ca unele clauze să nu se aplice contractului. Acestea sunt indicate între paranteze pătrate.
Lista clauzelor nu este exhaustivă. Pot fi adăugate și alte clauze, în funcție de natura contractului clasificat.
CONDIȚII GENERALE
[N.B.: aplicabile tuturor contractelor clasificate]
1. Prezenta anexă de securitate (AS) face parte integrantă din contractul [sau subcontractul] clasificat și descrie cerințele de securitate specifice contractului. Neîndeplinirea acestor cerințe poate constitui un motiv suficient pen tru rezilierea contractului.
2. Contractanții fac obiectul tuturor obligațiilor prevăzute în Decizia (UE, Euratom) 2015/444 și în normele de punere în aplicare a acesteia (1).
3. Informațiile clasificate generate în executarea contractului trebuie marcate ca informații UE clasificate (IUEC) la nivelul clasificării de securitate, astfel cum este stabilit în ghidul clasificărilor de securitate (GCS) din apendicele B la prezenta anexă. Abaterea de la nivelul clasificării de securitate stipulat în GCS poate fi permisă numai cu autorizarea scrisă a autorității contractante.
4. Drepturile care revin emitentului oricărei IUEC create și gestionate în scopul executării contractului clasificat sunt exercitate de Comisie, în calitate de autoritate contractantă.
5. Fără consimțământul scris al autorității contractante, contractantul sau subcontractantul nu trebuie să utilizeze nicio informație și niciun material furnizat de autoritatea contractantă sau elaborat în numele autorității respective în orice alt scop decât cel al contractului.
6. Contractantul trebuie să investigheze toate încălcările normelor de securitate legate de IUEC și să le raporteze autorității contractante cât mai curând posibil. Contractantul sau subcontractantul trebuie să raporteze imediat autorității naționale de securitate (ANS) responsabile sau autorității de securitate desemnate (ASD) și, în cazul în care actele cu putere de lege și normele administrative naționale permit acest lucru, Autorității de securitate a Comisiei, toate cazurile în care se cunoaște sau există motive să se suspecteze că IUEC furnizate sau generate în temeiul contractului au fost pierdute sau divulgate unor persoane neautorizate.
7. La sfârșitul contractului, contractantul sau subcontractantul trebuie să returneze cât mai curând posibil autorității contractante orice IUEC pe care le deține. Atunci când este posibil, contractantul sau subcontractantul poate dis truge IUEC în loc să le returneze. Acest lucru trebuie realizat în conformitate cu actele cu putere de lege și nor mele administrative naționale din țara în care își are sediul contractantul, cu acordul prealabil al Autorității de securitate a Comisiei și conform instrucțiunilor acesteia. IUEC trebuie distruse în așa fel încât să nu poată fi recon stituite nici integral, nici parțial.
8. În cazul în care contractantul sau subcontractantul este autorizat să păstreze IUEC după rezilierea sau finalizarea contractului, IUEC trebuie să fie în continuare protejate în conformitate cu Decizia (UE, Euratom) 2015/444 (denumită în continuare „DC 2015/444”) și normele de punere în aplicare a acesteia (2).
9. Orice gestionare, prelucrare și transmitere electronică a IUEC trebuie să respecte dispozițiile prevăzute în capitolele 5 și 6 din DC 2015/444. Acestea includ, printre altele, cerința ca sistemele informatice și de comunicații deținute de contractant și utilizate pentru gestionarea IUEC în scopul executării contractului (denumite în continuare „SIC ale contractantului”) să facă obiectul acreditării (3), ca orice transmitere electronică a IUEC să fie protejată prin intermediul unor produse criptografice aprobate în conformitate cu articolul 36 alineatul (4) din DC 2015/444 și ca măsurile TEMPEST să fie puse în aplicare în conformitate cu articolul 36 alineatul (6) din DC 2015/444.
(1) | Autoritatea contractantă ar trebui să introducă referințele după ce vor fi adoptate normele de punere în aplicare. |
(2) | Autoritatea contractantă ar trebui să introducă referințele după ce vor fi adoptate normele de punere în aplicare. |
(3) | Partea care este acreditată va trebui să prezinte autorității contractante o declarație de conformitate, prin intermediul Autorității de securitate a Comisiei și în coordonare cu autoritatea națională relevantă de acreditare în materie de securitate (AAS). |
10. Contractantul sau subcontractantul trebuie să dispună de planuri pentru situații neprevăzute (PSN) pentru a proteja, în situații de urgență, IUEC gestionate în executarea contractului clasificat și să instituie măsuri preven tive și de recuperare pentru a reduce la minimum impactul incidentelor asociate cu gestionarea și stocarea IUEC. Contractantul sau subcontractantul trebuie să informeze autoritatea contractantă cu privire la PSN.
CONTRACTE CARE NECESITĂ ACCES LA INFORMAȚII CLASIFICATE RESTREINT UE/EU RESTRICTED
11. În scopul conformității cu contractul, nu este necesară acordarea autorizării de securitate a personalului (ASP). Totuși, informațiile sau materialele clasificate RESTREINT UE/EU RESTRICTED trebuie să fie accesibile numai per sonalului contractantului care are nevoie de aceste informații pentru executarea contractului (principiul necesității de a cunoaște), care a fost informat de ofițerul de securitate al contractantului cu privire la responsabilitățile sale și la consecințele oricărei compromiteri sau încălcări a normelor de securitate cu privire la informațiile respective și care a confirmat în scris faptul că a luat cunoștință de consecințele neasigurării protecției IUEC.
12. Cu excepția situației în care autoritatea contractantă și-a dat acordul în scris, contractantul sau subcontractantul nu trebuie să acorde acces la informații sau materiale clasificate RESTREINT UE/EU RESTRICTED niciunei alte entități sau persoane în afara membrilor personalului său care au nevoie să cunoască informațiile respective.
13. Contractantul sau subcontractantul trebuie să păstreze marcajele de clasificare a securității pentru informațiile cla sificate generate sau furnizate în cadrul executării unui contract și nu trebuie să declasifice informațiile fără acor dul scris al autorității contractante.
14. Atunci când nu sunt utilizate, informațiile sau materialele clasificate RESTREINT UE/EU RESTRICTED trebuie depozitate în mobilier de birou încuiat. În tranzit, documentele trebuie transportate într-un plic opac. Documen tele nu trebuie să iasă din posesia persoanei care le transportă și nu trebuie deschise pe drum.
15. Contractantul sau subcontractantul poate transmite Comisiei documentele clasificate RESTREINT UE/EU RESTRIC TED folosind societăți comerciale de curierat, servicii poștale, transportul personal sau mijloace electronice. În acest scop, contractantul sau subcontractantul trebuie să respecte instrucțiunile de securitate ale programului (proiectului) (ISP) emise de Comisie și/sau normele de punere în aplicare ale Comisiei privind securitatea indus trială referitoare la contractele de achiziții publice clasificate (4).
16. Atunci când nu mai sunt necesare, documentele clasificate RESTREINT UE/EU RESTRICTED trebuie distruse în așa fel încât să nu poată fi reconstituite nici integral, nici parțial.
17. Acreditarea în materie de securitate a SIC ale contractantului care gestionează IUEC la nivel RESTREINT UE/EU RESTRICTED și orice interconexiune în acest sens pot fi delegate ofițerului de securitate al unui contractant în cazul în care actele cu putere de lege și normele administrative naționale permit acest lucru. În cazul în care acre ditarea este delegată astfel, ANS/ASD/AAS păstrează responsabilitatea pentru protecția informațiilor RESTREINT UE/EU RESTRICTED gestionate de contractant, precum și dreptul de a inspecta măsurile de securitate luate de acesta. În plus, contractantul oferă autorității contractante și, atunci când acest lucru este impus prin actele cu putere de lege și normele administrative naționale, AAS naționale competente, o declarație de conformitate care certifică faptul că SIC ale contractantului și interconexiunile aferente au fost acreditate pentru gestionarea IUEC la nivel RESTREINT UE/EU RESTRICTED.
GESTIONAREA INFORMAȚIILOR CLASIFICATE RESTREINT UE/EU RESTRICTED ÎN CADRUL SISTEMELOR INFORMATICE ȘI DE COMUNICAȚII (SIC)
18. Cerințele minime pentru SIC care gestionează informații clasificate RESTREINT UE/EU RESTRICTED sunt prevă zute în apendicele E la prezenta AS.
CONDIȚIILE ÎN CARE CONTRACTANTUL POATE SUBCONTRACTA
19. Contractantul trebuie să obțină permisiunea departamentului Comisiei vizat, în calitate de autoritate contractantă, înainte de a subcontracta orice parte dintr-un contract clasificat.
(4) | Autoritatea contractantă ar trebui să introducă referințele după ce vor fi adoptate normele de punere în aplicare. |
20. Xxxxxx subcontract nu poate fi atribuit unei societăți înregistrate într-un stat membru din afara UE sau unei entități care aparține unei organizații internaționale în cazul în care statul membru din afara UE sau organizația internațională respectivă nu a încheiat un acord privind securitatea informațiilor cu UE sau un acord administrativ cu Comisia.
21. În cazul în care contractantul a atribuit un subcontract, dispozițiile de securitate din contract se aplică mutatis mutandis subcontractantului (subcontractanților) și personalului acestuia (acestora). Într-un astfel de caz, contrac tantului îi revine responsabilitatea de a se asigura că toți subcontractanții aplică, la rândul lor, aceste principii acordurilor de subcontractare pe care le încheie. Pentru a se asigura monitorizarea adecvată a securității, ANS/ASD ale contractantului și ale subcontractantului trebuie să fie notificate cu privire la atribuirea tuturor subcontractelor clasificate conexe de la nivelurile CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET. Dacă este cazul, ANS/ASD ale contractantului și ale subcontractantului primesc o copie a dispozițiilor de securitate specifice subcontractului. ANS/ASD care trebuie notificate cu privire la dispozițiile de securitate din contractele clasificate la nivelul RESTREINT UE/EU RESTRICTED sunt enumerate în anexa la normele de punere în aplicare ale Comisiei privind securitatea industrială referitoare la contractele de achiziții publice clasificate (1).
22. Contractantul nu poate transmite IUEC unui subcontractant fără aprobarea în scris prealabilă a autorității contrac tante. Dacă IUEC trebuie transmise subcontractanților frecvent sau în mod sistematic, autoritatea contractantă își poate da acordul pentru o anumită perioadă (de exemplu 12 luni) sau pentru întreaga durată a subcontractului.
VIZITE
În cazul în care procedura standard pentru cererile de vizită trebuie aplicată vizitelor care implică informații clasificate CONFIDEN TIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET, autoritatea contractantă trebuie să includă punctele 23, 24 și 25 și să elimine punctul 26. În cazul în care sunt organizate vizite care implică informații clasificate CONFIDENTIEL UE/EU CONFI DENTIAL sau SECRET UE/EU SECRET direct de unitatea care trimite vizitatorul împreună cu unitatea care primește vizitatorul, autoritatea contractantă trebuie să elimine punctele 24 și 25 și să includă numai punctul 26.
23. Vizitele care implică accesul sau accesul potențial la informații clasificate RESTREINT UE/EU RESTRICTED trebuie să fie organizate direct de unitatea care trimite vizitatorul împreună cu unitatea care primește vizitatorul, fără a fi necesară parcurgerea procedurii descrise la punctele 24-26 de mai jos.
[24. Vizitele care implică accesul sau accesul potențial la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET fac obiectul următoarei proceduri:
(a) ofițerul de securitate al clădirii care trimite vizitatorul completează toate părțile relevante ale formularului de cerere de vizită (apendicele C) și transmite cererea către ANS/ASD a clădirii;
(b) ANS/ASD a clădirii care trimite vizitatorul trebuie să confirme ASP a vizitatorului înainte de a transmite cere rea de vizită către ANS/ASD a clădirii-gazdă (sau Autorității de securitate a Comisiei în cazul în care vizita are loc în incintele Comisiei);
(c) ofițerul de securitate al clădirii care trimite vizitatorul obține ulterior de la propria ANS/ASD răspunsul ANS/ASD a clădirii-gazdă (sau al Autorității de securitate a Comisiei), care autorizează sau respinge cererea de vizită;
(d) o cerere de vizită este considerată aprobată în cazul în care nu sunt prezentate obiecțiuni cu până la cinci zile lucrătoare înainte de data vizitei.]
[25. Înainte de a acorda vizitatorului (vizitatorilor) acces la informații clasificate CONFIDENTIEL UE/EU CONFIDEN TIAL sau SECRET UE/EU SECRET, clădirea-gazdă trebuie să primească autorizarea din partea propriei ANS/ASD.]
[26. Vizitele care implică accesul sau accesul potențial la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET trebuie să fie organizate direct de unitatea care trimite vizitatorul împreună cu unita tea care primește vizitatorul (un exemplu al formularului care poate fi folosit în acest scop este furnizat în apendi cele C).]
(1) | Autoritatea contractantă ar trebui să introducă referințele după ce vor fi adoptate normele de punere în aplicare. |
27. La sosirea în clădirea-gazdă, vizitatorii trebuie să facă dovada identității lor prin prezentarea unei cărți de identitate valabile sau a unui pașaport valabil.
28. Clădirea care găzduiește vizita trebuie să se asigure că sunt păstrate evidențe ale tuturor vizitatorilor. Acestea tre buie să includă numele lor, organizația pe care o reprezintă, data expirării ASP (dacă este cazul), data vizitei și numele persoanei (persoanelor) vizitate. Fără a aduce atingere normelor europene privind protecția datelor, aceste evidențe trebuie păstrate o perioadă de cel puțin cinci ani sau în conformitate cu normele și reglementările naționale, după caz.
VIZITE DE EVALUARE
29. Autoritatea de securitate a Comisiei poate, în cooperare cu ANS/ASD relevantă, să desfășoare vizite în clădirile contractanților sau subcontractanților pentru a verifica respectarea cerințelor de securitate pentru gestionarea IUEC.
GHIDUL CLASIFICĂRILOR DE SECURITATE
30. O listă a tuturor elementelor din contract care sunt clasificate sau care urmează să fie clasificate pe parcursul executării contractului, normele necesare în acest scop și specificarea nivelurilor clasificărilor de securitate aplica bile sunt incluse în ghidul clasificărilor de securitate (GCS). GCS face parte integrantă din contract și poate fi con sultat în apendicele B la prezenta anexă.
Apendicele B
GHIDUL CLASIFICĂRILOR DE SECURITATE
[text specific care urmează să fie ajustat în funcție de obiectul contractului]
Apendicele C
CERERE DE VIZITĂ
(MODEL)
Instrucțiuni detaliate privind completarea cererii de vizită
(Solicitarea trebuie depusă numai în limba engleză)
HEADING | A se bifa casetele privind tipul vizitei și tipul de informații și a se indica câte locații urmează să fie vizitate și numărul vizitatorilor. |
4. ADMINISTRATIVE DATA | A se completa de către ANS/ASD solicitantă. |
5. REQUESTING ORGANISATION OR INDUSTRIAL FACILITY | Indicați denumirea completă și adresa poștală. A se include orașul, statul și codul poștal, după caz. |
6. ORGANISATION OR INDUSTRIAL FACILITY TO BE VISITED | Indicați denumirea completă și adresa poștală. A se include orașul, sta tul, codul poștal, numărul de telex sau de fax (dacă există), numărul de telefon și adresa de e-mail. A se indica numele și numărul de telefon/fax și adresa de e-mail ale punctului dumneavoastră principal de contact sau ale persoanei cu care ați programat vizita. Observații: 1. Indicarea codului poștal corect este importantă deoarece o societate poate deține mai multe clădiri diferite. 2. În cazul în care cererea se depune manual, anexa 1 poate fi utilizată atunci când trebuie vizitate două sau mai multe clădiri în legătură cu același subiect. În cazul în care se folosește o anexă, punctul 3 ar trebui să indice: „A SE VEDEA ANEXA 1, NUMĂR DE CLĂDIRI …” (indicați numărul de clădiri). |
7. DATES OF VISIT | Indicați data sau perioada efectivă (de la prima la ultima zi) a vizitei în formatul „zi-lună-an”. Dacă este cazul, indicați o dată sau o perioadă alternativă între paranteze. |
8. TYPE OF INITIATIVE | Specificați dacă vizita a fost inițiată de organizația sau clădirea solici tantă sau la invitația clădirii care urmează să fie vizitată. |
9. THE VISIT RELATES TO: | Specificați denumirea completă a proiectului, a contractului sau a licitației, folosind numai abrevierile utilizate în mod obișnuit. |
10. SUBJECT TO BE DISCUSSED/ JUSTIFICATION | Prezentați o scurtă descriere a motivului (motivelor) vizitei. Nu utilizați abrevieri care nu au fost explicate. Observații: În cazul vizitelor recurente, acest punct ar trebui să indice „vizite recu rente” ca prime cuvinte în elementul de date (de exemplu Vizite recu rente pentru a discuta ) |
11. ANTICIPATED LEVEL OF CLASSI FIED INFORMATION TO BE INVOLVED | Indicați SECRET UE/EU SECRET (S-UE/EU-S) sau CONFIDENTIEL UE/EU CONFIDENTIAL (C-UE/EU-C), după caz. |
12. PARTICULARS OF VISITOR | Observație: atunci când în vizită sunt implicați mai mult de doi vizita tori, ar trebui să se utilizeze anexa 2. |
13. THE SECURITY OFFICER OF THE REQUESTING ENTITY | La acest punct trebuie indicate numele, numărul de telefon, numărul de fax și adresa de e-mail ale ofițerului de securitate al clădirii solicitante. |
14. CERTIFICATION OF SECURITY CLEARANCE | Acest câmp trebuie completat de autoritatea de certificare. Note pentru autoritatea de certificare: (a) indicați numele, adresa, numărul de telefon, numărul de fax și adresa de e-mail (pot fi imprimate în prealabil) (b) acest punct trebuie semnat și ștampilat (după caz). |
15. REQUESTING SECURITY AUTHORITY | Acest câmp trebuie completat de ANS/ASD. Notă pentru ANS/ASD: (a) indicați numele, adresa, numărul de telefon, numărul de fax și adresa de e-mail (pot fi imprimate în prealabil) (b) acest punct trebuie semnat și ștampilat (după caz). |
Toate câmpurile trebuie completate, iar formularul trebuie transmis prin intermediul canalelor dintre administrațiile guvernamentale (2).
(2) | În cazul în care s-a convenit că vizitele care implică accesul sau accesul potențial la IUEC la nivel CONFIDENTIEL UE/EU CONFIDEN TIAL și SECRET UE/EU SECRET pot fi organizate direct, formularul completat poate fi transmis direct ofițerului de securitate al unității care urmează să fie vizitată. |
REQUEST FOR VISIT (MODEL) To: | ||
1. TYPE OF VISIT REQUEST | 2. TYPE OF INFORMATION | 3. SUMMARY |
Single Recurring Emergency Amendment Dates Visitors Facility For an amendment, insert the NSA/DSA origi nal RFV Reference No | C-UE/EU-C S-UE/EU-S | No of sites: No of visitors: |
4. ADMINISTRATIVE DATA:
Requester: To: | NSA/DSA RFV Reference No Date (dd/mm/yyyy): / / |
5. REQUESTING ORGANISATION OR INDUSTRIAL FACILITY:
NAME:
POSTAL ADDRESS:
E-MAIL ADDRESS:
FAX NO: TELEPHONE NO:
6. ORGANISATION(S) OR INDUSTRIAL FACILITY(IES) TO BE VISITED (Annex 1 to be completed)
7. DATE OF VISIT (dd/mm/yyyy): FROM / / TO / /
8. TYPE OF INITIATIVE:
Initiated by requesting organisation or facility
By invitation of the facility to be visited
9. THE VISIT RELATES TO CONTRACT: | |
10. SUBJECT TO BE DISCUSSED/REASONS/PURPOSE (Include details of host entity and any other relevant informa tion. Abbreviations should be avoided): | |
11. ANTICIPATED HIGHEST CLASSIFICATION LEVEL OF INFORMATION/MATERIAL OR SITE ACCESS TO BE INVOLVED: | |
12. PARTICULARS OF VISITOR(S) (Annex 2 to be completed) | |
13. THE SECURITY OFFICER OF THE REQUESTING ORGANISATION OR INDUSTRIAL FACILITY: NAME: TELEPHONE NO: E-MAIL ADDRESS: SIGNATURE: | |
14. CERTIFICATION OF SECURITY CLEARANCE LEVEL: | |
NAME: ADDRESS: TELEPHONE NO: E-MAIL ADDRESS: | |
SIGNATURE: | DATE (dd/mm/yyyy): / / |
15. REQUESTING NATIONAL SECURITY AUTHORITY/DESIGNATED SECURITY AUTHORITY: | |
NAME: ADDRESS: TELEPHONE NO: E-MAIL ADDRESS: | |
SIGNATURE: | DATE (dd/mm/yyyy): / / |
16. REMARKS (Mandatory justification required in the case of an emergency visit): |
<Xxxxxx rezervat pentru referința la legislația privind datele cu caracter personal aplicabilă și linkul către informațiile obligatorii pentru persoana vizată, de exemplu modul în care este pus în aplicare articolul 13 din Regulamentul general privind protecția datelor (3).>
(3) | Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1). |
ANEXA 1 la FORMULARUL DE CERERE DE VIZITĂ
ORGANISATION(S) OR INDUSTRIAL FACILITY(IES) TO BE VISITED |
1. NAME: ADDRESS: TELEPHONE NO: FAX NO: NAME OF POINT OF CONTACT: E-MAIL: TELEPHONE NO: NAME OF SECURITY OFFICER OR SECONDARY POINT OF CONTACT: E-MAIL: TELEPHONE NO: |
2. NAME: ADDRESS: TELEPHONE NO: FAX NO: NAME OF POINT OF CONTACT: E-MAIL: TELEPHONE NO: NAME OF SECURITY OFFICER OR SECONDARY POINT OF CONTACT: E-MAIL: TELEPHONE NO: (Continue as required) |
<Xxxxxx rezervat pentru referința la legislația privind datele cu caracter personal aplicabilă și linkul către informațiile obligatorii privind persoana vizată, de exemplu modul în care este pus în aplicare articolul 13 din Regulamentul general privind protecția datelor (1).>
(1) | Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1). |
ANEXA 2 la FORMULARUL DE CERERE DE VIZITĂ
PARTICULARS OF VISITOR(S) |
1. SURNAME: FIRST NAMES (as per passport): DATE OF BIRTH (dd/mm/yyyy): / / PLACE OF BIRTH: NATIONALITY: SECURITY CLEARANCE LEVEL: PP/ID NUMBER: POSITION: COMPANY/ORGANISATION: |
2. SURNAME: FIRST NAMES (as per passport): DATE OF BIRTH (dd/mm/yyyy): / / PLACE OF BIRTH: NATIONALITY: SECURITY CLEARANCE LEVEL: PP/ID NUMBER: POSITION: COMPANY/ORGANISATION: (Continue as required) |
<Xxxxxx rezervat pentru referința la legislația privind datele cu caracter personal aplicabilă și linkul către informațiile obligatorii privind persoana vizată, de exemplu modul în care este pus în aplicare articolul 13 din Regulamentul general privind protecția datelor (1).>
(1) | Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1). |
Apendicele D
FIȘA INFORMATIVĂ PRIVIND AUTORIZAREA DE SECURITATE INDUSTRIALĂ (FIASI)
(MODEL)
1. INTRODUCERE
1.1. Se regăsește atașat un model de fișă informativă privind autorizarea de securitate industrială (FIASI) pentru schim bul rapid de informații între autoritatea națională de securitate (ANS) sau autoritatea de securitate desemnată (ASD), alte autorități naționale de securitate competente și Comisie (în calitate de autoritate contractantă) cu pri vire la autorizarea de securitate industrială (ASI) a unei clădirii implicate în licitații, contracte sau subcontracte clasificate.
1.2. FIASI este valabilă numai dacă este ștampilată de ANS/ASD relevantă sau de altă autoritate competentă.
1.3. FIASI este compusă dintr-o secțiune pentru cerere și o secțiune pentru răspuns și poate fi utilizată în scopurile identificate mai sus sau în orice alte scopuri pentru care este necesar statutul ASI pentru o anumită clădire. Moti vul solicitării trebuie identificat de ANS/ASD solicitantă în câmpul 7 din secțiunea pentru cerere.
1.4. Detaliile conținute în FIASI nu sunt, de regulă, clasificate; în consecință, atunci când o FIASI urmează să fie tran smisă între ANS/ASD/Comisie, aceasta ar trebui realizată, de preferință, prin intermediul mijloacelor electronice.
1.5. ANS/ASD ar trebui să depună toate eforturile pentru a răspunde unei cereri de FIASI în termen de 10 zile lucrătoare.
1.6. În cazul în care sunt transferate informații clasificate sau un contract este atribuit în legătură cu această asigurare, ANS/ASD emitentă trebuie informată.
Proceduri și instrucțiuni pentru utilizarea fișei informative privind autorizarea de securitate industrială (FIASI)
Prezentele instrucțiuni detaliate vizează ANS/ASD sau autoritatea contractantă a Comisiei, care completează FIASI. Soli citarea ar trebui, de preferință, să fie scrisă cu litere majuscule.
ANTET | Solicitantul introduce denumirea completă a ANS/ASD și a țării. |
1. TIPUL CERERII | Autoritatea contractantă solicitantă selectează casetele adecvate pentru tipul cererii de FIASI. A se include nivelul de autorizare de securitate solicitat. Trebuie utilizate următoarele abrevieri: SECRET UE/EU SECRET = S-UE/EU-S CONFIDENTIEL UE/EU CONFIDENTIAL = C-UE/EU-C SIC = sisteme informatice și de comunicații pentru prelucrarea informațiilor clasificate |
2. DETALII PRIVIND SUBIECTUL | Câmpurile 1-6 sunt evidente. În câmpul 4 ar trebui utilizat un cod de țară standard, format din două litere. Câmpul 5 este opțional. |
3. MOTIVUL CERERII | A se indica motivul specific al cererii, indicatorii de proiect, numă rul contractului sau al invitației de participare la licitație. A se spe cifica nevoia de capacitate de stocare, nivelul de clasificare a SIC etc. Ar trebui inclus(ă) orice termen-limită/dată a expirării/dată a atribu irii, care poate avea o influență asupra completării unei ASI. |
4. ANS/ASD SOLICITANTĂ | Indicați denumirea solicitantului efectiv (în numele ANS/ASD) și data cererii în format numeric (zz/ll/aaaa). |
5. SECȚIUNEA PENTRU RĂSPUNS | Câmpurile 1-5: selectați câmpurile adecvate. Câmpul 2: în cazul în care o ASI este în curs, se recomandă să se ofere solicitantului o indicație privind durata necesară pentru prelu crare (dacă se cunoaște). Câmpul 6: (a) deși validarea diferă în funcție de țară sau chiar de clădire, se recomandă ca data expirării ASI să fie menționată. (b) în cazul în care data expirării asigurării ASI este nedefinită, acest câmp poate fi tăiat cu o linie. (c) în conformitate cu normele și reglementările naționale respec tive, solicitantul sau fie contractantul, fie subcontractantul este responsabil de solicitarea reînnoirii ASI. |
6. OBSERVAȚII | Pot fi folosite pentru informații suplimentare privind ASI, clădirea sau elementele de mai sus. |
7. ANS/ASD EMITENTĂ | Indicați denumirea autorității emitente (în numele ANS/ASD) și data răspunsului în format numeric (zz/ll/aaaa). |
FIȘA INFORMATIVĂ PRIVIND AUTORIZAREA DE SECURITATE INDUSTRIALĂ (FIASI)
(MODEL)
Toate câmpurile trebuie completate, iar formularul trebuie transmis prin intermediul canalelor dintre administrațiile guvernamentale sau al canalelor dintre administrația guvernamentală și organizația internațională.
CERERE DE ASIGURARE A AUTORIZĂRII DE SECURITATE INDUSTRIALĂ Către: (Denumirea ANS/ASD a țării) | |
Completați casetele de răspuns, după caz: [] Furnizați o asigurare ASI la nivelul: [] S-UE/EU-S [] C-UE/EU-C pentru clădirea indicată mai jos [] inclusiv protejarea informațiilor/materialelor clasificate [] inclusiv sisteme informatice și de comunicații (SIC) pentru prelucrarea informațiilor clasificate [] Inițiați, direct sau la cererea corespunzătoare a unui contractant sau subcontractant, procesul obținerii unei ASI până la și incluzând nivelul ........................... cu nivelul de protecție........................... și nivelul pentru SIC, în cazul în care clădirea nu deține, în prezent, nivelurile respective de capabilități. Confirmați exactitatea detaliilor privind clădirea indicată mai jos și furnizați corecturi/informații suplimentare după caz. | |
1. Denumirea completă a clădirii: | Corecturi/informații suplimentare: |
................................................................................................... | ........................................................................................................... |
2. Adresa completă a clădirii: | |
................................................................................................... | ........................................................................................................... |
3. Adresa poștală (dacă diferă de 2) | |
................................................................................................... | ........................................................................................................... |
4. Codul poștal al orașului/al țării | |
................................................................................................... | ........................................................................................................... |
5. Numele ofițerului de securitate | |
................................................................................................... | ........................................................................................................... |
6. Nr. de telefon/fax/adresa de e-mail ale ofițerului de securitate | |
................................................................................................... | ........................................................................................................... |
7. Cererea este efectuată din motivul (motivele) următor (următoare): [furnizați detalii privind etapa precontractuală (selectarea propunerii), contractul sau subcontractul, programul/proiectul etc.] |
............................................................................................................................................................................................................................. |
Autoritatea contractantă solicitantă a ANS/ASD/Comisiei: Denumire: ....................... Data: (zz/ll/aaaa) ....................... |
RĂSPUNS (în termen de 10 zile lucrătoare) |
Prin prezenta se certifică următoarele: 1. [] clădirea menționată mai sus deține ASI până la nivelul [] S-UE/EU-S inclusiv [] C-UE/EU-C. 2. Clădirea menționată mai sus deține capabilitatea de a proteja informații/materiale clasificate: [] da, nivelul: [] nu. 3. clădirea menționată mai sus deține SIC acreditat/autorizat: [] da, nivelul: [] nu. 4. [] în legătură cu cererea menționată mai sus, a fost inițiat procesul privind ASI. Veți fi informat cu privire la acorda rea sau refuzarea acordării ASI. 5. [] clădirea menționată mai sus nu deține o ASI. 6. Această asigurare ASI expiră la: (zz/ll/aaaa) sau după cum recomandă ANS/ASD. Veți fi informat în cazul unei invalidări anticipate sau al oricăror modificări aduse informațiilor enumerate mai sus. 7. Observații: ....................................................................................................................................................................................................................... ANS/ASD emitentă Denumire: ......................................................... Data (zz/ll/aaaa)...................................................... |
<Xxxxxx rezervat pentru referința la legislația privind datele cu caracter personal aplicabilă și linkul către informațiile obligatorii privind persoana vizată, de exemplu modul în care este pus în aplicare articolul 13 din Regulamentul general privind protecția datelor (2).>
(2) | Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1). |
Apendicele E
Cerințe minime pentru protecția IUEC în format electronic la nivel RESTREINT UE/EU RESTRICTED gestionate în SIC al contractantului
Aspecte generale
1. Contractantul trebuie să fie responsabil de asigurarea faptului că protecția informațiilor clasificate RESTREINT UE/EU RESTRICTED respectă cerințele minime de securitate astfel cum sunt prevăzute în prezenta clauză de secu ritate și orice alte cerințe suplimentare recomandate de autoritatea contractantă sau, dacă este cazul, de autoritatea națională de securitate (ANS) sau autoritatea de securitate desemnată (ASD).
2. Contractantul este responsabil de punerea în aplicare a cerințelor de securitate identificate în prezentul document.
3. În scopul prezentului document, un sistem informatic și de comunicații (SIC) acoperă toate echipamentele utilizate pentru gestionarea, stocarea și transmiterea IUEC, inclusiv stații de lucru, imprimante, copiatoare, faxuri, servere, sisteme de gestionare a rețelei, dispozitive de control al rețelei și dispozitive de control al comunicațiilor, laptopuri, notebookuri, tablete, telefoane inteligente și dispozitive de stocare mobile, precum unități flash pentru USB, CD- uri, carduri SD etc.
4. Echipamentele speciale, precum produsele criptografice, trebuie protejate în conformitate cu procedurile sale operaționale de securitate specifice (SecOP).
5. Contractanții trebuie să stabilească o structură responsabilă de gestionarea, din punctul de vedere al securității, a SIC care gestionează informații clasificate RESTREINT UE/EU RESTRICTED și să numească un ofițer de securitate responsabil de clădirea vizată.
6. Utilizarea soluțiilor informatice (hardware, software sau servicii) deținute în privat de personalul contractantului pentru stocarea sau prelucrarea informațiilor RESTREINT UE/EU RESTRICTED nu este permisă.
7. Acreditarea SIC al contractantului, care gestionează informații clasificate RESTREINT UE/EU RESTRICTED, trebuie să fie aprobată de autoritatea de acreditare în materie de securitate (AAS) din statul membru vizat sau trebuie să fie delegată ofițerului de securitate al contractantului, astfel cum este permis prin actele cu putere de lege și nor mele administrative naționale.
8. Numai informațiile clasificate RESTREINT UE/EU RESTRICTED care sunt criptate cu ajutorul produselor criptogra fice aprobate pot fi gestionate, stocate sau transmise (prin mijloace tehnice cu fir sau fără fir) la fel ca orice alte informații neclasificate din cadrul contractului. Aceste produse criptografice trebuie să fie aprobate de UE sau de un stat membru.
9. Clădirile externe implicate în activitățile de întreținere/reparație trebuie să fie obligate contractual să respecte dis pozițiile aplicabile pentru gestionarea informațiilor clasificate RESTREINT UE/EU RESTRICTED, astfel cum se pre vede în prezentul document.
10. La solicitarea autorității contractante sau a ANS/ASD/AAS relevante, contractantul trebuie să furnizeze dovezi ale conformității cu clauza de securitate din contract. În cazul în care un audit și o inspecție a proceselor și clădirilor contractantului sunt, de asemenea, necesare, pentru a asigura conformitatea cu aceste cerințe, contractanții permit reprezentanților autorității contractante, ANS/ASD/AAS sau autorității relevante în materie de securitate din UE să efectueze auditul și inspecția respectivă.
Securitatea fizică
11. Zonele în care SIC sunt utilizate pentru a afișa, a stoca, a prelucra sau a transmite informații RESTREINT UE/EU RESTRICTED sau zonele în care se află serverele, sistemele de gestionare a rețelei, dispozitivele de control al rețelei și al comunicațiilor pentru SIC respectiv ar trebui stabilite ca zone separate și controlate, cu un sistem adecvat de control al accesului. Accesul la aceste zone separate și controlate ar trebui restricționat la persoanele cu autorizare specifică. Fără a aduce atingere punctului 8, echipamentele descrise la punctul 3 trebuie stocate în astfel de zone separate și controlate.
12. Trebuie puse în aplicare mecanisme și/sau proceduri de securitate pentru a reglementa introducerea sau conectarea unor suporturi informatice de stocare mobile (precum chei USB, dispozitive de stocare în masă sau CD-RW) la componentele SIC.
Accesul la SIC
13. Accesul la SIC al contractantului care gestionează IUEC este permis pe baza unei nevoi stricte de a cunoaște informațiile respective și a unei autorizări a personalului.
14. Toate SIC trebuie să conțină liste actualizate ale utilizatorilor autorizați. Toți utilizatorii trebuie autentificați la înce putul fiecărei sesiuni de prelucrare.
15. Parolele, care fac parte din majoritatea măsurilor de securitate bazate pe identificare și autentificare, trebuie să aibă o lungime de cel puțin nouă caractere și să includă caractere numerice și „speciale” (dacă sistemul le acceptă), precum și caractere alfabetice. Parolele trebuie schimbate cel puțin la 180 de zile. Acestea trebuie schimbate cât de curând posibil în cazul în care au fost compromise sau divulgate unei persoane neautorizate sau dacă se suspecte ază o astfel de compromitere sau divulgare.
16. Toate SIC trebuie să dispună de elemente de control al accesului intern pentru a preveni ca utilizatori neautorizați să acceseze sau să modifice informațiile clasificate RESTREINT UE/EU RESTRICTED și să modifice elementele de control al sistemului și al securității. Utilizatorii trebuie să fie deconectați automat din SIC în cazul în care termi nalele acestora au fost inactive o perioadă prestabilită sau SIC trebuie să activeze un economizor de ecran protejat de o parolă după 15 minute de inactivitate.
17. Fiecărui utilizator al SIC i se alocă un cont de utilizator și un nume de utilizator unice. Conturile de utilizator trebuie blocate automat în cazul a cel puțin cinci încercări succesive de autentificare nereușite.
18. Toți utilizatorii SIC trebuie să cunoască responsabilitățile care le revin și procedurile care trebuie urmate pentru protejarea informațiilor clasificate RESTREINT UE/EU RESTRICTED în cadrul SIC. Responsabilitățile și procedurile care trebuie urmate trebuie documentate, iar utilizatorii trebuie să confirme în scris faptul că au luat cunoștință de ele.
19. SecOP trebuie să fie disponibile pentru utilizatori și administratori și trebuie să includă descrieri ale rolurilor în materie de securitate și lista de sarcini, instrucțiuni și planuri aferentă.
Contabilitate, audit și răspuns la incidente
20. Orice acces la SIC trebuie înregistrat.
21. Următoarele evenimente trebuie înregistrate:
(a) toate încercările de autentificare, reușite sau nereușite;
(b) deconectarea (inclusiv sesiuni expirate, după caz);
(c) crearea, eliminarea sau modificarea drepturilor și privilegiilor de acces;
(d) crearea, ștergerea sau modificarea parolelor.
22. În cazul tuturor evenimentelor enumerate mai sus, trebuie comunicate cel puțin următoarele informații:
(a) tipul evenimentului;
(b) numele de utilizator;
(c) data și ora;
(d) codul de identificare al dispozitivului.
23. Registrele contabile ar trebui să ajute un ofițer de securitate să examineze eventualele incidente de securitate. Aces tea pot fi utilizate, de asemenea, pentru a sprijini orice investigații legale în eventualitatea unui incident de securi tate. Toate registrele de securitate ar trebui verificate periodic pentru a identifica eventuale incidente de securitate. Registrele contabile trebuie protejate împotriva ștergerii sau modificării neautorizate.
24. Contractantul trebuie să dispună de o strategie de răspuns stabilită, pentru a trata incidentele de securitate. Utiliza torii și administratorii trebuie instruiți cu privire la modalitatea de răspuns la incidente, de raportare a acestora și de reacție în cazul unei urgențe.
25. Compromiterea sau suspiciunea de compromitere a informațiilor clasificate RESTREINT UE/EU RESTRICTED tre buie raportată autorității contractante. Raportul trebuie să conțină o descriere a informațiilor implicate și o descri ere a circumstanțelor compromiterii sau suspiciunii de compromitere. Toți utilizatorii SIC trebuie să ia cunoștință de modul în care trebuie raportat ofițerului de securitate orice incident de securitate efectiv sau suspectat.
Crearea de rețele și interconectarea
26. În cazul în care SIC al unui contractant care gestionează informații clasificate RESTREINT UE/EU RESTRICTED este interconectat cu un SIC care nu este acreditat, crește în mod semnificativ amenințarea atât la adresa securității SIC, cât și a informațiilor RESTREINT UE/EU RESTRICTED gestionate de acel SIC. Sunt incluse aici internetul și orice alt SIC public sau privat, de exemplu alt SIC deținut de contractant sau subcontractant. În acest caz, contrac tantul trebuie să efectueze o evaluare a riscurilor, pentru a identifica cerințele de securitate suplimentare care tre buie puse în aplicare ca parte a procesului de acreditare în materie de securitate. Contractantul oferă autorității contractante și, atunci când se impune prin actele cu putere de lege și normele administrative naționale, AAS competente, o declarație de conformitate care certifică faptul că SIC al contractantului și interconexiunile aferente au fost acreditate pentru gestionarea IUEC la nivel RESTREINT UE/EU RESTRICTED.
27. Accesul la distanță de la alte sisteme la servicii LAN (de exemplu, acces la distanță la e-mail și asistență la distanță pentru sistem) este interzis cu excepția cazului în care măsuri de securitate speciale sunt puse în aplicare și accep tate de autoritatea contractantă și, atunci când acest lucru se impune prin actele cu putere de lege și normele administrative naționale, aprobate de AAS competentă.
Gestionarea configurației
28. O configurație detaliată a elementelor hardware și software, astfel cum se prevede în documentația de acreditare/ aprobare (inclusiv diagrame ale sistemului și rețelei) trebuie să fie disponibilă și verificată periodic.
29. Ofițerul de securitate al contractantului trebuie să efectueze controale ale configurației cu privire la elementele hardware și software, pentru a se asigura că nu au fost introduse elemente hardware sau software neautorizate.
30. Modificările aduse configurației SIC al contractantului trebuie evaluate din punctul de vedere al implicațiilor lor pentru securitate și trebuie aprobate de ofițerul de securitate și, atunci când acest lucru se impune prin actele cu putere de lege și normele administrative naționale, de AAS.
31. Sistemul trebuie scanat cel puțin trimestrial pentru a fi detectate eventuale vulnerabilități la nivelul securității. Tre buie instalat și actualizat un software de detectare a programelor malware. Dacă este posibil, acest software ar trebui să dețină o aprobare națională sau o aprobare internațională recunoscută ori ar trebui să fie un standard industrial acceptat la scară largă.
32. Contractantul trebuie să elaboreze un plan de continuitate a activității. Trebuie stabilite proceduri de rezervă pen tru a aborda următoarele aspecte:
(a) frecvența creării copiilor de rezervă;
(b) cerințele de stocare la fața locului (containere ignifuge) sau în exterior;
(c) controlul accesului autorizat la copii de rezervă.
Sanitizare și distrugere
33. În cazul SIC sau al mediilor de stocare a datelor care au deținut în orice moment informații RESTREINT UE/EU RESTRICTED trebuie efectuată următoarea sanitizare a întregului sistem sau a mediului de stocare înainte de eliminare:
(a) memoria flash (de exemplu, unități flash pentru UBS, carduri SD, unități solid state, unități hibride) trebuie suprascrise de cel puțin trei ori și, ulterior, verificate pentru a se asigura că respectivul conținut inițial nu poate fi recuperat sau trebuie șterse folosind un software de ștergere aprobat;
(b) mediile magnetice (de exemplu, unitățile de hard disk) trebuie suprascrise sau demagnetizate;
(c) mediile optice (de exemplu, CD-uri sau DVD-uri) trebuie distruse sau dezintegrate;
(d) pentru orice alt mediu de stocare, autoritatea contractantă sau, după caz, ANS/ASD/AAS ar trebui consultată cu privire la cerințele de securitate care trebuie respectate.
34. Informațiile clasificate RESTREINT UE/EU RESTRICTED trebuie sanitizate pe orice mediu de stocare a datelor înainte de transmiterea către orice entitate care nu este autorizată să acceseze informații clasificate RESTREINT UE/EU RESTRICTED (de exemplu, pentru lucrări de întreținere).
ANEXA IV
Autorizarea de securitate industrială și pentru personal acordată contractanților, care implică informații RESTREINT UE/EU RESTRICTED, și ANS/ASD care trebuie notificate cu privire la contracte clasificate la nivelul RESTREINT UE/EU RESTRICTED (1)
Statul membru | ASI | Notificarea ANS/ASD privind un contract sau un subcontract care implică informații clasificate R-UE/EU-R | ASP | |||
DA | NU | DA | NU | DA | NU | |
Belgia | X | X | X | |||
Bulgaria | X | X | X | |||
Cehia | X | X | X | |||
Danemarca | X | X | X | |||
Germania | X | X | X | |||
Estonia | X | X | X | |||
Irlanda | X | X | X | |||
Grecia | X | X | X | |||
Spania | X | X | X | |||
Franța | X | X | X | |||
Croația | X | X | X | |||
Italia | X | X | X | |||
Cipru | X | X | X | |||
Letonia | X | X | X |
(1) | Aceste cerințe naționale privind ASI/ASP și notificări ale contractelor care implică informații RESTREINT UE/EU RESTRICTED nu trebuie să creeze nicio obligație suplimentară pentru alte state membre sau contractanți aflați în jurisdicția lor. N.B. Notificările privind contractele care implică informații CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET sunt obligatorii. |
Statul membru | ASI | Notificarea ANS/ASD privind un contract sau un subcontract care implică informații clasificate R-UE/EU-R | ASP | |||
DA | NU | DA | NU | DA | NU | |
Lituania | X | X | X | |||
Luxemburg | X | X | X | |||
Ungaria | X | X | X | |||
Malta | X | X | X | |||
Țările de Xxx | X (numai pentru con tractele legate de apărare) | X (numai pentru con tractele legate de apărare) | X | |||
Austria | X | X | X | |||
Polonia | X | X | X | |||
Portugalia | X | X | X | |||
România | X | X | X | |||
Slovenia | X | X | X | |||
Slovacia | X | X | X | |||
Finlanda | X | X | X | |||
Suedia | X (numai pentru con tractele legate de apărare) | X (numai pentru con tractele legate de apărare) | X (numai pentru con tractele legate de apărare) | |||
Regatul Unit | X | X | X |
ANEXA V
LISTA DEPARTAMENTELOR DIN CADRUL AUTORITĂȚII NAȚIONALE DE SECURITATE/AUTORITĂȚII DE SECURITATE DESEMNATE, RESPONSABILE DE PROCEDURILE DE GESTIONARE ASOCIATE CU SECURITATEA INDUSTRIALĂ
BELGIA
National Security Authority FPS Foreign Affairs
Xxx xxx Xxxxxx Xxxxxx 00 0000 Xxxxxxxxx/Xxxxxxx
Tel. x00 00000000 (Secretariat)
Fax x00 00000000
E-mail: xxx-xxx@xxxxxxxx.xxx.xx
BULGARIA
1. State Commission on Information Security - National Security Authority 0 Xxxxxxxx Xxxxxx
1202 Sofia
Tel. x000 00000000
Fax x000 00000000
2. Defence Information Service at the Ministry of Defence (security service) 0 Xxxxxx Xxxxxxx Xxxxxx
1092 Sofia
Tel. x000 00000000
Fax x000 00000000
3. State Intelligence Agency (security service) 00 Xxxxxxxxx Xxxxxxx Xxxxxx
1612 Sofia
Tel. x000 00000000
Fax x000 00000000
4. State Agency for Technical Operations (security service) 00 Xxxxxx Xxxxxxxxx Xxxxxx
1000 Sofia
Tel. x000 00000000
Fax x000 00000000
(Autoritățile competente enumerate mai sus desfășoară procedurile de investigație de securitate pentru eliberarea de ASI pentru entitățile juridice care le solicită în vederea încheierii unui contract clasificat și de ASP pentru persoane fizice care pun în aplicare un contract clasificat care răspunde nevoilor autorităților respective.)
5. State Agency National Security (security service) 00 Xxxxxx Xxxx Xxxx.
1407 Sofia
Tel. x000 00000000
Fax x000 00000000, x000 00000000
(Serviciul de securitate menționat mai sus aplică proceduri de investigație de securitate pentru eliberarea de ASI și ASP pentru toate celelalte entități juridice și persoane fizice din țară, care solicită autorizările respective pentru a încheia un contract clasi ficat sau pentru a pune în aplicare un contract clasificat.)
CEHIA
National Security Authority Industrial Security Department PO BOX 49
150 06 Praha 56
Tel. x000 000000000
DANEMARCA
1. Politiets Efterretningstjeneste
(Danish Security Intelligence Service) Klausdalsbrovej 1
2860 Søborg
Tel. x00 00000000
Fax x00 00000000
2. Forsvarets Efterretningstjeneste (Danish Defence Intelligence Service) Kastellet 30
2100 Copenhagen Ø
Tel. x00 00000000
Fax x00 00000000
GERMANIA
1. Pentru aspecte care privesc politica de securitate industrială, ASI, planurile de transport (cu excepția elementelor criptografice/CCI):
Federal Ministry of Economic Affairs and Energy Industrial Security Division - ZB3
Villemombler Str. 76
53123 Bonn
Tel. x00 000000000000
Fax x00 000000000000
E-mail: xxxxxxxxxx-xx0@xxxx.xxxx.xx (office e-mail address)
2. Pentru cereri de vizită standard din partea societăților germane/la societăți germane: Federal Ministry of Economic Affairs and Energy
Industrial Security Division – ZB2 Villemombler Str. 76
53123 Bonn
Tel. x00 000000000000
Fax x00 000000000000
E-mail: xx0-xxxxxxxxxxxxx@xxxx.xxxx.xx (office e-mail address)
3. Planuri de transport pentru materiale criptografice: Federal Office for Information Security (BSI) National Distribution Agency/NDA-EU DEU Mainzer Str. 84
53179 Bonn
Tel. x00 0000000000000
Fax x00 000000000000000
ESTONIA
National Security Authority Department Estonian Foreign Intelligence Service Rahumäe tee 4B
11316 Tallinn
Tel. x000 0000000
Fax x000 0000000
IRLANDA
National Security Authority Ireland Department of Foreign Affairs and Trade 00-00 Xxxxxxxx Xxxxxx
Dublin 2 D02 DX45
Tel. x000 00000000
GRECIA
Hellenic National Defence General Staff E' Division (Security INTEL, CI BRANCH) E3 Directorate
Industrial Security Office 000-000 Xxxxxxxxx Xxxxxx
15561 Holargos, Athens
Tel. x00 0000000000, x00 0000000000
Fax x00 0000000000
E-mail: xxx.xxxxxxxxxx@xxxxx.xxx.xx
SPANIA
Autoridad Nacional de Seguridad Oficina Nacional de Seguridad Xxxxx Xxxxxxxxx 00
28023 Madrid
Tel. x00 000000000
Fax x00 000000000
Pentru chestiuni legate de autorizările de securitate ale personalului: xxxx@xxxxxxx.xxx Pentru planuri de transport și vizite internaționale: xx-xxxxx@xxxxxxx.xxx
FRANȚA
National Security Authority (NSA) (pentru politici sau pentru punere în aplicare în alte domenii decât industria de apărare)
Secrétariat général de la défense et de la sécurité nationale Sous-direction Protection du secret (SGDSN/PSD)
00 xxxxxxxxx xx xx Xxxx-Xxxxxxxx 00000 Xxxxx 00 XX
Tel. x00 000000000
Fax x00 000000000
E-mail: XXXXxxxxx@xxxxx.xxxx.xx
Designated Security Authority (pentru punere în aplicare în industria de apărare) Direction Générale de l'Armement
Service de la Sécurité de Défense et des systèmes d'Information (DGA/SSDI) 00 xxxxxxxxx xx xxxxxxx Xxxxxxx Xxxxx
CS 21623
75509 Paris Cedex 15
Tel. x00 000000000
E-mail: pentru formulare și pentru cereri de vizită trimise: xxx-xxxx.xx.xxx@xxxxxxxx.xxxx.xx pentru cereri de vizită primite: xxx-xxxx.xxxxx.xxx@xxxxxxxx.xxxx.xx
CROAȚIA
Office of the National Security Council Croatian NSA
Xxxxxxxxx 00
10000 Zagreb
Tel. x000 00000000
Fax x000 00000000
ITALIA
Presidenza del Consiglio dei Ministri
D.I.S. – X.X.Xx.
Xxx xx Xxxxx Xxxxxxx 00 00000 Xxxx
Tel. x00 0000000000
Fax x00 000000000
CIPRU
ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ
Εθνική Αρχή Ασφάλειας (ΕΑΑ) Λεωφόρος Στροβόλου, 172-174
Στρόβολος, 2048, Λευκωσία
Τηλέφωνα: x000 00000000, x000 00000000
Τηλεομοιότυπο: x000 00000000 E-mail: xxxxx@xxx.xxx.xx
Ministry of Defence
National Security Authority (NSA) 000-000, Xxxxxxxxx Xxxxxx
2048 Strovolos, Nicosia
Tel. x000 00000000, x000 00000000
Fax x000 00000000
LETONIA
National Security Authority
Constitution Protection Bureau of the Republic of Latvia
P.O. Box 286 Riga LV-1001
Tel. x000 00000000, x000 00000000
Fax x000 00000000
E-mail: xxx@xxx.xxx.xx, xxx@xx.xxx.xx
LITUANIA
Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija
(The Commission for Secrets Protection Coordination of the Republic of Lithuania) National Security Authority
Gedimino 40/1 LT-01110 Vilnius
Tel. x000 00000000, x000 00000000
Fax x000 00000000
LUXEMBURG
Autorité Nationale de Sécurité 000, xxxxx x'Xxxx
X-1471 Luxemburg Tel. x000 00000000
UNGARIA
National Security Authority of Hungary H-1399 Budapest P.O. Box 710/50
X-0000 Xxxxxxxx, Xxxxxxxx Xxxxxxxx xxxxx 00/X Tel. x00 00000000
Fax x00 00000000
MALTA
Director of Standardisation
Designated Security Authority for Industrial Security Standards & Metrology Institute
Malta Competition and Consumer Affairs Authority Mizzi House
National Road
Blata I-Bajda HMR9010 Tel. x000 00000000
Fax x000 00000000
E-mail: xxxxxxxxxxxxx@xxxxx.xxx.xx
ȚĂRILE DE JOS
1. Ministry of the Interior and Kingdom Relations PO Box 20010
2500 EA The Hague Tel. x00 000000000
Fax x00 000000000
E-mail: xxx-xx-xxxxxxxx@xxxxxx.xx
2. Ministry of Defence
Industrial Security Department PO Box 20701
2500 ES The Hague Tel. x00 000000000
Fax x00 000000000
AUSTRIA
1. Federal Chancellery of Austria
Department I/12, Office for Information Security Xxxxxxxxxxxxx 0
1014 Vienna
Tel. x00 000000000000
2. DSA in the military sphere: BMLVS/Abwehramt Postfach 2000
1030 Vienna
POLONIA
Internal Security Agency
Department for the Protection of Classified Information Xxxxxxxxxx 0X
00-993 Warsaw
Tel. x00 000000000
Fax x00 000000000
PORTUGALIA
Gabinete Nacional de Segurança Serviço de Segurança Industrial Xxx xx Xxxxxxxxx xx 00
0000-000 Lisbon
Tel. x000 000000000
Fax x000 000000000
E-mail: xxxx@xxx.xxx.xx, xxxxxx@xxx.xxx.xx
ROMÂNIA
Oficiul Registrului Național al Informațiilor Secrete de Stat – ORNISS Romanian NSA – ORNISS – National Registry Office for Classified Information 4th Mures Street
012275 București
Tel. x00 000000000
Fax x00 000000000
E-mail: xxxxxxx.xxxxxxx@xxxxxx.xx, xxx.xxxxxxx@xxx.xx
SLOVENIA
Urad Vlade RS za varovanje tajnih podatkov Xxxxxxxxxxxx 27
1000 Ljubljana
Tel. x000 00000000
Fax x000 00000000
SLOVACIA
Národný bezpečnostný úrad (National Security Authority) Security Clearance Department Budatínska 30
851 06 Bratislava
Tel. x000 000000000
Fax x000 000000000
FINLANDA
National Security Authority Ministry for Foreign Affairs
P.O. Box 453
FI-00023 Government E-mail: XXX@xxxxxx.xx
SUEDIA
1. National Security Authority
Utrikesdepartementet (Ministry for Foreign Affairs) UD SÄK/NSA
SE-103 39 Stockholm
Tel. x00 00000000
Fax x00 00000000
2. DSA
Försvarets Materielverk (Swedish Defence Materiel Administration) FMV Säkerhetsskydd
SE-115 88 Stockholm
Tel. x00 00000000
Fax x00 00000000
REGATUL UNIT
UK National Security Authority Room 335, 3rd Floor
00 Xxxxxxxxx Xxxxxx XX0X 0XX
Tel. x00 0000000000, x00 0000000000
E-mail: XX-XXX@xxxxxxx-xxxxxx.x.xxx.xxx.xx