FI NLANDS FÖRFATTNINGS SAMLINGS

FÖRDRAGSSERIE

Utgiven i Helsingfors den 22 augusti 2023

56/2023

(Finlands författningssamlings nr 922/2023)

Statsrådets förordning

om avtalet mellan parterna i nordatlantiska fördraget om informationssäkerhet samt säkerhetsbestämmelserna

I enlighet med statsrådets beslut föreskrivs med stöd av 2 och 3 § i lagen om avtalet mellan parterna i nordatlantiska fördraget om informationssäkerhet samt säkerhetsbestäm- melserna (907/2023):

1 §

Det i Bryssel den 6 mars 1997 mellan parterna i nordatlantiska fördraget ingångna av- talet om informationssäkerhet samt de säkerhetsbestämmelser som antagits med stöd av avtalet, sådana de lyder ändrade i handlingen C-M(2002)49-REV1 av den 20 november 2020, träder i kraft den 23 augusti 2023 enligt vad som har avtalats.

Avtalet och säkerhetsbestämmelserna har godkänts av riksdagen den 20 juni 2023 och av republikens president den 14 juli 2023. Finlands anslutningsinstrument har deponerats hos Förenta staternas regering den 24 juli 2023.

2 §

De bestämmelser i avtalet och i säkerhetsbestämmelserna som inte hör till området för lagstiftningen ska gälla som förordning.

3 §

Lagen om avtalet mellan parterna i nordatlantiska fördraget om informationssäkerhet samt säkerhetsbestämmelserna (907/2023) träder i kraft den 23 augusti 2023.

4 §

Denna förordning träder i kraft den 23 augusti 2023.

Helsingfors den 17 augusti 2023

Utrikeshandels- och utvecklingsminister Xxxxx Xxxxx

Utrikesråd Xxxxx Xxxxxxxxxx

Avtalstext

AVTAL MELLAN PARTERNA I NOR- DATLANTISKA FÖRDRAGET OM IN- FORMATIONSSÄKERHET

Parterna i nordatlantiska fördraget, under- tecknat i Washington den 4 april 1949,

som bekräftar att effektivt politiskt samråd, effektivt samarbete och effektiv planering i försvarsfrågor i syfte att uppnå målen för fördraget förutsätter utbyte av säkerhets- skyddsklassificerad information mellan par- terna,

som anser att det mellan regeringarna för parterna i nordatlantiska fördraget behövs bestämmelser om ömsesidigt skydd av så- dan säkerhetsskyddsklassificerad informat- ion som de utbyter sinsemellan,

som är medvetna om att en allmän ram för säkerhetsstandarder och säkerhetsförfaran- den behövs, och

som handlar för egen och för Nordatlantiska fördragsorganisationens räkning,

har kommit överens om följande.

Artikel 1

Parterna ska

i. säkerställa skyddet av

a. säkerhetsskyddsklassificerad information (se bilaga I) som är märkt som sådan och som härrör från Nordatlantiska fördragsor- ganisationen (Nato) (se bilaga II) eller som en medlemsstat lämnar till Nato,

b. säkerhetsskyddsklassificerad information som är märkt som sådan och som en med- lemsstat lämnar till en annan medlemsstat till stöd för något av Natos program, projekt eller kontrakt,

AGREEMENT BETWEEN THE PARTIES TO THE NORTH ATLANTIC TREATY FOR THE SECURITY OF INFOR- MATION

The Parties to the North Atlantic Treaty, signed at Washington on 4th April, 1949.

Reaffirming that effective political consulta- tion, cooperation and planning for defence in achieving the objectives of the Treaty en- tail the exchange of classified information among the Parties.

Considering that provisions between the Governments of the Parties to the North At- lantic Treaty for the mutual protection and safeguarding of the classified information they may interchange are necessary.

Realising that a general framework for secu- rity standards and procedures is required.

Acting on their own behalf and on behalf of the North Atlantic Treaty Organization,

have agreed as follows:

Article 1

The Parties shall:

(i) protect and safeguard:

(a) classified information (see Annex I), marked as such, which is originated by NATO (see Xxxxx XX) or which is submitted to NATO by a member state;

(b) classified information, marked as such, of the member states submitted to another member state in support of a NATO pro- gramme, project, or contract,

ii. bibehålla säkerhetsskyddsklassificeringen av den information som avses i punkt i och göra sitt yttersta för att skydda informat- ionen i enlighet därmed,

iii. inte använda sådan säkerhetsskyddsklas- sificerad information som avses i punkt i för andra ändamål än de som fastställs i nordat- lantiska fördraget och i de beslut och reso- lutioner som hänför sig till det fördraget,

iv. inte röja sådan information som avses i punkt i för parter som inte hör till Nato utan samtycke från den som informationen härrör från.

(ii) maintain the security classification of in- formation as defined under (i) above and make every effort to safeguard it accord- ingly;

(iii) not use classified information as defined under (i) above for purposes other than those laid down in the North Atlantic Treaty and the decisions and resolutions pertaining to that Treaty;

(iv) not disclose such information as defined under (i) above to non-NATO Parties with- out the consent of the originator.

Artikel 2

I enlighet med artikel 1 i detta avtal ska par- terna säkerställa att det inrättas en nationell säkerhetsmyndighet för Natos verksamhet för att genomföra säkerhetsskyddsåtgärder. Parterna ska utarbeta och tillämpa säkerhets- standarder som säkerställer en gemensam skyddsnivå för säkerhetsskyddsklassificerad information.

Artikel 3

1. Parterna ska säkerställa att alla deras medborgare som i sin tjänsteutövning behö- ver eller kan komma att få åtkomst till in- formation som säkerhetsskyddsklassificerats som CONFIDENTIAL eller högre har god- känts vid en adekvat säkerhetsprövning in- nan de inleder tjänsteutövningen.

2. Förfarandena för säkerhetsprövning ska utformas så att det fastställs huruvida en person, med beaktande av personens lojalitet och pålitlighet, kan få åtkomst till säkerhets- skyddsklassificerad information utan att ut- göra en oacceptabel säkerhetsrisk.

3. Parterna ska på begäran samarbeta med de andra parterna när det gäller genomföran- det av deras respektive förfaranden för sä- kerhetsprövning.

Article 2

Pursuant to Article 1 of this Agreement, the Parties shall ensure the establishment of a National Security Authority for NATO ac- tivities which shall implement protective se- curity measures. The Parties shall establish and implement security standards which shall ensure a common degree of protection for classified information.

Article 3

(1) The Parties shall ensure that all persons of their respective nationality who, in the conduct of their official duties, require or may have access to information classified CONFIDENTIAL and above are appropri- ately cleared before they take up their du- ties.

(2) Security clearance procedures shall be designed to determine whether an individual can, taking into account his or her loyalty and trustworthiness, have access to classi- fied information without constituting an un- acceptable risk to security.

(3) Upon request, each of the Parties shall cooperate with the other Parties in carrying out their respective security clearance proce- dures.

Artikel 4

Generalsekreteraren ska säkerställa att Nato tillämpar de bestämmelser i detta avtal som är tillämpliga på organisationen (se bilaga III).

Article 4

The Secretary General shall ensure that the relevant provisions of this Agreement are applied by NATO (see Xxxxx XXX).

Artikel 5

Detta avtal hindrar inte på något sätt att par- terna ingår andra avtal som gäller utbyte av sådan säkerhetsskyddsklassificerad inform- ation som härrör från parterna och som inte påverkar tillämpningsområdet för detta av- tal.

Article 5

The present Agreement in no way prevents the Parties from making other Agreements relating to the exchange of classified infor- mation originated by them and not affecting the scope of the present Agreement.

Artikel 6

a. Detta avtal ska vara öppet för underteck- nande av parterna i nordatlantiska fördraget och ratificeras, godtas eller godkännas. Rati- fikations-, godtagande- eller godkännande- instrumentet ska deponeras hos Amerikas förenta staters regering.

b. Detta avtal träder i kraft 30 dagar efter den dag då två signatärstater har deponerat sina ratifikations-, godtagande- eller god- kännandeinstrument. Med avseende på varje annan signatärstat träder avtalet i kraft 30 dagar efter det att respektive stats ratifikat- ions-, godtagande- eller godkännandeinstru- ment har deponerats.

c. I fråga om de parter för vilka detta avtal har trätt i kraft ersätter detta avtal det säker- hetsavtal mellan parterna i Nordatlantiska fördragsorganisationen som godkändes av Nordatlantiska rådet den 19 april 1952 i bi- laga A (punkt 1) till tillägget till bilagan till D.C.2/7 och senare inkluderats i bilaga A (punkt 1) till C-M(55)15(Final), som god- kändes av Nordatlantiska rådet den 2 mars 1955.

Artikel 7

Detta avtal ska vara öppet för anslutning av varje ny part i nordatlantiska fördraget i en-

Article 6

(a) This Agreement shall be open for signa- ture by the Parties to the North Atlantic Treaty and shall be subject to ratification, acceptance or approval. The instruments of ratification, acceptance or approval shall be deposited with the Government of the United States of America;

(b) This Agreement shall enter into force thirty days after the date of deposit by two signatory States of their instruments of rati- fication, acceptance or approval. It shall en- ter into force for each other signatory State thirty days after the deposit of its instrument of ratification, acceptance or approval;

(c) This Agreement shall with respect to the Parties for which it entered into force super- sede the "Security Agreement by the Parties to the North Atlantic Treaty Organization" approved by the North Atlantic Council in Annex A (paragraph 1) to Appendix to En- closure to D.C.2/7, on 19th April, 1952, and subsequently incorporated in Enclosure "A" (paragraph 1) to C-M(55)15(Final), ap- proved by the North Atlantic Council on 2nd March, 1955.

Article 7

This Agreement shall remain open for ac- cession by any new Party to the North At- lantic Treaty, in accordance with its own

lighet med den partens konstitutionella för- faranden. Partens anslutningsinstrument ska deponeras hos Amerikas förenta staters re- gering. Med avseende på varje anslutande stat träder avtalet i kraft 30 dagar efter den dag då dess anslutningsinstrument deponera- des.

constitutional procedures. Its instrument of accession shall be deposited with the gov- ernment of the United States of America. It shall enter into force in respect of each ac- ceding State thirty days after the day of the deposit of its instrument of accession.

Artikel 8

Amerikas förenta staters regering ska under- rätta de övriga parternas regeringar om de- poneringen av varje ratifikations-, godta- gande-, godkännande- eller anslutningsin- strument.

Artikel 9

Detta avtal kan sägas upp av varje part ge- nom skriftligt meddelande om uppsägning till depositarien, som ska underrätta samtliga andra parter om varje sådant meddelande.

Uppsägningen får verkan ett år från det att meddelandet mottagits av depositarien men påverkar inte sådana förpliktelser som redan överenskommits eller de rättigheter och be- fogenheter som tidigare erhållits av parterna på grundval av bestämmelserna i detta avtal.

Till bekräftelse härav har undertecknade, därtill vederbörligen befullmäktigade av sina respektive regeringar, undertecknat detta avtal.

Upprättat i Bryssel den 6 mars 1997 på eng- elska och franska språken, vilka båda texter är lika giltiga, i ett enda original som ska de- poneras i arkivet hos Amerikas förenta sta- ters regering, som ska sända bestyrkta ko- pior till var och en av de övriga signatä- rerna.

Bilaga I

Denna bilaga utgör en integrerad del av av- talet.

När det gäller Natos säkerhetsskyddsklassi- ficerade information

Article 8

The Government of the United States of America shall inform the Governments of the other Parties of the deposit of each in- strument of ratification, acceptance, ap- proval or accession.

Article 9

This Agreement may be denounced by writ- ten notice of denunciation by any Party given to the depository which shall inform all the other Parties of such notice. Such de- nunciation shall take effect one year after re- ceipt of notification by the depository, but shall not affect obligations already con- tracted and the rights or prerogatives previ- ously acquired by the Parties under the pro- visions of this Agreement.

In witness whereof the undersigned, duly authorized to this effect by their respective Governments, have signed this Agreement.

Done in Brussels, this 6th day of March, 1997 in a single copy in the English and French languages, each text being equally authoritative, which shall be deposited in the archives of the Government of the United States of America and of which certified copies shall be transmitted by that Govern- ment to each of the other signatories.

Annex I

This Annex forms an integral part of the Agreement.

NATO classified information is defined as follows:

a. avses med information kunskap som kan överföras i vilken form som helst,

b. avses med säkerhetsskyddsklassificerad information information eller material som kräver skydd mot obehörigt röjande och som med säkerhetsskyddsklassificering har an- getts vara sådan,

c. innefattar material handlingar samt maski- ner, utrustning och vapen som tillverkats el- ler är under tillverkning,

d. avses med handling all lagrad information oavsett fysisk form eller egenskaper, vilket inbegriper men inte inskränker sig till skrift- liga dokument och trycksaker, hålkort och hålremsor, kartor, diagram, fotografier, mål- ningar, ritningar, gravyrer, skisser, arbetsan- teckningar och arbetsdokument, karbonko- pior och färgband, eller återgivningar, obe- roende av på vilket sätt eller med vilken me- tod de görs, samt alla slags ljud- och röst- upptagningar, magnetiska, elektroniska och optiska upptagningar och videoupptag- ningar, bärbar adb-utrustning med fasta lag- ringsmedier och löstagbara lagringsmedier för datorer.

Bilaga II

Denna bilaga utgör en integrerad del av av- talet.

I detta avtal avses med Nato Nordatlantiska fördragsorganisationen och de organ på vilka tillämpas antingen avtalet om status för Nordatlantiska fördragsorganisationen, nationella representanter och organisation- ens internationella personal, undertecknat i Ottawa den 20 september 1951, eller proto- kollet om status för internationella militära högkvarter som inrättats i enlighet med nor- datlantiska fördraget, undertecknat i Paris den 28 augusti 1952.

(a) information means knowledge that can be communicated in any form;

(b) classified information means information or material determined to require protection against unauthorized disclosure which has been so designated by security classifica- tion;

(c) the word "material" includes documents and also any item of machinery or equip- ment or weapons either manufactured or in the process of manufacture;

(d) the word "document" means any rec- orded information regardless of its physical form or characteristics, including, without limitation, written or printed matter, data processing cards and tapes, maps, charts, photographs, paintings, drawings, engrav- ings, sketches, working notes and papers, carbon copies and ink ribbons, or reproduc- tions by an means or process, and sound, voice, magnetic or electronic or optical or video recordings in any form, and portable ADP equipment with resident computer storage media, and removable computer storage media.

Xxxxx XX

This Annex forms an integral part of the Agreement.

For the purposes of the present Agreement, the term "NATO" denotes the North Atlan- tic Treaty Organization and the bodies gov- erned either by the Agreement on the status of the North Atlantic Treaty Orgnization, National Representatives and International Staff, signed in Ottawa on 20th September, 1951 or by the Protocol on the status of In- ternational Military Headquarters set up pur- suant to the North Atlantic Treaty, signed in Paris on 28th August, 1952.

Bilaga III

Denna bilaga utgör en integrerad del av av- talet.

Samråd hålls med militära befälhavare för att respektera deras befogenheter.

Xxxxx XXX

This Annex forms an integral part of the Agreement.

Consultation takes place with military com- manders in order to respect their preroga- tives.

Den 20 november 2020 HANDLING C-M(2002)49-REV1

SÄKERHET INOM NORDATLAN- TISKA FÖRDRAGSORGANISAT- IONEN (NATO)

Meddelande från generalsekreteraren Första revideringen av C-M(2002)49 av den 17 juni 2002

Referens: C-M(2002)49-COR1-COR12

(konsoliderad version), daterad den 17 juni 2002

1. Denna handling är godkänd av säkerhets- kommittén och resultatet av en betydande och övergripande översyn av Natos säker- hetsstrategi och dess stödjande direktiv.

2. Genom C-M(2002)49-REV1, som ersätter den handling som nämns i referensen, görs ändringar i både strukturen och innehållet.

3. Strukturen har ändrats genom att en ny bi- laga H, i vilken särskilt säkerheten i förbin- delserna med enheter som inte hör till Nato behandlas, har fogats till. Denna fråga be- handlas ytterligare i Natos nyligen utarbe- tade direktiv om säkerhet i förbindelserna med enheter som inte hör till Nato (referens AC/35-D/2006) och i den reviderade stöd- jande handlingen om säkerhet i förbindel- serna med Nato för enheter som inte hör till Nato (referens AC/35-D/1038-REV3) som stöder direktivet och som är riktad till en- heter som inte hör till Nato.

4. När det gäller innehållet har vid översy- nen avsnitt ”Grundläggande principer, mini- minormer och ansvar” (bilaga B) samt be- stämmelser i avsnitten ”Personalsäkerhet”, ”Fysisk säkerhet”, ”Informationssäkerhet” och ”Säkerhet i förbindelserna med enheter som inte hör till Nato” (bilagorna B, C, D, E och H) ändrats. Vid översynen gjordes inga

NATO UNCLASSIFIED PUBLICLY DISCLOSED – PDN(2021)0002

20 November 2020 DOCUMENT C-M(2002)49-REV1

SECURITY WITHIN THE NORTH AT- LANTIC TREATY ORGANIZATION (NATO)

Note by the Secretary General Revision 1 to C-M(2002)49 dated 17 June

2002

Reference: C-M(2002)49-COR1 to COR12 (consolidated version), dated 17 June 2002

1. This document is the result of a major and comprehensive review of the NATO Security Policy and its supporting directives, as approved by the Security Committee.

2. C-M(2002)49-REV1, which replaces the document at reference, introduces both structural and content changes.

3. The structure has changed with the addi- tion of a new Enclosure H to address specifically security in relation to non- NATO entities. This topic is developed fur- ther into the newly developed Directive for NATO on Security in Relation to Non- NATO Entities (reference AC/35-D/2006) and the revised Supporting Document for Non-NATO Entities on Security in Relation to NATO (reference AC/35-D/1038-REV3).

4. In terms of content, this revision has ad- dressed Basic Principles, Minimum Standards and Responsibilities (Enclosure B), as well as provisions of Personnel Secu- rity, Physical Security, Security of Infor- mation and Security in Relation to Non NATO Entities (Enclosures B, C, D, E and

ändringar i bilagorna F och G till C- M(2002)49.

(Underskrift) Xxxx Xxxxxxxxxxx Xxxxxx 1

Bilagorna A, B, C, D, E, F, G, H Xxxxxxxx

Originalspråk: engelska

H). Enclosures F and G to C-M(2002)49 were not subject to this review.

(Signed) Xxxx Xxxxxxxxxxx 1 Annex

Enclosures A,B,C,D,E,F,G,H 1 Glossary

Original: English

BILAGA 1 C-M(2002)49-REV1

SÄKERHET INOM NORDATLAN- TISKA FÖRDRAGSORGANISAT- IONEN (NATO)

INLEDNING

1. I denna C-M-handling med rubriken Sä- kerhet inom Nordatlantiska fördragsorgani- sationen (Nato) återges de grundläggande principer och de miniminormer för säkerhet som ska tillämpas av Natos medlemsstater och Natos civila och militära organ för att säkerställa en gemensam skyddsnivå för sä- kerhetsskyddsklassificerad information. Na- tos säkerhetsförfaranden fungerar på bästa möjliga sätt endast när de bygger på och stöds av ett nationellt säkerhetssystem med egenskaper som är likvärdiga eller förenliga med dem som fastställs i denna strategi. Dessutom tas i denna strategi också upp rol- ler, uppgifter och ansvar i fråga om säker- heten inom Nato.

2. Denna handling består av säkerhetsavtalet i bilaga A med namnet ”avtal mellan par- terna i nordatlantiska fördraget om informat- ionssäkerhet” samt följande bilagor:

a) Bilaga A — Avtal mellan parterna i nordatlantiska fördraget om informat- ionssäkerhet

b) Bilaga B — Grundläggande principer, miniminormer och ansvar

c) Bilaga C — Personalsäkerhet

d) Bilaga D — Fysisk säkerhet

e) Bilaga E — Säkerhet för Natos säker- hetsskyddsklassificerade information

f) Bilaga F — Säkerhet i kommunikat- ions- och informationssystem

g) Bilaga G — Säkerhetsskyddsklassifi- cerade projekt och industrisäkerhet

h) Bilaga H — Säkerhet i förbindelserna med enheter som inte hör till Nato.

ANNEX 1 C-M(2002)49-REV1

SECURITY WITHIN THE NORTH ATLANTIC TREATY ORGAN-

IZATION (NATO)

INTRODUCTION

1. This C-M, entitled Security Within the North Atlantic Treaty Organization (NATO), establishes the basic principles and minimum standards of security to be applied by NATO Nations and NATO Civil and Military bodies in order to ensure a common degree of protection for classified infor- mation. NATO security procedures only op- erate to the best advantage when they are based upon and supported by a national se- curity system having the characteristics equivalent/conformant to those set out in this policy. In addition, this policy also ad- dresses the security roles, functions and re- sponsibilities within NATO.

2. This policy document consists of the Se- curity Agreement at Enclosure “A” entitled “Agreement between the Parties to the North Atlantic Treaty for the Security of In- formation” together with the following addi- tional Enclosures:

(a) Enclosure A – Agreement between the parties to NATO for the Security of Information

(b) Enclosure B – Basic Principles, Mini- mum Standards and Responsibilities.

(d) Enclosure D – Physical Security.

(e) Enclosure E – Security of NATO Classified Information.

(f) Enclosure F – Communication and In- formation System Security.

(g) Enclosure G – Classified Project and Industrial Security.

(h) Enclosure H – Security in relation to non-NATO entities.

3. Denna handling stöder strategin för hante- ring av Natoinformation (C-M(2007)0118). I strategin för hantering av icke-säkerhets- skyddsklassificerad Natoinformation (C- M(2002)60) behandlas de grundläggande principer och normer som ska tillämpas i Natos civila och militära organ och Natos medlemsstater för att skydda icke-säkerhets- skyddsklassificerad Natoinformation (NATO UNCLASSIFIED samt offentlig in- formation).

MÅL OCH MÅLSÄTTNINGAR

4. Natos medlemsstater och Natos civila och militära organ ska se till att de grundläg- gande principer och miniminormer för sä- kerhet som återges i denna C-M-handling tillämpas så att Natos säkerhetsskyddsklassi- ficerade information skyddas mot förlust av konfidentialitet, riktighet och tillgänglighet.

5. Natos medlemsstater och Natos civila och militära organ ska utarbeta säkerhetspro- gram som följer dessa grundläggande princi- per och miniminormer så att en gemensam skyddsnivå för Natos säkerhetsskyddsklassi- ficerade information säkerställs.

TILLÄMPNINGSOMRÅDE

6. Dessa grundläggande principer och mini- minormer ska tillämpas på

a) säkerhetsskyddsklassificerad informat- ion som härrör från Nato,

b) säkerhetsskyddsklassificerad informat- ion som härrör från en medlemsstat i Nato och som tillhandahålls Nato eller en annan medlemsstat i Nato som stöd för Natoprogram, Natoprojekt eller Natokon- trakt,

c) säkerhetsskyddsklassificerad informat- ion som utbyts mellan Nato och enheter som inte hör till Nato1, och

3. This policy document supports the NATO Information Management Policy (C- M(2007)0118). The Policy on Management of Non-Classified NATO Information (C- M(2002)60) addresses the basic principles and standards to be applied within NATO Civil and Military bodies and NATO Na- tions for the protection of Non-Classified NATO information (NATO UNCLASSI-

FIED and Information releasable to the Public).

AIMS AND OBJECTIVES

4. NATO Nations and NATO Civil and Mil- itary bodies shall ensure that the basic prin- ciples and minimum standards of security set forth in this C-M are applied to safe- guard NATO Classified Information from loss of confidentiality, integrity and availa- bility.

5. NATO Nations and NATO Civil and Mil- itary bodies shall establish security pro- grammes that meet these basic principles and minimum standards to ensure a common degree of protection for NATO Classified Information.

APPLICABILITY

6. These basic principles and minimum standards shall be applied to:

(a) classified information originated by NATO;

(b) classified information originated by a NATO Nation which is provided to NATO or provided to another NATO Na- tion in support of a NATO programme, project, or contract;

1 Stater utanför Nato samt andra organ som inte hör till Nato (till exempel internationella organisationer) inklusive personer som företräder sådana stater eller organ.

d) säkerhetsskyddsklassificerad informat- ion som anförtros personer och organisat- ioner utanför en regering (eller Natos ci- vila eller militära organ), till exempel konsulter, företag och universitet.

7. På åtkomst till och skydd av Atomalin- formation tillämpas avtalet mellan parterna i nordatlantiska fördraget om samarbete avse- ende nukleär information (C-M(64)39). Ad- ministrativa arrangemang för genomförande av avtalet mellan parterna i nordatlantiska fördraget om samarbete avseende nukleär information (C-M(68)41) ska tillämpas för att säkerställa adekvat behörighetskontroll, hantering och skydd av sådan information.

8. Åtkomst till och skydd av information om Förenta staternas gemensamma operativa plan (US-Siop) omfattas av bestämmelserna i C-M(71)27(reviderad), som gäller sär- skilda förfaranden för hantering av inform- ation om Förenta staternas gemensamma operativa plan (US-Siop) i Nato.

9. Den känsliga karaktären hos information, operationer, källor och metoder i samband med signalspaning (SIGINT) förutsätter till- lämpning av strikta säkerhetsbestämmelser och säkerhetsförfaranden som ofta går utö- ver vad som anges i denna C-M-handling. Därför omfattas åtkomst till och skydd av information, operationer, källor och metoder i fråga om signalspaning av nationella be- stämmelser och bestämmelserna i MC 101 (Natos strategi för signalspaning) och i alli- ansens gemensamma publikation AJP, som redogör för MC 101, samt i den handbok om Sigint-administrationen och Sigint-förfaran- dena som Natos rådgivande kommitté för signalspaning publicerat.

(d) classified information entrusted to in- dividuals and organizations outside a government (or a NATO Civil or Mili- tary body), e.g. consultants, industry, uni- versities.

7. Access to, and the protection of, ATO- MAL information are subject to the Agree- ment between the Parties to the North Atlan- tic Treaty for Co-operation Regarding Atomic Information (C-M(64)39). The Ad- ministrative Arrangements to implement the Agreement between the Parties to the North Atlantic Treaty for Co-operation Regarding ATOMAL Information (C-M(68)41) shall be applied to ensure appropriate access con- trol, handling and protection of such infor- mation.

8. Access to, and protection of, US-SIOP in- formation are subject to the provisions of

C-M(71)27(Revised), "Special Procedures for the Handling of United States Single In- tegrated Operational Plan (US-SIOP) Infor- mation within NATO".

9. The sensitive nature of Signals Intelli- gence (SIGINT) information, operations, sources and methods require the application of stringent security regulations and proce- dures often beyond those set forth in this C-

M. Therefore, access to and protection of, SIGINT information, operations, sources and methods are subject to national regula- tions and the provisions laid down in MC 101 (NATO Signals Intelligence Policy) its companion Allied Joint Publication (AJP) and the NATO Advisory Committee on Signals Intelligence (NACSI) Guide to SIGINT Administration and Procedures.

1 Non-NATO nations, and other non-NATO bodies (e.g. International Organizations) including individuals repre- senting such nations or bodies.

BEHÖRIGHET

10. Nordatlantiska rådet har godkänt denna handling, som genomför avtalet mellan par- terna i nordatlantiska fördraget om informat- ionssäkerhet (bilaga A) och som sålunda stärker Natos säkerhetsstrategi.2

AUTHORITY

10. The North Atlantic Council (NAC) has approved this document which implements the Agreement Between the Parties to the North Atlantic Treaty for the Security of In- formation (reproduced at Enclosure “A”), and thereby establishes NATO Security Pol- icy.2

2 Enligt säkerhetskommitténs arbetsordning (C-M(2015)0002) utgörs Natos säkerhetsstrategi av C-M(2002)49 och C-M(2002)50.

2 Per Terms of reference for the Security Committee (C-M(2015)0002) NATO Security Policy consists of C- M(2002)49 and C-M(2002)50

BILAGA B C-M(2002)49-REV1

BILAGA B GRUNDLÄGGANDE PRINCIPER, MI-

NIMINORMER OCH ANSVAR

GRUNDLÄGGANDE PRINCIPER

1. Följande grundläggande principer är till- lämpliga:

a) Natos medlemsstater och Natos civila och militära organ ska se till att de över- enskomna miniminormer som fastställs i denna C-M-handling tillämpas så att en ge- mensam skyddsnivå för säkerhetsskydds- klassificerad information som utbyts mellan parterna säkerställs.

b) Med beaktande av ansvaret för att dela ska säkerhetsskyddsklassificerad informat- ion endast spridas utifrån behovsenlig behö- righet1 till personer som har instruerats om relevanta säkerhetsförfaranden.

c) Endast personer som har godkänts vid en adekvat säkerhetsprövning ska ha åtkomst till information som säkerhetsskyddsklassi- ficerats som NATO CONFIDENTIAL eller högre.

d) Beviljandet av godkänt vid en säkerhets- prövning ska inte betraktas som det sista ste- get i bedömningen av en persons förutsätt- ningar att få åtkomst till säkerhetsskydds- klassificerad information, utan fortgående personalsäkerhetsförfaranden ska införas för hantering av interna hot2 .

ENCLOSURE “B”

C-M(2002)49-REV1

ENCLOSURE “B”

BASIC PRINCIPLES, MINIMUM STANDARDS AND RESPONSIBILI- TIES

BASIC PRINCIPLES

1. The following basic principles shall ap- ply:

(a) NATO Nations and NATO Civil and Military bodies shall ensure that the agreed- minimum standards set forth in this C-M are applied to ensure a common degree of pro- tection for classified information exchanged among the parties.

(b) Acknowledging the responsibility to share, classified information shall only be disseminated on the basis of the principle of need-to-know1 to individuals who have been briefed on the relevant security procedures.

(d) The granting of a clearance shall not be considered as a final step in assessing an in- dividual’s eligibility for access to classified information but ongoing personnel security procedures, referred to as Aftercare, shall be established in order to address the manage- ment of the Insider Threat2.

1 En princip enligt vilken det fattas ett positivt beslut när en potentiell informationsmottagare behöver få åtkomst till, kunskap om eller inneha information för sin tjänsteutövning eller för att tillhandahålla officiella tjänster.

1 The principle according to which a positive determination is made that a prospective recipient has a requirement for access to, knowledge of, or possession of information in order to perform official tasks or services.

2 Ett internt hot orsakas av personal som har privilegierad åtkomst till Natos säkerhetsskyddsklassificerade inform- ation och/eller Natos tillgångar på grund av sin uppgift inom organisationen och som följaktligen kan missbruka denna åtkomst för att utplåna, skada, flytta eller röja Natos säkerhetsskyddsklassificerade information och/eller Na- tos tillgångar antingen med avsikt eller till följd av oaktsamhet.

2 Insider Threat is represented by personnel who have privileged access to NATO Classified Information and/or NATO assets by virtue of their role within the organization and could subsequently abuse this access to destroy, damage, remove or disclose NATO Classified Information and/or NATO assets either by intention or negligence.

e) Natos säkerhetsbyrå (NOS) ska samordna hanteringen av interna hot i samarbete med de behöriga nationella myndigheterna och Natos civila och militära organ.

f) Hantering av säkerhetsrisker3 ska vara ob- ligatorisk inom Natos civila och militära or- gan i enlighet med Natos förfarande för han- tering av säkerhetsrisker (AC/35-D/1035). Tillämpning av den är frivillig i Natos med- lemsstater. Riskhantering får inte användas för att kringgå säkerhetsstrategin.

g) Natos medlemsstater och Natos civila och militära organ ska inom sina organisationer upprätta program för utbildning i och med- vetenhet om säkerhet och dessa ska be- handla alla säkerhetsaspekter i enlighet med punkt l nedan.

h) Alla misstänkta säkerhetsöverträdelser och läckor av säkerhetsskyddsklassificerad information ska omedelbart rapporteras till den behöriga säkerhetsmyndigheten.

i) När de som informationen härrör från lämnar ut säkerhetsskyddsklassificerad in- formation till Nato och Natos medlemsstater för att stödja Natoprogram, Natoprojekt eller Natokontrakt sker det enligt antagandet att informationen kommer att förvaltas och skyddas i enlighet med strategin för hante- ring av Natoinformation (NIMP) och Natos säkerhetsstrategi.

j) Säkerhetsskyddsklassificerad information ska kontrolleras av den som informationen härrör från4.

(e) The NATO Office of Security (NOS) shall coordinate the management of the In- sider Threat in conjunction with the appro- priate national authorities and NATO Civil and Military bodies.

(f) Security risk management3 shall be man- datory within NATO Civil and Military bod- ies in accordance with the NATO Security Risk Management Process (AC/35-D/1035). Its application within NATO Nations is op- tional. Risk management shall not be used to circumvent security policy.

(g) NATO Nations and NATO Civil and Military bodies shall establish Security Edu- cation and Awareness Programmes within their organizations addressing all security aspects as described in paragraph (l) below.

(h) All suspected Security Breaches and compromise of classified information shall be reported immediately to the appropriate security authority.

(i) Originators release classified information to NATO and to NATO Nations in support of a NATO programme, project or contract on the understanding that it will be managed and protected in accordance with the NATO Information Management Policy (NIMP) and NATO Security Policy.

(j) Classified information shall be subject to Originator Control4.

3 Ett systematiskt tillvägagångssätt baserat på bedömning av hot och sårbarheter för att fastställa vilka säkerhetsmo- tåtgärder som krävs för att skydda informationen och de stödjande tjänsterna och resurserna. Riskhantering omfat- tar planering, organisering, styrning och kontroll av de resurser som säkerställer att risken hålls inom godtagbara gränser.

3 A systematic approach to determining which security counter-measures are required to protect information and supporting services and resources, based upon an assessment of the threats and vulnerabilities. Risk management involves planning, organising, directing and controlling resources to ensure that the risk remains within accepta-ble bounds.

4 En princip enligt vilken den stat, Nato eller någon annan organisation, under vars överinseende information har skapats, producerats eller introducerats i Nato, fastställer de regler och krav som tillämpas på användningen av denna information och bestämmer över alla ändringar under informationens hela livscykel.

k) Utlämnandet av Natos säkerhetsskydds- klassificerade information ska ske i enlighet med de fastställda förfarandena och kriteri- erna för utlämnande, och under alla omstän- digheter ska all Natos säkerhetsskyddsklas- sificerade information som lämnas ut skyd- das av en nivå som är minst lika strikt som den som anges i denna C-M-handling och de stödjande direktiven.

l) Säkerhetsskyddsklassificerad information ska skyddas genom en väl avvägd uppsätt- ning säkerhetsåtgärder som gäller personal- säkerhet, fysisk säkerhet, informationssäker- het och säkerhet i kommunikations- och in- formationssystem. När säkerhetsskyddsklas- sificerad information lämnas till entreprenö- rer och lämnas ut till enheter som inte hör till Nato ska den också skyddas genom att de förfarandeåtgärder som återges i dessa strategier följs. Dessa krav ska omfatta alla personer som har åtkomst till säkerhets- skyddsklassificerad information, alla medier som innehåller säkerhetsskyddsklassificerad information och alla lokaler och utrymmen där sådan information finns.

m) Organisationer som innehar Natos säker- hetsskyddsklassificerade information ska ut- veckla mekanismer och förfaranden som sä- kerställer uppfyllandet av kraven enligt Na- tos säkerhetsstrategi under exceptionella verksamhetsförhållanden, såsom störnings- tillstånd. Sådana mekanismer och förfaran- den kan tas upp i antingen en plan för verk- samhetens kontinuitet eller en återhämt- ningsplan, beroende på typen av incidens.

SKYDD AV INFORMATION OM VIK- TIGA OBJEKT

2. Offentliggörande av information om vik- tiga civila anläggningar (till exempel för- svarsmateriellager eller energilager) av mili- tär betydelse i tider av spänning eller krig kan bidra till ett kinetiskt angrepp eller sa- botage genom att potentiella fiender eller

(k) The release of NATO Classified Infor- mation shall be in accordance with the es- tablished procedures and criteria for the re- lease, and in all cases, a degree of protec- tion, no less stringent than that specified in this C-M and the supporting directives, shall be required for any NATO Classified Infor- mation released.

(l) Classified information shall be safe- guarded by a balanced set of security measures addressing the following subjects: personnel security, physical security, secu- rity of information and security of Commu- nication and Information Systems (CIS). When classified information is provided to contractors and released to non-NATO enti- ties (NNE) it shall also be safeguarded by following the procedural measures set by these policies. These requirements shall ex- tend to all individuals having access to clas- sified information, all media carrying classi- fied information, and to all premises con- taining such information.

(m) Establishments that hold NATO Classi- fied Information shall develop mechanisms and processes to ensure application of NATO Security Policy requirements under adverse operational conditions, including disruptive incidents. Such mechanisms and processes may be reflected in either x Xxxx- xxxx Continuity Plan or Disaster Recovery Plan, depending on the nature of the inci- dent.

PROTECTION OF INFORMATION ON KEY POINTS

2. The publication of information about crit- ical civilian installations (e.g. defence sup- plies, energy supply) of military significance in times of tension or war may assist in the delivery of a kinetic attack or act of sabo-

4 The principle by which a nation, NATO, or other organization, under whose authority information has been created, produced, or introduced into NATO, establishes the rules and standards which apply to the use of this information and has authority over any changes throughout information life-cycle.

terrorister kan sammanställa en lista över viktiga objekt och använda den för att iden- tifiera objekt som kan vara sårbara för an- grepp. Lämpliga åtgärder ska vidtas för att se till att sådan information inte är fritt till- gänglig och för att på så sätt förhindra att fi- ender använder den på ett fientligt sätt.

Dessutom ska ägare och användare av an- läggningar av detta slag vara fullt medvetna om risken för sådan verksamhet mot dem och vidta behövliga åtgärder för att skydda denna information.

SÄKERHETSANSVAR

Nationell säkerhetsmyndighet (NSA)

3. Var och en av Natos medlemsstater ska inrätta en nationell säkerhetsmyndighet med ansvar för säkerheten för Natos säkerhets- skyddsklassificerade information. Den nat- ionella säkerhetsmyndigheten fungerar som den främsta kontaktpunkten för Natos säker- hetsbyrå när det gäller säkerhetsfrågor i Nato. Den nationella säkerhetsmyndigheten kan sedan hänvisa Natos säkerhetsbyrå vi- dare till den utsedda säkerhetsmyndigheten eller någon annan behörig säkerhetsmyndig- het.

4. Den nationella säkerhetsmyndigheten an- svarar för

a) säkerheten för Natos säkerhetsskydds- klassificerade information i såväl militära som civila nationella byråer och enheter i hemlandet och utomlands,

b) säkerställandet av att regelbundna och adekvata inspektioner av säkerhetsåtgär- derna för skydd av Natos säkerhets- skyddsklassificerade information utförs i alla nationella militära eller civila organi- sationer på alla nivåer för att fastställa att Natos säkerhetsskyddsklassificerade in- formation skyddas på lämpligt sätt i enlig- het med Natos gällande säkerhetsbestäm- melser. När det gäller organisationer som innehar information som säkerhetsskydds- klassificerats som COSMIC TOP SEC- RET eller Atomalinformation, ska säker- hetsinspektioner utföras minst var 24:e månad, om de inte har utförts av Natos sä- kerhetsbyrå under denna period,

tage by allowing potential enemies or terror- ists to compile a key points list, and to use this in order to identify points which may be vulnerable to attack. Appropriate steps shall be taken to ensure that such information is not freely available in the public domain in order to prevent its use in a hostile manner by enemies. Additionally, installations’ owners and operators shall be fully aware of the risk of such activity against them and take such steps as necessary to protect

this information.

SECURITY RESPONSIBILITIES

National Security Authority (NSA)

3. Each NATO Nation shall establish a Na- tional Security Authority (NSA) responsible for the security of NATO Classified Infor- mation. The NSA serves as the main point of contact for the NOS for any matter relat- ing to security within NATO. Thereafter, the NSA may direct the NOS to the appropriate Designated Security Authority (DSA) or other competent security authority.

4. The NSA is responsible for:

(a) the security of NATO Classified In- formation in national agencies and ele- ments, military or civil, at home or abroad;

(b) ensuring that periodic and appropriate inspections of the security arrangements for the protection of NATO Classified In- formation are undertaken in all national organizations at all levels, both military and civil, to determine that NATO Clas- sified Information is appropriately pro- tected in accordance with current NATO security regulations. In the case of organ- izations holding CTS or ATOMAL infor- mation, security inspections shall be made at least every 24 months, unless, during that period, they are carried out by the NOS;

c) säkerställandet av att alla medborgare som behöver åtkomst till information som säkerhetsskyddsklassificerats som NATO CONFIDENTIAL eller högre har beviljats godkänt vid en säkerhetsprövning av per- son (PSC) i enlighet med Natos säkerhets- strategi,

d) säkerställandet av att säkerhetsplaner har utarbetats för att förhindra att Natos säkerhetsskyddsklassificerade information hamnar i obehöriga eller fientliga händer i händelse av en nödsituation, och

e) godkännandet av att nationella Cosmic- centralregister inrättas eller avvecklas. In- rättandet eller avvecklingen av Cosmic- centralregister ska anmälas till Natos sä- kerhetsbyrå.

Utsedd säkerhetsmyndighet (DSA)

5. En myndighet som ansvarar för att infor- mera industrin om den nationella strategin i alla frågor som gäller Natos industrisäker- hetsstrategi och för att ge ledning och bi- stånd vid dess genomförande. I vissa med- lemsstater kan en utsedd säkerhetsmyndig- hets verksamhet utföras av den nationella säkerhetsmyndigheten.

Säkerhetskommittén (SC)

6. Säkerhetskommittén är inrättad av Nor- datlantiska rådet och består av företrädare för Natos varje medlemsstats nationella sä- kerhetsmyndighet eller utsedda säkerhets- myndighet, och vid behov får kommittén hjälp av annan säkerhetspersonal från Natos medlemsstater. Företrädare för den internat- ionella militära staben (IMS), de militärstra- tegiska ledningsinstanserna (ACO och ACT) samt konsultations- och ledningsnämnden (C3B) ska närvara vid säkerhetskommitténs möten. Företrädare för Natos civila och mi- litära organ får också närvara när frågor av intresse för dem tas upp. Natos säkerhets- byrå utser säkerhetskommitténs ordförande för kommitténs sammansättning av huvud- sakliga företrädare, sammansättning som be- handlar säkerhetsstrategier samt samman- sättning som behandlar säkerhet i kommuni- kations- och informationssystem.

(c) ensuring that a Personnel Security Clearance (PSC) has been granted to all nationals who are required to have access to information classified NATO CONFI- DENTIAL and above, in accordance with NATO Security Policy;

(d) ensuring that security plans have been prepared in order to prevent NATO Clas- sified Information from falling into unau- thorised or hostile hands in the event of an emergency; and

(e) authorising the establishment (or dis- establishment) of national COSMIC Cen- tral Registries. The establishment (or dis- establishment) of COSMIC Central Reg- istries shall be notified to the NOS.

Designated Security Authority (DSA)

5. An authority responsible for communi- cating to industry the national policy in all matters of NATO industrial security policy and for providing direction and assistance in its implementation. In some nations, the function of a DSA may be carried out by the NSA.

Security Committee (SC)

6. The SC is established by the North Atlan- tic Council (NAC) and is composed of representatives from each NATO Nation's NSAs/DSAs and supported, where required, by additional NATO Nation security staff. Representatives of the International Military Staff (IMS), Strategic Commands and Con- sultation Command and Control (C3) Board shall be present at the meetings of the SC. Representatives of NATO Civil and Military bodies may also be present when matters of interest to them are addressed. The Chair- persons for the SC at Principal’s level, the SC in Security Policy Format (SC (SP)), and the SC in Communications and Information Systems (CIS) Security Format (SC (CISS)) are provided by the NOS.

7. Säkerhetskommittén lyder direkt under Nordatlantiska rådet när det gäller

a) revidering av Natos säkerhetsstrategi (C-M(2002)49 och C-M(2002)50) och gi- vande av rekommendationer om ändring eller godkännande av strategin till Nordat- lantiska rådet,

b) behandling av frågor som gäller Natos säkerhetsstrategi,

c) översyn och godkännande av de stöd- jande direktiv och styrdokument som pub- licerats som stöd för Natos säkerhetsstra- tegi5, och

d) säkerhetsfrågor som hänvisats till den av Nordatlantiska rådet, en medlemsstat i Nato, generalsekreteraren, militärkommit- tén (MC), samråds- och ledningsnämnden (C3B) eller någon av cheferna för Natos civila och militära organ och som säker- hetskommittén utarbetar lämpliga rekom- mendationer om.

Natos säkerhetsbyrå (NOS)

8. Natos säkerhetsbyrå är inrättad vid Natos internationella stab som en del av den ge- mensamma underrättelse- och säkerhetsav- delningen. Säkerhetsbyrån består av perso- nal med erfarenhet av säkerhetsfrågor inom både militära och civila områden. Den upp- rätthåller nära förbindelser med nationella säkerhetsmyndigheter eller utsedda säker- hetsmyndigheter i Natos medlemsstater och Natos civila och militära organ. Natos säker- hetsbyrå kan också vid behov begära att Na- tos medlemsstater och Natos civila och mili- tära organ tillhandahåller ytterligare säker- hetsexperter för att bistå Natos säkerhets- byrå på deltid när bistånd på heltid inte skulle vara motiverat.

9. Natos säkerhetsbyrå ansvarar för att

a) behandla eventuella frågor som påver- kar Natos säkerhet,

b) identifiera sätt att förbättra Natos säker- het,

7. The SC is responsible directly to the NAC for:

(a) reviewing NATO Security Policy (as set forth in C-M(2002)49 and C- M(2002)50) and making recommenda- tions for change or endorsement to the NAC;

(b) examining questions concerning NATO Security Policy;

(c) reviewing and approving the support- ing directives and guidance documents published in support of NATO Security Policy;5 and

(d) considering security matters referred to it by the NAC, a NATO Nation, the Secretary General, the Military Commit- tee (MC), the C3 Board or the heads of NATO Civil and Military bodies and pre- paring appropriate recommendations thereon.

NATO Office of Security (NOS)

8. The NOS is established within the NATO International Staff as part of the Joint Intelli- gence and Security Division. It is composed of personnel experienced in security matters in both military and civil spheres. The NOS maintains close liaison with the NSAs/DSAs of NATO Nations, and with NATO Civil and Military bodies. The NOS may also, as required, request NATO Nations and NATO Civil and Military bodies to provide addi- tional security experts to assist it for limited periods of time when full-time additions to the NOS would not be justified.

9. The NOS is responsible for:

(a) examining any questions affecting NATO security;

(b) identifying means whereby NATO se- curity might be improved;

5 En medlemsstat i Nato får begära att ett stödjande direktiv också godkänns av Nordatlantiska rådet.

5 A NATO Nation may request that a supporting directive also be approved by the NAC.

c) övergripande samordna säkerheten i Nato mellan Natos medlemsstater och Na- tos civila och militära organ,

d) säkerställa genomförandet och tillsynen av Natos säkerhetsstrategi, inbegripet gi- vandet av sådana råd som Natos medlems- stater och Natos civila och militära organ begär antingen när det gäller tillämp- ningen av de grundläggande principer och de säkerhetsnormer som återges i denna bilaga eller vid uppfyllandet av de sär- skilda säkerhetskraven,

e) i förekommande fall informera säker- hetskommittén, generalsekreteraren och ordföranden för militärkommittén om sä- kerhetsläget i Nato och om de framsteg som gjorts vid genomförandet av Nordat- lantiska rådets säkerhetsbeslut,

f) utföra regelbundna inspektioner av sä- kerhetssystemen för skydd av Natos sä- kerhetsskyddsklassificerade information i Natos medlemsstater, Natos civila organ, Natos militärstrategiska högkvarter i Europa (SHAPE) och Natos militärstrate- giska högkvarter för transformation (HQ SACT)6.

g) genomföra säkerhetskartläggningar i enheter som inte hör till Nato och med vilka Nato har slutit ett säkerhetsavtal först i certifieringssyfte och därefter regel- bundet för att säkerställa att Natos säker- hetsstrategi följs,

h) tillsammans med nationella säkerhets- myndigheter eller utsedda säkerhetsmyn- digheter och Natos civila och militära or- gan samordna utredningen av fall som gäl- ler faktisk eller misstänkt förlust eller läcka av Natos säkerhetsskyddsklassifice- rade information,

(d) ensuring the implementation and oversight of NATO Security Policy, in- cluding the provision of such advice as may be requested by NATO Nations and NATO Civil and Military bodies either in their application of the basic principles and the standards of security described in this Enclosure, or in the implementation of the specific security requirements;

(e) informing, as appropriate, the SC, the Secretary General and the Chair of the MC of the state of security within NATO, and the progress made in imple- menting NAC decisions regarding secu- rity;

(f) carrying out periodic inspections of security systems for the protection of NATO Classified Information in NATO Nations, NATO Civil bodies, SHAPE and HQ SACT;6

(g) conducting security surveys in NNEs with whom NATO has a signed Security Agreement for the initial purpose of cer- tification and periodically thereafter for ensuring ongoing compliance with NATO Security Policy;

(h) co-ordinating, with NSAs/DSAs and NATO Civil and Military bodies, the in- vestigation of cases relating to the actual or suspected loss or compromise of NATO Classified Information;

6 Natos medlemsstater kan på begäran av Natos säkerhetsbyrå delta i Natos säkerhetsbyrås inspektioner i Natos ci- vila och militära organ antingen som observatörer eller som aktiva medlemmar av inspektionsgruppen. Detta är dock inte möjligt i sådana civila organ där alla av Natos medlemsstater inte är företrädda.

6 NATO Nations may, upon request of the NOS, participate in the NOS’ inspections to NATO Civil and Military bodies either as observers or as active members of the inspection team. However, this is not possible for civil bodies where not all NATO Nations are part of the constituting framework.

i) vid behov informera nationella säker- hetsmyndigheter eller utsedda säkerhets- myndigheter om all negativ information som kommer fram och gäller deras med- borgare,

j) utarbeta säkerhetsåtgärder för skydd av Natos högkvarter i Bryssel och se till att de genomförs korrekt, och

k) övervaka under ledning av och på gene- ralsekreterarens vägnar genomförandet av Natos säkerhetsprogram för skydd av Ato- malinformation i enlighet med bestämmel- serna i avtalet (C-M(64)39) och i de stöd- jande administrativa arrangemangen (C- M(68)41).

Militärkommittén och Natos militära or- gan

10. Som den högsta militära myndigheten i Nato ansvarar militärkommittén för den övergripande ledningen av militära angelä- genheter. Militärkommittén ansvarar följakt- ligen för alla säkerhetsfrågor i Natos mili- tära struktur, inklusive det centraliserade och övergripande fastställandet av de åtgär- der som krävs för att säkerställa att den kryptografiska teknik och det kryptografiska material som används för att överföra Natos säkerhetsskyddsklassificerade information, vilket inbegriper säkerhetsgodkännandet av Natofinansierad kryptografiska utrustning i enlighet med bilaga F till denna C-M-hand- ling. I enlighet med tidigare överenskomna strategier och i överensstämmelse med punkterna 8 och 9 säkerställer Natos säker- hetsbyrå genomförandet av säkerhetsfunkt- ionerna inom Natos militära struktur och håller militärkommitténs ordförande infor- merad.

11. Cheferna för de militära organ i Nato som är underställda militärkommittén ansva- rar för alla säkerhetsfrågor inom sina organi- sationer. Detta inbegriper ansvar för att se till att en säkerhetsorganisation inrättas, att lämpliga säkerhetsåtgärder och säkerhetsför- faranden utformas och genomförs i enlighet

(i) informing NSAs/DSAs of any adverse information which comes to light con- cerning their nationals, where appropri- ate;

(j) devising security measures for the protection of the NATO Headquarters, Brussels and ensuring their correct imple- mentation; and

(k) supervising, under the direction and on behalf of the Secretary General, the application of the NATO security pro- gramme for the protection of ATOMAL information under the provisions of the Agreement (C-M(64)39) and the support- ing Administrative Arrangements (C- M(68)41).

Military Committee and NATO Military bodies

10. As the highest military authority in NATO, the MC is responsible for the overall conduct of military affairs. The MC is con- sequently responsible for all security matters within the NATO military structure includ- ing centralised overall cognisance of measures necessary to assure the adequacy of cryptographic techniques and materials used for transmitting NATO Classified In- formation, including the security approval of NATO funded cryptographic equipment as defined in Enclosure “F” to this C-M. In ac- cordance with previously agreed policy and in compliance with paragraphs 8 and 9 above, the NOS carries out the executive functions for security within the NATO mil- itary structure and keeps the Chair of the MC informed.

11. The Heads of NATO Military bodies es- tablished under the auspices of the MC are responsible for all security matters within their establishments. This includes the re- sponsibility for ensuring that a security or- ganization is set up, that appropriate security measures and procedures are devised and executed in accordance with NATO Security

med Natos säkerhetsstrategi och att säker- hetsåtgärderna regelbundet inspekteras på varje organisationsnivå. När det gäller orga- nisationer som innehar information som sä- kerhetsskyddsklassificerats som COSMIC TOP SECRET eller Atomalinformation, ska säkerhetsinspektioner utföras minst var 24:e månad, om inte Natos säkerhetsbyrå har ut- fört en inspektion under denna period.

Natos civila organ

12. Natos internationella stab och Natos ci- vila byråer ansvarar inför Nordatlantiska rå- det för att upprätthålla säkerheten inom sin respektive organisation. Detta inbegriper an- svar för att se till att en säkerhetsorganisat- ion inrättas, att säkerhetsprogram utformas och genomförs i enlighet med Natos säker- hetsstrategi och att säkerhetsåtgärderna re- gelbundet inspekteras på varje organisat- ionsnivå. När det gäller organisationer som innehar information som säkerhetsskydds- klassificerats som COSMIC TOP SECRET eller Atomalinformation, ska säkerhetsin- spektioner utföras minst var 24:e månad, om inte Natos säkerhetsbyrå har utfört en in- spektion under denna period.

SÄKERHETSTILLSYN I FRÅGA OM KOMPETENSCENTRUM (COE)7

/SAMFÖRSTÅNDSAVTALSORGAN

13. Med säkerhetstillsyn avses en tillsyns- funktion för säkerställande av att alla orga- nisationer som hanterar Natos säkerhets- skyddsklassificerade information korrekt tillämpar Natos säkerhetsstrategi när inform- ationen skyddas. När det gäller att skydda Natos säkerhetsskyddsklassificerade inform- ation ska säkerhetstillsynen för organ som finns utanför Natos kommandostruktur (NCS) ske enligt följande:

a) De deltagande medlemsstaterna ansva- rar för säkerheten i Natos militära organ (NMB) i fråga och ska vidta lämpliga åt- gärder för att säkerställa den. Om det inte

Policy and that the security measures are in- spected periodically at each command level. In cases where organizations hold COSMIC TOP SECRET (CTS) or ATOMAL infor-

mation, security inspections are to be made at least every 24 months, unless, during that period, an inspection has been carried out by the NOS.

NATO Civil bodies

12. The NATO International Staff and NATO civil agencies are responsible to the NAC for the maintenance of security within their establishment. This includes responsi- bility for ensuring that a security organiza- tion is set up, that security programmes are devised and executed in accordance with NATO Security Policy and that the security measures are inspected periodically at each command level. In cases of organizations holding CTS or ATOMAL information, se- curity inspections are to be made at least every 24 months, unless, during that period, an inspection has been carried out by the NOS.

SECURITY OVERSIGHT FOR CEN- TRE OF EXCELLENCE (COE)7 / MEM- ORANDUM OF UNDERSTANDING (MOU) BODIES

13. Security oversight is defined as the su- pervisory function to ensure that any organi- zation which handles NATO Classified In- formation is correctly applying NATO Secu- rity Policy for the protection of such infor- mation. Security oversight for bodies that lie outside the NATO Command Structure (NCS) in respect of protecting NATO Clas- sified Information shall be delivered as fol- lows:

(a) Participating nations are responsible and shall make appropriate arrangements as to how to deal with security within

7 Samförståndsavtalsorgan godkända av Nordatlantiska rådet i enlighet med PO(2020)0038 (INV).

7 NAC-approved COEs in accordance with PO(2020)0038 (INV).

finns särskilda överenskommelser om hur säkerhetstillsynen i dessa enheter ska ske, ska den medlemsstat där enheten/enhet- erna finns, det vill säga värdstaten, leda säkerhetstillsynen.

b) Kompetenscentrumen/samförståndsav- talsorganen kan vara Natos militära organ, om Nordatlantiska rådet har fattat ett be- slut om aktivering i frågan. I sådana fall är Natos säkerhetsstrategi tillämplig och che- fen för kompetenscentrumet/samför- ståndsavtalsorganet ska ansvara för alla säkerhetsfrågor inom sin organisation. De deltagande medlemsstaterna ansvarar för uppfyllandet av säkerhetskraven i kompe- tenscentrumet/samförståndsavtalsorganet i fråga och ska vidta behövliga åtgärder med avseende på det. Värdstaten ska leda utförandet av säkerhetstillsynen, om inte de deltagande staterna har kommit över- ens om alternativa arrangemang för denna tillsyn.

c) Om ett kompetenscentrum/samför- ståndsavtalsorgan inte aktiverats som Na- tos militära organ (och sålunda inte bevil- jats internationell status av Nordatlantiska rådet), utan ackrediterats som Natos kom- petenscentrum/samförståndsavtalsorgan, tillämpas Natos säkerhetsstrategi. Trots att de deltagande medlemsstaterna ansvarar för alla säkerhetsfrågor inom kompetens- centrumet/samförståndsavtalsorganet, ska värdstaten leda säkerhetstillsynen, om inte de deltagande staterna har kommit över- ens om alternativa arrangemang för denna tillsyn. I ett samförståndsavtal om inrät- tande av ett kompetenscentrum/samför- ståndsavtalsorgan ska det anges hur tillsy- nen genomförs i kompetenscentru- met/samförståndsavtalsorganet.

d) Om en multinationell enhet i en av Na- tos medlemsstater varken ackrediterats som kompetenscentrum eller aktiverats som Natos militära organ men använder Natos säkerhetsskyddsklassificerade in- formation, tillämpas Natos säkerhetsstra- tegi och de deltagande staterna förblir an- svariga för säkerhetsfrågorna. Om det

their NATO Military Body (NMB). Un- less there are specific agreements in place regarding how to deal with security oversight for these elements, the Nation in which the element(s) is/are situated,

i.e. the Host Nation, shall take the lead for exercising security oversight.

(b) COE/MOU bodies can be NMB if there is a NAC activating decision. In such cases NATO Security Policy is ap- plicable and the head of the COE/MOU body shall be responsible for all security matters within their establishment. Partic- ipating nations are responsible and shall make necessary arrangements to deal with security requirements within any COE/MOU body. The Host Nation shall take the lead for exercising security over- sight unless participating nations have agreed to alternative arrangements for this oversight.

(c) If a COE/MOU body is not activated as a NMB (and thus not granted interna- tional status by the NAC), but accredited as a NATO COE/MOU, NATO Security Policy applies. Although participating na- tions will be responsible for all security matters within the COE/MOU, the Host Nation shall take the lead for exercising security oversight unless participating na- tions have agreed to alternative arrange- ments for this oversight. Any founding MOU shall describe how this is imple- mented within the COE/MOU body.

(d) If a multi-national entity within one of the NATO Nations is not accredited as a COE, nor activated as a NMB but uses NATO Classified Information, NATO Security Policy applies and the participat- ing nations remain responsible for secu- rity matters. If there are non-NATO na- tions participating, a security agreement

finns stater utanför Nato som deltar, måste ett säkerhetsavtal slutas med dessa stater innan säkerhetsskyddsklassificerad in- formation kan utbytas. I dessa fall ska värdstaten leda säkerhetstillsynen, om inte de deltagande staterna har kommit över- ens om alternativa arrangemang för denna tillsyn. I ett samförståndsavtal om inrät- tande av en multinationell enhet ska det anges hur tillsynen genomförs i den multi- nationella enheten.

SÄKERHETSSAMORDNING

14. Alla Natosäkerhetsfrågor mellan nation- ella säkerhetsmyndigheter eller utsedda sä- kerhetsmyndigheter i Natos medlemsstater och mellan Natos civila och militära organ som inte kan lösas, eller alla frågor om ge- nomförande eller tolkning av Natos säker- hetsstrategi, ska hänvisas till Natos säker- hetsbyrå. Om en sådan hänvisning görs av militära myndigheter ska den ske via order- vägar. Eventuella olösta meningsskiljaktig- heter ska av Natos säkerhetsbyrå hänvisas till säkerhetskommittén för behandling.

ÄNDRINGAR AV SÄKERHETSSTRA- TEGIN

15. Natos medlemsstaters och Natos civila och militära organs förslag till ändring av Natos säkerhetsstrategi ska i första hand hänvisas till Natos säkerhetsbyrå. Alla för- slag som läggs fram av militära myndigheter ska förmedlas via ordervägar. Förslagen be- handlas av Natos säkerhetsbyrå och vid be- hov läggs de fram för säkerhetskommittén för fortsatt behandling. Denna punkt uteslu- ter inte att nationella säkerhetsmyndigheter eller utsedda säkerhetsmyndigheter i Natos medlemsstater formellt lägger fram förslag för säkerhetskommittén, om de så önskar.

with those nations must be in place be- fore classified information can be ex- changed. In such circumstances the Host Nation shall take the lead for security oversight unless participating nations have agreed to alternative arrangements for this oversight. Any founding MOU shall describe how this is implemented within the multi-national entity.

SECURITY CO-ORDINATION

14. Any NATO security issue between NSAs/DSAs of NATO Nations, and NATO Civil and Military bodies that cannot be re- solved, or any issue with implementing or interpreting NATO Security Policy, shall be referred to the NOS. In cases where such reference is by military authorities, this shall be made through command channels. Any unresolved differences shall be submitted by the NOS to the SC for consideration.

SECURITY POLICY MODIFICATIONS

15. Any proposals by NATO Nations and NATO Civil and Military bodies to modify NATO Security Policy should be referred in the first instance to the NOS. Any proposals made by the military authorities shall be transmitted through command channels. Proposals will be considered by the NOS and if necessary raised to the SC for further discussion. This paragraph does not pre- clude the NSAs/DSAs from NATO Nations formally making proposals to the SC if they wish.

BILAGA C C-M(2002)49-REV1

BILAGA C PERSONALSÄKERHET

INLEDNING

1. I denna bilaga presenteras strategin och miniminormerna för personalsäkerhet. Yt- terligare detaljer och krav finns i det stöd- jande direktivet om personalsäkerhet (AC/35-D/2000).

2. Personalsäkerhetsförfarandena ska utfor- mas så att det genom dem fastställs huruvida personen i fråga, med beaktande av hur lo- jal, tillförlitlig och pålitlig personen är, kan ges behörighet att få åtkomst till säkerhets- skyddsklassificerad information utan att detta medför en oacceptabel säkerhetsrisk. Detta förutsätter att alla civila och militära personer1, vars plikter eller uppgifter kräver åtkomst till information som säkerhets- skyddsklassificerats som CONFIDENTIAL2 eller högre, ska prövas på adekvat sätt så att man erhåller tillräckligt förtroende för deras lämplighet att få åtkomst till sådan informat- ion och därmed för innehav av ett vid en sä- kerhetsprövning av person beviljat godkän- nande (PSC).3

3. När det gäller åtkomst till Natos säker- hetsskyddsklassificerade information som säkerhetsskyddsklassificerats som NATO CONFIDENTIAL eller högre ska personen i

ENCLOSURE “C”

C-M(2002)49-REV1

ENCLOSURE “C”

PERSONNEL SECURITY

INTRODUCTION

1. This Enclosure sets out the policy and minimum standards for Personnel Security. Additional details and requirements are found in the supporting Directive on Person- nel Security (AC/35-D/2000).

2. Personnel security processes shall be de- signed to determine whether an individual can, taking into account their assessed loy- alty, trustworthiness and reliability, be au- thorised to have access to classified infor- mation without constituting an unacceptable risk to security. To achieve this, all individ- uals1, civilian and military, whose duties or functions require access to information classified CONFIDENTIAL2 and above shall be appropriately investigated to give a satisfactory level of confidence as to their eligibility for access to such information and as such possess a national Personnel Secu- rity Clearance (PSC).3

3. In terms of access to NATO Classified In- formation NATO CONFIDENTIAL (NC) and above an individual will require a valid national PSC at the appropriate level along with the confirmation from the appropriate

1 Med undantag för statens högsta ledning i enlighet med punkt 7 i denna bilaga.

1 Aside from those Senior Government Officials, referred to in the paragraph 7 of this Enclosure.

2 Vissa medlemsstater i Nato kräver i enlighet med sina nationella lagar och regler en godkänd säkerhetsprövning av person (PSC) för åtkomst till information som säkerhetsskyddsklassificerats som RESTRICTED eller informat- ion på motsvarande nationell nivå.

2 Some NATO Nations, as mandated by their national laws and regulations, require a PSC for access to classified information at the level of RESTRICTED or national equivalent.

3 En godkänd säkerhetsprövning av person (PSC) är en positiv bedömning, genom vilken en nationell säkerhets- myndighet eller en utsedd säkerhetsmyndighet eller någon annan behörig säkerhetsmyndighet formellt erkänner personens lämplighet att få åtkomst till information som säkerhetsskyddsklassificerats som NATO CONFIDEN- TIAL eller högre med hänsyn till individens lojalitet, tillförlitlighet och pålitlighet.

3 A PSC is a positive determination by which an NSA/DSA or other competent security authority formally recog- nizes the individual’s eligibility to have access to information classified NC and above taking into account their loyalty, trustworthiness and reliability.

fråga ha beviljats ett giltigt nationellt god- kännande vid en adekvat säkerhetsprövning av person (PSC) samt inneha ett av den be- höriga nationella säkerhetsmyndigheten el- ler den behöriga utsedda säkerhetsmyndig- heten eller någon annan behörig säkerhets- myndighet utfärdat intyg om att personen i fråga kan beviljas åtkomst till Natos säker- hetsskyddsklassificerade information.

TILLÄMPNING AV PRINCIPEN OM BEHOVSENLIG BEHÖRIGHET

4. Personer i Natos medlemsstater och i Na- tos civila och militära organ ska endast ha åtkomst till sådan av Natos säkerhetsskydds- klassificerade information som de har be- hovsenlig behörighet för. Ingen har rätt att få åtkomst till Natos säkerhetsskyddsklassi- ficerade information enbart på grundval av ställning eller tjänst eller godkänd säkerhets- prövning av person (PSC).

XXXXXXX SÄKERHETSPRÖVNING AV PERSON (PSC)

5. Enligt Natos säkerhetsstrategi krävs det inte en godkänd säkerhetsprövning av per- son (PSC) för åtkomst till information som säkerhetsskyddsklassificerats som NATO RESTRICTED.4 Personer som endast behö- ver åtkomst till information som säkerhets- skyddsklassificerats som NATO RESTRICTED ska ha informerats om sina säkerhetsåligganden när det gäller skyddet av Natos säkerhetsskyddsklassificerade in- formation5, ska skriftligen eller på ett mot- svarande sätt som säkerställer oavvislighet ha intygat att de är medvetna om sitt säker- hetsansvar och ska även ha behovsenlig be- hörighet.

NSA/DSA or other competent security au- thority that the individual in question may be authorised to access NATO Classified In- formation.

APPLICATION OF THE NEED-TO- KNOW PRINCIPLE

4. Individuals in NATO Nations and in NATO Civil and Military bodies shall only have access to NATO Classified Infor- mation for which they have a need-to-know. No individual is entitled solely by virtue of rank or appointment or PSC to have access to NATO Classified Information.

PERSONNEL SECURITY CLEAR- ANCES (PSCs)

5. A PSC is not required by NATO Security Policy for access to information classified NATO RESTRICTED (NR).4 Individuals who only require access to information clas- sified NR shall have been briefed on their security obligations in respect to the protec- tion of NATO Classified Information5, shall have acknowledged their security responsi- bilities in writing or an equivalent method which ensures non-repudiation and shall also have a need-to-know.

4 Vissa medlemsstater i Nato kan i enlighet med sina nationella lagar och regler kräva en godkänd säkerhetspröv- ning av person (PSC) för åtkomst till information som säkerhetsskyddsklassificerats som NATO RESTRICTED. 4 Some NATO Nations, in accordance with their national laws and regulations, may require a PSC for access to information classified NR.

5 Medlemsstaterna kan använda antingen Natos egna anvisningar eller motsvarande nationella anvisningar, om de senare nämnda belyser skillnaderna mellan kraven i de två säkerhetsramverken.

5 Nations may use either NATO specific briefings or national equivalent if the latter highlights the differences between the requirements of the two security frameworks.

6. En godkänd säkerhetsprövning av person (PSC) krävs när personer har åtkomst till in- formation som säkerhetsskyddsklassificerats som NATO CONFIDENTIAL eller högre eller kan få åtkomst till sådan information under sin tjänsteutövning. Dessutom ska personerna ha

a) behovsenlig behörighet,

b) informerats om sina säkerhetsåliggan- den när det gäller skyddet av Natos säker- hetsskyddsklassificerade information,

c) antingen skriftligen eller genom en motsvarande metod som säkerställer oav- vislighet intygat att de är medvetna om sitt ansvar.

7. Med avvikelse från punkterna 5 och 6 fastställs i nationella lagar och regler åt- komst för statens högsta ledning (till exem- pel stats- och regeringschefer, ministrar, riksdagsledamöter och domstolsväsendets ledamöter) till Natos säkerhetsskyddsklassi- ficerade information; dessa personer ska in- formeras om sina säkerhetsåligganden och ha behovsenlig behörighet.

8. Xxxxx på en behövlig godkänd säkerhets- prövning av person (PSC) och därmed om- fattningen av de förfaranden för säkerhets- prövning som genomförs ska fastställas uti- från säkerhetsskyddsklassificeringsnivån för Natos säkerhetsskyddsklassificerade inform- ation som personen ska ha åtkomst till. Det ska finnas en överenskommen norm för för- troende när det gäller godkännande av de personer som beviljas åtkomst till eller vars tjänsteutövning eller uppgifter kan ge åt- komst till Natos säkerhetsskyddsklassifice- rade information.

9. Beviljandet av godkänt vid en säkerhets- prövning av person (PSC) ska inte betraktas som det sista steget i personalsäkerhetsförfa- randet; det förutsätts säkerställande av att en person fortgående är behörig att få åtkomst till Natos säkerhetsskyddsklassificerade in- formation. Detta uppnås genom att säker- hetsmyndigheter och säkerhetschefer ser till att effektivt delaktiggöra personer och regel-

6. An appropriate PSC is required when in- dividuals access information classified NC and above or may have access to such infor- mation during the course of their duties. In addition, individuals are required to:

(a) have a need-to-know;

(b) have been briefed on their security obligations in respect to the protection of NATO Classified Information;

7. As an exception to paragraphs 5 and 6 above, access to NATO Classified Infor- mation by Senior Government Officials (e.g. Heads of State and Government, Govern- ment Ministers, Members of Parliament, Members of the Judiciary) is determined by national laws and regulations; such officials shall be briefed on their security obligations and shall have a need-to-know.

8. The level of PSC required and, therefore, the extent of security clearance processes undertaken shall be determined by the level of classification of the NATO Classified In- formation to which the individual is to have access. There shall be an agreed standard of confidence regarding the eligibility of indi- viduals granted access to, or whose duties or functions may afford access to, NATO Clas- sified Information.

9. The granting of a PSC should not be con- sidered as a final step in the personnel secu- rity process; there is a requirement to ensure an individual’s continuing eligibility for ac- cess to NATO Classified Information. This is to be achieved through effective engage- ment and regular evaluation by security au- thorities and managers. This includes as- sessing any change in circumstance or be- haviour with potential security implications.

bundet bedöma dem. Detta inbegriper be- dömning av alla förändringar i omständig- heter eller beteenden med potentiella konse- kvenser för säkerheten. Dessutom ska pro- gram för säkerhetsutbildning och säkerhets- medvetenhet effektivt användas för att på- minna enskilda personer om deras säker- hetsansvar och om behovet av att rapportera till sina chefer eller säkerhetspersonal in- formation som kan påverka deras säkerhets- status.

Exceptionella omständigheter

10. Det kan uppstå situationer där vissa av kraven i punkt 6 inte kan uppfyllas till ex- empel på grund av brådskande uppdrag. Närmare detaljer i fråga om temporära ut- nämningar, tillfällig åtkomst eller åtkomst i nödsituationer finns i det stödjande direkti- vet om personalsäkerhet.

Ansvar

11. Den medlemsstat i Nato vars medbor- gare en ansökan om säkerhetsprövning av person gäller ska behandla ansökan. Detta inbegriper kravet att säkerställa att förfaran- det för säkerhetsprövning av person uppfyll- ler minimikraven och minimikriterierna för bedömning av personens lojalitet, tillförlit- lighet och pålitlighet när det gäller bevil- jande av godkänt vid en säkerhetsprövning av person (PSC) samt de krav som gäller förnyelse av ett erhållet godkännande vid en säkerhetsprövning av person i enlighet med direktivet om personalsäkerhet.

12. Natos civila och militära organ ansvarar för inlämning av ansökningar om säkerhets- prövning av person och om förnyelse av ett erhållet godkännande vid en säkerhetspröv- ning av person för sin personal till den ve- derbörande nationella säkerhetsmyndigheten eller den vederbörande utsedda säkerhets- myndigheten eller någon annan behörig sä- kerhetsmyndighet.

13. Närmare detaljer om det ansvar som nat- ionella säkerhetsmyndigheter eller utsedda säkerhetsmyndigheter eller andra behöriga säkerhetsmyndigheter, Natos medlemsstater och cheferna för Natos civila eller militära

Additionally, the effective use of security education and awareness programme(s) shall be used in order to remind individuals of their security responsibilities and of the need to report, to their managers or security staff, information which may affect their se- curity status.

Exceptional Circumstances

10. Circumstances may arise when, for ex- ample for urgent mission purposes, some of the requirements in paragraph 6 above can- not be met. Details in respect to provisional appointments, temporary and emergency ac- cess, are set out in the supporting Directive on Personnel Security.

Responsibilities

11. It is the responsibility of the NATO Na- tion, of which the individual is a national, to process PSC applications. This includes the requirement to ensure that their PSC process meets the minimum investigative require- ments and criteria for assessing the loyalty, trustworthiness and reliability of an individ- ual in order to be granted a PSC as well as the requirements for renewal of PSC as set out in the Directive on Personnel Security.

12. NATO Civil and Military bodies are re- sponsible for submitting PSC applications and renewals for their staff to the relevant NSA/DSA or other competent security au- thority.

13. The detailed responsibilities of NSAs/ DSAs or other competent security authori- ties, NATO Nations and the Heads of a NATO Civil or Military bodies are set out in the Directive on Personnel Security.

organ har fastställs i direktivet om personal- säkerhet.

SÄKERHETSUTBILDNING OCH MEDVETENHET

14. Alla personer med sådana arbetsuppgif- ter där de har åtkomst till information som säkerhetsskyddsklassificerats som NATO RESTRICTED eller som har godkänts vid en säkerhetsprövning av person (PSC) för åtkomst till NATO CONFIDENTIAL eller högre ska informeras om säkerhetsförfaran- den och sina säkerhetsåligganden. Alla per- soner som har godkänts vid en säkerhets- prövning ska intyga att de fullt ut förstår sitt ansvar och de potentiella konsekvenserna för dem om Natos säkerhetsskyddsklassifi- cerade information hamnar i obehöriga hän- der antingen uppsåtligen eller genom oakt- samhet. En förteckning över dessa intygan- den ska upprätthållas av den medlemsstat el- ler de civila eller militära organ i Nato som ger åtkomst till Natos säkerhetsskyddsklas- sificerade information.

15. Alla som är behöriga att ha åtkomst till eller som har till uppgift att hantera Natos säkerhetsskyddsklassificerade information ska inledningsvis göras medvetna om och regelbundet påminnas om de hot mot säker- heten som orsakas av bland annat följande:

a) personernas uppförande utanför arbets- platsen, inbegripet användning av sociala medier,

b) indiskreta samtal med personer utan be- hovsenlig behörighet,

c) arbete utanför arbetsplatsen och vid re- sor,

d) cyberhot,

e) personernas förhållande till medierna, och

f) det hot som underrättelseverksamhet riktad mot Nato och dess medlemsstater utgör.

SECURITY EDUCATION AND AWARENESS

14. All individuals employed in positions where they have access to information clas- sified NR, or hold a PSC for access to NC or above, shall be briefed on security proce- dures and their security obligations. All cleared individuals shall acknowledge that they fully understand their responsibilities and the potential consequences to them when NATO Classified Information passes into unauthorised hands either by intent or through negligence. A record of the acknowledgement shall be maintained by the NATO Nation or NATO Civil or Mili- tary Body authorising access to NATO Classified Information.

15. All individuals who are authorised ac- cess to, or are required to handle NATO Classified Information, shall initially be made aware, and periodically reminded of the threats to security arising from but not limited to the following:

(a) personal conduct outside the office, including activity on social media;

(b) indiscreet conversations with individ- uals without the need-to-know;

(d) cyber threats;

(e) their relationship with the media; and

(f) the threat presented by the activities of intelligence services which target NATO and its Nations.

16. Personerna ska omedelbart rapportera till de behöriga säkerhetsmyndigheterna alla kontakter eller åtgärder som de anser vara misstänkta eller ovanliga.

16. Individuals shall report immediately to the appropriate security authorities any ap- proach or manoeuvre which they consider suspicious or unusual.

BILAGA D C-M(2002)49-REV1

TILLÄGG D FYSISK SÄKERHET

INLEDNING

1. I denna bilaga fastställs strategin och mi- niminormerna för fysiska säkerhetsåtgärder till skydd för Natos säkerhetsskyddsklassifi- cerade information. Ytterligare detaljer och krav finns i det stödjande direktivet om fy- sisk säkerhet (AC/35-D/2001).

2. Med fysisk säkerhet avses tillämpning av fysiska skyddsåtgärder på platser, byggna- der, verksamhetsställen eller anläggningar där det finns säkerhetsskyddsklassificerad information som kräver skydd mot förluster eller läckor.

3. Natos medlemsstater och Natos civila och militära organ ska upprätta fysiska säker- hetsprogram, som omfattar aktiva och pas- siva säkerhetsåtgärder och som skapar en gemensam nivå av fysisk säkerhet som mot- svarar bedömningen av hot mot, sårbarheter hos samt säkerhetsskyddsklassificering och mängd av den information som ska skyddas.

SÄKERHETSKRAV

4. Alla platser, byggnader, verksamhetsstäl- len, kontor, rum och andra utrymmen där Natos säkerhetsskyddsklassificerade inform- ation lagras, hanteras och/eller diskuteras ska skyddas genom adekvata fysiska säker- hetsåtgärder. Vid beslut om vilken nivå av fysiskt skydd som behövs ska hänsyn tas till alla relevanta faktorer, såsom

a) nivån på säkerhetsskyddsklassificerad information samt informationskategori,

b) mängd och form (pappersform och/eller elektronisk form) av den säkerhetsskydds- klassificerade information som lagras och/eller hanteras,

c) behörighetskontroll och verkställande av principen om behovsenlig behörighet,

ENCLOSURE “D”

C-M(2002)49-REV1

ENCLOSURE “D”

PHYSICAL SECURITY

INTRODUCTION

1. This Enclosure sets out the policy and minimum standards for physical security measures for the protection of NATO Clas- sified Information. Additional details and re- quirements are found in the supporting Di- rective on Physical Security (AC/35- D/2001).

2. Physical security is the application of physical protective measures to sites, build- ings, facilities or installations that contain classified information requiring protection against loss or compromise.

3. NATO Nations and NATO Civil and Mil- itary bodies shall establish physical security programmes, consisting of active and pas- sive security measures, to provide a com- mon degree of physical security consistent with the assessment of the threats, vulnera- bilities, security classification and quantity of the information to be protected.

SECURITY REQUIREMENTS

4. All sites, buildings, facilities, offices, rooms, and other areas in which NATO Classified Information is stored, handled and/or discussed shall be protected by ap- propriate physical security measures. In de- ciding what degree of physical security pro- tection is necessary, account shall be taken of all relevant factors, such as:

(a) the level of security classification and category of information;

(b) the quantity and form of the classified information (hard copy, and/or elec- tronic) stored, and/or handled;

d) det hot från fientliga underrättelsetjäns- ter som är riktat mot Nato och/eller dess medlemsstater samt det lokalt bedömda hotet i fråga om terrorism, spionage, sabo- tage, subversion och (organiserad) brotts- lighet, och

e) hur den säkerhetsskyddsklassificerade informationen lagras (till exempel i pap- persform eller elektronisk form och som krypterad).

5. Fysiska säkerhetsåtgärder ska utformas så att de

a) förhindrar intrång i smyg eller genom tvång,

b) avskräcker, hindrar och avslöjar hand- lingar i fråga om interna hot,

c) möjliggör olika behandling av persona- len med avseende på åtkomst till Natos sä- kerhetsskyddsklassificerade information utifrån nivån på en godkänd säkerhets- prövning av person (PSC) och principen om behovsenlig behörighet, och

d) så snart som möjligt upptäcker alla sä- kerhetsincidenter och utifrån dem leder till behövliga åtgärder.

ALLMÄNNA FYSISKA SÄKERHETS- KRAV

6. Fysiska åtgärder utgör endast en aspekt av säkerhetsskyddet och ska stödjas av solida säkerhetsåtgärder i fråga om personalsäker- het, informationssäkerhet samt kommunikat- ions- och informationssystem. Förståndig hantering av säkerhetsrisker inbegriper att man fastställer de mest proportionella, ef- fektiva och kostnadseffektiva metoderna för bekämpning av hoten och kompensation av sårbarheter genom en kombination av dessa områdens skyddsåtgärder. En sådan effekti- vitet och kostnadseffektivitet uppnås bäst genom att i samband med planeringen och utformningen av verksamhetsställen fast- ställa fysiska säkerhetskrav, vilket minskar behovet av kostsamma renoveringar.

7. Fysiska säkerhetsprogram ska grunda sig på principen om flernivåförsvar och omfatta

(d) the threat from hostile intelligence services which target NATO and/or its member Nations, and the locally-assessed threat of terrorism, espionage, sabotage, subversion and (organized) crime; and

(e) how the classified information will be stored (e.g. hard copy or electronic and encrypted).

5. Physical security measures shall be de- signed to:

(a) deny surreptitious or forced entry by an intruder;

(b) xxxxx, impede and detect actions from the insider threat;

(c) allow for segregation of personnel in their access to NATO Classified Infor- mation in accordance with their level of Personnel Security Clearance (PSC) and the need-to-know principle; and

(d) detect and act upon all security inci- dents as soon as possible.

GENERAL PHYSICAL SECURITY RE- QUIREMENTS

6. Physical measures represent only one as- pect of protective security and shall be sup- ported by sound personnel security, security of information, and Communication and In- formation Systems (CIS) security measures. Sensible management of security risks will involve establishing the most proportionate, efficient and cost-effective methods of countering the threats and compensating for vulnerabilities by a combination of protec- tive measures from these domains. Such ef- ficiency and cost-effectiveness is best achieved by defining physical security re- quirements as part of the planning and de- sign of facilities, thereby reducing the need for costly renovations.

7. Physical security programmes shall be based on the principle of “defence in depth”,

en adekvat kombination av kompletterande fysiska säkerhetsåtgärder som ger den nivå av skydd som uppfyller de krav som hänger samman med hur väsentlig och sårbar orga- nisationen och dess information är.

8. Trots att fysiska säkerhetsåtgärder är platsspecifika och bestäms av ett antal fak- torer, ska följande allmänna principer gälla:

a) först ska de tillgångar som kräver skydd identifieras. Efter det skapas stegvisa sä- kerhetsåtgärder för att tillhandahålla fler- nivåförsvar och fördröjande faktorer,

b) de yttersta fysiska säkerhetsåtgärderna ska avgränsa det skyddade utrymmet och förhindra obehörigt tillträde,

c) nästa åtgärdsnivå ska upptäcka obehö- rigt tillträde eller försök till tillträde och varna vaktpersonalen, och

d) den innersta åtgärdsnivån ska fördröja inkräktare tills de kan anhållas av vaktper- sonalen. Följaktligen finns det ett inbördes samband mellan vaktpersonalens reakt- ionstid och de fysiska säkerhetsåtgärder som är avsedda att fördröja inkräktarna.

9. Den utrustning som ger fysisk säkerhet (till exempel övervakningskameror, system för upptäckt av intrång, säkerhetsskåp) ska underhållas regelbundet eller av en specifik orsak för att säkerställa att den fungerar på bästa möjliga sätt. Det är också nödvändigt att regelbundet bedöma effektiviteten hos enskilda säkerhetsåtgärder och hela säker- hetssystemet. Detta är särskilt viktigt om an- vändningen av platsen eller särskilda delar av säkerhetssystemet ändras. Detta kan upp- nås genom att regelbundet genomföra öv- ningar på grundval av säkerhetsplanerna.

Säkra utrymmen

10. Permanenta eller tillfälliga utrymmen där information som säkerhetsskyddsklassi- ficerats som NATO CONFIDENTIAL eller högre lagras, hanteras och/eller diskuteras

using an appropriate combination of com- plementary physical security measures which provide a degree of protection meet- ing the requirements associated with the criticality and vulnerability of the organiza- tion and its information.

8. Although physical security measures are site-specific, and determined by a number of factors, the following general principles shall apply:

(a) it is first necessary to identify the as- sets that require protection. This is fol- lowed by the creation of layered security measures to provide “defence in depth” and delaying factors;

(b) the outermost physical security measures shall define the protected area and deter unauthorised access;

(d) the innermost layer of measures shall sufficiently delay intruders until they can be detained by the guard force. Conse- quently, there is an interrelationship be- tween the reaction time of the guard force and the physical security measures de- signed to delay intruders.

9. Equipment that provides physical security (e.g. CCTV, IDS, secure cabinets) shall be maintained regularly or in response to a spe- cific cause to ensure that it operates at opti- mum performance. It is also necessary to pe- riodically re-evaluate the effectiveness of in- dividual security measures as well as the complete security system. This is particu- larly important if there is a change in use of the site or specific elements of the security system. This can be achieved by regularly exercising security plans.

Security Areas

10. Areas, either fixed or temporary, in which information classified NATO CON- FIDENTIAL (NC) and above is stored, han- dled and/or discussed shall be organised and

ska organiseras och struktureras så att de motsvarar något av följande:

a) Natos säkra utrymme av klass I: ett särskilt känsligt utrymme där information som säkerhetsskyddsklassificerats som NATO CONFIDENTIAL eller högre lag- ras, hanteras och/eller diskuteras på ett så- dant sätt att tillträde till utrymmet i prakti- ken innebär åtkomst till Natos säkerhets- skyddsklassificerade information och obe- hörigt tillträde därför utgör en säkerhetsö- verträdelse.

Utrymmen av detta slag kan inbegripa led- ningscentraler, kommunikationscenter el- ler arkivrum och kräver

i) en tydlig och skyddad yttre gräns ge- nom vilken alla in- och utpasseringar kontrolleras,

ii) ett sådant system för behörighets- kontroll som endast ger de personer som godkänts vid en adekvat säkerhets- prövning och som har särskilt tillstånd1 att komma in i utrymmet tillträde,

iii) ett fastställande av nivån på säker- hetsskyddsklassificeringen och av kate- gorin av den information som normalt finns i utrymmet, det vill säga den in- formation som tillträdet ger åtkomst till, och

iv) ett tydligt omnämnande av att till- träde till sådana utrymmen kräver sär- skilt tillstånd från den lokala säkerhets- myndigheten. Detta omnämnande kan omfatta säkerhetsskyddsklassificering- ens nivå och/eller utrymmets känslig- het.

b) Natos säkra utrymme av klass II: ett utrymme där information som säkerhets-

structured so as to correspond to one of the following:

(a) NATO Class I Security Area: a par- ticularly sensitive area in which infor- mation classified NC and above is stored, handled and/or discussed in such a way that entry into the area constitutes, for all practical purposes, access to NATO Clas- sified Information and therefore unau- thorised entry would constitute a Security Breach.

Such areas may include operations rooms, communications centres or ar- chive facilities and require:

(i) a clearly defined and protected pe- rimeter through which all entry and exit is controlled;

(ii) an entry control system which grants access only to those individuals appropriately cleared and specifically authorised1 to enter the area;

(iii) a determination of the level of se- curity classification and the category of the information normally held in the area, i.e. the information to which entry gives access; and

(iv) a clear indication that entrance into such areas requires specific authoriza- tion by the local security authority. This indication may include the level of se- curity classification and/or the sensitiv- ity of the area.

(b) NATO Class II Security Area: an area in which information classified NC

1 Med innehavare av särskilt tillstånd avses personal med formellt erkänd behovsenlig behörighet samt åtkomst till information på grund av arten av sina arbetsuppgifter och som finns på en lista för behörighetskontroll, samt de personer som chefen för organisationen i fråga från fall till fall formellt har befullmäktigat att utföra en viss upp- gift.

1 Specifically authorised refers to those personnel who have been formally recognised as having a need-to-know and access based on the nature of their employment responsibilities, and are included on an access control list, as well as individuals who have been formally authorised by the head of the organization in question on an ad hoc ba- sis to perform a specific role or duty.

skyddsklassificerats som NATO CONFI- DENTIAL eller högre lagras, hanteras och/eller diskuteras på ett sådant sätt att obehöriga personers åtkomst till den kan förhindras genom internt inrättade till- synssystem.

Utrymmen av detta slag kan inbegripa kontor eller sammanträdesrum där Natos säkerhetsskyddsklassificerade information lagras, hanteras och/eller diskuteras.

Dessa utrymmen kräver

i) en tydlig och skyddad yttre gräns ge- nom vilken alla in- och utpasseringar kontrolleras,

ii) ett sådant system för behörighets- kontroll som ger endast personer som godkänts vid en säkerhetsprövning och som har tillstånd att komma in i utrym- met obeledsagat tillträde, och

iii) en ledsagare eller motsvarande kontrollmekanism när det gäller sådana personer som inte uppfyller kriterierna i underpunkt b ii, så att obehörig åtkomst till Natos säkerhetsskyddsklassificerade information och okontrollerat tillträde till utrymmen som är särskilt fastställda som utrymmen skyddade mot tekniska angrepp och avlyssning förhindras.

Administrativ zon

11. En administrativ zon ska upprättas runt eller leda till Natos säkra utrymmen av klass I eller II. Endast information som säkerhets- skyddsklassificerats som NATO RESTRICTED får lagras, hanteras och/eller diskuteras i administrativa zoner. Utrymmen av detta slag ska ha en synlig yttre gräns, vid vilken det finns möjlighet att kontrollera personer och fordon. Enskilda personer be- höver dock inte ledsagare.

Tekniskt säkra utrymmen

12. Permanenta eller tillfälliga tekniskt säkra utrymmen är utrymmen som uttryckligen identifierats kräva skydd mot tekniska an- grepp och avlyssning. Dessa utrymmen ska vara föremål för regelbundna fysiska och

and above is stored, handled and/or dis- cussed in such a way that it can be pro- tected from access by unauthorised indi- viduals through utilizing controls estab- lished internally.

Such areas may include working offices or meeting rooms where NATO Classi- fied Information is stored, handled and/or discussed. These areas require:

(i) a clearly defined and protected pe- rimeter through which all entry and exit is controlled;

(ii) an entry control system which per- mits unescorted access only to those in- dividuals who are security cleared and authorised to enter the area; and

(iii) an escort or equivalent control mechanism to deal with those individu- als who do not meet the criteria de- scribed in sub-paragraph (b) (ii) above in order to prevent unauthorised access to NATO Classified Information and uncontrolled entry to areas which have been specifically designated as pro- tected against technical attacks and eavesdropping.

Administrative Zone

11. An Administrative Zone shall be estab- lished around or leading to NATO Class I or Class II Security Areas. Only information classified NATO RESTRICTED (NR) may be stored, handled and/or discussed in Ad- ministrative Zones. Such areas require a vis- ibly defined perimeter, within which the possibility exists for the control of individu- als and vehicles. However, individuals are not required to be escorted.

Technically Secure Areas

12. Technically Secure Areas, either fixed or temporary, are areas which have been spe- cifically identified as requiring protection against technical attacks and eavesdropping.

tekniska inspektioner, och tillträde till dem ska vara strikt kontrollerat. Följande åtgär- der ska vidtas för att skydda utrymmena mot tekniska angrepp och avlyssning:

a) Adekvat nivå av fysiska och tekniska säkerhetsåtgärder för att i enlighet med risken verkställa behörighetskontroll. An- svaret för att fastställa risken delas mellan lämpliga tekniska sakkunniga och den sä- kerhetsmyndighet som ger råd till riskäga- ren i fråga om beslut eller godkännande.

b) Utrymmen av detta slag ska vara låsta och/eller bevakade när de inte används, och eventuella nycklar ska behandlas som säkerhetsnycklar. Regelbundna fysiska och/eller tekniska inspektioner ska utföras i enlighet med den behöriga säkerhets- myndighetens krav. Inspektioner ska också utföras efter obehörigt tillträde eller misstanke om sådant samt efter att extern personal (till exempel för underhållsarbete eller ombyggnad) har haft tillträde till ut- rymmet.

c) Till dessa utrymmen får inga föremål, möbler och inventarier eller utrustning fö- ras innan de har blivit noggrant under- sökta av utbildad säkerhetspersonal med avseende på avlyssningsanordningar. En adekvat förteckning ska föras över före- mål, möbler och inventarier och utrustning som flyttats till eller från dessa utrymmen.

d) I utrymmena får det inte finnas elektro- niska system eller anordningar med in- spelnings- och/eller sändningsfunktioner.

e) Telefoner och annan videokonferensut- rustning får normalt inte installeras i dessa utrymmen. Om installation av sådana är oundviklig, ska de inte vara kopplade till nätet när säkerhetsskyddsklassificerade diskussioner förs i utrymmena. Detta gäl- ler inte kommunikationsanordningar som är installerade och godkända på adekvat sätt.

Such areas shall be subject to regular physi- cal and technical inspections and entry to them shall be strictly controlled. The follow- ing measures shall be applied to protect against technical attacks and eavesdropping:

(a) Appropriate level of physical and technical security measures to enforce ac- cess control, based upon the risk. The re- sponsibility for determining the risk is shared between the appropriate technical specialists and the security authority which provides advice to the risk owner for a decision/approval.

(b) Such areas shall be locked and/or guarded when not occupied and any keys shall be treated as security keys. Regular physical and/or technical inspections, in accordance with the requirements of the appropriate security authority, shall be undertaken. Such inspections shall also be conducted following any unauthorised entry or suspicion thereof, as well as fol- lowing the entry by external personnel (e.g. for the purposes of maintenance work, redecoration).

(c) No item, furnishing or equipment shall be allowed into these areas until they have been thoroughly examined for eavesdropping devices by trained secu- rity staff. An appropriate record of items, furnishing and equipment moved into and out of these areas shall be maintained.

(d) The presence of any electronic sys- tems or devices with recording and/or transmitting capabilities shall be prohib- ited.

(e) Telephones and other video confer- ence devices shall normally not be in- stalled in such areas. However, where their installation is unavoidable, they shall be physically disconnected when classified discussions take place. This does not apply to appropriately installed and approved communication devices.

SÄRSKILDA FYSISKA SÄKERHETS- ÅTGÄRDER

13. Olika särskilda fysiska och tekniska sä- kerhetsåtgärder och säkerhetsförfaranden kan främja en organisations eller plats säker- hetsram. Dessa åtgärder och förfaranden omfattar bland annat yttre gränser, system för upptäckt av intrång, behörighetskontroll, övervakningskameror, säkerhetsbelysning, säkerhetsskåp och kontorsmöbler, lås, kon- troll av nycklar och nummerkombinationer, besökarkontroll och kontroll vid in- och ut- passering. Det stödjande direktivet om fy- sisk säkerhet innehåller närmare information om särskilda fysiska och tekniska säkerhets- åtgärder och säkerhetsförfaranden.

MINIMINORMER FÖR LAGRING AV NATOS SÄKERHETSSKYDDSKLASSI- FICERADE INFORMATION

14. Natos säkerhetsskyddsklassificerade in- formation ska lagras i utrymmen, säkerhets- skåp och/eller kontorsmöbler som är utfor- made för att avskräcka och upptäcka obehö- rig åtkomst till informationen.

15. COSMIC TOP SECRET (CTS). In- formation som säkerhetsskyddsklassificerats som COSMIC TOP SECRET ska lagras i ett säkerhetsutrymme av klass I eller II i enlig- het med något av följande villkor:

a) i ett godkänt säkerhetsskåp och med en av följande kompletterande kontroller:

i) skyddas kontinuerligt av vid säker- hetsprövning godkänd vaktpersonal el- ler vakthavande personal,

ii) säkerhetsskåpet kontrolleras av vid säkerhetsprövning godkänd vaktperso- nal eller vakthavande personal minst varannan timme vid slumpvisa tidpunk- ter, eller

iii) en kombination av ett godkänt sy- stem för upptäckt av intrång och en in- satsstyrka som efter ett larm kommer till platsen inom den beräknade tidsram som behövs för att avlägsna eller bryta

SPECIFIC PHYSICAL SECURITY MEASURES

13. Various specific physical and technical security measures and procedures can con- tribute to the security framework of an or- ganization or site. Such measures and proce- dures include but are not limited to: Perime- ter, Intrusion Detection System (IDS), Ac- cess Control, Closed Circuit Television, Se- curity Lighting, Secure Cabinets and Office Furniture, Locks, Control of Keys and Combinations, Visitor Control, Entry and Exit Searches. The supporting Directive on Physical Security provides detailed infor- mation on specific physical and technical se- curity measures and procedures.

MINIMUM STANDARDS FOR STOR- AGE OF NATO CLASSIFIED INFOR- MATION

14. NATO Classified Information shall be stored in areas, secure cabinets and/or office furniture designed to deter and detect unau- thorised access to the information.

15. COSMIC TOP SECRET (CTS). Infor- mation classified CTS shall be stored within a Class I or Class II Security Area under one of the following conditions:

(a) in an approved secure cabinet with one of the following supplemental con- trols:

(i) continuous protection by cleared guard or duty personnel;

(ii) inspection of the secure cabinet not less than every two hours, at randomly timed intervals, by cleared guard or duty personnel; or

(iii) an approved IDS in combination with a response force that will, after an alarm annunciation, arrive at the loca- tion within the estimated timeframe

upp säkerhetsskåpet eller för att över- vinna de fysiska säkerhetsåtgärder som används,

b) i ett öppet lagringsutrymme som är konstruerat i enlighet med kraven i det stödjande direktivet om fysisk säkerhet och som är utrustat med ett system för upptäckt av intrång i kombination med en insatsstyrka som efter ett larm kommer till platsen inom den beräknade tidsram som behövs för intrång genom tvång, eller

c) i ett valv med ett system för upptäckt av intrång i kombination med en insatsstyrka som efter ett larm kommer till platsen inom den beräknade tidsram som behövs för intrång genom tvång.

16. NATO SECRET (NS). Information som säkerhetsskyddsklassificerats som NATO SECRET ska lagras i ett säkerhetsut- rymme av klass I eller II på något av föl- jande sätt:

a) så som föreskrivs för information som säkerhetsskyddsklassificerats som COSMIC TOP SECRET,

b) i ett godkänt säkerhetsskåp eller valv utan kompletterande kontroller, eller

c) i ett öppet lagringsutrymme, varvid åt- minstone en av följande kompletterande kontroller krävs:

i) den plats där det öppna lagringsut- rymmet finns ska kontinuerligt skyddas av vid säkerhetsprövning godkänd vakt- personal eller vakthavandepersonal,

ii) det öppna lagringsutrymmet ska kon- trolleras av vid säkerhetsprövning god- känd vaktpersonal eller vakthavande personal minst en gång var fjärde timme, eller

iii) ett system för upptäckt av intrång i kombination med en insatsstyrka som efter ett larm kommer till platsen inom den beräknade tidsram som behövs för intrång genom tvång.

17. NATO CONFIDENTIAL (NC). In- formation som säkerhetsskyddsklassificerats som NATO CONFIDENTIAL ska lagras i

needed to remove or break open the se- cure cabinet, or overcome the physical security measures in place;

(b) in an open storage area constructed in accordance with the requirements set out in the supporting Directive on Physical Secu- rity, which is equipped with an IDS in com- bination with a response force that will, after an alarm annunciation, arrive at the location within the estimated timeframe needed for forced entry; or

(c) in an IDS-equipped vault in combination with a response force that will, after an alarm annunciation, arrive at the location within the estimated timeframe needed for forced entry.

16. NATO SECRET (NS). Information classified NS shall be stored within a Class I or Class II Security Area by one of the fol- lowing methods:

(a) in the same manner as prescribed for information classified CTS;

(b) in an approved secure cabinet or vault without supplemental controls; or

(i) the location that houses the open storage area shall be subject to continu- ous protection by cleared guard or duty personnel;

(ii) cleared guard or duty personnel shall inspect the open storage area not less than once every four hours; or

(iii) an IDS in combination with a re- sponse force that will, after an alarm annunciation, arrive at the location within the estimated timeframe needed for forced entry.

17. NATO CONFIDENTIAL (NC). Infor- mation classified NC shall be stored in a

ett godkänt säkerhetsskåp i ett säkerhetsut- rymme av klass I eller II.

18. NATO RESTRICTED (NR). Informat- ion som säkerhetsskyddsklassificerats som NATO RESTRICTED ska lagras i ett låst skåp eller en låst kontorsmöbel (till exempel skrivbordslåda) i en administrativ zon, ett säkerhetsutrymme av klass I eller ett säker- hetsutrymme av klass II. Information som säkerhetsskyddsklassificerats som NATO RESTRICTED får också lagras i ett låst skåp, valv eller öppet lagringsutrymme som är godkänt för information som säkerhets- skyddsklassificerats som NATO CONFI- DENTIAL eller högre.

19. Ytterligare detaljer och krav i fråga om lagring av Natos säkerhetsskyddsklassifice- rade information finns i det stödjande direk- tivet om fysisk säkerhet.

FYSISKT SKYDD FÖR KOMMUNI- KATIONS- OCH INFORMATIONSSY- STEM

20. Utrymmen där Natos säkerhetsskydds- klassificerade information presenteras eller hanteras med hjälp av informationsteknik el- ler där det är möjligt att få åtkomst till sådan information ska inrättas på ett sådant sätt att det övergripande kravet på konfidentialitet, riktighet och tillgänglighet uppfylls.

21. Utrymmen där kommunikations- och in- formationssystem används för att visa, lagra, bearbeta eller överföra information som sä- kerhetsskyddsklassificerats som NATO CONFIDENTIAL eller högre eller där det är möjligt att få åtkomst till sådan information, ska inrättas som säkerhetsutrymmen av Na- tos klass I eller II eller motsvarande nation- ella säkerhetsutrymmen. Utrymmen där kommunikations- och informationssystem används för att visa, lagra, bearbeta eller överföra information som säkerhetsskydds- klassificerats som NATO RESTRICTED el- ler där det är möjligt att få åtkomst till sådan information får inrättas som administrativa zoner.

Class I or Class II Security Area in an ap- proved secure cabinet.

18. NATO RESTRICTED (NR). Infor- mation classified NR shall be stored in a locked cabinet or office furniture (e.g. office desk drawer) within an Administrative Zone, Class I Security Area, or Class II Se- curity Area. Information classified NR may also be stored in a locked cabinet, vault, or open storage area approved for information classified NC or higher.

19. Additional details and requirements for the storage of NATO Classified Information are set out in the supporting Directive on Physical Security.

PHYSICAL PROTECTION OF COM- MUNICATION AND INFORMATION SYSTEMS

20. Areas in which NATO Classified Infor- mation is presented or handled using infor- mation technology, or where potential ac- cess to such information is possible, shall be established in a way that the aggregate re- quirement for confidentiality, integrity and availability is met.

21. Areas in which CIS are used to display, store, process, or transmit information clas- sified NC and above, or where potential ac- cess to such information is possible, shall be established as NATO Class I or Class II Se- curity Areas or the national equivalent. Ar- eas in which CIS are used to display, store, process or transmit information classified NR, or where potential access to such infor- mation is possible, may be established as Administrative Zones.

22. Tillträde till utrymmen där ytterst vik- tiga komponenter i kommunikations- och in- formationssystem förvaras och hanteras ska särskilt kontrolleras och begränsas till end- ast personal med tillstånd att vara i utrym- met och anknytning till säkerhet och system-

/nät-/krypteringsadministrering.

SKYDD MOT TEKNISKA ANGREPP

23. Kontor eller utrymmen där information som säkerhetsskyddsklassificerats som NATO SECRET regelbundet diskuteras ska med hjälp av pålitliga fysiska säkerhetsåt- gärder och behörighetskontroll skyddas mot passiva och aktiva avlyssningsangrepp, om risken förutsätter det. Ansvaret för att fast- ställa risken ska samordnas med tekniska sakkunniga, och beslut om det ska fattas av en behörig säkerhetsmyndighet. Det stöd- jande direktivet om fysisk säkerhet innehål- ler närmare information om skydd mot pas- siv och aktiv avlyssning.

GODKÄND UTRUSTNING

24. Natos medlemsstater får endast använda utrustning som har godkänts för skydd av Natos säkerhetsskyddsklassificerade inform- ation av behörig säkerhetsmyndighet. Natos civila och militära organ ska se till att all ut- rustning som köpts har godkänts av en av Natos medlemsstater för användning i lik- nande förhållanden. Natos civila och mili- tära organ får också köpa utrustning som blivit godkänd för användning av en behörig säkerhetsmyndighet på grundval av en slut- förd riskbedömning som stöder minskning eller begränsning av den identifierade risken eller de identifierade riskerna.

22. Access to areas where critical CIS com- ponents are housed and managed shall be specifically controlled and limited to only authorised personnel associated with secu- rity and system/network/crypto administra- tion.

PROTECTION AGAINST TECHNICAL ATTACKS

23. Offices or areas in which information classified NS and above is regularly dis- cussed shall be protected against passive and active eavesdropping attacks, by means of sound physical security measures and access control, where the risk warrants it. The re- sponsibility for determining the risk shall be co-ordinated with technical specialists and decided by the appropriate security author- ity. The supporting Directive on Physical Security provides details on protection against passive and active eavesdropping.

APPROVED EQUIPMENT

24. NATO Nations shall only use equipment which has been approved for the protection of NATO Classified Information by an ap- propriate security authority. NATO Civil and Military bodies shall ensure that any equipment purchased has been approved for use by one of the NATO Nations in similar conditions. NATO Civil and Military bodies may also purchase equipment approved for use by an appropriate security authority based on a completed risk assessment that supports the reduction or mitigation of the identified risk(s).

BILAGA E C-M(2002)49-REV1

BILAGA E SÄKERHET FÖR NATOS SÄKER-

HETSSKYDDSKLASSIFICERADE IN- FORMATION

INLEDNING

1. I denna bilaga presenteras strategin och miniminormerna för säkerheten för Natos säkerhetsskyddsklassificerade information. Ytterligare detaljer och krav finns i det stöd- jande direktivet om säkerhet för Natos sä- kerhetsskyddsklassificerade information (AC/35-D/2002).

2. Informationssäkerhet är vidtagande av all- männa skyddsåtgärder och tillämpning av skyddsförfaranden för att förhindra, upp- täcka och avhjälpa förlust eller läcka av sä- kerhetsskyddsklassificerad information. Sä- kerhetsskyddsklassificerad information ska skyddas under hela sin livscykel i enlighet med en nivå som motsvarar dess säkerhets- skyddsklassificering. Vid hanteringen ska det ses till att den har en lämplig säkerhets- skyddsklassificering, är tydligt identifierad som säkerhetsskyddsklassificerad informat- ion och förblir säkerhetsskyddsklassificerad endast så länge som detta behövs. Informat- ionssäkerhet ska kompletteras med personal- säkerhet, fysisk säkerhet och säkerhet i kommunikations- och informationssystem för att säkerställa en balanserad uppsättning åtgärder som skydd för Natos säkerhets- skyddsklassificerade information.

NATOS SÄKERHETSSKYDDSKLASSI- FICERING, SÄRSKILDA KODER, MÄRKNINGAR OCH ALLMÄNNA PRINCIPER

3. Den som informationen härrör från ansva- rar för att fastställa säkerhetsskyddsklassifi- ceringen och den första spridningen av den säkerhetsskyddsklassificerade informat- ionen.

ENCLOSURE “E”

C-M(2002)49-REV1

ENCLOSURE “E”

SECURITY OF NATO CLASSIFIED IN- FORMATION

INTRODUCTION

1. This Enclosure sets out the policy and minimum standards for the security of NATO Classified Information. Additional details and requirements are found in the supporting Directive on the Security of NATO Classified Information (AC/35- D/2002).

2. Security of information is the application of general protective measures and proce- dures to prevent, detect and recover from the loss or compromise of classified infor- mation. Classified information shall be pro- tected throughout its life cycle to a level commensurate with its security classifica- tion. It shall be managed to ensure that it is appropriately classified, is clearly identified as classified and remains classified only as long as this is necessary. Security of infor- mation shall be complemented by Personnel, Physical and Communication and Infor- mation Systems (CIS) Security in order to ensure a balanced set of measures for the protection of NATO Classified Information.

NATO SECURITY CLASSIFICA- TIONS, SPECIAL DESIGNATORS, MARKINGS AND GENERAL PRINCIPLES

3. The originator is responsible for deter- mining the security classification and initial dissemination of classified information.

4. Säkerhetsskyddsklassificeringsnivån får inte ändras eller sänkas och beslut om att in- formationen inte längre ska vara säkerhets- skyddsklassificerad får inte fattas utan sam- tycke av den som informationen härrör från. När säkerhetsskyddsklassificeringsnivån fastställs ska den som informationen härrör från om möjligt ange huruvida den säker- hetsskyddsklassificerade informationen kan inplaceras på en lägre säkerhetsskyddsklas- sificeringsnivå eller beslut om att informat- ionen inte längre ska vara säkerhetsskydds- klassificerad kan meddelas vid en viss tid- punkt eller händelse.

5. Den angivna säkerhetsskyddsklassifice- ringen avgör med hurdan fysisk säkerhet och säkerhet i kommunikations- och inform- ationssystem informationen skyddas när den lagras, överförs, sänds, sprids och utplånas samt en hurdan godkänd säkerhetsprövning av person (PSC) som krävs för åtkomst till informationen. Därför ska både överklassifi- cering och underklassificering undvikas för att garantera faktisk säkerhet och effektivi- tet.

6. Säkerhetsskyddsklassificerad information ska förses med märkning av säkerhets- skyddsklassificering för att ange vilken eventuell skada Natos och/eller dess med- lemsstaters säkerhet kan drabbas av om in- formationen är föremål för obehörigt rö- jande. Den som den säkerhetsskyddsklassifi- cerade informationen härrör från har privile- giet att fastställa eller ändra säkerhets- skyddsklassificeringen. Natos säkerhets- skyddsklassificeringsnivåer och deras bety- delse är följande:

a) COSMIC TOP SECRET (CTS) obehörigt röjande skulle orsaka Nato ex- ceptionellt allvarlig skada,

b) NATO SECRET (NS)

obehörigt röjande skulle orsaka Nato all- varlig skada,

c) NATO CONFIDENTIAL (NC) obehörigt röjande skulle skada Nato, och

d) NATO RESTRICTED (NR)

4. The security classification shall not be changed, downgraded or declassified with- out the consent of the originator. At the time of its creation, the originator shall indicate, where possible, whether their classified in- formation can be downgraded or declassi- fied on a certain date or event.

5. The security classification assigned deter- mines the physical and CIS Security pro- vided to the information in storage, transfer and transmission, its circulation, destruction and the Personnel Security Clearance (PSC) required for access. Therefore, both over- classification and underclassification shall be avoided in the interests of effective secu- rity as well as efficiency.

6. Security classifications shall be applied to classified Information in order to indicate the possible damage to the security of NATO and/or its member Nations if the in- formation is subjected to unauthorised dis- closure. It is the prerogative of the originator of the classified information to determine or modify the security classification. NATO security classifications and their significance are:

(a) COSMIC TOP SECRET (CTS) unauthorised disclosure would result in exceptionally grave damage to NATO;

(b) NATO SECRET (NS) unauthorised disclosure would result in grave damage to NATO;

(d) NATO RESTRICTED (NR)

obehörigt röjande skulle vara icke önsk- värt för Natos intressen och effektivitet.

7. Natos säkerhetsskyddsklassificering visar hur känslig Natos säkerhetsskyddsklassifice- rade information är och tillämpas för att fästa mottagarnas uppmärksamhet vid beho- vet av att säkerställa ett skydd som motsva- rar den grad av skada som skulle uppstå till följd av obehörig åtkomst eller obehörigt rö- jande.

8. Den information som säkerhetsskydds- klassificerats som NATO UNCLASSIFIED eller offentlig information ska skyddas och hanteras i enlighet med strategin för hante- ring av Natoinformation (C-M(2007)0118) och handlingen om hanteringen av icke-sä- kerhetsskyddsklassificerad Natoinformation (C-M(2002)60).

9. Planeringen, förberedelserna, genomfö- randet och stödet i samband med Natos op- erationer, utbildning, övningar, transformat- ion och samarbete (OTETC) kan kräva att särskilda ytterligare säkerhetsaspekter beak- tas; den stödjande handlingen om delning av underrättelseinformation och annan inform- ation med enheter som inte hör till Nato (AC/35-D/1040) innehåller säkerhetsbe- stämmelser och säkerhetsanvisningar som är tillämpliga i dessa situationer.

10. Natos medlemsstater och Natos civila och militära organ ska vidta åtgärder i syfte att se till att säkerhetsskyddsklassificerad in- formation som skapats av eller tillhandahål- lits Nato ges korrekt säkerhetsskyddsklassi- ficering och skyddas i enlighet med kraven i det stödjande direktivet om säkerhet för Na- tos säkerhetsskyddsklassificerade informat- ion.

11. Vart och ett av Natos civila eller militära organ ska inrätta ett system för säkerstäl- lande av att information som säkerhets- skyddsklassificerats som COSMIC TOP SECRET och som härrör från organet ses över minst vart femte år och information som säkerhetsskyddsklassificerats som NATO SECRET ses över minst vart tionde

unauthorised disclosure would be detri- mental to the interests or effectiveness of NATO.

7. NATO security classifications indicate the sensitivity of NATO Classified Infor- mation and are applied in order to alert re- cipients to the need to ensure protection in proportion to the degree of damage that would occur from unauthorised access or disclosure.

8. NATO UNCLASSIFIED information and Information releasable to the Public shall be protected and handled in accordance with the NATO Information Management Policy (C-M(2007)0118) and The Management of Non-Classified NATO Information (C- M(2002)60).

9. The planning, preparation, execution and support relating to NATO Operations, Training, Exercises, Transformation and Co- operation (OTETC) may require specific ad- ditional security aspects to be addressed; the Supporting Document on Information and Intelligence Sharing with Non-NATO Enti- ties (AC/35-D/1040) contains security pro- visions and guidance applicable in these circumstances.

10. NATO Nations and NATO Civil and Military bodies shall introduce measures to ensure that classified information created by, or provided to NATO is assigned the correct security classification, and is pro- tected in accordance with the requirements of the supporting Directive on the Security of NATO Classified Information.

11. Each NATO Civil or Military Body shall establish a system to ensure that CTS infor- mation which it has originated is reviewed no less frequently than every five years and NS information no less frequently than every 10 years in order to ascertain whether the security classification still applies. Such

år för att kontrollera om säkerhetsskydds- klassificeringen fortfarande är tillämplig. En sådan översyn är inte nödvändig i de fall där den som informationen härrör från i förväg har bestämt att särskild säkerhetsskyddsklas- sificerad Natoinformation automatiskt ska inplaceras på en lägre säkerhetsskyddsklas- sificeringsnivå efter en i förväg bestämd pe- riod och informationen har märkts på detta sätt.

12. Den övergripande säkerhetsskyddsklas- sificeringen för en handling ska vara minst lika hög som den del som fått den högsta sä- kerhetsskyddsklassificeringen. Omslag ska märkas med Natos säkerhetsskyddsklassifi- cering som tillämpas på hela den informat- ion som de bifogats till. Om möjligt ska till exempel stycken, bilagor, tillägg och så vi- dare i handlingar som säkerhetsskyddsklas- sificerats som NATO RESTRICTED eller högre märkas på lämpligt sätt av den som informationen härrör från för att underlätta beslut om ytterligare spridning.

13. När en stor mängd av Natos säkerhets- skyddsklassificerade information samlas ihop ska de ursprungliga säkerhetsskydds- klassificeringsmärkningarna bibehållas och en bedömning av hur organisationen påver- kas om den samlade informationen går för- lorad eller läcker göras. Om denna övergri- pande effekt bedöms vara större än effekten av Natos berörda enskilda säkerhetsskydds- klassificeringsnivåer, ska hantering och skydd av den samlade informationen på en nivå som motsvarar den bedömda effekten av att den samlade informationen går förlo- rad eller läcker övervägas.

Ytterligare märkningar

14. COSMIC och NATO är märkningar som när de tillämpas på Natos säkerhetsskydds- klassificerade information innebär att in- formationen ska skyddas i enlighet med Na- tos säkerhetsstrategi.

Beteckningar för särskilda kategorier

15. ATOMAL är en märkning som används på information av särskild kategori och som

a review is not necessary in those instances where the originator has predetermined that specific NATO Classified Information shall be automatically downgraded after a predetermined period and the classified in- formation has been so marked.

12. The overall security classification of a document shall be at least as high as that of its most highly classified component. Cover- ing documents shall be marked with the overall NATO security classification of the information to which they are attached. Where possible, component parts like paragraphs, enclosures, annexes, etc., of documents classified NR and above should be marked appropriately by the originator to facilitate decisions on further dissemination.

13. When a large amount of NATO Classi- fied Information is collated together, the original security classification markings shall be retained and that information shall be assessed for the impact its collective loss or compromise would have upon the organi- zation. If this overall impact is assessed as being higher than the impact of the actual individual NATO security classifications then consideration should be given to han- dling and protecting it at a level commensu- rate with the assessed impact of its loss or compromise.

Qualifying Markings

14. The terms COSMIC and NATO are qualifying markings which, when applied to NATO Classified Information, signify that the information shall be protected in accord- ance with NATO Security Policy.

Special Category Designators

15. The term "ATOMAL" is a marking ap- plied to special category information signi- fying that the information shall be protected

anger att informationen ska skyddas i enlig- het med avtalet mellan parterna i nordatlan- tiska fördraget om samarbete avseende nuk- leär information (C-M(64)39) och de stöd- jande administrativa arrangemangen (C- M(68)41).

16. SIOP är en märkning som används på information av särskild kategori och som anger att informationen ska skyddas i enlig- het med C-M(71)27(Reviderad), som gäller särskilda förfaranden för hantering av in- formation om Förenta staternas gemen- samma operativa plan (US-Siop) i Nato.

17. CRYPTO är en märkning och en sär- skild kategoribeteckning som anges på allt Comsec-nyckelmaterial som används för att skydda eller autentisera telekommunikation som innehåller Natos kryptografiska säker- hetsrelaterad information och som anger att informationen ska skyddas i enlighet med lämpliga kryptografiska säkerhetsstrategier och säkerhetsdirektiv.

18. BOHEMIA är en märkning som används för information av särskild kategori som härrör från eller avser kommunikationssig- nalspaning (COMINT). All information med märkningen COSMIC TOP SECRET — BOHEMIA skyddas strikt i enlighet med MC 101 (Natos signalspaningsstrategi) och alliansens gemensamma publikation AJP, som redogör för MC 101 och som berör till- lämpliga principer, samt den handbok om Sigint-administrationen och Sigint-förfaran- dena som Natos rådgivande kommitté för signalspaning publicerat.

Märkningar om begränsad spridning

19. Den som informationen härrör från kan använda en märkning om begränsad sprid- ning som en ytterligare märkning genom vil- ken spridningen av Natos säkerhetsskydds- klassificerade information begränsas ytterli- gare.

KONTROLL OCH HANTERING

Syftena med ansvarsskyldighet

in accordance with the Agreement between the Parties to the North Atlantic Treaty for Co-operation Regarding Atomic Infor- mation (C-M(64)39) and the supporting Ad- ministrative Arrangements (C-M(68)41).

16. The term "SIOP" is a marking applied to special category information signifying that the information shall be protected in accord- ance with "Special Procedures for the Han- dling of United States Single Integrated Op- erational Plan (US-SIOP) Information Within NATO C-M(71)27(Revised)”.

17. The term “CRYPTO” is a marking and a special category designator identifying all COMSEC keying material used to protect or authenticate telecommunications carrying NATO cryptographic security-related infor- mation; signifying that the information shall be protected in accordance with the appro- priate cryptographic security policies and di- rectives.

18. The term “BOHEMIA” is a marking ap- plied to special category information de- rived from or pertaining to Communications Intelligence (COMINT). All information marked COSMIC TOP SECRET - BOHE- MIA will be protected in strict accordance with MC 101 (NATO Signals Intelligence Policy) and its companion Allied Joint Pub- lication (AJP) which covers doctrine and the NACSI Guide to SIGINT Administration and Procedures which addresses administra- tion and procedures.

Dissemination Limitation Markings

19. As an additional marking to further limit the dissemination of NATO Classified In- formation, a Dissemination Limitation Marking may be applied by the originator.

CONTROL AND HANDLING

Objectives of Accountability

20. Huvudsyftet med ansvarsskyldigheten är att tillhandahålla tillräcklig information för undersökning av en avsiktlig eller oavsiktlig förlust eller läcka av information som om- fattas av ansvarsskyldighet och att bedöma de skador som uppstått till följd av förlusten eller läckan. Xxxxxx på ansvarsskyldighet syftar till att skapa disciplinerad hantering och kontroll av åtkomst till information som omfattas av ansvarsskyldighet.

21. De underordnade målen är

a) att följa åtkomsten till information som omfattas av ansvarsskyldighet, det vill säga vem som faktiskt eller potentiellt har haft åtkomst till informationen och vem som har försökt få åtkomst till informat- ionen,

b) att känna till var information som om- fattas av ansvarsskyldighet finns,

c) att följa var information som omfattas av ansvarsskyldighet rör sig inom Nato och nationellt, och

d) att föra bok över information som om- fattas av ansvarsskyldighet och som har lämnats ut till enheter som inte hör till Nato.

22. Information som säkerhetsskyddsklassi- ficerats som COSMIC TOP SECRET, NATO SECRET eller ATOMAL ska omfat- tas av ansvarsskyldighet samt kontrolleras och hanteras i enlighet med kraven i denna bilaga och det stödjande direktivet om sä- kerhet för Natos säkerhetsskyddsklassifice- rade information. Om så krävs enligt nation- ella lagar och regler, kan den information som är försedd med någon annan säkerhets- skyddsklassificering eller särskild kategori- märkning betraktas som information som omfattas av ansvarsskyldighet.

Registreringssystemet

23. Registreringssystemets säkerhetsförfa- randen och säkerhetskrav gäller på samma sätt i både fysiska och elektroniska miljöer. Ytterligare detaljer och krav som gäller de elektroniska miljöerna finns i bilaga F till

20. The primary objective of accountability is to provide sufficient information to be able to investigate a deliberate or accidental loss or compromise of accountable infor- mation and assess the damage arising from the loss or compromise. The requirement for accountability serves to impose a discipline on the handling of, and control of access to, accountable information.

21. Subordinate objectives are:

(a) to keep track of access to accountable information – who has, or potentially has, had access to accountable information; and who has attempted to access account- able information;

(b) to know the location of accountable information;

(d) register accountable information that has been released to NNEs.

22. Information classified CTS, NS and ATOMAL shall be accountable, controlled and handled in accordance with the require- ments of this Enclosure and the supporting Directive on the Security of NATO Classi- fied Information. Where required by na- tional laws and regulations, information bearing other classification or special cate- gory markings may be considered as ac- countable information.

The Registry System

23. The security procedures and require- ments of the registry system apply equally across both the physical and electronic do- mains. Additional details and requirements concerning the electronic domain can be

denna C-M-handling och i handlingens stöd- jande direktiv.

24. Det ska finnas ett registreringssystem med ansvar för mottagande, registrering, hantering, distribution och utplåning av in- formation som omfattas av ansvarsskyldig- het. Detta ansvar kan fullgöras antingen ge- nom ett enda registreringssystem, varvid in- formation som säkerhetsskyddsklassificerats som COSMIC TOP SECRET och annan in- formation av särskild kategori alltid ska vara strikt åtskilda, eller genom att inrätta sepa- rata register och kontrollpunkter.

25. Beroende på vad som är lämpligt ska varje medlemsstat i Nato eller vart och ett av Natos civila eller militära organ inrätta ett eller flera centralregister för information som säkerhetsskyddsklassificerats som COSMIC TOP SECRET, varvid registret fungerar som den huvudsakliga mottagande och avsändande myndigheten i den med- lemsstat eller det organ där det har inrättats. Centralregistret kan också fungera som ett register för annan information som omfattas av ansvarsskyldighet.

26. Registren och kontrollpunkterna ska fun- gera som ansvariga organisationer för den interna distributionen av information som säkerhetsskyddsklassificerats som COSMIC TOP SECRET och NATO SECRET och för registreringen av all information som omfat- tas av ansvarsskyldighet och som registret eller kontrollpunkten i fråga ansvarar för; re- gistren och kontrollpunkterna kan inrättas på ministerie-, avdelnings- eller ledningsnivå. Information som säkerhetsskyddsklassifice- rats som NATO CONFIDENTIAL eller NATO RESTRICTED behöver inte registre- ras i registreringssystemet, om inte det före- skrivs i nationella lagar och regler.

27. Register och kontrollpunkter ska alltid kunna lokalisera var Natoinformation som omfattas av ansvarsskyldighet finns. Oregel- bunden och tillfällig åtkomst till sådan in- formation kräver inte nödvändigtvis att ett register eller en kontrollpunkt inrättas, förut-

found within Enclosure “F” to this C-M and its supporting directives.

24. There shall be a Registry System which is responsible for the receipt, accounting, handling, distribution and destruction of ac- countable information. Such a responsibility may be fulfilled either within a single Regis- try System, in which case strict compart- mentalisation of information classified CTS and other special category information shall be maintained at all times, or by establishing separate registries and control points.

25. Each NATO Nation or NATO Civil or Military Body, as appropriate, shall estab- lish a Central Registry(s) for information classified CTS, which acts as the main re- ceiving and dispatching authority for the Nation or body within which it has been es- tablished. The Central Registry(s) may also act as a registry(s) for other accountable in- formation.

26. Registries and control points shall act as the responsible organization for the internal distribution of information classified CTS and NS and for keeping records of all ac- countable information held on that registry’s or control point’s charge; they may be estab- lished at ministry, department, or command levels. NC and NR information is not re- quired to be processed through the Registry System unless specified by national laws and regulations.

27. With regard to NATO accountable infor- mation, registries and control points shall be able at all times to establish its location. In- frequent and temporary access to such infor- mation does not necessarily require the es- tablishment of a registry or control point,

satt att det finns förfaranden för säkerstäl- lande av att informationen förblir under re- gistreringssystemets kontroll.

28. Spridningen av information som säker- hetsskyddsklassificerats som COSMIC TOP SECRET ska ske via Cosmic-registret. I varje register ska minst en gång per år en in- ventering av all information som omfattas av ansvarsskyldighet som säkerhetsskydds- klassificerats som COSMIC TOP SECRET göras i enlighet med kraven i det stödjande direktivet om säkerhet för Natos säkerhets- skyddsklassificerade information. Obero- ende av typen av registerorganisation ska de organisationer som hanterar information som säkerhetsskyddsklassificerats som COSMIC TOP SECRET utse en Cosmic- tjänsteman med ansvar för kontroll (CCO).

29. I det stödjande direktivet om säkerhet för Natos säkerhetsskyddsklassificerade in- formation fastställs bland annat vad Cosmic- tjänstemannen med ansvar för kontroll an- svarar för, detaljerade förfaranden för hante- ring av information som säkerhetsskydds- klassificerats som COSMIC TOP SECRET eller NATO SECRET i registreringssyste- met, förfaranden för återgivning och över- sättning av samt utdrag ur Natos säkerhets- skyddsklassificerade information, krav för spridning och överföring av den samt krav för eliminering och utplåning av den.

30. Militärkommittén har inrättat ett separat system för fullgörande av ansvarsskyldighet samt för kontroll och distribution när det gäller kryptografiskt material. Material som överförs genom detta system kräver inte fullgörande av ansvarsskyldighet i registre- ringssystemet.

BEREDSKAPSPLANERING

31. Natos medlemsstater och Natos civila och militära organ ska utarbeta beredskaps- planer för skydd eller utplåning av Natos sä- kerhetsskyddsklassificerade information i krislägen för att förhindra obehörig åtkomst

provided that procedures are in place to en- sure that the information remains under the control of the Registry System.

28. The dissemination of information classi- fied CTS shall be through COSMIC registry channels. At least annually, each registry shall carry out an inventory of all infor- mation classified CTS for which it is ac- countable, in accordance with the require- ments of the supporting Directive on the Se- curity of NATO Classified Information. Re- gardless of the type of registry organization, those that handle information classified CTS shall appoint a “COSMIC Control Officer” (CCO).

29. The supporting Directive on the Security of NATO Classified Information sets out, inter alia, the responsibilities of the CCO, the detailed registry system handling pro- cesses for information classified CTS and NS, the procedures for reproductions, trans- lations and extracts, the requirements for the dissemination and transfer, and the require- ments for the disposal and destruction of NATO Classified Information.

30. The Military Committee (MC) has es- tablished a separate system for the accounta- bility, control and distribution of crypto- graphic material. Material being transferred through this system does not require ac- countability in the Registry System.

CONTINGENCY PLANNING

31. NATO Nations and NATO Civil and Military bodies shall prepare contingency plans for the protection or destruction, dur- ing emergency situations, of NATO Classi- fied Information to prevent unauthorised ac- cess and disclosure and loss of availability.

eller obehörigt röjande, eller att tillgänglig- het går förlorad. Dessa planer ska grunda sig på regelbundet granskade hotbedömningar och ge högsta prioritet åt den känsligaste in- formationen och den uppdrags- och tidskri- tiska informationen.

SÄKERHETSINCIDENTER

32. En säkerhetsincident är en händelse eller någon annan tilldragelse som kan ha en ne- gativ inverkan på säkerheten för Natos sä- kerhetsskyddsklassificerade information och som kräver ytterligare utredningsåtgärder för exakt avgörande av om den utgör en sä- kerhetsöverträdelse eller säkerhetsförseelse.

Säkerhetsöverträdelse

33. En säkerhetsöverträdelse är en avsiktlig eller oavsiktlig handling eller underlåtenhet som strider mot säkerhetsbestämmelserna i denna strategi och som kan leda till en fak- tisk eller eventuell läcka av Natos säkerhets- skyddsklassificerade information eller de stödjande tjänsterna och resurserna.

Läcka

34. En läcka innebär en situation där Natos säkerhetsskyddsklassificerade information eller de stödjande tjänsterna och resurserna på grund av en säkerhetsöverträdelse eller på grund av skadlig verksamhet har förlorat sin konfidentialitet, riktighet eller tillgäng- lighet. Detta inbegriper förlust, röjande till obehöriga personer, otillåtna ändringar, ut- plåning på otillåtet sätt eller överbelastning.

Förseelse

35. En förseelse är en avsiktlig eller oavsikt- lig handling eller underlåtenhet som strider mot säkerhetsbestämmelserna i denna stra- tegi och som inte leder till en faktisk eller eventuell läcka av Natos säkerhetsskydds- klassificerade information.

36. Alla säkerhetsöverträdelser eller eventu- ella säkerhetsöverträdelser ska omedelbart rapporteras till den behöriga säkerhetsmyn- digheten. Varje rapporterad säkerhetsöver-

These plans will be based on periodically re- viewed threat assessments and shall give highest priority to the most sensitive, and mission- or time-critical information.

SECURITY INCIDENTS

32. A Security Incident is an event or other occurrence that may have an adverse effect upon the security of NATO Classified Infor- mation which requires further investigative actions in order to accurately determine whether or not it constitutes a Security Breach or Infraction.

Security Breach

33. A Security Breach is an act or omission, deliberate or accidental, contrary to the se- curity rules laid down in this policy that may result in the actual or possible compromise of NATO Classified Information or support- ing services and resources.

Compromise

34. Compromise denotes a situation when, due to a Security Breach or adverse activity, NATO Classified Information has lost its confidentiality, integrity or availability, or supporting services and resources have lost their integrity or availability. This includes loss, disclosure to unauthorized individuals, unauthorised modification, destruction in an unauthorised manner, or denial of service.

Infraction

35. Infraction is an act or omission, deliber- ate or accidental, contrary to the security rules laid down in this policy, that does not result in the actual or possible compromise of NATO Classified Information.

36. All Security Breaches or potential Secu- rity Breaches shall be reported immediately to the appropriate security authority. Each reported Security Breach shall be investi-

trädelse ska utredas av personer som har er- farenhet av säkerhet, utredning och, i före- kommande fall, kontraspionage och som är oberoende av de personer som direkt berörs av säkerhetsöverträdelsen. Det stödjande di- rektivet om säkerhet för Natos säkerhets- skyddsklassificerade information innehåller närmare information om de åtgärder som ska vidtas vid upptäckt av en säkerhetsöver- trädelse eller säkerhetsförseelse.

RAPPORTERING

37. Huvudsyftet med att rapportera säker- hetsöverträdelser och läckor av Natos säker- hetsskyddsklassificerade information är att ge den Natoaktör som informationen härrör från möjlighet att bedöma den skada som Nato åsamkas och att vidta behövliga eller möjliga åtgärder för att minimera skadan. Rapporter om skadebedömningen och de minimeringsåtgärder som vidtagits ska sän- das till Natos säkerhetsbyrå av den nation- ella säkerhetsmyndigheten eller den utsedda säkerhetsmyndigheten eller av chefen för det berörda civila eller militära Natoorganet.

38. Om möjligt ska den Natoaktör som in- formationen härrör från informeras samti- digt som Natos säkerhetsbyrå av den rappor- terande myndigheten, men Natos säkerhets- byrå kan uppmanas att informera när den som informationen härrör från är svår att identifiera. Tidpunkten för att lämna in rap- porter till Natos säkerhetsbyrå beror på in- formationens känslighet och omständighet- erna.

39. Natos säkerhetsbyrå kan på Natos gene- ralsekreterares vägnar begära att de behöriga myndigheterna gör ytterligare utredningar och rapporterar sina upptäckter till Natos sä- kerhetsbyrå. Beroende på omständigheterna och hur allvarlig läckan är kan Natos säker- hetsbyrå informera säkerhetskommittén.

40. I det stödjande direktivet om säkerhet för Natos säkerhetsskyddsklassificerade in- formation fastställs i detalj åtgärder, regi- strering och rapporteringskrav vid säkerhets- överträdelser och äventyrande av säker- heten.

gated by individuals who have security, in- vestigative and, where appropriate, counter- intelligence experience, and who are inde- pendent of those individuals immediately concerned with the Security Breach. The supporting Directive on Security of NATO Classified Information provides details on actions to be taken upon discovery of a Se- curity Breach or Infraction.

REPORTING

37. The main purpose of reporting Security Breaches and compromises of NATO Clas- sified Information is to enable the originat- ing NATO component to assess the resulting damage to NATO and to take whatever ac- tion is desirable or practicable to minimize the damage. Reports of the damage assess- ment and minimising action taken shall be forwarded to the NOS by the NSA/DSA or Head of the NATO Civil or Military Body concerned.

38. Where possible, the reporting authority should inform the originating NATO com- ponent at the same time as the NOS, but the latter may be requested to do this when the originator is difficult to identify. The timing of submitting reports to the NOS depends on the sensitivity of the information and the cir- cumstances.

39. The NOS, on behalf of the Secretary General of NATO, may request the appro- priate authorities to make further investiga- tions and to report their findings back to the NOS. Depending upon the circumstances and severity of the compromise, the NOS may inform the Security Committee (SC).

40. The supporting Directive on the Security of NATO Classified Information sets out the detailed actions, records and reporting requirements for Security Breaches and compromises of security.

41. Särskilda bestämmelser om läckor av kryptografiskt material har utfärdats av mili- tärkommittén till kommunikationssäkerhets- myndigheterna i Natos medlemsstater och till Natos civila och militära organ.

41. Separate provisions relating to the com- promise of cryptographic material have been issued by the MC to communications secu- rity authorities of NATO Nations and NATO Civil and Military bodies.

BILAGA F C-M(2002)49-REV1

BILAGA F

SÄKERHET I KOMMUNIKATIONS- OCH INFORMATIONSSYSTEM

1. INLEDNING

1.1. I denna bilaga presenteras strategin och miniminormerna för skydd av Natos säker- hetsskyddsklassificerade information och systemstödjande tjänster och resurser1 när det gäller kommunikations- och informat- ionssystem och andra elektroniska system vid lagring, bearbetning eller överföring av Natos säkerhetsskyddsklassificerade inform- ation.

1.2. Denna bilaga stöder Natos strategi för informationshantering och kompletterar strategin för hantering av icke-säkerhets- skyddsklassificerad Natoinformation där de grundläggande principer och normer finns som ska tillämpas i Natos civila och militära organ samt Natos medlemsstater för att skydda icke-säkerhetsskyddsklassificerad Natoinformation.

1.3. Säkerhet i kommunikations- och in- formationssystem (CIS Security) är en av faktorerna vid informationssäkring (figur 1) och definieras som vidtagande av säkerhets- åtgärder för att skydda kommunikations- och informationssystem och andra elektro- niska system2 samt den information som lagras, behandlas eller överförs3 i dessa sy- stem med avseende på konfidentialitet, rik- tighet, tillgänglighet, autentisering och oav- vislighet.

ENCLOSURE “F”

C-M(2002)49-REV1

ENCLOSURE “F” COMMUNICATION AND INFOR- MATION SYSTEM SECURITY

1. INTRODUCTION

1.1. This Enclosure sets out the policy and minimum standards for the protection of NATO classified information, and support- ing system services and resources1 in com- munication, information and other electronic systems storing, processing or transmitting NATO classified information.

1.2. This Enclosure supports the NATO In- formation Management Policy and comple- ments the Policy on Management of Non- Classified NATO Information which ad- dresses the basic principles and standards to be applied within NATO civil and military bodies and NATO member nations for the protection of non-classified NATO infor- mation.

1.3. Communication and Information Sys- tem Security (CIS Security) is one of the el- ements of Information Assurance (Figure 1) and is defined as the application of security measures for the protection of communica- tion, information and other electronic sys- tems2, and the information that is stored, processed or transmitted3 in these systems with respect to confidentiality, integrity, availability, authentication and non-repudia- tion.

1 Med systemstödjande tjänster och resurser avses de tjänster och resurser som krävs för att säkerställa att säker- hetsmålen för kommunikations- och informationssystem (CIS) nås; tjänsterna och resurserna innefattar till exempel kryptoprodukter och krypteringsmekanismer, Comsec-material, katalogtjänster samt arrangemang för och kontroll av användarmiljön.

1 Supporting System Services and Resources - those services and resources required to ensure that the security ob- jectives of the CIS are achieved; to include, for example, cryptographic products and mechanisms, COMSEC mate- rials, directory services, and environmental facilities and controls.

2 Nedan i denna bilaga kommunikations- och informationssystem.

2 Hereafter referred to within this Enclosure as CIS.

3 Nedan i denna bilaga hantera.

3 Hereafter referred to within this Enclosure as handled.

1.4. För att nå säkerhetsmålen konfidentiali- tet, riktighet, tillgänglighet, autentisering och oavvislighet4 för säkerhetsskyddsklassi- ficerad information som hanteras i dessa kommunikations- och informationssystem (CIS) ska en väl avvägd uppsättning säker- hetsåtgärder (fysisk säkerhet, personalsäker- het, informationssäkerhet och säkerhet i kommunikations- och informationssystem) genomföras för att skapa en säker driftsmiljö för systemen. När säkerhetsskyddsklassifi- cerad information med stöd av kontrakt han- teras av industrin, ska ytterligare särskilda industrisäkerhetsåtgärder vidtas i enlighet med bilaga G till denna C-M-handling och det stödjande direktivet om industrisäkerhet.

[*Figur i slutet av dokumentet]

Figur 1 – Förhållandet mellan informationssäk- ring och säkerhet i kommunikations- och inform- ationssystem (CIS Security)

1.5. I det primära direktivet om säkerhet i kommunikations- och informationssystem (CIS Security), som offentliggjorts av säker- hetskommittén (SC) och samråds- och led- ningsnämnden (C3B) till stöd för denna stra- tegi, behandlas säkerhetsåtgärder i kommu- nikations- och informationssystem under sy- stemens livscykel samt kommittéernas och Natos civila och militära organs ansvar för säkerheten i systemen. Det primära direkti- vet om säkerhet i kommunikations- och in- formationssystem stöds av direktiv som gäl- ler ledning av säkerheten i kommunikations- och informationssystem (inklusive hantering av säkerhetsrisker, säkerhetsackreditering, säkerhetsrelaterad dokumentation och säker- hetsöversyn/säkerhetsinspektion) och aspekter på teknik och genomförande när det gäller säkerheten i kommunikations- och informationssystem (inklusive datorsäkerhet

1.4. In order to achieve the security objec- tives of confidentiality, integrity, availabil- ity, authentication and non-repudiation4 for classified information handled in these CIS, a balanced set of security measures (physi- cal, personnel, information and CIS) shall be implemented to create a secure environment in which to operate a CIS. Where classified information is handled by industry in con- tracts, additional specific industrial security measures shall be applied in accordance with Enclosure G of this C-M and the sup- porting industrial security directive.

[*Figure at the end of the document]

Figure 1 - Relationship between Information As- surance and CIS Security

1.5. The “Primary Directive on CIS Secu- rity”, which is published by the SC and the C3B in support of this policy, addresses the CIS Security activities in the CIS life-cycle, and the CIS Security responsibilities of committees, and NATO civil and military bodies. The “Primary Directive on CIS Se- curity” is supported by directives addressing CIS Security management (including secu- rity risk management, security accreditation, security-related documentation, and security review / inspection) and CIS Security tech- nical and implementation aspects (including computer and local area network (LAN) se- curity, interconnection of networks security, cryptographic security, transmission secu- rity, and emission security).

4 Nedan i denna bilaga säkerhetsmål.

4 Hereafter referred to within this Enclosure as Security Objectives.

och säkerhet i lokala nätverk (LAN), säker- het vid sammankoppling av nät, kryptogra- fisk säkerhet, överföringssäkerhet och sänd- ningssäkerhet).

2. SÄKERHETSMÅL

2.1. För att nå tillräcklig säkerhet för Natos säkerhetsskyddsklassificerade information som hanteras i kommunikations- och in- formationssystem (CIS) ska en väl avvägd uppsättning säkerhetsåtgärder (fysisk säker- het, personalsäkerhet, informationssäkerhet och säkerhet i kommunikations- och inform- ationssystem) identifieras och genomföras för att skapa en säker miljö för driften av kommunikations- och informationssystem och för att nå följande säkerhetsmål:

a) säkerställa konfidentialiteten för Natos säkerhetsskyddsklassificerade information genom att kontrollera röjandet av och åt- komsten till information samt för system- stödjande tjänster och resurser,

b) säkerställa riktigheten hos Natos säker- hetsskyddsklassificerade information och systemstödjande tjänster och resurser,

c) säkerställa tillgängligheten till Natos säkerhetsskyddsklassificerade information och systemstödjande tjänster och resurser,

d) säkerställa tillförlitlig identifiering och autentisering av personer, utrustning och tjänster som har åtkomst till kommunikat- ions- och informationssystem där Natos säkerhetsskyddsklassificerade information hanteras, och

e) säkerställa lämplig oavvislighet för per- soner och enheter som har behandlat in- formationen.

2.2. Natos säkerhetsskyddsklassificerade in- formation samt systemstödjande tjänster och resurser ska skyddas genom en minimiupp- sättning åtgärder som syftar till att säker- ställa allmänt skydd mot vanligt förekom- mande problem (oavsiktliga eller avsiktliga) som är kända för att påverka alla system samt systemstödjande tjänster och resurser. Ytterligare åtgärder ska vidtas, med hänsyn till omständigheterna, om det vid en säker- hetsriskbedömning har fastställts att Natos

2. SECURITY OBJECTIVES

2.1. To achieve adequate security protection of NATO classified information handled in CIS, a balanced set of security measures (physical, personnel, information and CIS) shall be identified and implemented to cre- ate a secure environment in which a CIS op- erates, and to meet the following security objectives:

(a) to ensure the confidentiality of infor- mation by controlling the disclosure of, and access to, NATO classified infor- mation, and supporting system services and resources;

(b) to ensure the integrity of NATO clas- sified information, and supporting system services and resources;

(d) to ensure the reliable identification and authentication of persons, devices and services accessing CIS handling NATO classified information; and

(e) to ensure appropriate non-repudiation for individuals and entities having pro- cessed the information.

2.2. NATO classified information and sup- porting system services and resources, shall be protected by a minimum set of measures aimed at ensuring general protection against commonly encountered problems (whether accidental or intentional) known to affect all systems and supporting system services and resources. Additional measures shall be taken, appropriate to the circumstances, where a security risk assessment has estab- lished that NATO classified information

säkerhetsskyddsklassificerade information och/eller systemstödjande tjänster och resur- ser utsätts för ökade risker till följd av sär- skilda hot och sårbarheter.

2.3. Oberoende av säkerhetsskyddsklassifi- ceringen av den Natoinformation som hante- ras ska Natos säkerhetsmyndigheter bedöma de risker och den skadenivå som åsamkas Nato om åtgärderna för att nå säkerhetsmå- len för icke-konfidentialitet inte fungerar. Minimiuppsättningen åtgärder för icke-kon- fidentiella tjänster ska fastställas i enlighet med direktiv som stöder denna strategi.

3. SÄKERHETSACKREDITERING

3.1. I vilken utsträckning säkerhetsmålen ska nås och i vilken utsträckning säkerhets- åtgärder behövs i kommunikations- och in- formationssystem (CIS) för att skydda sä- kerhetsskyddsklassificerad Natoinformation och systemstödjande tjänster och resurser ska fastställas vid förfarandet för faststäl- lande av säkerhetskravet. Genom förfaran- det för säkerhetsackreditering fastställs det att en tillräcklig skyddsnivå har nåtts och upprätthålls.

3.2 Alla kommunikations- och informations- system (CIS) där Natos säkerhetsskydds- klassificerade information hanteras ska om- fattas av ett förfarande för säkerhetsackredi- tering som fokuserar på säkerhetsmålen

4. PERSONALSÄKERHET

4.1. Personer som är behöriga att ha åtkomst till Natos säkerhetsskyddsklassificerade in- formation i någon form ska i förekommande fall säkerhetsprövas med beaktande av deras övergripande ansvar för att nå säkerhetsmå- len för informationen och de system- stödjande tjänsterna och resurserna. Detta innefattar personer som är behöriga att ha åtkomst till systemstödjande tjänster och re- surser eller som ansvarar för skyddet av sy- stemen, även om personerna inte är behöriga att ha åtkomst till den information som han- teras i systemen.

and/or supporting system sevices and re- sources are subject to increased risks from specific threats and vulnerabilities.

2.3. Independent of the security classifica- tion of the NATO information being han- dled, NATO security authorities shall assess the risks and the level of damage done to NATO if the measures to achieve the non- confidentiality security objectives fail. The minimum set of measures for nonconfidenti- ality services shall be determined in accord- ance with directives supporting this policy.

3. SECURITY ACCREDITATION

3.1. The extent to which the security objec- tives are to be met, and the extent to which CIS Security measures are to be relied upon for the protection of NATO classified infor- mation and supporting system services and resources shall be determined during the process of establishing the security require- ment. The security accreditation process shall determine that an adequate level of protection has been achieved, and is being maintained.

3.2 All CIS handling NATO classified infor- mation shall be subject to a security accredi- tation process, addressing the Security Ob- jectives.

4. PERSONNEL SECURITY

4.1. Individuals authorised access to NATO classified information in any form shall be security cleared, where appropriate, taking account of their aggregate responsibility for achieving the Security Objectives of the in- formation and the supporting system ser- vices and resources. This includes individu- als who are authorised access to supporting system services and resources, or who are responsible for their protection, even if they are not authorised access to the information handled by the system.

5. FYSISK SÄKERHET

5.1. Utrymmen där Natos säkerhetsskydds- klassificerade information presenteras eller hanteras med hjälp av informationsteknik el- ler där det är möjligt att få åtkomst till sådan information ska inrättas så att det övergri- pande kravet för säkerhetsmålen uppfylls.

6. INFORMATIONSSÄKERHET

6.1. Alla säkerhetsskyddsklassificerade lag- ringsmedier för datorer ska vara korrekt identifierade, lagrade och skyddade på ett sätt som motsvarar den högsta säkerhets- skyddsklassificeringsnivån för den lagrade informationen.

6.2. Natos säkerhetsskyddsklassificerade in- formation som lagrats på återanvändbara lagringsmedier för datorer får raderas endast i enlighet med förfaranden som godkänts av den behöriga säkerhetsmyndigheten.

6.3. Godkända säkerhetsåtgärder (konfiden- tialitet och icke-konfidentialitet) som ge- nomförs i enlighet med direktiv som stöder denna strategi får användas för att skydda Natos säkerhetsskyddsklassificerade inform- ation i lagringsmedier för datorer på ett sätt som sänker de fysiska säkerhetskraven så att de motsvarar en lägre säkerhetsskyddsklas- sificeringsnivå.

7. INDUSTRISÄKERHET

7.1. Det ska fastställas att en entreprenörs verksamhetsställe som används för genom- förande av kontrakt och där Natos säkerhets- skyddsklassificerade information (CIS) han- teras i kommunikations- och informations- system uppfyller det övergripande kravet för säkerhetsmålen.

7.2. En konsekvent uppsättning säkerhetsåt- gärder för kommunikations- och informat- ionssystem (CIS) ska beskrivas i kontrakt, tilläggsklausuler om säkerhet (SAL) och/el- ler säkerhetsinsanvisningar för projekt (PSI) och/eller servicenivåavtal (SLA), beroende på vad som är tillämpligt, och genomföras av entreprenörerna för att nå säkerhetsmålen

5. PHYSICAL SECURITY

5.1. Areas in which NATO classified infor- mation is presented or handled using infor- mation technology, or where potential ac- cess to such information is possible, shall be established such that the aggregate require- ment for the Security Objectives is met.

6. SECURITY OF INFORMATION

6.1. All classified computer storage media shall be properly identified, stored and pro- tected in a manner commensurate with the highest classification of the stored infor- mation.

6.2. NATO classified information recorded on re-usable computer storage media, shall only be erased in accordance with proce- dures approved by the appropriate security authority.

6.3. Approved security measures (confiden- tiality and non-confidentiality), imple- mented in accordance with directives sup- porting this policy, may be used to protect NATO classified information in computer storage media in such a manner as to reduce the physical security requirements commensurate with a lower classification level.

7. INDUSTRIAL SECURITY

7.1. A contractor facility used for contracts in which NATO classified information is handled on CIS shall be established to meet the aggregate requirement for the Security Objectives.

7.2. A consistent set of CIS security measures shall be described in contracts, Se- curity Aspect Letters (SAL) and/or Project Security Instructions (PSI) and/or Service Level Agreements (SLA), as applicable, and be implemented by contractors to meet the NATO CIS security objectives and to pro- tect NATO classified information and sup- porting services.

för Natos kommunikations- och informat- ionssystem och för att skydda Natos säker- hetsskyddsklassificerade information och stödjande tjänster.

8. SÄKERHETSÅTGÄRDER

8.1. För alla kommunikations- och informat- ionssystem (CIS) där Natos säkerhets- skyddsklassificerade information hanteras ska en konsekvent uppsättning säkerhetsåt- gärder tillämpas för att nå säkerhetsmålen och skydda information samt system- stödjande tjänster och resurser. Säkerhetsåt- gärderna ska, i tillämpliga delar, omfatta föl- jande:

a) sådana sätt att tillhandahålla tillräcklig information för att kunna undersöka ett avsiktligt, oavsiktligt eller försök till även- tyrande av säkerhetsmålen för säkerhets- skyddsklassificerad information och systemstödjande tjänster och resurser som står i proportion till den skada som skulle uppstå,

b) sätt att på ett tillförlitligt sätt identifiera och autentisera personer, utrustning och tjänster som är behöriga att ha åtkomst. Information och material som kontrollerar tillträdet till ett kommunikations- och in- formationssystem ska kontrolleras och skyddas med arrangemang som står i pro- portion till den information som tillträdet kan ge åtkomst till. I Natos kommunikat- ions- och informationssystem ska starka autentiseringsmekanismer för personer tillämpas,

c) sätt att utifrån principen om behovsen- lig behörighet kontrollera röjandet av och åtkomsten till Natos säkerhetsskyddsklas- sificerade information samt system- stödjande tjänster och resurser,

d) sätt att säkerställa riktigheten av och ur- sprunget för Natos säkerhetsskyddsklassi- ficerade information samt system- stödjande tjänster och resurser,

e) sätt att upprätthålla riktigheten av Natos säkerhetsskyddsklassificerade information samt systemstödjande tjänster och resur- ser,

8. SECURITY MEASURES

8.1. For all CIS handling NATO classified information, a consistent set of security measures shall be applied to meet the Secu- rity Objectives to protect information and supporting system services and resources. The security measures shall include, where appropriate, the following:

(a) a means to provide sufficient infor- mation to be able to investigate a deliber- ate, accidental or attempted compromise of the security objectives of classified in- formation and supporting system services and resources, commensurate with the damage that would be caused;

(b) a means to reliably identify and au- thenticate persons, devices and services authorised access. Information and mate- rial which controls access to a CIS shall be controlled and protected under ar- rangements commensurate with the infor- mation to which it may give access. On NATO CIS strong authentication mecha- nisms for persons shall be implemented;

(c) a means to control disclosure of, and access to, NATO classified information and supporting system services and re- sources, based upon the need-to-know principle;

(d) a means to verify the integrity and origin of NATO classified information, and supporting system services and re- sources;

(e) a means to maintain the integrity of NATO classified information and sup- porting system services and resources;

f) sätt att upprätthålla åtkomsten till Natos säkerhetsskyddsklassificerade information samt systemstödjande tjänster och resur- ser,

g) sätt att kontrollera förbindelsen för kommunikations- och informationssystem där Natos säkerhetsskyddsklassificerade information hanteras,

h) fastställande av förtroendet för skydds- mekanismerna för säkerhet i kommunikat- ions- och informationssystem (CIS Secu- rity),

i) sätt att utvärdera och kontrollera att skyddsmekanismerna för säkerhet i kom- munikations- och informationssystem fun- gerar under systemets livscykel,

j) sätt att undersöka användaraktiviteten och aktiviteten i kommunikations- och in- formationssystem,

k) sätt att tillhandahålla garantier för oav- vislighet så att avsändaren av informat- ionen får bevis på leverans och att motta- garen får bevis på avsändarens identitet, och

l) sätt att skydda Natos säkerhetsskydds- klassificerade och lagrade information om de fysiska säkerhetsåtgärderna inte upp- fyller miniminormerna.

8.2. Mekanismer och förfaranden för säker- hetshantering ska finnas för att avskräcka, förhindra, upptäcka, motstå och avhjälpa följderna av incidenter som påverkar säker- hetsmålen för Natos säkerhetsskyddsklassi- ficerade information och systemstödjande tjänster och resurser, inbegripet rapportering av säkerhetsincidenter.

8.3. Säkerhetsåtgärderna ska ledas och ge- nomföras i enlighet med direktiv som stöder denna strategi.

9. RISKHANTERING

9.1. Kommunikations- och informationssy- stem (CIS) där Natos säkerhetsskyddsklassi- ficerade information hanteras inom Natos civila och militära organ ska omfattas av sä-

(f) a means to maintain the availability of NATO classified information and sup- porting system services and resources;

(g) a means to control the connection of CIS handling NATO classified infor- mation;

(h) a determination of the confidence to be placed in the protection mechanisms of CIS Security;

(i) a means to assess and verify the proper functioning of the protection mechanisms of CIS Security over the life-cycle of the CIS;

(j) a means to investigate user and CIS activity;

(k) a means to provide non-repudiation assurances that the sender of information is provided with proof of delivery and the recipient is provided proof of the sender's identity; and

(l) a means to protect stored NATO clas- sified information where the physical se- curity measures do not meet the mini- mum standards.

8.2. Security management mechanisms and procedures shall be in place to deter, pre- vent, detect, withstand, and recover from, the impacts of incidents affecting the Secu- rity Objectives of NATO classified infor- mation and supporting system services and resources, including the reporting of security incidents.

8.3. The security measures shall be managed and implemented in accordance with direc- tives supporting this policy.

9. SECURITY RISK MANAGEMENT

9.1. CIS handling NATO classified infor- mation, in NATO civil and military bodies, shall be subject to security risk manage- ment, including security risk assessment, in accordance with the requirements

kerhetsriskhantering, inbegripet säkerhets- riskbedömning, i enlighet med kraven i di- rektiv som stöder denna strategi.

9.2. Säkerhetsriskhantering av Natos kom- munikations- och informationssystem (CIS) ska säkerställa kontinuerlig bedömning av systemens sårbarheter och säkerhetsöverens- stämmelse och ska övergå till dynamisk riskhantering för att effektivt kunna reagera på de utmaningar som dagens komplexa driftscenarier och mångfasetterade hotmil- jöer medför.

10. ELEKTROMAGNETISK ÖVERFÖ- RING5 AV NATOS SÄKERHETS- SKYDDSKLASSIFICERADE INFORM- ATION

10.1. När Natos säkerhetsskyddsklassifice- rade information överförs elektromagnetiskt ska särskilda åtgärder genomföras så att sä- kerhetsmålen för sådana överföringar nås. Natos myndigheter ska fastställa kraven för att skydda överföringar från upptäckt, av- lyssning eller utnyttjande.

11. KRYPTOGRAFISK SÄKERHET

11.1. När kryptografiska produkter eller mekanismer krävs för att tillhandahålla kon- fidentiellt och icke-konfidentiellt skydd, oavsett om det gäller överföring, behandling eller lagring av information (data i vila), ska produkterna eller mekanismerna vara sär- skilt godkända för ändamålet och särskilda kryptografiska krav för fysiska, förfarande- mässiga och tekniska åtgärder ska genomfö- ras för att nå de säkerhetsmål som krävs.

11.2. Data i vila ska skyddas på den nivå som krävs i enlighet med säkerhetsmålen och om kryptografiska produkter eller mek- anismer används ska kraven på kryptogra- fisk säkerhet vara i enlighet med Natos rele- vanta direktiv om teknik och genomförande.

of directives supporting this policy.

9.2. Security risk management of NATO CIS shall ensure continuous assessment of system vulnerabilities and security compli- ance and shall move towards dynamic risk management to be able to face effectively the challenges posed by today’s complex operational scenarios and multifaceted threat environments.

10. ELECTROMAGNETIC TRANSMIS- SION5 of NATO CLASSIFIED INFOR- MATION

10.1. When NATO classified information is transmitted electromagnetically, special measures shall be implemented to achieve the Security Objectives of such transmis- sions. NATO authorities shall determine the requirements for protecting transmissions from detection, interception or exploitation.

11. CRYPTOGRAPHIC SECURITY

11.1. When cryptographic products or mechanisms are required to provide confi- dentiality and non-confidentiality protection, whether during information transmission, processing or storage (data at rest), such products or mechanisms shall be specifically approved for the purpose and specific cryp- tographic requirements for physical, proce- dural and technical measures shall be implemented to achieve the required Secu- rity Objectives.

11.2. Data at rest shall be protected to a level adequate to the required Security Ob- jectives, and, where cryptographic products and mechanisms are used, the requirements

5 Termen elektromagnetisk överföring omfattar överföring av både elektrisk och magnetisk karaktär eller med såd- ana egenskaper och omfattar bland annat synligt ljus, radiovågor, mikrovågor och infraröd strålning.

5 The term "electromagnetic transmission" covers transmission having both an electrical and magnetic character or properties, and includes, inter alia, visible light, radio waves, microwave, and infrared radiation

11.3. Under överföringen ska konfidentiali- teten för information som säkerhetsskydds- klassificerats som NATO SECRET eller högre skyddas med kryptografiska produkter eller mekanismer som godkänts av Natos militärkommitté (NAMILCOM).

11.4. Under överföringen ska konfidentiali- teten för information som säkerhetsskydds- klassificerats som NATO CONFIDENTIAL eller NATO RESTRICTED skyddas med kryptografiska produkter eller mekanismer som godkänts av antingen Natos militär- kommitté (NAMILCOM) eller en medlems- stat i Nato.

11.5. Under överföringen ska kraven på icke-konfidentialitet säkerställas i enlighet med driftskraven för kommunikationssyste- met. Utvärderingskraven och godkännande- myndigheten för icke-konfidentiella mekan- ismer baserade på kryptografi ska identifie-

ras och överenskommas i samband med spe- cifikationen av sådana mekanismer i drifts- kravet, i enlighet med vad som överenskom- mits i tekniska direktiv.

11.6. Under exceptionella operativa omstän- digheter får information som säkerhets- skyddsklassificerats som NATO CONFI- DENTIAL eller NATO SECRET överföras i klartext under förutsättning att varje tillfälle vederbörligen rapporteras till de högre myn- digheterna. De exceptionella omständighet- erna är följande:

a) under en överhängande eller faktisk kris eller konflikt eller i krigssituationer, och

b) när leveranshastigheten är av största vikt, inga krypteringsmetoder finns att tillgå och det bedöms att den överförda in- formationen inte kan utnyttjas i tid för att påverka verksamheten negativt.

for cryptographic security shall be in ac- cordance with the relevant NATO Technical and Implementation Directives.

11.3. During transmission, the confidential- ity of information classified NS and above shall be protected by cryptographic products or mechanisms approved by the NATO Mil- itary Committee (NAMILCOM).

11.4. During transmission, the confidential- ity of information classified NC or NR shall be protected by cryptographic products or mechanisms approved by either the NA- MILCOM or a NATO member nation.

11.5. During transmission, the non-confi- dentiality requirements shall be assured in accordance with the communications sys- tem’s operational requirement. The evalua- tion requirements and approval authority, for non-confidentiality mechanisms based on cryptography, shall be identified

and agreed in conjunction with the specifi- cation of such mechanisms in the opera- tional requirement, as agreed in technical di- rectives.

11.6. Under exceptional operational circum- stances, information classified NC and NS may be transmitted in clear text provided each occasion is properly reported to the higher authorities. The exceptional circum- stances are as follows:

(a) during impending or actual crisis, conflict, or war situations; and

(b) when speed of delivery is of para- mount importance, means of encryption are not available and it is assessed that the transmitted information cannot be ex- ploited in time to adversely influence op- erations.

11.7. Under exceptionella operativa omstän- digheter när leveranshastigheten är av största vikt, inga krypteringsmetoder finns att tillgå och det bedöms att den överförda informationen inte kan utnyttjas i tid för att påverka verksamheten negativt, får inform- ation som säkerhetsskyddsklassificerats som NATO RESTRICTED överföras i klartext.

11.8. Under överföring mellan Nato och kommunikations- och informationssystem (CIS) hos stater eller internationella organi- sationer som inte hör till Nato (NNN/IO) ska konfidentialiteten för information som säkerhetsskyddsklassificerats som NATO SECRET eller högre skyddas med krypto- grafiska produkter eller mekanismer som godkänts av Natos militärkommitté (NA- MILCOM).

11.9. Under överföring inom kommunikat- ions- och informationssystem (CIS) i stater eller internationella organisationer som inte hör till Nato (NNN/IO) ska konfidentiali- teten för information som säkerhetsskydds- klassificerats som NATO SECRET eller högre skyddas med kryptografiska produkter eller mekanismer som godkänts av Natos militärkommitté (NAMILCOM).

11.10. Om kraven i punkterna 11.8 och 11.9 inte kan uppfyllas kan Nato och en internat- ionell organisation (IO) komma överens om ömsesidigt godkännande av varandras be- dömnings-, urvals- och godkännandeproces- ser för kryptografiska produkter eller mek- anismer som är godkända för skydd vid överföring av information som säkerhets- skyddsklassificerats som NATO SECRET eller den internationella organisationens in- formation på motsvarande säkerhetsskydds- klassificeringsnivå. Villkoren för ett sådant godkännande anges i punkt 11.12.

11.11. Vid exceptionella omständigheter och för att stödja särskilda driftskrav och om kraven enligt punkterna 11.8 och 11.9 inte kan uppfyllas, får Nato samtycka till bedöm- nings-, urvals- och godkännandeprocesserna för en stat utanför Nato (NNN) när det gäller kryptografiska produkter eller mekanismer

11.7. Under exceptional operational circum- stances, when speed is of paramount im- portance, means of encryption are not avail- able and it is assessed that the transmitted information cannot be exploited in time to adversely influence operations, information classified NR may be transmitted in clear text.

11.8. During transmission between NATO and non-NATO nations / International Or- ganisations (NNN/IO) CIS, the confidential- ity of information classified NS and above shall be protected by cryptographic products or mechanisms approved by the NATO Mil- itary Committee (NAMILCOM).

11.9. During transmission within NNN/IO CIS, the confidentiality of information clas- sified NS and above shall be protected by cryptographic products or mechanisms ap- proved by the NATO Military Committee (NAMILCOM).

11.10. Where the requirements of para- graphs 11.8 and 11.9 above cannot be met, NATO and an IO may reach agreement on the mutual acceptance of each others' evalu- ation, selection and approval processes for cryptographic products or mechanisms au- thorised for the protection in transmission of NS information or IO information of the equivalent classification level. The condi- tions for such acceptance are set out in para- graph 11.12 below.

11.11. In exceptional circumstances, in or- der to support specific operational require- ments, and where the requirements of para- graphs 11.8 and 11.9 above cannot be met, NATO may agree the NNN's evaluation, se- lection and approval processes for crypto- graphic products or mechanisms authorised

som är godkända för att skydda överfö- ringen av information som säkerhetsskydds- klassificerats som NATO SECRET eller in- formation på motsvarande säkerhetsskydds- klassificeringsnivå från staten utanför Nato. Villkoren för ett sådant samtycke anges i punkt 11.12.

11.12. Följande villkor är tillämpliga på de situationer som beskrivs i punkterna 11.10 och 11.11:

a) en stat eller internationell organisation som inte hör till Nato (NNN/IO) ska ha ett säkerhetsavtal med Nato och ett intyg ut- färdat av Natos säkerhetsbyrå (NOS) på att den på lämpligt sätt kan skydda Natos utlämnade säkerhetsskyddsklassificerade information,

b) varje stat eller internationell organisat- ion som inte hör till Nato ska behandlas från fall till fall och grunden för varje god- kännande/avtal ska anges i de säkerhetsar- rangemang som stöder säkerhetsavtalet mellan Nato och den stat eller den inter- nationella organisation som inte hör till Nato,

c) villkoren för ett sådant godkän- nande/avtal ska godkännas av Natos mili- tärkommitté (NAMILCOM) på grundval av en objektiv bedömning av Natos säker- hetsbyrå i samarbete med Natos militär- kommittés byrå för bedömning av säker- het i och utvärdering av kommunikations- och informationssystem (SECAN), sam- råds- och ledningsnämndens (C3B) panel för informationssäkring och cyberför- svarskapacitet samt samråds- och led- ningspersonalen vid Natos högkvarter (NATO HQ C3) när det gäller förmågan hos den stat eller den internationella orga- nisation som inte hör till Nato att utföra kryptografiska bedömningar som uppfyll- ler krav som är likvärdiga med dem som används inom Nato för det kryptografiska skyddet av information som säkerhets- skyddsklassificerats som NATO SEC-

RET, och

d) Natos säkerhetsbyrå ska i samarbete med byrån för bedömning av säkerhet i

for the protection in transmission of NS in- formation or NNN information of the equiv- alent classification level. The conditions for such agreement are set out in paragraph

11.12 below.

11.12. The following conditions are applica- ble in respect to the scenarios described at paragraphs 11.10 and 11.11 above:

(a) the NNN/IO shall have a Security Agreement with NATO and be certified by the NATO Office of Security (NOS) that they can appropriately protect re- leased NATO classified information;

(b) each NNN/IO shall be treated on a case-by-case basis; and the basis of any acceptance / agreement shall be set out in the security arrangements supporting the Security Agreement between NATO and the NNN/IO;

(c) the terms of any such acceptance / agreement shall be approved by the NA- MILCOM on the basis of an objective as- sessment carried out by the NOS, work- ing in conjunction with the NAMILCOM Communications and Information Sys- tems Security and Evaluation Agency (SECAN), the C3B Information Assur- ance and Cyber Defence Capability Panel and the NATO HQ C3 Staff, of the capa- bility of the NNN/IO to perform cryptographic evaluations that meet re- quirements equivalent to those used within NATO for the cryptographic pro- tection of NS information; and

(d) the NOS, in conjunction with SECAN and the NATO HQ C3 Staff, shall satisfy

och utvärdering av kommunikations- och informationssystem och samråds- och led- ningspersonalen vid Natos högkvarter ge- nom kontroller och periodiskt återkom- mande kontroller förvissa sig om att den stat eller den internationella organisation som inte hör till Nato har inrättat lämpliga strukturer, regler och förfaranden för be- dömningen, urvalet, godkännandet och kontrollen av kryptografiska produkter och mekanismer och att dessa strukturer, regler och förfaranden tillämpas effektivt och säkert i praktiken.

11.13. Vid godkännande eller överenskom- melse i enlighet med villkoren i punkt 11.12 får konfidentialiteten för information som säkerhetsskyddsklassificerats som NATO SECRET skyddas med antingen kryptogra- fiska produkter eller mekanismer som god- känts av Natos militärkommitté (NAMIL- COM) eller kryptografiska produkter eller mekanismer som godkänts för skyddet på motsvarande säkerhetsskyddsklassifice- ringsnivå av den nationella säkerhetsmyn- digheten för kommunikations- och informat- ionssystem (NCSA) eller en motsvarande myndighet i den stat eller den internationella organisation som inte hör till Nato (NNN/IO).

11.14. Under överföring mellan Nato och kommunikations- och informationssystem (CIS) hos stater eller internationella organi- sationer som inte hör till Nato (NNN/IO) samt inom kommunikations- och informat- ionssystem hos stater eller internationella organisationer som inte hör till Nato ska konfidentialiteten för information som sä- kerhetsskyddsklassificerats som NATO CONFIDENTIAL eller NATO RESTRICTED skyddas med kryptografiska produkter eller mekanismer som godkänts av en behörig myndighet. Den behöriga myndigheten kan vara Natos militärkom- mitté (NAMILCOM), den nationella säker- hetsmyndigheten för kommunikations- och informationssystem (NCSA) i en medlems- stat i Nato eller den motsvarande myndig- heten i en stat eller internationell organisat- ion som inte hör till Nato, förutsatt att staten eller den internationella organisationen har

themselves, through verification and peri- odic re-verification, that the NNN/IO has in place appropriate structures, rules and procedures for the evaluation, selection, approval and control of cryptographic products and mechanisms, and that those structures, rules and procedures are being effectively and securely applied in prac- tice.

11.13. Where acceptance / agreement is reached in accordance with the conditions set out in paragraph 11.12 above, the confi- dentiality of information classified NS may be protected by either cryptographic prod- ucts or mechanisms approved by the NATO Military Committee (NAMILCOM) or cryp- tographic products or mechanisms approved by the NCSA (or equivalent authority) of the NNN/IO for the protection of the equiv- alent classification level.

11.14. During transmission between NATO and NNN/IO CIS and within NNN/IO CIS, the confidentiality of information classified NC or NR shall be protected by crypto- graphic products or mechanisms evaluated and approved by an appropriate authority. The appropriate authority may be the NA- MILCOM, the NCSA of a NATO member nation or the equivalent authority of the NNN/IO, provided that the NNN/IO has ap- propriate structures, rules and procedures in place for the evaluation, selection, approval and control of such products or mechanisms, and that those structures, rules and proce- dures are being effectively and securely ap- plied in practice. The structures, rules and procedures shall be agreed between the NA- MILCOM and the NNN/IO.

inrättat lämpliga strukturer, regler och förfa- randen för bedömningen, urvalet, godkän- nandet och kontrollen av sådana produkter eller mekanismer och att dessa strukturer, regler och förfaranden tillämpas effektivt och säkert i praktiken. Natos militärkom- mitté och den stat eller den internationella organisation som inte hör till Nato ska komma överens om strukturerna, reglerna och förfarandena.

11.15. Den känsliga karaktären hos det kryptomaterial som används för att skydda Natos säkerhetsskyddsklassificerade inform- ation gör det nödvändigt att vidta särskilda försiktighetsåtgärder i fråga om säkerhet ut- över de som krävs för att skydda annat slag av Natos säkerhetsskyddsklassificerade in- formation.

11.16. Det skydd som ska ges krypto- material ska motsvara den skada som kan orsakas om skyddet skulle sluta fungera. Det ska finnas positiva metoder för att bedöma och kontrollera skyddet för kryptografiska produkter och mekanismer och att de funge- rar samt skyddet för och kontrollen av kryp- tografisk information (till exempel tillämp- ningsdetaljer med tillhörande dokumentat- ion).

11.17. Med hänsyn till den särskilda käns- ligheten hos kryptografisk information ska särskilda bestämmelser och organ finnas inom Nato och varje medlemsstat för att re- glera mottagandet, kontrollen och sprid- ningen av Natos kryptografiska information till särskilt certifierade personer.

11.18. Särskilda förfaranden som reglerar delning av teknisk information och som re- glerar urval, produktion och upphandling av kryptografiska produkter och mekanismer ska också följas.

12. SÄNDNINGSSÄKERHET

12.1. Säkerhetsåtgärder ska genomföras för att skydda information som säkerhets- skyddsklassificerats som NATO CONFI- DENTIAL eller högre mot läckor genom

11.15. The sensitive nature of the crypto- material used to protect NATO classified in- formation necessitates the application of special security precautions beyond those required for the protection of other NATO classified information.

11.16. The protection which shall be af- forded to cryptomaterial shall be commen- surate with the damage that may be caused should that protection fail. There shall be positive means to assess and verify the pro- tection and proper functioning of the crypto- graphic products and mechanisms, and the protection and control of cryptographic in- formation (e.g. implementation details and associated documentation).

11.17. In recognition of the particular sensi- tivity of cryptographic information, special regulations and bodies shall exist within NATO and within each member nation to govern the receipt, control and dissemina- tion of NATO cryptographic information to specially certified persons.

11.18. Special procedures shall also be fol- lowed which regulate the sharing of tech- nical information, and which regulate the se- lection, production and procurement of cryptographic products and mechanisms.

12. EMISSION SECURITY

12.1. Security measures shall be imple- mented to protect against the compromise of information classified NC and above through unintentional electromagnetic emis- sions. The measures shall be commensurate

oavsiktlig elektromagnetisk strålning. Åtgär- derna ska motsvara spridningsrisken och in- formationens känslighet.

13. SÄRSKILT SÄKERHETSANSVAR FÖR KOMMUNIKATIONS- OCH IN- FORMATIONSSYSTEM

13.1 Natos militärkommitté (NAMIL- COM)

13.1.1. Natos militärkommittés ansvar för säkerheten i kommunikations- och informat- ionssystem (CIS Security) innefattar säker- hetsgodkännande och frisläppande av kryp- tografisk utrustning samt deltagande i be- dömningen och urvalet av kryptografiska produkter och mekanismer för Natos stan- dardiserade användning. Militärkommitténs fyra nationellt bemannade byråer (byrån för bedömning av säkerhet i och utvärdering av kommunikations- och informationssystem (SECAN), byrån för distribution och revis- ion (DACAN), europeiska byrån för kom- munikationssäkerhet och utvärdering (EUSEC) och europeiska byrån för distri- bution och revision (EUDAC)) ger i fråga om säkerheten i kommunikations- och in- formationssystem (CIS Security) råd och stöd till Natos militärkommitté, säkerhets- kommittén (SC) och samråds- och lednings- nämnden (C3B) samt, i förekommande fall, till deras understrukturer, till medlemsstater och till andra Natoorganisationer.

13.2. Samråds- och ledningsnämnden (C3B)

13.2.1. I egenskap av alliansens högsta stra- tegikommitté för samråd och ledning (C3) stöder samråds- och ledningsnämnden (C3B) Natos militärkommitté (NAMIL- COM) och Natos politiska myndigheter i de- ras valideringsprocess när det gäller för- mågor och projekt inom samråd och ledning genom översyn av driftskraven för samråd och ledning. Samråds- och ledningsnämn- den ansvarar för tillhandahållandet av säkra och interoperabla Natoomfattande system för samråd och ledning. Personalstöd till samråds- och ledningsnämnden ges av per- sonalen för konsultation och ledning vid Na- tos högkvarter (NHQC3S).

with the risk of exploitation and the sensitiv- ity of the information.

13. SPECIFIC CIS SECURITY RE- SPONSIBILITIES

13.1 NATO Military Committee (NA- MILCOM)

13.1.1. The NAMILCOM's responsibilities on CIS Security include the security ap- proval and release of cryptographic equip- ment and participating in the evaluation and selection of cryptographic products and mechanisms for standard NATO use. The four nationally manned agencies of the Mili- tary Committee (SECAN, DACAN, EUSEC and EUDAC) provide advice and support on CIS Security to the NAMILCOM, to the SC, to the C3B and, as appropriate, to their sub- structures, to member nations and to other NATO organisations.

13.2. C3 Board (C3B)

13.2.1. As the senior Consultation, Com- mand and Control (C3) policy committee within the Alliance, the C3B supports the NAMILCOM and the NATO political au- thorities in their validation process for C3 capabilities and projects by reviewing oper- ational C3 requirements. The C3B is respon- sible for the provision of secure and interop- erable NATO-wide C3 systems. Staff sup- port to the C3B is provided by the NATO HQ C3 Staff (NHQC3S).

13.3. Natos styrgrupp för cyberförsvar (CDMB)

13.3.1 Styrgruppen för cyberförsvar är det samordningsorgan för cyberförsvar som sva- rar för strategisk planering och styrning av genomförandet av strategin för cyberförsvar och främjar samarbetet med de allierade. Styrgruppen för cyberförsvar rapporterar till och får politisk styrning från Nordatlantiska rådet (NAC) genom kommittén för försvars- politik och försvarsplanering i förstärkt form (DPPC (R)). Styrgruppen för cyberförsvar övervakas av de allierade genom samråds- och ledningsnämnden (C3B) när det gäller strategin för samråd och ledning (C3) samt aspekter på genomförandet av cyberförsvar. Styrgruppen för cyberförsvar samråder i sär- skilda frågor via lämpliga Natokommittéer.

13.4. Nationell säkerhetsmyndighet för kommunikations- och informationssystem (NCSA)

13.4.1. Varje medlemsstat i Nato, och i till- lämpliga fall stater utanför Nato, ska fast- ställa en nationell säkerhetsmyndighet för kommunikations- och informationssystem (NCSA) som får inrättas som en byrå inom den nationella säkerhetsinfrastrukturen. Den nationella säkerhetsmyndigheten för kom- munikations- och informationssystem svarar för att

a) kontrollera kryptografisk teknisk in- formation i anslutning till skyddet av Natoinformation i staten i fråga,

b) se till att kryptografiska system, pro- dukter och mekanismer som används för att skydda Natoinformation väljs, används och underhålls som sig bör,

c) se till att säkerhetsprodukter som an- vänds för att skydda Natoinformation i kommunikations- och informationssystem (CIS) väljs, används och underhålls som sig bör i den egna staten,

d) informera behöriga Natoorgan och nat- ionella organ, både civila och militära, om kommunikationssäkerhet och tekniska frå-

13.3. NATO Cyber Defence Management Board (CDMB)

13.3.1 The CDMB is the cyber defence co- ordination body providing strategic planning and direction for the implementation of the Cyber Defence Policy and facilitating coop- eration with Allies. The CDMB reports to and receive political guidance from the NAC through the Defence Policy and Planning Committee in reinforced format (DPPC(R)). The CDMB is supervised by Allies through the C3B on C3 policy and implementation aspects of cyber defence. CDMB consults on specific subject matters through the appropriate NATO committees.

13.4. National CIS Security Authority (NCSA)

13.4.1. Each NATO and non-NATO nation, where applicable to the latter, shall identify an NCSA, which may be established as an agency in the national security infrastruc- ture. The NCSA is responsible for:

(a) controlling cryptographic technical information related to the protection of NATO information within their nation;

(b) ensuring that cryptographic systems, products and mechanisms for protecting NATO information are appropriately se- lected, operated and maintained;

(c) ensuring that CIS security products for protecting NATO information are ap- propriately selected, operated and main- tained within their nation;

(d) communicating on NATO communi- cations security and technical matters on CIS Security, both civil and military,

gor som gäller säkerhet i kommunikat- ions- och informationssystem (CIS Secu- rity), och

e) utse en nationell Tempest-myndighet i förekommande fall.

13.4.2. Nationella säkerhetsmyndigheter för kommunikations- och informationssystem (NCSAs) samarbetar med sina nationella sä- kerhetsmyndigheter (NSA(s)).

13.5. Nationell distributionsmyndighet (NDA)

13.5.1 Varje medlemsstat i Nato, och i till- lämpliga fall stater utanför Nato, ska fast- ställa en nationell distributionsmyndighet som får inrättas som en byrå inom den nat- ionella säkerhetsinfrastrukturen och som ska ansvara för förvaltningen av Natos krypto- material i den egna staten och se till att lämpliga förfaranden följs och att kanaler in- rättas för heltäckande redovisning, säker hantering, förvaring, distribution och utplå- ning av allt kryptomaterial.

13.5.2. Nationella distributionsmyndigheter samarbetar med sina nationella säkerhets- myndigheter (NSA(s)).

13.6. Myndighet(er) för säkerhetsackredi- tering

13.6.1. Varje medlemsstat i Nato, och i till- lämpliga fall en stat utanför Nato, ska fast- ställa en eller flera myndigheter för säker- hetsackreditering med ansvar för säkerhets- ackreditering av följande:

a) nationella kommunikations- och in- formationssystem (CIS) där Natos säker- hetsskyddsklassificerade information han- teras, och

b) Natos kommunikations- och informat- ionssystem som är i drift inom nationella organ eller organisationer, beroende på vad som är lämpligt för stater utanför Nato.

13.6.2. Om ett civilt eller militärt Natoorgan inrättas i en medlemsstat i Nato ska Natos kommunikations- och informationssystem

with appropriate NATO and national bodies; and

(e) identifying a National TEMPEST Au- thority, as appropriate.

13.4.2. NCSAs work in co-ordination with their NSA(s).

13.5. National Distribution Authority (NDA)

13.5.1 Each NATO and non-NATO nation, where applicable to the latter, shall identify an NDA, which may be established as an agency in the national security infrastruc- ture, which is responsible for the manage- ment of NATO cryptomaterial within their nation and shall ensure that appropriate procedures are enforced and channels estab- lished for the comprehensive accounting, se- cure handling, storage, distribution and de- struction of all cryptomaterial.

13.5.2. NDAs work in co-ordination with their NSA(s).

13.6. Security Accreditation Authority(s)

13.6.1. Each NATO and non-NATO nation, where applicable to the latter, shall identify a security accreditation authority(s) which is responsible for the security accreditation of the following:

(a) national CIS handling NATO classi- fied information; and

(b) NATO CIS operating within national bodies / organisations, as appropriate for non-NATO Nations.

13.6.2. Where a NATO civil or military body is established within a NATO nation, the NATO CIS shall be subject to security accreditation by a NATO SAA. In this case,

(CIS) säkerhetsackrediteras av en Natomyn- dighet för säkerhetsackreditering. I detta fall kan säkerhetsackrediteringen samordnas med den behöriga nationella myndigheten för säkerhetsackreditering.

13.7. Natomyndighet för säkerhetsackre- ditering (SAA)

13.7.1.För säkerhetsackreditering av Natos kommunikations- och informationssystem (CIS) där Natos säkerhetsskyddsklassifice- rade information hanteras svarar tre Natomyndigheter för säkerhetsackreditering. Natomyndigheten för säkerhetsackreditering består av chefen för Natos säkerhetsbyrå och de strategiska befälhavarna eller deras be- myndigade eller utsedda företrädare, bero- ende av vilket kommunikations- och inform- ationssystem som ska ackrediteras.

13.7.2. Natos styrgrupp för säkerhetsackre- ditering av kommunikations- och informat- ionssystem (NSAB), som består av Natos myndigheter för säkerhetsackreditering (SAA(s)) som anges i punkten ovan, ska för att säkerställa ett gemensamt och konse- kvent förhållningssätt till säkerheten för sy- stemen utöva tillsyn över säkerhetsackredi- teringen av alla Natos kommunikations- och informationssystem (CIS) där Natos säker- hetsskyddsklassificerade information hante- ras. Styrgruppens arbetsordning ska godkän- nas av säkerhetskommittén.

13.8. Säkerhetsmyndighet i stater utanför Nato (NNN)

13.8.1. En stat utanför Nato (NNN) ska utse en säkerhetsmyndighet som ska ansvara för följandet av säkerhetsbestämmelserna enligt denna bilaga och tillsynen av sådana myn- digheter i den staten och som har särskilt an- svar för säkerheten i nationella kommuni- kations- och informationssystem (CIS Secu- rity) där Natos säkerhetsskyddsklassifice- rade information hanteras (inklusive den nationella säkerhetsmyndigheten för kom- munikations- och informationssystem (NCSA), den nationella distributionsmyn- digheten (NDA) och myndigheter för säker- hetsackreditering (SAA(s)).

the security accreditation may be co-ordi- nated with the appropriate national security accreditation authority.

13.7. NATO Security Accreditation Au- thority (SAA)

13.7.1. There are three NATO SAAs which are responsible for the security accreditation of NATO CIS handling NATO classified in- formation. The SAA shall be the Director, NATO Office of Security and the Strategic Commanders, or their delegated / nominated representative(s), dependent upon the CIS to be accredited.

13.7.2. The NATO CIS Security Accredita- tion Board, composed of the NATO SAAs as identified in the paragraph above, shall have security accreditation oversight for all NATO CIS handling NATO classified infor- mation to ensure a corporate and consistent approach to security of NATO CIS. The NSAB Terms of Reference shall be subject to approval by the Security Committee.

13.8. Security Authority for NNN

13.8.1. The NNN shall appoint a security authority to be responsible for the security provisions of the present Enclosure and the oversight of the NNN Authorities with spe- cific CIS Security responsibilities for na- tional CIS handling NATO classified infor- mation (including NCSA, NDA and SAAs).

BILAGA G C-M(2002)49-REV1

BILAGA G SÄKERHETSSKYDDSKLASSIFICE- RADE PROJEKT OCH INDUSTRI- SÄKERHET

INLEDNING

1. I denna bilaga presenteras strategin och miniminormerna för säkerheten för Natos säkerhetsskyddsklassificerade information inom industrin. Ytterligare detaljer och krav finns i det stödjande direktivet om säker- hetsskyddsklassificerade projekt och indu- strisäkerhet.

2. Industrisäkerhet är genomförande av skyddsåtgärder och tillämpning av skydds- förfaranden för att förhindra, upptäcka och avhjälpa förlust eller läcka av säkerhets- skyddsklassificerad information som hante- rats av industrin inom ramen för kontrakt. Natos säkerhetsskyddsklassificerade inform- ation som ges till industrin eller som fram- ställts på grundval av kontrakt som slutits med industrin samt säkerhetsskyddsklassifi- cerade kontrakt som slutits med industrin ska skyddas i enlighet med Natos säkerhets- strategi och stödjande direktiv.

3. De nationella säkerhetsmyndigheterna el- ler de utsedda säkerhetsmyndigheterna ska säkerställa att de har de medel som krävs för att göra sina krav som gäller industrisäker- het bindande för industrin och att de har rätt att inspektera och godkänna de åtgärder som genomförts inom industrin för att skydda sä- kerhetsskyddsklassificerad information.

SÄKERHETSKRAV FÖR VERKSAM- HETSSTÄLLEN

4. Alla entreprenörer eller underentreprenö- rer som sluter kontrakt som inbegriper Natos säkerhetsskyddsklassificerade information och som förutsätter åtkomst till eller fram- ställande av information som säkerhets- skyddsklassificerats som NATO CONFI- DENTIAL eller högre ska vid en säkerhets- prövning av verksamhetsställe (FSC) ha be- viljats godkänt av den ansvariga nationella

ENCLOSURE “G”

C-M(2002)49-REV1

ENCLOSURE “G”

CLASSIFIED PROJECT AND INDUS- TRIAL SECURITY

INTRODUCTION

1. This Enclosure sets out the policy and minimum standards for the security of NATO Classified Information within indus- try. Additional details and requirements are found in the supporting Directive on Classi- fied Project and Industrial Security.

2. Industrial security is the application of protective measures and procedures to pre- vent, detect and recover from the loss or compromise of classified information han- dled by industry in contracts. NATO Classi- fied Information disseminated to industry, generated as a result of a contract with in- dustry, and classified contracts with industry shall be protected in accordance with NATO Security Policy and supporting directives.

3. NSAs/DSAs shall ensure that they have the means to make their industrial security requirements binding upon industry and that they have the right to inspect and approve the measures taken in industry for the pro- tection of classified information.

FACILITY SECURITY REQUIRE- MENTS

4. All Contractors/Sub-contractors undertak- ing a contract involving NATO Classified Information requiring access to, or genera- tion of information classified NATO CON- FIDENTIAL (NC) or above shall hold a Fa- cility Security Clearance (FSC) at the appro- priate level issued by the responsible NSA/ DSA of the country that has jurisdiction over the Contractor/Sub-contractor’s

säkerhetsmyndigheten eller den ansvariga utsedda säkerhetsmyndigheten i det land vars jurisdiktion entreprenörens eller under- entreprenörens verksamhetsställe omfattas av.

5. En godkänd säkerhetsprövning av verk- samhetsställe (FSC) krävs inte för åtkomst till eller framställning av information som säkerhetsskyddsklassificerats som NATO RESTRICTED.

ANBUDSFÖRFARANDE, FÖRHAND- LING OCH SLUTANDE AV KON- TRAKT SOM INBEGRIPER NATOS SÄKERHETSSKYDDSKLASSIFICE- RADE INFORMATION

6. Huvudkontraktet för ett Natoprogram el- ler Natoprojekt ska förhandlas fram och slu- tas av ett Natoprograms eller Natoprojekts direktion/kontor. Alla entreprenörer som är parter i kontrakt till följd av vilka det vid entreprenörens verksamhetsställe krävs han- tering och framställning av eller åtkomst till information som säkerhetsskyddsklassifice- rats som NATO CONFIDENTIAL eller högre ska ha beviljats godkänt vid en säker- hetsprövning av verksamhetsställe (FSC). För kontrakt som säkerhetsskyddsklassifice- rats som NATO RESTRICTED krävs inte en godkänd säkerhetsprövning av verksam- hetsställe (FSC).

7. Natoprogrammets eller Natoprojektets di- rektion/kontor eller någon annan kontrakts- slutande myndighet som inleder ett kon- traktsförfarande ska se till att entreprenörens verksamhetsställen har godkänts vid en ade- kvat säkerhetsprövning av verksamhetsställe (FSC) när det gäller den specifika fasen av kontraktet. Den kontraktsslutande myndig- heten ska kontrollera att entreprenörens per- sonal som i den upphandlande myndighet- ens lokaler och utrymmen har åtkomst till information som säkerhetsskyddsklassifice- rats som NATO CONFIDENTIAL eller högre har beviljats godkänt vid en adekvat säkerhetsprövning av person (PSC).

facility.

5. A FSC is not required for access to, or generation of information classified NATO RESTRICTED (NR).

TENDERING, NEGOTIATION AND LETTING OF CONTRACTS INVOLV- ING NATO CLASSIFIED INFOR- MATION

6. The prime contract for a NATO pro- gramme/project shall be negotiated and awarded by a NATO Programme/Project Agency/Office (NPA/NPO). An FSC shall be required for all Contractors involved in contracts that require the Contractor’s facil- ity to manage, generate or have access to in- formation classified NATO CONFIDEN- TIAL (NC) and above. For contracts classi- fied NATO RESTRICTED (NR), an FSC is not required.

7. The NPA/NPO or other contracting au- thority which initiates the contract shall en- sure that Contractor’s facilities hold an ap- propriate FSC for the specific phase of the contract. The contracting authority shall ver- ify that Contractor’s personnel accessing in- formation classified NC or above at the premises of the contracting authority hold the appropriate PSC.

8. Efter det att huvudkontraktet har slutits får en huvudentreprenör förhandla om un- derkontrakt med andra entreprenörer, det vill säga underentreprenörer. Dessa unde- rentreprenörer får också förhandla om un- derkontrakt med andra underentreprenörer. Om dessa underkontrakt kräver åtkomst till information som säkerhetsskyddsklassifice- rats som NATO CONFIDENTIAL eller högre, ska de säkerhetskrav för verksam- hetsstället och personalen som anges i av- snittet "Industrisäkerhetsgodkännande för Natokontrakt" i denna bilaga och i direktivet om säkerhetsskyddsklassificerade projekt och industrisäkerhet gälla. Om en potentiell underentreprenör omfattas av jurisdiktionen1 för en stat utanför Nato, ska ett förhandstill- stånd för förhandling om ett underkontrakt erhållas från Natoprogrammets eller Nato- projektets direktion/kontor eller någon an- nan kontraktsslutande myndighet. Om Nato- programmet eller Natoprojektet har infört restriktioner för slutandet av kontrakt i de medlemsstater i Nato som inte deltar i pro- grammet eller projektet, lämnas till Natopro- grammet eller Natoprojektet en begäran om att överväga givande av tillstånd och gi- vande av tillstånd innan förhandlingar om kontrakt inleds med entreprenörer från dessa stater.

9. Efter att ha slutit ett kontrakt ska Nato- programmet eller Natoprojektet eller någon annan kontraktsslutande myndighet infor- mera entreprenörens nationella säkerhets- myndighet eller utsedda säkerhetsmyndighet om kontraktet och säkerställa att tilläggs- klausulen om säkerhet (SAL) och/eller sä- kerhetsanvisningarna för program/projekt (PSI) i tillämpliga fall tillhandahålls huvu- dentreprenören tillsammans med kontraktet.

SÄKERHETSKRAV FÖR KONTRAKT SOM INBEGRIPER NATOS SÄKER- HETSSKYDDSKLASSIFICERADE IN- FORMATION

10. Huvudentreprenören och underentrepre- nörerna ska genom kontrakt åläggas att med

8. After the prime contract has been let, a prime Contractor may negotiate sub-con- tracts with other Contractors, i.e., Sub-con- tractors. These Sub-contractors may also ne- gotiate sub-contracts with other Sub-con- tractors. If these sub-contracts require access to information classified NC and above, the facility and personnel security requirements identified in the “Industrial Security Clear- ances for NATO Contracts” section of this Enclosure and in the Directive on Classified Project and Industrial Security shall apply. If a potential Sub-contractor is under the ju- risdiction1 of a non-NATO nation prior per- mission to negotiate a sub-contract shall be obtained from the NPA/NPO or other con- tracting authority respectively. If the NPA/ NPO has placed restrictions on the award of contracts to NATO Nations that are not par- ticipants in a programme/project, the NPA/ NPO shall be requested to consider and give permission prior to contract discussion with contractors from those Nations.

9. Upon letting the contract, the NPA/NPO or other contracting authority shall notify the NSA/DSA of the Contractor, and ensure that the Security Aspect Letter (SAL) and/or the Project Security Instruction (PSI), as ap- plicable, is provided to the prime Contrac- tor, with the contract.

SECURITY REQUIREMENTS FOR CONTRACTS INVOLVING NATO CLASSIFIED INFORMATION

10. The prime Contractor and Sub-contrac- tors shall be contractually required, under

1 Rätt att utöva makt i ett visst ärende eller inom ett visst territorium/geografiskt område.

1 Power to exercise authority over a subject matter or a territory/geographic area.

hot om uppsägning av kontraktet vidta alla åtgärder som föreskrivits av de nationella säkerhetsmyndigheterna eller de utsedda sä- kerhetsmyndigheterna för skydd av Natos säkerhetsskyddsklassificerade information som framställts av eller anförtros entrepre- nören, eller som ingår i varor som tillverkats av entreprenören.

a) Till kontrakt för viktiga program/pro- jekt som inbegriper Natos säkerhets- skyddsklassificerade information ska sä- kerhetsanvisningar för program/projekt (PSI) bifogas; en säkerhetsskyddsklassifi- ceringshandledning för program/projekt ska ingå i säkerhetsanvisningarna för pro- gram/projekt. Alla andra kontrakt som in- begriper Natos säkerhetsskyddsklassifice- rade information ska åtminstone omfatta en tilläggsklausul om säkerhet (SAL), som kan utgöras av säkerhetsanvisningarna för program/projekt men med begränsat till- lämpningsområde. I det senare nämnda fallet kan säkerhetsskyddsklassificerings- handledningen för program/projekt kallas en minneslista för säkerhetsskyddsklassi- ficering. Säkerhetsanvisningarna för pro- gram/projekt kompletterar Natos säker- hetsstrategi och säkerhetskrav, och i sä- kerhetsanvisningarna fastställs särskilda säkerhetsförfaranden med anknytning till det berörda Natoprogrammet eller Nato- projektet samt ansvaret för genomförande av säkerhetsåtgärder när det gäller säker- hetsskyddsklassificerad information.

b) För kontrakt som endast omfattar in- formation som säkerhetsskyddsklassifice- rats som NATO RESTRICTED har det i direktivet om säkerhetsskyddsklassifice- rade projekt och industrisäkerhet fast- ställts specifika bestämmelser, särskilt i dess bilaga 4 om kontraktsklausuler om säkerhet i anbud och kontrakt som inbe- griper information som säkerhetsskydds- klassificerats som NATO RESTRICTED.

11. Säkerhetsskyddsklassificeringen för pro- gram/projekt med information som hänger samman med eventuella underkontrakt ska baseras på säkerhetsskyddsklassificerings- handledningen för program/projekt.

penalty of termination of their contract, to take all measures prescribed by the NSAs/ DSAs for protecting all NATO Classified Information generated by or entrusted to the Contractor, or embodied in articles manu- factured by the Contractor:

(a) Contracts for major programme/pro- jects involving NATO Classified Infor- mation shall contain a PSI as an annex; a “Project Security Classification Guide” shall be a part of the PSI. All other con- tracts involving NATO Classified Infor- mation shall include, as a minimum, a SAL, which may be a PSI that is reduced in scope. In the latter case, the Pro- gramme/Project Security Classification Guide may be referred to as a “Security Classification Checklist”. The PSI sup- plements the NATO security policies and requirements, establishes specific secu- rity procedures associated with the NATO programme/project concerned and assigns responsibilities for the implemen- tation of security measures concerning classified information.

(b) For contracts involving only infor- mation classified NR specific regulations have been established in the Directive on Classified Project and Industrial Security, in particular in its Appendix 4 “Contract Security Clause for Tenders and Con- tracts involving NATO RESTRICTED Information”.

11. The security classification for pro- gramme/project elements of information as- sociated with possible sub-contracts shall be based on the Programme/Project Security Classification Guide.

SLUTANDE AV KONTRAKT SOM IN- BEGRIPER NATOS SÄKERHETS- SKYDDSKLASSIFICERADE INFORM- ATION MED ENTREPRENÖRER I STATER UTANFÖR NATO

12. När kontrakt som inbegriper Natos sä- kerhetsskyddsklassificerade information sluts med entreprenörer i stater utanför Nato innebär detta utlämnande av information, vilket ska ske i enlighet med bilaga E till denna C-M-handling, direktivet om säkerhet för Natos säkerhetsskyddsklassificerade in- formation och direktivet om säkerhets- skyddsklassificerade projekt och industri- säkerhet. Utlämnandet ska alltid ske med samtycke av den eller de som informationen härrör från.

13. Slutande av kontrakt som inbegriper Na- tos säkerhetsskyddsklassificerade informat- ion med entreprenörer i stater utanför Nato förutsätter ett bilateralt säkerhetsavtal/säker- hetsarrangemang mellan Nato eller en kon- traktsslutande eller som garant fungerande medlemsstat i Nato och en stat utanför Nato. Om kontraktet regleras av ett bilateralt sä- kerhetsavtal/säkerhetsarrangemang mellan en kontraktsslutande/som garant fungerande medlemsstat i Nato och en stat utanför Nato, ska Natos medlemsstat lämna en skriftlig sä- kerhetsgaranti till Nato som bekräftelse på att Natos säkerhetsskyddsklassificerade in- formation som lämnas ut omfattas av säker- hetsavtalet/säkerhetsarrangemanget. En ko- pia av garantin ska lämnas till Natos säker- hetsbyrå och vederbörande Natoprogram el- ler Natoprojekt.

14. Att sluta ett kontrakt med en entreprenör från en stat utanför Nato ska följa de förfa- randen som fastställs i direktivet om säker- hetsskyddsklassificerade projekt och indu- strisäkerhet.

15. För stater utanför Nato ska en eller flera säkerhetsmyndigheter som sköter motsva- rande uppgifter som en nationell säkerhets- myndighet eller en utsedd säkerhetsmyndig- het i en medlemsstat i Nato utses.

CONTRACTS INVOLVING NATO CLASSIFIED INFORMATION WITH CONTRACTORS IN NON-NATO NA- TIONS

12. The letting of contracts involving NATO Classified Information with Contractors in non-NATO nations constitutes release of in- formation and shall be in accordance with Enclosure “E” to this C-M, the Directive on the Security of NATO Classified Infor- mation and the Directive on Classified Pro- ject and Industrial Security. The release shall always be with the consent of the relevant originator(s).

13. Contracts involving NATO Classified Information with Contractors in non-NATO nations require the existence of a bilateral Security Agreement/Arrangement between NATO or a contracting/sponsoring NATO Nation and the non-NATO nation. If the contract is governed by a bilateral Security Agreement/Arrangement between a con- tracting/sponsoring NATO Nation and a non-NATO nation, the NATO Nation shall provide a written Security Assurance to NATO confirming that the NATO Classi- fied Information provided is governed under the scope of that Security Agreement/Ar- rangement. A copy of the assurance shall be provided to the NOS and the relevant NPO/ NPA.

14. Placing a contract to a Contractor of a non-NATO nation shall follow the proce- dures as established in the Directive on Classified Project and Industrial Security.

15. For non-NATO nations, an appropriate security authority(s) shall be identified that fulfils the equivalent functions of a NATO Nation’s NSA/DSA.

SÄKERHETSPRÖVNING INOM INDU- STRIN NÄR DET GÄLLER NATO- KONTRAKT

Allmänt

16. På kontrakt och underkontrakt tillämpas de principer för verksamhetsställen och per- soner som beskrivs nedan.

Godkänd säkerhetsprövning av verksam- hetsställe (FSC)

17. Den nationella säkerhetsmyndigheten el- ler den utsedda säkerhetsmyndigheten i varje medlemsstat i Nato ansvarar för att sä- kerställa att varje verksamhetsställe under dess jurisdiktion som behöver åtkomst till information som säkerhetsskyddsklassifice- rats som NATO CONFIDENTIAL eller högre har genomfört de säkerhetsskyddsåt- gärder som behövs för att kunna beviljas godkänt vid en säkerhetsprövning av verk- samhetsställe (FSC). När godkänt beviljas vid en säkerhetsprövning av verksamhets- ställe ska den nationella säkerhetsmyndig- heten eller den utsedda säkerhetsmyndig- heten säkerställa att den har de medel som krävs för att få kännedom om alla omstän- digheter som kan påverka beviljandet av ett godkännande.

18. Den bedömning som görs innan godkänt beviljas vid en säkerhetsprövning av verk- samhetsställe (FSC) ska utöver tillämpliga nationella lagar och regler följa de krav och kriterier som fastställs i det stödjande direk- tivet om säkerhetsskyddsklassificerade pro- jekt och industrisäkerhet. Bedömningen ska åtminstone inbegripa entreprenörens/under- entreprenörens ärlighet och redlighet, säker- hetsstatusen för entreprenörens/underentre- prenörens personal och andra personer som på grund av sina förbindelser kan behöva tillgång till Natos säkerhetsskyddsklassifice- rade information samt utländskt ägande, kontroll och bestämmande inflytande.

19. En anbudsgivare som inte har genomgått en adekvat säkerhetsprövning av verksam- hetsställe (FSC) i enlighet med kraven i det potentiella kontraktet/underkontraktet ska inte automatiskt uteslutas ur förfarandet.

INDUSTRIAL SECURITY CLEAR- ANCES FOR NATO CONTRACTS

General

16. The policy described in subsequent para- graphs for facilities and individuals apply to contracts and sub-contracts.

Facility Security Clearances (FSC)

17. The NSA/DSA of each NATO Nation is responsible for ensuring that any facility un- der its jurisdiction which will require access to information classified NC and above has adopted the protective security measures necessary to qualify for an FSC. In granting an FSC, the NSA/DSA shall ensure that they have the means to be advised of any circum- stances that could have a bearing upon the viability of the clearance granted.

18. The assessment to be made prior to issu- ing an FSC shall be in accordance with the requirements and criteria set out in the sup- porting Directive on Classified Project and Industrial Security in addition to any appli- cable national laws and regulations. As a minimum the assessment shall cover aspects of the integrity and probity of the Contrac- tor/Sub-Contractor, security status of its per- sonnel and of other individuals who may, by virtue of their association be required to have access to NATO Classified Infor- mation, and aspects of the foreign owner- ship, control and influence.

19. A bidder, not holding an appropriate FSC as required by the potential contract/ subcontract shall not be automatically ex- cluded from the competition. The contract-

Den kontraktsslutande myndigheten ska sträva efter att på alla möjliga sätt se till att den information som lämnas till anbudsgi- varna är begränsad till lägsta möjliga säker- hetsskyddsklassificeringsnivå som fortfa- rande möjliggör ett informationsbaserat och konkurrenskraftigt svar på anbudsinfordran. I anbudsinfordran ska det dock nämnas att godkänt vid en adekvat säkerhetsprövning av verksamhetsställe (FSC) krävs före slu- tande av kontraktet/underkontraktet.

20. I det stödjande direktivet om säkerhets- skyddsklassificerade projekt och industri- säkerhet anges situationer där en godkänd säkerhetsprövning av verksamhetsställe (FSC) krävs.

21. En godkänd säkerhetsprövning av verk- samhetsställe (FSC) eller en godkänd säker- hetsprövning av person (PSC) krävs inte för kontrakt eller åtkomst till information som säkerhetsskyddsklassificerats som NATO RESTRICTED. En stat som enligt sina nat- ionella lagar och regler om säkerhet kräver en godkänd säkerhetsprövning av verksam- hetsställe (FSC) för ett kontrakt eller under- kontrakt som säkerhetsskyddsklassificerats som NATO RESTRICTED ska inte diskri- minera entreprenörer från en stat som inte kräver en godkänd säkerhetsprövning av verksamhetsställe, utan ska säkerställa att entreprenören har informerats om sitt ansvar för skydd av informationen och att denne in- tygar sig vara medveten om detta ansvar.

Säkerhetsprövning av person för an- ställda vid verksamhetsställen

22. De anställda vid ett verksamhetsställe som behöver åtkomst till Natos säkerhets- skyddsklassificerade information som säker- hetsskyddsklassificerats som NATO CLAS- SIFIED eller högre ska ha beviljats godkänt vid en adekvat säkerhetsprövning av person (PSC). Beviljandet av godkänt vid säker- hetsprövning av person ska ske i enlighet med bilaga C till denna C-M-handling, di- rektivet om personalsäkerhet och direktivet om säkerhetsskyddsklassificerade projekt och industrisäkerhet.

ing authority should make all efforts in re- stricting the security classification level of the information required to be provided to bidders to the lowest possible level still per- mitting an informed and qualified response to the invitation to tender. However, the ten- der document shall advise on the require- ment for an appropriate FSC prior to the award of the contract/subcontract.

20. Scenarios identifying FSC requirements are provided in the supporting Directive on Classified Project and Industrial Security.

21. An FSC or PSC is not required for con- tracts or access to information classified NR. A nation which, under its national secu- rity laws and regulations, requires an FSC for a contract or sub-contract classified NR shall not discriminate against a Contractor from a nation not requiring an FSC, but shall ensure that the Contractor has been in- formed of its responsibilities in respect to the protection of the information, and ob- tains an acknowledgement of those respon- sibilities.

Personnel Security Clearances for Facil- ity Employees

22. The facility’s employees who require ac- cess to NATO Classified Information NC and above shall hold an appropriate PSC. The issuing of PSCs shall be in accordance with Enclosure “C” to this C-M, the Di- rective on Personnel Security and the Di- rective on Classified Project and Industrial Security.

23. Ansökningar om säkerhetsprövning av entreprenörers anställda ska lämnas till den nationella säkerhetsmyndighet eller den ut- sedda säkerhetsmyndighet som ansvarar för verksamhetsstället.

24. Om ett verksamhetsställe vill anställa en medborgare från en stat utanför Nato för en uppgift som förutsätter åtkomst till Natos sä- kerhetskyddsklassificerade information, är det den nationella säkerhetsmyndighet eller den utsedda säkerhetsmyndighet under vars jurisdiktion verksamhetsstället i fråga lyder som ska genomföra det förfarande för säker- hetsprövning som fastställs i denna handling och bestämma om personen kan beviljas åt- komst i enlighet med kraven i bilaga C till denna C-M-handling, direktivet om personalsäkerhet och direktivet om säker- hetsskyddsklassificerade projekt och indu- strisäkerhet.

UTLÄMNANDE AV NATOS SÄKER- HETSSKYDDSKLASSIFICERADE IN- FORMATION VID SLUTANDE AV KONTRAKT

25. Vid slutande av kontrakt kan Natos sä- kerhetsskyddsklassificerade information lämnas ut antingen till stater utanför Nato och internationella organisationer eller till sådana deltagare från medlemsstater i Nato som inte deltar i program eller projekt. Ut- lämnandet ska i tillämpliga fall ske med samtycke av det vederbörande Natopro- grammets eller Natoprojektets direkt- ion/kontor och/eller den som informationen härrör från samt i enlighet med andra till- lämpliga bilagor till Natos säkerhetsstrategi, direktivet om säkerhet för Natos säkerhets- skyddsklassificerade information och direk- tivet om säkerhetsskyddsklassificerade pro- jekt och industrisäkerhet.

HANTERING AV SÄKERHETS- SKYDDSKLASSIFICERAD INFORM- ATION I KOMMUNIKATIONS- OCH INFORMATIONSSYSTEM

26. Endast adekvat säkerhetsackrediterade kommunikations- och informationssystem får användas för lagring, bearbetning eller

23. Applications for the security clearance for Contractor employees shall be made to the NSA/DSA which is responsible for the facility.

24. If a facility wishes to employ a citizen of a non-NATO nation in a position that re- quires access to NATO Classified Infor- mation, it is the responsibility of the NSA/ DSA of the Nation which has jurisdiction over the hiring facility, to carry out the secu- rity clearance procedure prescribed herein, and determine that the individual can be granted access in accordance with the re- quirements of Enclosure “C” to this C-M, the Directive on Personnel Security and the Directive on Classified Project and Indus- trial Security.

RELEASE OF NATO CLASSIFIED IN- FORMATION IN CONTRACTING

25. The release of NATO Classified Infor- mation in contracting can constitute either release to non-NATO nations and Interna- tional Organizations or release to non-Pro- gramme/Project participants from NATO Nations. The release shall be with the con- sent of the relevant NPA/NPO and/or origi- nator, as applicable, and in accordance with other relevant enclosures to the NATO Security Policy, the Directive on the Secu- rity of NATO Classified Information as well as the Directive on Classified Project and Industrial Security.

THE HANDLING OF CLASSIFIED IN- FORMATION IN COMMUNICATION AND INFORMATION SYSTEMS (CIS)

26. Only appropriately security accredited CIS shall be used for the storing, processing or transmitting (called hereafter “handling") of NATO Classified Information. Enclosure

överföring (nedan hantering) av Natos sä- kerhetsskyddsklassificerade information. Bi- laga F till denna C-M-handling, det primära direktivet om säkerhet i kommunikations- och informationssystem (AC/35-D/2004), direktivet om ledningen av säkerhet i kom- munikations- och informationssystem (AC/35-D/2005) och alla adekvata tekniska direktiv och genomförandedirektiv om sä- kerhet i kommunikations- och informations- system (AC/322-handlingar) innehåller yt- terligare strategier och anvisningar för ge- nomförande av kommunikations- och in- formationssystem där Natos säkerhets- skyddsklassificerade information hanteras.

27. Säkerhetsackrediteringen av information som säkerhetsskyddsklassificerats som NATO RESTRICTED och som hanteras i kommunikations- och informationssystem kan delegeras till entreprenörer i enlighet med nationella lagar och regler om säkerhet. Om uppgiften delegeras, ska de vederbö- rande nationella säkerhetsmyndigheterna el- ler de vederbörande utsedda säkerhetsmyn- digheterna eller ackrediteringsmyndighet- erna behålla ansvaret för skyddet av inform- ation som säkerhetsskyddsklassificerats som NATO RESTRICTED och som hanteras av entreprenören, och de ska ha rätt att inspek- tera de säkerhetsåtgärder som entreprenö- rerna genomför.

KONTROLLFÖRFARANDEN VID IN- TERNATIONELLA BESÖK

28. Kontrollförfaranden vid internationella besök tillämpas på sådana internationella besök som görs av företrädare för Natos medlemsstater, Natos civila och militära or- gan, entreprenörer och underentreprenörer och som inbegriper Natos säkerhetsskydds- klassificerade information. Kontrollförfaran- dena tillämpas även på företrädare för stater utanför Nato, inklusive entreprenörer/unde- rentreprenörer från sådana stater, om staten i fråga har godkänt förfarandena.

29. Besök som inbegriper åtkomst till in- formation som säkerhetsskyddsklassificerats som NATO CLASSIFIED eller högre eller obeledsagat tillträde till säkerhetsutrymmen

“F” to this C-M, the “Primary Directive on CIS Security” (AC/35-D/2004), the “Man- agement Directive on CIS security” (AC/35-D/2005) and all relevant Technical and Implementation Directives on CIS Se- curity (AC/322 documents) provide further

policy and directions for the conformant im- plementation of CIS handling NATO Classi- fied Information.

27. The security accreditation of CIS han- dling information classified NR may be del- egated to Contractors according to national security laws and regulations. Where this delegation is exercised, the relevant NSAs/ DSAs/SAAs shall retain the responsibility for the protection of NR information han- dled by the Contractor and the right to in- spect the security measures taken by the Contractors.

INTERNATIONAL VISIT CONTROL PROCEDURES (IVCP)

28. IVCP apply to international visits by representatives of NATO Nations, NATO Civil and Military bodies, Contractors and Sub-Contractors involving NATO Classified Information. They also apply to representa- tives of a non-NATO nation including Con- tractors/Sub-Contractors of such Nation if the Nation has adopted the IVCP.

29. Visits involving access to information classified NC and above or unescorted ac- cess to security areas shall be approved by the NSA/DSA. Visits involving access to

ska godkännas av den nationella säkerhets- myndigheten eller den utsedda säkerhets- myndigheten. Besök som inbegriper åtkomst till information som säkerhetsskyddsklassi- ficerats som NATO UNCLASSIFED2 eller NATO RESTRICTED får anordnas direkt mellan det sändande och det mottagande verksamhetsstället utan formella krav.

30. Detaljerade arrangemang för genomfö- rande av internationella besök fastställs i di- rektivet om säkerhetsskyddsklassificerade projekt och industrisäkerhet.

PERSONAL SOM LÅNAS UT TILL NATOPROJEKT ELLER NATOPRO- GRAM

31. När en person, som vid säkerhetspröv- ning har godkänts för åtkomst till Natos sä- kerhetsskyddsklassificerade information, i samma Natoprogram eller Natoprojekt lånas ut från ett verksamhetsställe till ett annat i en annan av Natos medlemsstater, ska per- sonens eget verksamhetsställe begära att dess nationella säkerhetsmyndighet eller dess utsedda säkerhetsmyndighet bekräftar för den nationella säkerhetsmyndigheten el- ler den utsedda säkerhetsmyndigheten för det verksamhetsställe till vilket personen lå- nas ut att personen är godkänd vid säker- hetsprövning.

INTERNATIONELL ÖVERFÖRING OCH TRANSPORT AV NATOS SÄ- KERHETSSKYDDSKLASSIFICERADE MATERIAL

På alla transportformer tillämpliga sä- kerhetsprinciper

32. Vid granskning av de säkerhetsarrange- mang som föreslås för internationella trans- porter av försändelser av säkerhetsskydds- klassificerat material ska följande principer tillämpas:

NU2 or information classified NR may be arranged directly between the sending and receiving facility without formal require- ments.

30. Detailed arrangements for the conduct of International Visits are laid down in the Di- rective on Classified Project and Industrial Security.

PERSONNEL ON LOAN WITHIN A NATO PROJECT/ PROGRAMME

31. When an individual who has been cleared for access to NATO Classified In- formation is to be loaned from one facility to another in the same NATO programme/ project, but in a different NATO Nation, the individual’s parent facility shall request its NSA/DSA to provide a Personnel Security Clearance Confirmation for the individual to the NSA/DSA of the facility to which they are to be loaned.

INTERNATIONAL TRANSMISSION AND TRANSPORTATION OF NATO CLASSIFIED MATERIAL

Security Principles Applicable to all Forms of Transportation

32. The following principles shall be en- forced when examining proposed security arrangements for the international transpor- tation of consignments of classified mate- rial:

2 NATO UNCLASSIFIED är inte en säkerhetsskyddsklassificering i Nato.

2 NU is not a NATO security classification.

a) Säkerheten ska garanteras i alla skeden av transporten och under alla omständig- heter från ursprungsplatsen till slutdesti- nationen.

b) Den skyddsnivå som ges en försändelse ska vara den högsta säkerhetsskyddsklas- sificeringsnivån för det material som leve- ransen innehåller.

c) En godkänd säkerhetsprövning av verk- samhetsställe (FSC) ska när detta krävs in- hämtas för företag som sköter transporten. I sådana fall ska den personal som sköter försändelsen beviljas godkänt vid säker- hetsprövning av person (PSC) i enlighet med bestämmelserna i denna bilaga.

d) Resorna ska i möjligaste mån ske utan omvägar och slutföras så snabbt som om- ständigheterna medger.

e) Transportrutterna ska noggrant ordnas så att de endast går genom Natos med- lemsstater. Rutter genom stater utanför Nato ska endast användas om de godkänts av den nationella säkerhetsmyndighet eller den utsedda säkerhetsmyndighet vars ju- risdiktion avsändaren omfattas av och om de är i enlighet med det stödjande direkti- vet om säkerhet för Natos säkerhets- skyddsklassificerade information.

33.Arrangemang för försändelser av säker- hetsskyddsklassificerat material ska faststäl- las för varje program eller projekt. Dessa ar- rangemang ska följas för att minimera san- nolikheten för obehörig åtkomst till säker- hetsskyddsklassificerat material.

34. Säkerhetsstandarderna för internationell överföring av Natos säkerhetsskyddsklassi- ficerade information finns i det stödjande di- rektivet om fysisk säkerhet för Natos säker- hetsskyddsklassificerade information. De detaljerade kraven för personligt överläm- nande av säkerhetsskyddsklassificerat Nato- material, överlämnande av säkerhetsskydds- klassificerat material med hjälp av kommer- siella kurirföretag, säkerhetsvakter eller led- sagare samt transport av sprängämnen, driv- medel eller andra farliga ämnen fastställs i

(a) security shall be assured at all stages during the transportation and under all circumstances, from the point of origin to the ultimate destination;

(b) the degree of protection accorded to a consignment shall be determined by the highest security classification level of material contained within it;

(c) an FSC shall be obtained, where re- quired, for companies providing transpor- tation. In such cases, personnel handling the consignment shall be issued a PSC in compliance with the provisions of this Enclosure;

(d) journeys shall be point-to-point to the extent possible, and shall be completed as quickly as circumstances permit; and

(e) care shall be exercised to arrange routes only through NATO Nations. Routes through non-NATO nations should only be undertaken when author- ised by the NSA/ DSA having jurisdic- tion over the consignor and in accordance with the supporting Directive on the Se- curity of NATO Classified Information.

33. Arrangements for consignments of clas- sified material shall be stipulated for each programme/project. However, such arrange- ments shall be in force in order to minimize the likelihood of unauthorised access to classified material.

34. The security standards for the interna- tional transfer of NATO Classified Infor- mation can be found in the supporting Di- rective on the Security of NATO Classified Information. However, the detailed require- ments for the hand carriage of NATO classi- fied material, carriage of classified material by commercial courier companies, security guards and escorts, and the transportation of explosives, propellants or other dangerous substances are set out in the supporting Di- rective on Classified Project and Industrial Security.

det stödjande direktivet om säkerhets- skyddsklassificerade projekt och industriell säkerhet.

BILAGA H C-M(2002)49-REV1

BILAGA H SÄKERHET I FÖRBINDELSERNA

MED ENHETER SOM INTE HÖR TILL NATO

INLEDNING

1. I denna bilaga fastställs strategin och mi- niminormerna för skydd av Natos säkerhets- skyddsklassificerade information när den lämnas ut till stater utanför Nato eller andra organ som inte hör till Nato (till exempel in- ternationella organisationer) eller när dessa har åtkomst till den, inklusive personer som företräder sådana stater eller organ (nedan enheter som inte hör till Nato (NNEs)).

2. Delningen av Natos säkerhetsskyddsklas- sificerade information med enheter som inte hör till Nato (NNEs) ska ske inom ramen för sådant Natosamarbete som godkänts av Nor- datlantiska rådet (NAC). Varje begäran om att dela Natos säkerhetsskyddsklassificerade information med enheter som inte hör till Nato utanför sådant samarbete ska från fall till fall övervägas och godkännas av Nordat- lantiska rådet eller den myndighet till vilken uppgiften har delegerats. Ytterligare detaljer och krav för skydd av Natos säkerhets- skyddsklassificerade information när den lämnas ut till enheter som inte hör till Nato eller när dessa har åtkomst till den finns i Natos stödjande direktiv om säkerhet i för- bindelserna med enheter som inte hör till Nato.

3. Termen de sju staterna utanför Nato (7NNN) avser endast följande länder och deras medborgare: Australien, Finland, Ir- land, Nya Zeeland, Schweiz, Sverige och Österrike.1

4. Enheter som inte hör till Nato (NNEs) ska inrätta en behörig säkerhetsmyndighet med

ENCLOSURE “H”

C-M(2002)49-REV1

ENCLOSURE “H”

SECURITY IN RELATION TO NON- NATO ENTITIES

INTRODUCTION

1. This Enclosure sets out the policy and minimum standards for the protection of NATO Classified Information to be released to or accessed by non-NATO nations and other non-NATO bodies (e.g. International Organizations) including individuals repre- senting such nations or bodies (hereinafter referred to as non-NATO entities (NNEs)).

2. The sharing of NATO Classified Infor- mation with NNEs shall take place in the context of NATO cooperative activities ap- proved by the North Atlantic Council (NAC). Any request to share NATO Classi- fied Information with NNEs outside such cooperative activities shall be considered and approved by the NAC or the appropriate delegated authority on a case-by-case basis. Additional details and requirements for the protection of NATO Classified Information to be released or accessed by NNEs are found in the supporting Directive for NATO on Security in Relation to NNEs.

3. The term 7 Non-NATO Nations (7NNN) refers solely to the following countries and their citizens: Australia, Austria, Finland, Ireland, New Zealand, Sweden and Switzer- land.1

4. NNEs shall establish an appropriate secu- rity authority responsible for the security of

1 Nationella säkerhetsmyndigheter (NSAs) eller utsedda säkerhetsmyndigheter (DSAs) kan föreslå ändringar i för- teckningen över länderna för godkännande av säkerhetskommittén.

1 NSAs/DSAs may propose changes to the list of countries, for approval by the Security Committee.

ansvar för säkerheten för Natos säkerhets- skyddsklassificerade information. Den stöd- jande handlingen om säkerhet i förbindel- serna med Nato för enheter som inte hör till Nato ger de enheter som inte hör till Nato en översikt över de grundläggande principer och miniminormer för säkerhet som ska till- lämpas på skydd och hantering av Natos sä- kerhetsskyddsklassificerade information och på nationella motsvarigheter som utbyts inom ramen för sådant Natosamarbete som godkänts av Nordatlantiska rådet (NAC).

ALLMÄNNA KRAV

5. Delning av Natos säkerhetsskyddsklassi- ficerade information med enheter som inte hör till Nato (NNEs) kan ske inom ramen för

a) samarbete som godkänts av Nordatlan- tiska rådet (NAC) och där deltagandet för den enhet som inte hör till Nato (NNE) har godkänts av Nordatlantiska rådet,

b) Natos verksamhet (till exempel pro- gram, projekt, insatser, uppgifter) där del- tagandet för den enhet som inte hör till Nato och karaktären av enhetens engage- mang i en specifik del av verksamheten anses vara till nytta för Nato, eller

c) bilaterala åtaganden mellan en med- lemsstat i Nato och en enhet som inte hör till Nato, där delning av Natos säkerhets- skyddsklassificerade information med en- heten som inte hör till Nato har fastställts vara till nytta för Nato.

6. Innan Natos säkerhetsskyddsklassifice- rade information delas med en enhet som inte hör till Nato (NNE) ska enheten och Nato ha ingått ett säkerhetsavtal vars ge- nomförande ska certifieras av Natos säker- hetsbyrå (NOS). Vid avsaknad av ett säker- hetsavtal ska det finnas en säkerhetsgaranti om det politiskt eller operativt är nödvändigt att rättidigt dela Natos säkerhetsskyddsklas- sificerade information till stöd för samarbete som godkänts av Nordatlantiska rådet (NAC) eller, i undantagsfall, utanför sådant samarbete. I Natos stödjande direktiv om sä- kerhet i förbindelserna med enheter som inte

NATO Classified Information. The Support- ing Document for Non-NATO Entities on Security in Relation to NATO provides the NNEs with an overview of the basic princi- ples and minimum standards of security to be applied to the protection and handling of NATO Classified Information, and national equivalents exchanged in the context of NATO cooperative activities approved by the NAC.

GENERAL REQUIREMENTS

5. The sharing of NATO Classified Infor- mation with NNEs may take place in the contexts of:

(a) NAC-approved cooperative activities where the NNE’s participation has been approved by the North Atlantic Council (NAC);

(b) NATO activities (e.g. programme, project, operation, task) where the NNE’s participation and the nature of its engage- ment in a specific aspect of an activity is deemed beneficial to NATO; or

(c) bilateral engagements between a NATO Nation and an NNE, where shar- ing of NATO Classified Information with an NNE has been determined to be bene- ficial to NATO.

6. Prior to sharing NATO Classified Infor- mation with an NNE, the NNE and NATO shall have entered into a Security Agree- ment, the implementation of which shall be certified by the NATO Office of Security (NOS). In the absence of a Security Agree- ment, a Security Assurance shall be in place where there is a political or operational im- perative to share NATO Classified Infor- mation in a timely manner in support of a NAC-approved cooperative activity or, in exceptional cases, outside such an activity. The supporting Directive for NATO on Se- curity in Relation to NNEs describes de- tailed provisions applicable to sharing

hör till Nato (NNEs) finns detaljerade be- stämmelser om delning av Natos säkerhets- skyddsklassificerade information med en- heter som inte hör till Nato i de samman- hang som anges i punkt 5.

SÄKERHETSAVTAL OCH ADMINIST- RATIVA ARRANGEMANG

7. Ett säkerhetsavtal är en mekanism som används för att göra det möjligt att utbyta säkerhetsskyddsklassificerad information med en identifierad enhet som inte hör till Nato (NNE). Ett säkerhetsavtal innehåller de strategiska principer på hög nivå som över- enskommits mellan Nato och en enhet som inte hör till Nato och utgör grunden för ge- nomförandet av lämpliga säkerhetsåtgärder för att vid behov skydda både Natos säker- hetsskyddsklassificerade information och säkerhetsskyddsklassificerad information från den enhet som inte hör till Nato. Ge- nomförandet av säkerhetsavtalet av den en- het som inte hör till Nato ska certifieras av Natos säkerhetsbyrå (NOS) innan Natos sä- kerhetsskyddsklassificerade information lämnas ut till enheten.

8. De säkerhetsprinciper som fastställs i sä- kerhetsavtalet ska stödjas av en lämplig upp- sättning administrativa arrangemang. De ad- ministrativa arrangemangen stöder genom- förandet av säkerhetsavtalet och består av en uppsättning bestämmelser som beskriver de grundläggande säkerhetskraven för det ade- kvata och ömsesidigt godtagbara skyddet av den säkerhetsskyddsklassificerade informat- ion som utbyts. När de administrativa ar- rangemangen har ingåtts bekräftar Natos sä- kerhetsbyrå (NOS) tillämpningen av dem genom en säkerhetskartläggning.

9. Natos säkerhetsbyrå (NOS) ska med stöd av en riskhanteringsmetod utföra regel- bundna säkerhetskartläggningar minst vartannat år i de relevanta organen inom den enhet som inte hör till Nato (NNE) för att säkerställa fortsatt efterlevnad av säkerhets- avtalet och de administrativa arrange- mangen.

NATO Classified Information with NNEs in the contexts specified in paragraph 5.

SECURITY AGREEMENTS AND AD- MINISTRATIVE ARRANGEMENTS

7. A Security Agreement is a mechanism used to enable the exchange of classified information with an identified NNE. It sets out high level strategic principles agreed be- tween NATO and the NNE, providing the basis for the implementation of appropriate security measures to protect NATO Classi- fied Information as well as the NNE’s clas- sified information, when required. The im- plementation of the Security Agreement by the NNE shall be certified by the NOS be- fore any NATO Classified Information is re- leased to an NNE.

8. The security principles identified in the Security Agreement shall be supported by an appropriate set of Administrative Ar- rangements. The Administrative Arrange- ments act in support of the implementation of a Security Agreement and are a set of provisions which outline the basic security requirements for the appropriate and mutu- ally acceptable protection of the exchanged classified information. Once the Administra- tive Arrangements have been concluded their application shall be confirmed by the NOS through the conduct of a security sur- vey.

9. The NOS shall carry out periodic security surveys, at least once every two years, based on a risk management approach, of the rele- vant bodies within the NNE to ensure con- tinued compliance with the Security Agree- ment and the Administrative Arrangements.

SÄKERHETSGARANTIER

10. En säkerhetsgaranti används i avsaknad av ett certifierat säkerhetsavtal mellan Nato och en enhet som inte hör till Nato om det politiskt eller operativt är nödvändigt att rät- tidigt dela Natos säkerhetsskyddsklassifice- rade information till stöd för samarbete som certifierats av Nordatlantiska rådet (NAC) eller, i undantagsfall, utanför sådant samar- bete. I Natos stödjande direktiv om säkerhet i förbindelserna med enheter som inte hör till Nato (NNEs) ingår detaljerade kriterier som ska uppfyllas i de fall då en säkerhets- garanti används.

11. En säkerhetsgaranti formaliserar åtagan- det för en enhet som inte hör till Nato (NNE) att tillhandahålla en adekvat nivå av skydd för Natos säkerhetsskyddsklassifice- rade information som enheten tar emot. En säkerhetsgaranti är begränsad till specifik verksamhet för en bestämd tid.

12. En säkerhetsgaranti från en enhet som inte hör till Nato (NNE), undertecknad av en företrädare som vederbörligen bemyndigats av enheten, ska ges in till Natos säkerhets- byrå (NOS) i de fall då säkerhetsgarantin används för att göra det möjligt att dela Na- tos säkerhetsskyddsklassificerade informat- ion till stöd för

a) samarbete godkänt av Nordatlantiska rådet, eller

b) Natos verksamhet när deltagandet för en enhet som inte hör till Nato (NNE) från fall till fall har godkänts av Nordatlantiska rådet (NAC) eller den myndighet till vil- ken uppgiften har delegerats.

Garantier från en medlemsstat i Nato

13. Delning av Natos säkerhetsskyddsklassi- ficerade information utanför den verksamhet som definieras i punkt 12 a eller 12 b kräver, efter en särskild begäran från en medlems- stat i Nato, garantier. Garantier innebär en form av stöd från en medlemsstat i Nato till en enhet som inte hör till Nato (NNE) för att göra det möjligt att dela Natos säkerhets- skyddsklassificerade information med en en- het som inte hör till Nato när det inte finns

SECURITY ASSURANCES

10. A Security Assurance is utilized in the absence of a certified Security Agreement between NATO and an NNE where there is a political or operational imperative that ne- cessitates the sharing of NATO Classified Information in a timely manner in support of a NAC-approved cooperative activity, or in exceptional cases outside such an activity. The supporting Directive for NATO on Security in Relation to NNEs provides de- tailed criteria to be fulfilled in cases when a Security Assurance is used.

11. A Security Assurance formalises the NNE’s commitment to provide an appropri- ate degree of protection to any NATO Clas- sified Information received. A Security As- surance is limited to the specific activity, for a specific period of time.

12. A Security Assurance from an NNE, signed by a representative duly mandated by the NNE, shall be provided to the NOS in cases where a Security Assurance is utilized for the purposes of enabling sharing of NATO Classified Information in support of a:

(a) NAC-approved cooperative activity, or

(b) NATO activity, where the NNE’s par- ticipation has been approved by the NAC or the appropriate delegated authority, on a case-by-case basis.

Sponsorship by a NATO Nation

13. Sharing of NATO Classified Infor- mation outside activities defined in 12 (a) or (b), further to a special request by a NATO Nation, requires sponsorship. A sponsorship means a form of support provided by a NATO Nation to an NNE in order to enable sharing of NATO Classified Information with an NNE in case of absence of a certi- fied Security Agreement between NATO and the NNE.

något certifierat säkerhetsavtal mellan Nato och den enheten.

14. För att en medlemsstat i Nato ska kunna vara garant ska det finnas ett lämpligt säker- hetsramverk (till exempel ett säkerhetsavtal eller något annat tillämpligt arrangemang) mellan garanten och den enhet som inte hör till Nato (NNE). Garanten ska ge in en skriftlig säkerhetsgaranti, undertecknad av en företrädare som vederbörligen bemyndi- gats av den enhet som inte hör till Nato, till Natos säkerhetsbyrå (NOS). I säkerhetsga- rantin fastställs de miniminormer som den enhet som inte hör till Nato ska tillämpa för att skydda Natos säkerhetsskyddsklassifice- rade information.

15. En garanti är begränsad till specifik verksamhet för en bestämd tid.

SÄRSKILDA SÄKERHETSBESTÄM- MELSER

16. När Natos säkerhetsskyddsklassificerade information delas med enheter som inte hör till Nato (NNEs), finns det tre sätt för att ge åtkomst till Natos säkerhetsskyddsklassifi- cerade information eller tillträde till Natos lokaler och utrymmen till enheter som inte hör till Nato: genom tillträde till Natos loka- ler och utrymmen, åtkomst till Natos säker- hetsskyddsklassificerade information och ut- lämnande av Natos säkerhetsskyddsklassifi- cerade information. I Natos stödjande direk- tiv om säkerhet i förbindelserna med enheter som inte hör till Nato (NNEs) finns detalje- rade kriterier med anslutande specifika åt- gärder och förfaranden som är tillämpliga i varje situation.

Personalsäkerhet

17. Innan en person från en enhet som inte hör till Nato (NNE) beviljas åtkomst till in- formation som säkerhetsskyddsklassificerats som NATO CONFIDENTIAL eller högre, ska personen ha beviljats godkänt vid en sä- kerhetsprövning av person (PSC) på minst samma nivå som krävs för en medborgare i en medlemsstat i Nato i enlighet med Natos säkerhetsstrategi och dess stödjande direk- tiv.

14. In order for a NATO Nation to be able to act as a Sponsor there shall be an appro- priate security framework (e.g. security agreement or other applicable arrangement) in place between the Sponsor and the NNE. The Sponsor shall provide a written Security Assurance, signed by a representative duly mandated by the NNE, to the NOS. The Se- curity Assurance stipulates the minimum standards that the NNE shall apply for the protection of NATO Classified Information.

15. A sponsorship is limited to a specific ac- tivity, for a specific period of time.

SPECIFIC SECURITY PROVISIONS

16. When sharing NATO Classified Infor- mation with NNEs there are three circum- stances in which access to NATO Classified Information or premises can be provided to NNEs: access to NATO premises, access to NATO Classified Information, and release of NATO Classified Information. The sup- porting Directive for NATO on Security in Relation to NNEs provides detailed criteria and the related specific measures and proce- dures applicable for each scenario.

Personnel Security

17. Before an NNE individual is granted ac- cess to information classified NC or above, the individual shall have successfully com- pleted a PSC procedure no less rigorous than that required for a NATO national in accordance with NATO Security Policy and its supporting directives.

18. En godkänd säkerhetsprövning av per- son (PSC) krävs inte för åtkomst till inform- ation som säkerhetsskyddsklassificerats som NATO RESTRICTED. Personer från en en- het som inte hör till Nato (NNE) ska dock ha behovsenlig behörighet, ha informerats om sina säkerhetsåligganden när det gäller skyddet av Natos säkerhetsskyddsklassifice- rade information och skriftligen eller på ett motsvarande sätt som säkerställer oavvislig- het ha intygat att de är medvetna om sitt sä- kerhetsansvar.

19. En godkänd säkerhetsprövning av per- son (PSC) kan krävas för tillträde till Natos lokaler och utrymmen på grundval av sär- skilda kriterier som fastställs i Natos stöd- jande direktiv om säkerhet i förbindelserna med enheter som inte hör till Nato (NNEs) samt de relevanta lokala säkerhetsbestäm- melserna.

Fysisk säkerhet

20. Personer från enheter som inte hör till Nato (NNEs) och som på grund av sitt upp- drag och sin tjänsteutövning behöver ha re- gelbundna kontakter med Natos personal kan ges tillträde till särskilda utrymmen där information som säkerhetsskyddsklassifice- rats som NATO RESTRICTED eller högre lagras, hanteras och/eller diskuteras. Sådana personer kan också tilldelas arbetsrum inom särskilda zoner. Beviljande av obeledsagat tillträde till och/eller tilldelning av arbets- rum ska behandlas från fall till fall.

21. I Natos stödjande direktiv om säkerhet i förbindelserna med enheter som inte hör till Nato (NNEs) finns detaljerad information om förfarandet, godkännandemyndigheterna och de kriterier som ska uppfyllas för att personer från enheter som inte hör till Nato ska beviljas tillträde till Natos säkerhetsut- rymme av klass I eller II eller till en admi- nistrativ zon.

18. A PSC is not required for access to in- formation classified NATO RESTRICTED (NR). However, the NNE individual shall have a need-to-know, shall be briefed on their security obligations in respect to the protection of NATO Classified Information and shall have acknowledged their security responsibilities in writing or an equivalent method which ensures non-repudiation.

19. A PSC may be required to access NATO premises based on specific criteria stipulated in the supporting Directive for NATO on Security in Relation to NNEs, and the rele- vant local security regulations.

Physical Security

20. Individuals from NNEs who, because of their assignment and official duties, need regular interface with NATO staff may be granted access to specific areas in which in- formation classified NR and above is stored, handled and/or discussed. Such individuals may also be assigned office space within specific areas. The granting of unescorted access and/or the assignment of office space shall be handled on a case-by-case basis.

21. The supporting Directive for NATO on Security in Relation to NNEs provides de- tailed information on the procedure, ap- proval authorities and the criteria to be ful- filled for individuals from NNEs to be granted access to a NATO Class I or Class II Security Area, or to an Administrative Zone.

Informationssäkerhet

22. Inom ramen för samarbete med enheter som inte hör till Nato (NNEs) kan åtkomst till Natos säkerhetsskyddsklassificerade in- formation eller tillträde till Natos lokaler och utrymmen ges på följande tre sätt till en- heter som inte hör till Nato:

a) tillträde till Natos lokaler och utrym- men. En person som företräder en enhet som inte hör till Nato har tillstånd att fy- siskt få tillträde till en viss plats, ett visst verksamhetsställe eller ett visst utrymme i ett verksamhetsställe inom Nato. Fysiskt tillträde innefattar inte automatiskt åt- komst till Natos säkerhetsskyddsklassifi- cerade information.

b) åtkomst till Natos säkerhetsskydds- klassificerade information. En person som företräder en enhet som inte hör till Nato har tillstånd att få åtkomst till Natos säkerhetsskyddsklassificerade information för att fullgöra sina uppdrag och sin tjäns- teutövning, när åtkomsten är till nytta för Nato. Åtkomsten är begränsad till perso- nen i fråga, som inte får sprida Natos sä- kerhetsskyddsklassificerade information vidare till sin enhet som inte hör till Nato, såvida inte informationen har lämnats ut i enlighet med de fastställda förfarandena.

c) utlämnande av Natos säkerhets- skyddsklassificerade information. När Natos säkerhetsskyddsklassificerade in- formation med tillstånd får lämnas ut till en enhet som inte hör till Nato.

23. I Natos stödjande direktiv om säkerhet i förbindelserna med enheter som inte hör till Nato (NNEs) finns detaljerade kriterier som måste uppfyllas när under särskilda omstän- digheter Natos civila eller militära organ el- ler Natos medlemsstater ska ge åtkomst till eller lämna ut Natos säkerhetsskyddsklassi- ficerade information.

24. Utlämnande av Natos säkerhetsskydds- klassificerade information till en enhet som inte hör till Nato (NNE) är alltid beroende av ett skriftligt samtycke i förväg av den el- ler de som informationen härrör från.

Security of Information

22. In the context of cooperation with NNEs there are three circumstances in which ac- cess to NATO Classified Information or premises can be provided to NNEs:

(a) Access to NATO premises. A cir- cumstance when an individual represent- ing an NNE is authorised to physically access a specific NATO site, facility or specific area located within a facility. Physical access does not automatically include access to NATO Classified Infor- mation.

(b) Access to NATO Classified Infor- mation. A circumstance when an individ- ual representing an NNE is authorised to access NATO Classified Information in order to fulfil their assignments and offi- cial duties when access is for NATO’s benefit. Access is limited to the individ- ual in question and they are not permitted to disseminate NATO Classified Infor- mation further to their NNE unless that information has been released in accord- ance with the established procedures.

(c) Release of NATO Classified Infor- mation. A circumstance when NATO Classified Information is authorised to be released to an NNE.

23. The supporting Directive for NATO on Security in Relation to NNEs provides de- tailed criteria that needs to be fulfilled in specific circumstances when access to or re- lease of NATO Classified Information is to be provided by NATO Civil or Military bodies, or by NATO Nations.

24. Release of NATO Classified Infor- mation to an NNE is always subject to re- ceiving prior written consent of the origina- tor(s).

25. Natos säkerhetsskyddsklassificerade in- formation får lämnas ut inom ramen för samarbete som godkänts av Nordatlantiska rådet (NAC) eller inom ramen för Natos verksamhet, om Nordatlantiska rådet eller den myndighet till vilken uppgiften har dele- gerats har godkänt deltagarna från den enhet som inte hör till Nato (NNE) i verksam- heten. I Natos stödjande direktiv om säker- het i förbindelserna med enheter som inte hör till Nato finns detaljerade kriterier som ska tillämpas innan informationen lämnas ut.

26. För att Natos säkerhetsskyddsklassifice- rade information ska kunna lämnas ut på en särskild begäran av en medlemsstat i Nato (garanten) till en enhet som inte hör till Nato (NNE) utanför sådant samarbete som har godkänts av Nordatlantiska rådet (NAC) el- ler utanför Natos verksamhet, och där delta- garna från den enhet som inte hör till Nato har godkänts av Nordatlantiska rådet eller den myndighet till vilken uppgiften har dele- gerats, ska före utlämnandet de ytterligare kriterier som finns i Natos stödjande direktiv om säkerhet i förbindelserna med enheter som inte hör till Nato tillämpas.

27. Om ett säkerhetsavtal eller en säkerhets- garanti är i kraft med en internationell orga- nisation, ska utlämnandet av Natos säker- hetsskyddsklassificerade information till dem i avtalet eller garantin som inte hör till Nato ske i enlighet med de relevanta be- stämmelserna i säkerhetsavtalet och andra fastställda regler för deras deltagande i Na- tos verksamhet. När i avsaknad av ett säker- hetsavtal en säkerhetsgaranti har upprättats med en internationell organisation, ska ut- lämnandet av Natos säkerhetsskyddsklassifi- cerade information till dem i garantin som inte hör till Nato ske i enlighet med de rele- vanta bestämmelserna i det stödjande direk- tivet och säkerhetsgarantin.

28. En enhet som inte hör till Nato (NNE) och som inte är part i det gällande avtalet mellan parterna i nordatlantiska fördraget om samarbete avseende nukleär information (C-M(64)39) får inte ha eller ges åtkomst till

25. NATO Classified Information may be released in the context of NAC-approved cooperative activity or in the context of NATO activities, where the NNE partici- pants to that activity have been endorsed by the NAC or the appropriate delegated au- thority. The supporting Directive for NATO on Security in Relation to NNEs provides additional criteria to be applied prior to re- lease.

26. For NATO Classified Information to be released on a special request from a NATO Nation (the Sponsor) to an NNE outside NAC-approved cooperative activities or NATO activities, where the NNE partici- pants in that activity have been endorsed by the NAC or the appropriate delegated authority, the supporting Directive for NATO on Security in Relation to NNEs pro- vides additional criteria to be applied prior to release.

27. Where a Security Agreement or Security Assurance is in force with an international organization, the release of NATO Classi- fied Information to its non-NATO members shall be in accordance with the relevant pro- visions of the Security Agreement, as well as other established rules concerning their participation in NATO activities. In the ab- sence of a Security Agreement, where a Se- curity Assurance is in place with an interna- tional organization, the release of NATO Classified Information to its non-NATO members shall be in accordance with the rel- evant provisions of the supporting Directive and the Security Assurance.

28. ATOMAL information of any security classification shall not be accessed by or re- leased to any NNE which is not a party to the current Agreement Between the Parties

Atomalinformation av någon som helst sä- kerhetsskyddsklassificering.

Utlämnande myndighet

29. Nordatlantiska rådet (NAC) har den högsta befogenheten när det gäller utläm- nande av Natos säkerhetsskyddsklassifice- rade information till enheter som inte hör till Nato (NNEs). Denna befogenhet följer prin- cipen om samtycke av den som informat- ionen härrör från och befogenheten delege- ras till

a) den lämpliga ämnesspecifika kommit- tén när det gäller information som säker- hetsskyddsklassificerats som NATO SEC- RET eller lägre och som härrör från den kommittén och/eller dess underordnande organ. När det gäller information som sä- kerhetsskyddsklassificerats som NATO RESTRICTED får den lämpliga ämnes- specifika kommittén vidaredelegera befo- genheten till en tydligt identifierad funkt- ion inom den stödjande personalen eller till en särskild roll/särskilda roller inom den ämnesspecifika kommitténs stödjande personal,

b) militärkommittén (MC) när det gäller information som säkerhetsskyddsklassifi- cerats som NATO SECRET eller lägre och som härrör från militärkommittén och/eller dess underordnande organ. När det gäller information som säkerhets- skyddsklassificerats som NATO RESTRICTED får militärkommittén vida- redelegera befogenhet till en tydligt iden- tifierad funktion inom den stödjande per- sonalen eller till en särskild roll/särskilda roller inom militärkommitténs stödjande personal,

c) högsta befälhavaren för Natos styrkor i Europa (SACEUR) eller biträdande högsta befälhavaren för Natos styrkor i Europa (D/SACEUR) när det gäller information som säkerhetsskyddsklassificerats som NATO SECRET eller lägre och som det anses att kan lämnas ut till ett visst upp- drag (XFOR) eller som har säkerhets- skyddsklassificerats som NATO/XFOR

to the North Atlantic Treaty for Co-opera- tion Regarding Atomic Information C- M(64)39.

Release Authority

29. The NAC is the ultimate authority for the release of NATO Classified Information to NNEs. This authority respects the princi- ple of originator consent and is delegated to:

(a) the appropriate subject-matter com- mittee for information classified up to and including NS which has been origi- nated by that committee and/or bodies subordinate to it. For information classi- fied NR, the appropriate subject-matter committee may further delegate authority to a clearly identified staff support func- tion or a specific role(s) within the sup- port staff to that committee;

(b) the MC for information classified up to and including NS which has been orig- inated by the MC and/or bodies subordi- nate to it. For information classified NR, the MC may further delegate authority to a clearly identified staff support function or a specific role(s) within the support staff to the MC;

(c) SACEUR or D/SACEUR for infor- mation classified up to and including NS which is identified as being releasable to the mission (XFOR), or is classified NATO/ XFOR SECRET (mission SE- CRET), under specific conditions, which are in detail described in the supporting Directive for NATO on Security in Rela- tion to NNEs;

SECRET (mission SECRET), på särskilda villkor som beskrivs i detalj i Natos stöd- jande direktiv om säkerhet i förbindel- serna med enheter som inte hör till Nato,

d) befälhavaren över transformationsled- ningen (SACT) eller biträdande befälha- varen över transformationsledningen (D/SACT) när det gäller information som säkerhetsskyddsklassificerats som NATO SECRET eller lägre, på särskilda villkor som beskrivs i detalj i Natos stödjande di- rektiv om säkerhet i förbindelserna med enheter som inte hör till Nato,

e) uppdragschefen för en insats som inbe- griper truppbidragande stater utanför Nato (NNTCN), i enlighet med godkännande av Nordatlantiska rådet, när det gäller in- formation som säkerhetsskyddsklassifice- rats som NATO SECRET eller lägre och som det redan har fastställts att kan läm- nas ut till uppdraget (XFOR) på särskilda villkor som beskrivs i detalj i Natos stöd- jande direktiv om säkerhet i förbindel- serna med enheter som inte hör till Nato,

f) Natos produktions- och logistikorgani- sation (NPLO), i samordning med de del- tagande staterna, när det gäller Natos sä- kerhetsskyddsklassificerade information som härrör från och tillhör en eller flera av de stater som deltar i Natos produktions- och logistikorganisation.

30. Med hänsyn till de avvikelser som anges i punkterna 29 a och 29 b och som gäller in- formation som säkerhetsskyddsklassificerats som NATO RESTRICTED får de myndig- heter till vilka utlämnandet delegerats inte vidaredelegera sina befogenheter.

31. Utlämnandebefogenheten får endast de- legeras till en lämplig ämnesspecifik kom- mitté där den eller de som informationen härrör från företräds. Om en eller flera av dem som informationen härrör från inte kan fastställas, ska den behöriga ämneskommit- tén överta ansvaret från den som informat- ionen härrör från.

32. I genomförandeinstruktionerna för del- ning av underrättelseinformation mellan

(d) SACT or D/SACT for information classified up to and including NS infor- mation, under specific conditions, which are in detail described in the supporting Directive for NATO on Security in Rela- tion to NNEs;

(e) the mission commander for an opera- tion involving Non-NATO Troop Con- tributing Nations (NNTCN), as endorsed by the NAC, for information classified up to and including NS that has already been determined as releasable to the mission (XFOR), under specific conditions, which are in detail described in the sup- porting Directive for NATO on Security in Relation to NNEs;

(f) the NATO Production and Logistics Organization (NPLO), in coordination with the participating nations, for NATO Classified Information originated by and belonging to one or more of the nations participating in the NPLO.

30. With the exceptions applying to infor- mation classified NR stated in paragraphs 29

(a) and (b) above, delegated release authori- ties cannot further delegate their powers.

31. Authority for release shall only be dele- gated to an appropriate subject-matter com- mittee on which the originator(s) is/are rep- resented. If the originator(s) cannot be es- tablished, the appropriate subject-matter committee shall assume the responsibility of the originator.

32. The Implementing Instructions on Intel- ligence Sharing Between NATO and NNEs

Nato och enheter som inte hör till Nato (NNEs) (DSG (2015) 0307-REV1) och den

stödjande handlingen om delning av under- rättelseinformation och annan information med enheter som inte hör till Nato (AC/35- D/1040) definieras den utlämnande myndig- heten i miljöer som gäller operationer, ut- bildning, övningar, transformation eller samarbete.

Registrering av utlämnad information

33. Natos civila och militära organ ska föra register över beslut om all information som säkerhetsskyddsklassificerats som NATO CONFIDENTIAL eller högre och som de har lämnat ut till en enhet som inte hör till Nato (NNE) och de ska minst var sjätte må- nad till Natos centralregister i Bryssel rap- portera uppgifter om referensnummer, titel och datum för utlämnande, om inte en behö- rig säkerhetsmyndighet bestämmer något annat.

Säkerhet i kommunikations- och inform- ationssystem

34. I Natos stödjande direktiv om säkerhet i förbindelserna med enheter som inte hör till Nato (NNEs) anges särskilda krav som ska uppfyllas för att en person från en enhet som inte hör till Nato ska kunna få åtkomst till Natos kommunikations- och informationssy- stem (CIS).

35. En sammankoppling av Natos kommuni- kations- och informationssystem (CIS) med ett kommunikations- och informationssy- stem i en enhet som inte hör till Nato ska vara säkerhetsackrediterad i enlighet med Natos säkerhetsstrategi och dess stödjande direktiv.

SÄKERHETSINCIDENTER

36. En säkerhetsincident som inbegriper sä- kerhetsskyddsklassificerad information som Nato haft och erhållit från en enhet som inte hör till Nato (NNE) ska följa bestämmel- serna i direktivet om säkerhet för Natos sä- kerhetsskyddsklassificerade information (AC/35-D/2002) och eventuella ytterligare bestämmelser som anges i säkerhetsavtalet

(DSG(2015)0307-REV1) and the Support- ing Document on Information and Intelli- gence Sharing with Non-NATO Entities (AC/35-D/1040) define the Release Author- ity in the environments of Operations, Training, Exercises, Transformation or Co- operation.

Records of Released Information

33. NATO Civil and Military bodies shall keep records of decisions of all information classified NC and above which they have re- leased to an NNE and shall, at least every six months, report details of the reference number, title and release date to the NATO Central Registry, Brussels, unless otherwise directed by an appropriate Security Author- ity.

Communication and Information Systems Security

34. The supporting Directive for NATO on Security in Relation to NNEs outlines spe- cific requirements that shall be met in order for an NNE individual to be provided access to NATO Communication and Information System (CIS).

35. Interconnection of NATO CIS with an NNE’s CIS shall be security accredited in accordance with the NATO Security Policy and its supporting directives.

SECURITY INCIDENTS

36. Security incidents involving an NNE’s classified information in NATO’s posses- sion shall follow the provisions of the Di- rective on the Security of NATO Classified Information (AC/35-D/2002) and any addi- tional provisions specified in the Security

och de administrativa arrangemangen för genomförandet av det eller i säkerhetsgaran- tin för den enhet som inte hör till Nato.

37. Säkerhetsincidenter som inbegriper sä- kerhetsskyddsklassificerad information från en enhet som inte hör till Nato (NNE) ska omedelbart rapporteras till Natos säkerhets- byrå (NOS). Natos säkerhetsbyrå ansvarar för att omgående informera den relevanta säkerhetsmyndigheten för en enhet som inte hör till Nato om säkerhetsincidenter som in- begriper säkerhetsskyddsklassificerad in- formation från enheten som inte hör till Nato i enlighet med säkerhetsavtalet och dess administrativa arrangemang för genom- förandet eller säkerhetsgarantin.

Agreement and the implementing Adminis- trative Arrangements, or Security Assurance with the NNE.

37. Security incidents involving an NNE’s classified information shall be immediately reported to the NOS. The NOS is responsi- ble for promptly informing the relevant NNE’s Security Authority on security inci- dents involving an NNE’s classified infor- mation in accordance with the Security Agreement and the implementing Adminis- trative Arrangements, or Security Assur- ance.

ORDLISTA GLOSSARY

C-M(2002)49-REV1 C-M(2002)49-REV1

ORDLISTA		GLOSSARY
Åtkomst till in- formation	Beviljande av tillåtelse för en eller flera personer att ta del av särskild in- formation i enlighet med de säkerhetsbegräns- ningar som krävs för ut- förande av deras tydligt definierade uppgifter, för vilka de har tillbörliga befogenheter. Åtkomst till information under så- dana omständigheter är den berörda personens privilegium och inbegri- per inte rätt att ytterligare sprida informationen.	Access to in- formation	The granting of permis- sion for an individual or individuals to be exposed to specific information in line with the required se- curity parameters for the execution of their clearly defined and appropri- ately authorized duties. Access in such circum- stances is the privilege of the individual in question where rights of further dissemination are not permitted.
Tillträde till loka- ler och utrymmen	Beviljande av tillåtelse till fysiskt tillträde till en angiven plats där en eller flera namngivna personer får närvara antingen med eller utan en utsedd led- sagare beroende på vad respektive säkerhetskrav förutsätter och respektive godkänd säkerhetspröv- ning tillåter.	Access to pre- mises	The granting of permis- sions for the physical ac- cess to a defined location where a nominated indi- vidual or individuals will be allowed to be present either with or without a designated escort de- pendent upon specific se- curity requirements and clearances.
Information som omfattas av an- svarsskyldighet	All information som sä- kerhetsskyddsklassifice- rats som COSMIC TOP SECRET (CTS) eller NATO SECRET (NS) samt all information av särskild kategori (såsom ATOMAL).	Accountable In- formation	All information classi- fied CTS and NS and all Special Category Infor- mation. (such as ATO- MAL)
Administrativ zon	En tydligt avgränsad skyddad zon där perso- ner inte behöver ledsagas och dit tillträde kräver tillstånd.	Administrative Zone	A clearly defined pro- tected area in which indi- viduals are not required to be escorted and to which access is subject to authorization.

Aggregations- principen	När en stor mängd av Natos säkerhetsskydds- klassificerade informat- ion samlas ihop måste den ursprungliga säker- hetsskyddsklassifice- ringsmärkningen bibe- hållas och en bedömning av hur organisationen på- verkas om den samlade informationen går förlo- rad eller läcker göras. Om denna övergripande effekt bedöms vara större än effekten av Natos be- rörda enskilda säkerhets- skyddsklassificeringsni- våer, ska hantering och skydd av den samlade in- formationen på en nivå som motsvarar den be- dömda effekten av att den samlade informat- ionen går förlorad eller läcker övervägas.	Aggregation Principle	When a large amount of NATO Classified Infor- mation is collated to- gether, the original secu- rity classification mark- ings must be retained and that information shall be assessed for the impact its collective loss or compromise would have upon the organization. If this overall impact is as- sessed as being higher than the impact of the ac- tual individual NATO se- curity classifications then consideration should be given to handling and protecting it at a level commensurate with the assessed impact of its loss or compromise.
Autentisering	Autentisering innebär att en enhets påstådda iden- titet kontrolleras.	Authentication	Authentication is the act of verifying the claimed identity of an entity.
Tillgänglighet	Informationens och materialets tillgänglighet och användbarhet vid an- fordran av en behörig person eller enhet.	Availability	The property of infor- mation and material be- ing accessible and usable upon demand by an au- thorised individual or en- tity.
Säkerhetsskydds- klassificerad in- formation	All information (det vill säga kunskap som kan överföras i vilken form som helst) eller alla material som kräver skydd mot obehörigt rö- jande och som med sä- kerhetsskyddsklassifice- ring har angetts vara så- dan.	Classified Infor- mation	Any information (namely, knowledge that can be communicated in any form) or material de- termined to require pro- tection against unauthor- ised disclosure and which has been so desig- nated by a security clas- sification.


Säkerhet i kom- munikations- och informationssy- stem (CIS Secu- rity)	Vidtagande av säkerhets- åtgärder för att skydda kommunikations- och in- formationssystem och andra elektroniska sy- stem samt den informat- ion som lagras, behand- las eller överförs i dessa system med avseende på konfidentialitet, riktig- het, tillgänglighet, auten- tisering och oavvislighet.	Communication and Information System Security (CIS Security)	The application of secu- rity measures for the pro- tection of communica- tion, information and other electronic systems, and the information that is stored, processed or transmitted in these sys- tems with respect to con- fidentiality, integrity, availability, authentica- tion and non-repudiation.
Behörig säker- hetsmyndighet (CSA)	En myndighet som utses av den nationella säker- hetsmyndigheten och som har behörighet att utföra särskilda säker- hetsuppgifter, inbegripet sådana som gäller bevil- jande av godkänt vid en säkerhetsprövning av person, för att ge den be- rörda statens medborgare åtkomst till Natos säker- hetsskyddsklassificerade information.	Competent Se- curity Authority (CSA)	An authority identified by the NSA which is au- thorised to carry out spe- cific security roles in- cluding those relating to personnel security clear- ances in order to give their nationals access to NATO Classified Infor- mation.
Läcka	En läcka innebär en situ- ation där på grund av sä- kerhetsöverträdelse eller skadlig verksamhet (såsom spionage, terro- risthandlingar, sabotage eller stöld) Natos säker- hetsskyddsklassificerade information har förlorat sin konfidentialitet, rik- tighet eller tillgänglighet eller där de stödjande tjänsterna och resurserna har förlorat sin riktighet eller tillgänglighet. Detta inbegriper förlust, rö- jande till obehöriga per-	Compromise	Compromise denotes a situation when - due to a Security Breach or ad- verse activity (such as espionage, acts of terror- ism, sabotage or theft) - NATO Classified Infor- mation has lost its confi- dentiality, integrity or availability, or support- ing services and re- sources have lost their integrity or availability. This includes loss, dis- closure to unauthorized individuals (e.g. through espionage or to the me-

	soner (till exempel ge- nom spionage eller till medier), otillåtna änd- ringar, utplåning på otill- låtet sätt eller överbelast- ning.		dia) unauthorized modi- fication, destruction in an unauthorised manner, or denial of service.
Kommunikat- ions-center	En organisation som an- svarar för hantering och kontroll av kommunikat- ionstrafik och som van- ligtvis består av ett med- delandecenter, ett kryp- tograficenter och sän- dande stationer och mot- tagande stationer.	Communica- tions Centre	An organization respon- sible for handling and controlling communica- tions traffic, normally comprising a message centre, a cryptographic centre, and transmitting and receiving stations.
Konfidentialitet	Egenskapen att informat- ion inte finns tillgänglig eller skyddas mot att obehöriga personer eller enheter får insyn i den.	Confidentiality	The property that infor- mation is not made avail- able or disclosed to un- authorised individuals or entities.
Mottagande stat	En entreprenör, ett verk- samhetsställe eller en an- nan organisation som får material från den avsän- dande staten	Consignee	The contractor, facility or other organization re- ceiving material from the consignor.
Avsändande stat	En entreprenör, ett verk- samhetsställe eller en an- nan organisation som an- svarar för organisering och avsändning av material.	Consignor	The contractor, facility or other organization re- sponsible for organizing and dispatching material.
Kontrakt	Ett rättsligt bindande av- tal om tillhandahållande av varor eller tjänster.	Contract	A legally enforceable agreement to provide goods or services.
Entreprenör	En industriell, kommer- siell eller annan enhet som samtycker till att tillhandahålla varor eller tjänster	Contractor	An industrial, commer- cial or other entity that agrees to provide goods or services.
Kurir	En person som officiellt fått i uppdrag att person- ligen överlämna material.	Courier	A person officially as- signed to hand-carry ma- terial.

Kurirtjänst	En tjänst som tillhanda- håller personal som offi- ciellt fått i uppdrag att personligen överlämna material.	Courier Service	A service that provides personnel officially as- signed to hand-carry ma- terial.
Kryptomaterial	Innefattar kryptoalgorit- mer, maskinvara för kryptering och program- varumoduler samt pro- dukter inklusive tillämp- ningsdetaljer med tillhö- rande dokumentation och nyckelmaterial (för både symmetriska och asym- metriska kryptografiska mekanismer).	Cryptomaterial	Includes cryptographic algorithms and crypto- graphic hardware – and software- modules and products including im- plementation details and associated documenta- tion and keying material (for both, symmetric and asymmetric crypto- graphic mechanisms).
Utsedd säkerhets- myndighet (DSA)	En myndighet som an- svarar för att informera industrin om den nation- ella strategin i alla frågor som gäller Natos indu- strisäkerhetsstrategi och för att ge ledning och bi- stånd vid dess genomfö- rande. I vissa länder kan en utsedd säkerhetsmyn- dighets verksamhet utfö- ras av den nationella sä- kerhetsmyndigheten.	Designated Se- curity Authority (DSA)	An authority responsible for communicating to in- dustry the national policy in all matters of NATO industrial security policy and for providing direc- tion and assistance in its implementation. In some countries, the function of a DSA may be carried out by the NSA.
Handling	All lagrad information oavsett fysisk form eller egenskaper, vilket inbe- griper men inte inskrän- ker sig till skriftliga do- kument och trycksaker, hålkort och hålremsor, kartor, diagram, fotogra- fier, målningar, ritningar, gravyrer, skisser, arbets- anteckningar och arbets- dokument, karbonkopior eller färgband, eller åter- givningar, oberoende av på vilket sätt eller med vilken metod de görs, samt alla slags ljud- och	Document	Any recorded infor- mation regardless of its physical form or charac- teristics, including, with- out limitation, written or printed matter, data pro- cessing cards and tapes, maps, charts, photo- graphs, paintings, draw- ings, engravings, sketches, working notes and papers, carbon cop- ies or ink ribbons, or re- productions by any means or process, and sound, voice, magnetic or electronic or optical or

	röstupptagningar, mag- netiska, elektroniska och optiska upptagningar och videoupptagningar, bär- bar it-utrustning med fasta lagringsmedier och löstagbara lagringsme- dier för datorer.		video recordings in any form, and portable IT equipment with resident computer storage media, and removable computer storage media.
Dynamisk risk- hantering	Förmåga att utföra risk- hantering på så sätt att risken för att använda ett kommunikations- och in- formationssystem konti- nuerligt bedöms, att alla förändringar i det sam- manhang där kommuni- kations- och informat- ionssystemet fungerar återspeglas dynamiskt i koden för risken och att de säkerhetsmotåtgärder som är lämpligast i situ- ationen i fråga genom- förs rättidigt.	Dynamic Risk Management	The ability to perform risk management in a way that the risk of using a CIS is continuously as- sessed, any change in the context in which the CIS operates is reflected in the risk signature dynam- ically and the security countermeasures, most appropriate to the situa- tion, are applied timely.
Ledsagare	Beväpnad eller obeväp- nad nationell polis, mili- tärperson eller annan statlig personal. Deras uppgift är att underlätta en säker förflyttning av materialet, men de har inget direkt ansvar i frå- gor som gäller skyddet av själva materialet.	Escorts	Armed or unarmed na- tional police, military, or other government per- sonnel. Their function is to facilitate the secure movement of the mate- rial, but they do not have direct responsibility in matters of the protection of the material itself.
Verksamhets- ställe	En anläggning, ett indu- strikomplex, en fabrik, ett laboratorium, ett kon- tor, ett universitet eller en annan läroanstalt eller ett kommersiellt företag, inklusive tillhörande la- ger, lagringsutrymmen, förråd och komponenter som när de är kopplade	Facility	An installation, plant, factory, laboratory, of- fice, university or other educational Institution, or commercial undertak- ing, including any asso- ciated warehouses, stor- age areas, utilities and components which, when related by function and

	till varandra genom verk- samhet och plats bildar en operativ helhet.		location, form an operat- ing entity.
Godkänd säker- hetsprövning av verksamhetsställe (FSC)	Ett administrativt beslut av en nationell säkerhets- myndighet eller en ut- sedd säkerhetsmyndighet om att ett verksamhets- ställe ur säkerhetsper- spektiv är i stånd att er- bjuda tillräcklig säkerhet för Natos säkerhets- skyddsklassificerade in- formation på en viss sä- kerhetsskyddsklassifice- ringsnivå eller lägre och att verksamhetsställets personal som behöver åt- komst till Natos säker- hetsskyddsklassificerade information har godkänts vid en adekvat säkerhets- prövning och informerats om Natos säkerhetskrav som ska tillämpas på Na- tos säkerhetsskyddsklas- sificerade kontrakt.	Facility Security Clearance (FSC)	An administrative deter- mination by a NSA/DSA that, from a security viewpoint, a facility can afford adequate security protection to NATO Classified Information of a specified security clas- sification or below, and its personnel who require access to NATO Classi- fied Information have been properly cleared and briefed on NATO se- curity requirements nec- essary to perform on the NATO Classified Con- tracts.
Vakter	Beväpnad eller obeväp- nad civil (statsanställda eller anställda deltagande entreprenörer) eller mili- tär personal, som kan ges enbart säkerhetsvaktupp- gifter eller en kombinat- ion av säkerhetsvaktupp- gifter och andra uppgif- ter.	Guards	Civilian (government or participating contractor employees) or military personnel who may be armed or unarmed. They may be assigned for se- curity guard duties only or may combine security guard duties with other duties.
Personligt över- lämnande	Överföring av informat- ion genom att en person överlämnar informat- ionen.	Hand Carriage	The transmission of in- formation by an individ- ual carrying that infor- mation on their person.
Värdstat	Allmänt: En stat där ett civilt eller militärt Natoorgan finns. I samband med industri- säkerhet:	Host Nation	General: The nation in which a NATO Civil or Military body is located.

Document Metadata

Table of Contents

FI NLANDS FÖRFATTNINGS SAMLINGS

Document Metadata