ANEXO I

SEGURIDAD EN EL PERSONAL

I

INTRODUCCI覰

1. El presente anexo establece disposiciones para la aplicaci髇 del art韈ulo 7. Define los criterios que determinan si una persona, teniendo en cuenta su lealtad, honradez y fiabilidad, puede ser autorizada para acceder a ICUE, y los procedimientos administrativos y de investigaci髇 que han de seguirse a tal efecto.

II

CONCESI覰 DE ACCESO A ICUE

2. Solo se conceder� acceso a informaci髇 clasificada a aquella persona:

• a) cuya necesidad de conocer se haya determinado;
• b) que haya sido instruida sobre las normas y procedimientos de seguridad para la protecci髇 de la ICUE, y que haya aceptado sus responsabilidades en lo que respecta a la protecci髇 de dicha informaci髇, y c) en el caso de informaci髇 clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior:
  • — a quien se haya concedido una HPS en el grado correspondiente, o bien a quien se haya autorizado debidamente en virtud de sus funciones, de conformidad con las disposiciones legales y reglamentarias nacionales, o
  • — en el caso de los funcionarios y otros agentes de la SGC y los expertos nacionales destinados en la SGC en comisi髇 de servicio, a quien la autoridad facultada para proceder a los nombramientos de la SGC haya autorizado a acceder a ICUE, de conformidad con lo dispuesto en los puntos 16 a 25, de un determinado nivel y hasta una fecha determinada.

3. Cada Estado miembro y la SGC determinar醤 los puestos que, dentro de sus respectivas administraciones, exigen el acceso a informaci髇 clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior y requieren por tanto una habilitaci髇 de seguridad de grado correspondiente.

III

REQUISITOS PARA OBTENER LA HABILITACI覰 PERSONAL DE SEGURIDAD

4. Una vez recibida una solicitud debidamente autorizada, corresponder� a las ANS u otras autoridades nacionales competentes asegurarse de que se realizan las investigaciones de seguridad sobre aquellos de sus nacionales que deban tener acceso a informaci髇 clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior. Las investigaciones se ajustar醤 a las disposiciones legales y reglamentarias nacionales a efectos de expedir una HPS o de ofrecer una garant韆 de que se conceder� a una persona autorizaci髇 para acceder a ICUE, seg鷑 proceda.

5. En caso de que la persona resida en el territorio de otro Estado miembro o en un tercer Estado, las autoridades nacionales competentes solicitar醤 la colaboraci髇 de la autoridad competente del Estado de residencia, de conformidad con las disposiciones legales y reglamentarias nacionales. Los Estados miembros se prestar醤 ayuda mutua para la realizaci髇 de las investigaciones de seguridad, de conformidad con las disposiciones legales y reglamentarias nacionales.

6. Cuando lo permitan las disposiciones legales y reglamentarias nacionales, las ANS u otras autoridades nacionales competentes podr醤 realizar investigaciones sobre no nacionales que deban tener acceso a informaci髇 clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior. Las investigaciones se ajustar醤 a las disposiciones legales y reglamentarias nacionales.

Criterios para las investigaciones de seguridad

7. La lealtad, honradez y fiabilidad de una persona a efectos de la obtenci髇 de una habilitaci髇 de seguridad para acceder a informaci髇 clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior se determinar醤 mediante una investigaci髇 de seguridad. La autoridad nacional competente realizar� una evaluaci髇 global basada en el resultado de la investigaci髇 de seguridad. Los criterios principales que se aplicar醤 a este efecto incluir醤, en la medida en que lo permitan las disposiciones legales y reglamentarias nacionales, el estudio de si la persona:

• a) ha cometido o intentado cometer, o ha conspirado para cometer o ha sido c髆plice en la comisi髇 de cualquier acto de espionaje, terrorismo, sabotaje, traici髇 o sedici髇;
• b) est� o ha estado vinculado con esp韆s, terroristas, saboteadores o personas sobre las que pese una sospecha razonable de pertenecer a esta categor韆 de personas, o con representantes de organizaciones o Estados extranjeros, incluidos los servicios de inteligencia extranjeros, que puedan suponer una amenaza para la seguridad de la Uni髇 o de sus Estados miembros, salvo que dicha relaci髇 haya sido autorizada en cumplimiento de una misi髇 oficial;
• c) es o ha sido miembro de cualquier organizaci髇 que persiga, por medios violentos, subversivos u otros medios ilegales, entre otros, el derrocamiento del Gobierno de un Estado miembro, la alteraci髇 del orden constitucional de un Estado miembro o el cambio de su forma de Gobierno o de la pol韙ica de su Gobierno;
• d) respalda o ha respaldado a cualquier organizaci髇 que responda a lo descrito en la letra c), o est� estrechamente vinculado a miembros de este tipo de organizaciones;
• e) ha ocultado, deformado o falseado deliberadamente informaci髇 importante, especialmente en el 醡bito de la seguridad, o ha mentido deliberadamente al cumplimentar un cuestionario de seguridad en el personal o en el curso de una entrevista de seguridad;
• f) ha sido condenado por uno o varios delitos;
• g) tiene un historial de dependencia del alcohol, consumo de drogas il韈itas o consumo abusivo de drogas l韈itas;
• h) tiene o ha tenido alguna conducta que pueda hacerlo vulnerable al chantaje u otro tipo de presiones;
• i) ha demostrado, de obra o de palabra, su falta de honradez, deslealtad, falta de fiabilidad o de probidad;
• j) ha infringido de manera grave o reiterada las normas de seguridad, o ha intentado realizar o ha realizado actividades no autorizadas en relaci髇 con sistemas de informaci髇 y comunicaciones, y
• k) puede verse sujeto a presiones (por ejemplo, por tener la nacionalidad de uno o varios pa韘es no pertenecientes a la UE o a trav閟 de familiares o allegados que puedan ser vulnerables frente a servicios de inteligencia extranjeros, grupos terroristas u otras organizaciones, o personas subversivas cuyos fines puedan amenazar la seguridad de la Uni髇 o de los Estados miembros).

8. Cuando proceda y de conformidad con las disposiciones legales y reglamentarias nacionales, se podr� considerar pertinente para la investigaci髇 de seguridad las circunstancias econ髆icas o el historial m閐ico de una persona.

9. Cuando proceda, y de conformidad con las disposiciones legales y reglamentarias nacionales, podr醤 tambi閚 considerarse pertinentes para la investigaci髇 de seguridad la conducta y las circunstancias de un c髇yuge, un cohabitante o un miembro de la familia cercana.

Requisitos de investigaci髇 a efectos del acceso a ICUE

Primera concesi髇 de una habilitaci髇 de seguridad

10. La habilitaci髇 de seguridad inicial para acceder a informaci髇 de los grados CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET se basar� en una investigaci髇 de seguridad que abarque un per韔do de al menos los cinco 鷏timos a駉s, o bien desde que la persona cumpli� los 18 a駉s de edad hasta el tiempo presente, eligiendo el per韔do m醩 corto, y que incluya los siguientes aspectos:

• a) cumplimentaci髇 de un cuestionario personal de seguridad nacional para el grado de ICUE a la que solicita tener acceso la persona investigada; una vez cumplimentado, el cuestionario se remitir� a la autoridad de seguridad competente;
• b) comprobaci髇 de la identidad, ciudadan韆 o nacionalidad de la persona: se verificar� la fecha y lugar de nacimiento de la persona y se comprobar� su identidad. Se determinar� la ciudadan韆 o nacionalidad, pasada y presente, de la persona; esta comprobaci髇 incluir� una evaluaci髇 de la posible vulnerabilidad frente a presiones de fuentes extranjeras, por ejemplo debido a su lugar de residencia anterior o a vinculaciones del pasado, y
• c) comprobaci髇 de los registros nacionales y locales: se comprobar醤 los registros nacionales de seguridad y, si existe, el de antecedentes penales, u otros registros similares de las administraciones p鷅licas y de la polic韆. Deber醤 comprobarse los registros policiales o judiciales con competencia territorial en los lugares donde haya residido o trabajado la persona investigada.

11. La habilitaci髇 de seguridad inicial para acceder a informaci髇 clasificada de grado TR萐 SECRET UE/EU TOP SECRET se basar� en una investigaci髇 de seguridad que abarque un per韔do de al menos los diez 鷏timos a駉s, o bien desde que el solicitante cumpli� 18 a駉s de edad hasta el tiempo presente, eligiendo el per韔do m醩 corto. En caso de realizarse entrevistas conforme a lo previsto en la letra e), las investigaciones abarcar醤 un per韔do de al menos los siete 鷏timos a駉s, o bien desde que la persona cumpli� 18 a駉s de edad hasta el tiempo presente, eligiendo el per韔do m醩 corto. Adem醩 de los criterios indicados en el punto 7, antes de conceder una HPS de grado TR萐 SECRET UE/EU TOP SECRET deber醤 realizarse indagaciones, en la medida en que lo permitan las disposiciones legales y reglamentarias nacionales, sobre los factores que se indican a continuaci髇; estos factores tambi閚 pueden ser pertinentes antes de conceder una HPS de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, cuando as� lo exijan las disposiciones legales y reglamentarias nacionales:

• a) situaci髇 econ髆ica: se investigar� la situaci髇 econ髆ica de la persona, con el fin de evaluar si es vulnerable frente a posibles presiones de procedencia extranjera o nacional por sufrir dificultades econ髆icas graves, o con el fin de descubrir ingresos econ髆icos inexplicables;
• b) educaci髇: se investigar� a fin de verificar los antecedentes acad閙icos de la persona en escuelas, universidades y otros centros de ense馻nza a los que haya asistido desde que haya cumplido 18 a駉s de edad o durante el per韔do que estime conveniente la autoridad que efect鷄 la investigaci髇;
• c) empleos: se investigar� el trabajo actual y los anteriores, consultando registros e informes sobre rendimiento o eficiencia, y la opini髇 de los empleadores o superiores jer醨quicos;
• d) servicio militar: cuando proceda, se verificar� la prestaci髇 del servicio militar de la persona y las circunstancias de su baja, y
• e) entrevistas: siempre y cuando lo permita y prevea la legislaci髇 nacional, se mantendr醤 una o varias entrevistas con la persona. Tambi閚 se entrevistar� a otras personas que est閚 en condiciones de hacer una valoraci髇 imparcial de los antecedentes, las actividades, la lealtad, honradez y fiabilidad del interesado. Si el procedimiento nacional implica la solicitud de garantes al sujeto de la investigaci髇, se entrevistar� a las personas que hayan aportado referencias, salvo que existan motivos justificados para no hacerlo.

12. Cuando sea necesario y de conformidad con las disposiciones legales y reglamentarias nacionales, podr醤 realizarse investigaciones adicionales con el fin de profundizar en toda la informaci髇 pertinente de que se disponga sobre una persona y para confirmar o desmentir la informaci髇 desfavorable.

Renovaci髇 de una habilitaci髇 de seguridad

13. Tras la concesi髇 inicial de una habilitaci髇 de seguridad, y siempre que la persona haya prestado servicio de forma ininterrumpida en una administraci髇 nacional o en la SGC y siga necesitando acceder a ICUE, la habilitaci髇 de seguridad se revisar� con vistas a su renovaci髇 por per韔dos no superiores a cinco a駉s para las habilitaciones TR萐 SECRET UE/EU TOP SECRET, y a diez a駉s para las habilitaciones SECRET UE/EU SECRET y CONFIDENTIEL UE/EU CONFIDENTIAL, contados a partir de la fecha de notificaci髇 del resultado de la 鷏tima investigaci髇 de seguridad que haya servido de base para dichas habilitaciones. Todas las investigaciones de seguridad a efectos de la renovaci髇 de una habilitaci髇 de seguridad abarcar醤 el per韔do transcurrido desde la anterior investigaci髇 de seguridad.

14. Para la renovaci髇 de las habilitaciones de seguridad se investigar醤 los factores se馻lados en los puntos 10 y 11.

15. Las solicitudes de renovaci髇 se cursar醤 con la debida antelaci髇, teniendo en cuenta el tiempo necesario para efectuar las investigaciones de seguridad. No obstante, si la ANS pertinente u otra autoridad nacional competente hubiese recibido la oportuna solicitud de renovaci髇 y el correspondiente cuestionario personal de seguridad antes de que caduque la habilitaci髇 de seguridad y no hubiese finalizado la investigaci髇 de seguridad requerida, la autoridad nacional competente podr�, si as� lo permiten las disposiciones legales y reglamentarias nacionales, prorrogar la validez de la habilitaci髇 de seguridad vigente por un plazo no superior a 12 meses. Si al t閞mino de este per韔do de 12 meses la investigaci髇 de seguridad no hubiese concluido a鷑, la persona solo podr� desempe馻r funciones que no requieran una habilitaci髇 de seguridad.

Procedimientos de autorizaci髇 en la SGC

16. En el caso de los funcionarios y otros agentes de la SGC, la autoridad de seguridad de la SGC remitir� el cuestionario personal de seguridad, una vez cumplimentado, a la ANS del Estado miembro del que sea nacional la persona, requiriendo que se realice la investigaci髇 de seguridad correspondiente al grado de la ICUE para la que dicha persona requiera el acceso.

17. Cuando llegue a conocimiento de la SGC informaci髇 pertinente para la investigaci髇 de seguridad sobre una persona que ha solicitado una habilitaci髇 de seguridad para acceder a ICUE, la SGC, actuando de acuerdo con las disposiciones legales y reglamentarias pertinentes, lo notificar� a la ANS pertinente.

18. Una vez concluida la investigaci髇 de seguridad, la ANS pertinente comunicar� el resultado de la investigaci髇 a la autoridad de seguridad de la SGC, empleando para ello el modelo normalizado de comunicaci髇 prescrito por el Comit� de Seguridad.

• a) Si los resultados de la investigaci髇 de seguridad permiten garantizar que no se conoce ning鷑 dato desfavorable que ponga en entredicho la lealtad, honradez y fiabilidad de la persona, la autoridad facultada para proceder a los nombramientos de la SGC podr� otorgarle una autorizaci髇 para acceder a ICUE del grado pertinente hasta una fecha determinada.
• b) Si los resultados de la investigaci髇 de seguridad no aseguran dicha garant韆, la autoridad facultada para proceder a los nombramientos de la SGC lo notificar� a la persona, que podr� requerir ser o韉o por esta. La autoridad facultada para proceder a los nombramientos podr� pedir a la ANS competente cuantas aclaraciones le puedan facilitar, de conformidad con sus disposiciones legales y reglamentarias. De confirmarse el resultado anterior, no se conceder� la autorizaci髇 para acceder a ICUE.

19. La investigaci髇 de seguridad, junto con los resultados obtenidos deber� ser conforme a las disposiciones legales y reglamentarias vigentes en el Estado miembro en cuesti髇, incluido todo lo relativo a recursos. Se podr� apelar contra las decisiones de la autoridad facultada para proceder a los nombramientos de la SGC de acuerdo con lo dispuesto en el Estatuto de los funcionarios de la Uni髇 Europea y el r間imen aplicable a los otros agentes de la Uni髇 Europea, establecido en el Reglamento (CEE, Euratom, CECA) n� 259/68 del Consejo (4) (玡l Estatuto de los funcionarios y r間imen aplicable�).

20. Los expertos nacionales destinados en la SGC en comisi髇 de servicio para un puesto que requiera acceso a ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior deber醤 presentar a la autoridad de seguridad de la SGC, antes de asumir sus funciones, un Certificado de Habilitaci髇 Personal de Seguridad (CHPS) v醠ido para el acceso a ICUE, bas醤dose en la cual la autoridad facultada para proceder a los nombramientos expedir� una autorizaci髇 para acceder a ICUE.

21. La SGC aceptar� la autorizaci髇 de acceso a ICUE concedida por otra instituci髇, 髍gano o agencia de la Uni髇, siempre que siga siendo v醠ida. La autorizaci髇 valdr� para cualquier nombramiento de la persona en la SGC. La instituci髇, 髍gano o agencia de la Uni髇 que est� contratando a la persona en cuesti髇 notificar� la ANS correspondiente del cambio de empleador.

22. En caso de que el per韔do de servicio de la persona no haya comenzado al t閞mino de 12 meses a partir de la notificaci髇 del resultado de la investigaci髇 de seguridad a la autoridad de la SGC facultada para proceder a los nombramientos, o en caso de que haya una interrupci髇 de 12 meses en el tiempo de servicio de esa misma persona durante el cual no haya estado empleado en la SGC ni en la administraci髇 p鷅lica de un Estado miembro, el resultado de la investigaci髇 se remitir� de nuevo a la ANS correspondiente para que confirme que sigue siendo v醠ido y adecuado.

23. Si la SGC tuviera conocimiento de que una persona que tiene autorizaci髇 para acceder a ICUE representa un riesgo para la seguridad, la SGC, actuando conforme a las disposiciones legales y reglamentarias pertinentes, lo notificar� a la ANS correspondiente y podr� suspender dicho acceso a ICUE o retirar la autorizaci髇 de acceso a ICUE.

24. Si una ANS notifica a la SGC la retirada de una garant韆 concedida de conformidad con el punto 18, letra a), a una persona que tiene autorizaci髇 de acceso a ICUE, la autoridad facultada para proceder a los nombramientos de la SGC podr� pedir a la ANS cuantas aclaraciones pueda facilitar, de conformidad con sus disposiciones legales y reglamentarias nacionales. Si se confirma la informaci髇 desfavorable, se le retirar� la autorizaci髇 y se le excluir� del acceso a la ICUE y de los puestos en los que pudiera tener acceso a dicha informaci髇 o poner en peligro la seguridad.

25. La decisi髇 de retirar o suspender una autorizaci髇 de acceso a ICUE a un funcionario u otro agente de la SGC y, en su caso, los motivos para hacerlo se comunicar醤 a la persona, que podr� requerir ser o韉o por la autoridad facultada para proceder a los nombramientos. La informaci髇 facilitada por la ANS deber� ajustarse a las disposiciones legales y reglamentarias vigentes en el Estado miembro en cuesti髇, incluidas las relativas a los recursos. Se podr� apelar contra las decisiones de la autoridad facultada para proceder a los nombramientos de la SGC de acuerdo con lo dispuesto en el Estatuto de los funcionarios y r間imen aplicable.

Registros de las habilitaciones de seguridad y las autorizaciones

26. Los Estados miembros y la SGC llevar醤, respectivamente, registros de las HPS y de las autorizaciones que hayan concedido para acceder a informaci髇 de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior. Estos registros indicar醤, como m韓imo, el nivel de la ICUE al que el interesado puede tener acceso, la fecha de concesi髇 de la habilitaci髇 de seguridad y su per韔do de validez.

27. La autoridad de seguridad competente podr� expedir un CHPS que acredite a qu� grado de ICUE puede tener acceso la persona (CONFIDENTIEL UE/EU CONFIDENTIAL o superior), la fecha de validez de la HPS para acceder a ICUE o de la autorizaci髇 para acceder a ICUE de que se trate y la fecha de caducidad del propio certificado.

Excepciones al requisito de titularidad de una HPS

28. El acceso a la ICUE de aquellas personas que en los Estados miembros est閚 debidamente autorizadas en virtud de sus funciones se determinar� de conformidad con las disposiciones legales y reglamentarias nacionales; estas personas ser醤 informadas de sus obligaciones respecto de la protecci髇 de la ICUE.

IV

FORMACI覰 Y SENSIBILIZACI覰 EN MATERIA DE SEGURIDAD

29. Todas las personas a las que se haya otorgado una habilitaci髇 de seguridad declarar醤 por escrito que han entendido sus obligaciones respecto a la protecci髇 de la ICUE y las consecuencias derivadas de un posible comprometimiento de esta informaci髇. Los Estados miembros y la SGC, seg鷑 corresponda, llevar醤 un registro de estas declaraciones escritas.

30. Desde un principio, se sensibilizar� a todas las personas que est閚 autorizadas para acceder a ICUE o que deban manejar este tipo de informaci髇, respecto de las amenazas a la seguridad, sobre las que se les aleccionar� peri骴icamente. Dichas personas deber醤 dar cuenta inmediatamente a las autoridades de seguridad correspondientes de cualquier actitud o actividad que consideren sospechosa o inusual.

31. Todas las personas que dejen de desempe馻r funciones que requieran el acceso a ICUE ser醤 aleccionadas sobre su obligaci髇 de seguir protegiendo dicha informaci髇, y, en su caso, deber醤 reconocer tal obligaci髇 por escrito.

V

CIRCUNSTANCIAS EXCEPCIONALES

32. Si as� lo permiten las disposiciones legales y reglamentarias nacionales, una habilitaci髇 de seguridad otorgada por una autoridad de seguridad competente de un Estado miembro para el acceso a informaci髇 clasificada nacional podr� permitir a funcionarios nacionales, de forma temporal y en espera de la concesi髇 de una HPS para acceder a ICUE, el acceso a ICUE de grado equivalente al especificado en el cuadro de equivalencias del ap閚dice B, siempre que dicho acceso temporal sea necesario para los intereses de la Uni髇. Cuando las disposiciones legales y reglamentarias nacionales no permitan dicho acceso temporal a la ICUE, las ANS informar醤 de ello al Comit� de Seguridad.

33. Por razones de urgencia, cuando est� debidamente justificado en inter閟 del servicio y en espera de la conclusi髇 de una investigaci髇 de seguridad completa, la autoridad facultada para proceder a los nombramientos de la SGC podr� conceder a funcionarios y otros agentes de la SGC una autorizaci髇 temporal para acceder a ICUE para una funci髇 espec韋ica, tras haber consultado a la ANS del Estado miembro del que sea nacional la persona y con supeditaci髇 al resultado de las indagaciones preliminares encaminadas a verificar que no se conoce ninguna informaci髇 desfavorable de la misma. La validez de estas autorizaciones temporales no ser� superior a seis meses ni permitir� acceder a informaci髇 clasificada de grado TR萐 SECRET UE/EU TOP SECRET. Todas las personas a las que se haya otorgado autorizaci髇 temporal reconocer醤 en una declaraci髇 escrita que han entendido sus obligaciones respecto a la protecci髇 de la ICUE y las consecuencias del comprometimiento de esta informaci髇. La SGC llevar� un registro de estas declaraciones escritas.

34. En caso de que se vaya a destinar a una persona a un puesto que requiera una habilitaci髇 de seguridad de un grado superior al que posea en ese momento, el nombramiento podr� efectuarse a t韙ulo provisional, siempre que:

• a) el superior jer醨quico de la persona justifique por escrito la necesidad imperiosa de acceso a informaci髇 clasificada de la UE de un grado superior;
• b) el acceso se limite a elementos concretos de informaci髇 clasificada de la UE para el desempe駉 de su funci髇;
• c) la persona disponga de una HPS o de una autorizaci髇 para acceder a ICUE;
• d) se hayan iniciado los tr醡ites para la obtenci髇 de la autorizaci髇 de acceso del nivel que el puesto requiera;
• e) la autoridad competente haya comprobado a su satisfacci髇 que la persona no ha infringido de manera grave o reiterada las normas de seguridad;
• f) el nombramiento de la persona haya sido aprobado por la autoridad competente, y g) el encargado del registro o registro secundario har� constar la excepci髇, con una descripci髇 de la informaci髇 para la cual se haya autorizado el acceso.

35. Este procedimiento se utilizar� para un 鷑ico acceso a ICUE del grado inmediatamente superior a aquel para el que la persona est� habilitada. No podr� utilizarse este procedimiento de forma reiterada.

36. En circunstancias muy excepcionales, como misiones en un medio hostil o durante per韔dos de incremento de la tensi髇 internacional, cuando as� lo requieran medidas de urgencia, y en particular cuando est閚 en peligro vidas humanas, los Estados miembros y el Secretario General o el Secretario General Adjunto podr醤 autorizar, a ser posible por escrito, el acceso a informaci髇 de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET a personas que no posean la habilitaci髇 de seguridad exigida, siempre que dicha autorizaci髇 sea imprescindible y no existan dudas razonables sobre la lealtad, honradez y fiabilidad de la persona de que se trate. Dicha autorizaci髇 se registrar�, junto con una descripci髇 de la informaci髇 para la cual se haya autorizado el acceso.

37. En el caso de la informaci髇 clasificada de grado TR萐 SECRET UE/EU TOP SECRET, este acceso de urgencia estar� limitado a los nacionales de la Uni髇 que hayan sido autorizados para acceder o bien a informaci髇 clasificada de grado nacional equivalente a TR萐 SECRET UE/EU TOP SECRET o bien a informaci髇 clasificada de grado SECRET UE/EU SECRET.

38. El Comit� de Seguridad ser� informado de los casos en los que se recurra el procedimiento establecido en los puntos 36 y 37.

39. Cuando las disposiciones legales y reglamentarias nacionales de un Estado miembro establezcan normas m醩 estrictas en lo relativo a autorizaciones temporales, nombramientos provisionales, acceso 鷑ico o acceso de urgencia a informaci髇 clasificada, los procedimientos previstos en la presente secci髇 se aplicar醤 鷑icamente dentro de los l韒ites previstos en las correspondientes disposiciones legales y reglamentarias nacionales.

40. El Comit� de Seguridad recibir� un informe anual sobre el recurso a los procedimientos establecidos en la presente secci髇.

VI

ASISTENCIA A REUNIONES DEL CONSEJO

41. A reserva de lo dispuesto en el punto 28, las personas que deban participar en reuniones del Consejo o de sus 髍ganos preparatorios en las que se examine informaci髇 clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior solo podr醤 hacerlo previa comprobaci髇 de la situaci髇 de su habilitaci髇 de seguridad. En el caso de los delegados, un CHPS u otra prueba de habilitaci髇 de seguridad deber� ser remitido a la Oficina de Seguridad de la SGC por las autoridades correspondientes, o, de manera excepcional, ser presentado por el delegado afectado. Cuando proceda, podr� utilizarse una lista recapitulativa de nombres en la que figuren las pruebas pertinentes de su habilitaci髇 de seguridad.

42. Cuando, por razones de seguridad, se retire una HPS que permita acceder a ICUE a una persona cuyas funciones requieran la asistencia a sesiones del Consejo o a reuniones de los 髍ganos preparatorios del Consejo, la autoridad competente informar� de ello a la SGC.

VII

ACCESO POTENCIAL A ICUE

43. Los correos, agentes de seguridad y escoltas ser醤 debidamente habilitados para el grado correspondiente o investigados de forma apropiada seg鷑 las disposiciones legales y reglamentarias nacionales, se les aleccionar� sobre los procedimientos de seguridad para la protecci髇 de la ICUE y se les instruir� acerca de sus obligaciones en materia de protecci髇 de la informaci髇 que se les conf韊.

ANEXO II

SEGURIDAD F蚐ICA

I

INTRODUCCI覰

1. El presente anexo establece disposiciones para la aplicaci髇 del art韈ulo 8. Define los requisitos m韓imos para la protecci髇 f韘ica de los locales, edificios, oficinas, salas y dem醩 zonas donde se maneje y almacene ICUE, incluidas las zonas que alberguen sistemas de informaci髇 y comunicaciones.

2. Las medidas de seguridad f韘ica estar醤 concebidas para impedir el acceso no autorizado a ICUE para:

• a) garantizar que la ICUE se maneje y se almacene adecuadamente;
• b) permitir la separaci髇 del personal en su acceso a ICUE en funci髇 de su necesidad de conocer y, en su caso, de su habilitaci髇 de seguridad;
• c) disuadir, impedir y detectar actividades no autorizadas, y
• d) impedir o retrasar la entrada subrepticia o por la fuerza de intrusos.

II

REQUISITOS Y MEDIDAS DE SEGURIDAD F蚐ICA

3. Las medidas de seguridad f韘ica aplicables se determinar醤 sobre la base de una evaluaci髇 de las amenazas realizada por las autoridades competentes. La SGC y cada uno de los Estados miembros aplicar醤 un proceso de gesti髇 de riesgos para proteger la ICUE en sus respectivos locales, de modo que se garantice un grado de protecci髇 f韘ica acorde con el riesgo evaluado. El proceso de gesti髇 del riesgo tendr� en cuenta todos los factores pertinentes, en particular:

• a) el grado de clasificaci髇 de la ICUE;
• b) la forma y volumen de la ICUE, teniendo presente que grandes cantidades de ICUE o su recopilaci髇 podr韆n requerir la aplicaci髇 de medidas de protecci髇 m醩 estrictas;
• c) el entorno y la estructura de los edificios o zonas donde se guarde ICUE, y d) la evaluaci髇 de las amenazas que representan tanto los servicios de inteligencia que tienen como objetivo la Uni髇 y sus Estados miembros como el sabotaje, el terrorismo, la subversi髇 u otras actividades delictivas.

4. Al aplicar el concepto de defensa en profundidad, las autoridades de seguridad competentes determinar醤 la combinaci髇 apropiada de las siguientes medidas de seguridad f韘ica que deben aplicarse. Estas pueden incluir una o m醩 de las siguientes:

• a) barreras perimetrales: se trata de barreras f韘icas que protegen los l韒ites exteriores de la zona que precisa protecci髇;
• b) sistemas de detecci髇 de intrusiones (SDI): estos sistemas pueden emplearse para aumentar el grado de seguridad que brinda la barrera perimetral o, en determinadas salas y edificios, en sustituci髇 o como complemento del personal de seguridad;
• c) controles de acceso: los controles de acceso pueden aplicarse en una instalaci髇, en un edificio o edificios de una instalaci髇 o en zonas o salas situadas dentro de un edificio; el control puede realizarse por medios electr髇icos o electromec醤icos, por medio de personal de seguridad, de un recepcionista o de ambos, o por cualquier otro medio f韘ico;
• d) personal de seguridad: puede emplearse, entre otros recursos, personal de seguridad formado, inspeccionado y, en caso necesario, con la debida habilitaci髇 de seguridad para disuadir a posibles intrusos que planeen una entrada encubierta;
• e) sistemas de circuito cerrado de televisi髇 (CCTV): estos sistemas pueden ser utilizados por el personal de seguridad para verificar incidentes y alarmas del SDI en emplazamientos de gran extensi髇 o en el per韒etro de una zona;
• f) iluminaci髇 de seguridad: la iluminaci髇 de seguridad puede emplearse para disuadir a posibles intrusos, adem醩 de proporcionar la iluminaci髇 necesaria para una vigilancia eficaz, bien directamente por parte del personal de seguridad, bien de forma indirecta a trav閟 de un CCTV, y
• g) cualquier otra medida apropiada de seguridad f韘ica destinada a disuadir o detectar entradas no autorizadas o a prevenir la p閞dida o deterioro de ICUE.

5. Podr� autorizarse a la autoridad competente para llevar a cabo, en las entradas y las salidas, registros que disuadan de todo intento no autorizado de introducir material en los locales o edificios o de sacar de ellos ICUE.

6. Cuando exista el riesgo de que una ICUE sea objeto de miradas indiscretas, incluso accidentalmente, se tomar醤 medidas adecuadas para contrarrestar ese riesgo.

7. Para los nuevos establecimientos, los requisitos de seguridad f韘ica y sus especificaciones funcionales se definir醤 en el momento de la planificaci髇 y el dise駉 del mismo. Para los establecimientos ya existentes, los requisitos de seguridad f韘ica se aplicar醤 en la mayor medida posible.

III

EQUIPO PARA LA PROTECCI覰 F蚐ICA DE LA ICUE

8. La autoridad de seguridad competente se asegurar� de que el equipo que se adquiera para la protecci髇 f韘ica de la ICUE (armarios de seguridad, trituradoras de papel, cerraduras, sistemas electr髇icos de control de acceso, sistemas de detecci髇 de intrusos, sistemas de alarma) cumpla los est醤dares t閏nicos y los requisitos m韓imos aprobados.

9. Las especificaciones t閏nicas del equipo que vaya a emplearse para la protecci髇 f韘ica de la ICUE se establecer醤 en directrices de seguridad que deber醤 ser aprobadas por el Comit� de Seguridad.

10. Los sistemas de seguridad se inspeccionar醤 peri骴icamente, y se realizar� un mantenimiento del equipo con regularidad. Para las operaciones de mantenimiento se tendr� en cuenta el resultado de las inspecciones, a fin de garantizar que el equipo siga funcionando 髉timamente.

11. La eficacia de cada medida de seguridad y del sistema de seguridad en su conjunto se reevaluar� en cada inspecci髇.

IV

ZONAS F蚐ICAMENTE PROTEGIDAS

12. Para la protecci髇 f韘ica de la ICUE se establecer醤 dos tipos de zonas f韘icamente protegidas, o sus equivalentes nacionales:

• a) zonas administrativas, y
• b) zonas de acceso restringido (incluidas las zonas de acceso restringido protegidas por medios t閏nicos).

En la presente Decisi髇, toda referencia a las zonas administrativas y a las zonas de acceso restringido, incluidas las zonas de acceso restringido protegidas por medios t閏nicos, se entender� que incluye asimismo las equivalentes nacionales.

13. La autoridad de seguridad competente decidir� si una zona cumple los requisitos para ser designada zona administrativa, zona de acceso restringido o zona acceso restringido protegida por medios t閏nicos.

14. Para las zonas administrativas:

• a) se establecer� un per韒etro visiblemente definido que permita el control de personas y, cuando sea posible, de veh韈ulos;
• b) solo se permitir� el acceso sin escolta a las personas debidamente autorizadas por la autoridad competente, y c) todas las dem醩 personas deber醤 ser acompa馻das en todo momento o ser objeto de controles equivalentes.

15. Para las zonas de acceso restringido:

• a) se establecer� un per韒etro visiblemente definido y protegido en el que se controlen todas las entradas y salidas mediante un sistema de pases o de identificaci髇 personal;
• b) solo se permitir� el acceso sin acompa馻miento a las personas que tengan una habilitaci髇 de seguridad y una autorizaci髇 espec韋ica para entrar en la zona por su necesidad de conocer, y
• c) todas las dem醩 personas deber醤 ser acompa馻das en todo momento o ser objeto de controles equivalentes.

16. Cuando la entrada en una zona de acceso restringido equivalga en la pr醕tica a tener acceso directo a la informaci髇 clasificada que se encuentre en la zona, se aplicar醤 adem醩 los siguientes requisitos:

• a) se indicar� con claridad el m醲imo grado de clasificaci髇 de seguridad de la informaci髇 que se encuentre normalmente en dicha zona;
• b) todos los visitantes necesitar醤 una autorizaci髇 espec韋ica para acceder a la zona, estar醤 acompa馻dos en todo momento y debidamente habilitados, salvo que se tomen medidas para que no sea posible que accedan a la ICUE.

17. Las zonas de acceso restringido protegidas contra escuchas ser醤 designadas como zonas de acceso restringido protegidas por medios t閏nicos. Se aplicar醤 los requisitos adicionales siguientes:

• a) estas zonas estar醤 equipadas con sistemas de detecci髇 de intrusos, se cerrar醤 con llave cuando no est閚 ocupadas y se vigilar醤 cuando est閚 ocupadas; todas las llaves se controlar醤 de acuerdo con lo dispuesto en la secci髇 VI;
• b) todas las personas y el material que entren en estas zonas ser醤 objeto de control;
• c) estas zonas ser醤 objeto de inspecciones f韘icas o t閏nicas regularmente, seg鷑 lo requiera la autoridad de seguridad competente; adem醩, ser醤 inspeccionadas tambi閚 siempre que se haya producido o se sospeche que se ha producido una entrada no autorizada, y
• d) no habr� en estas zonas ninguna l韓ea de comunicaciones, tel閒ono ni otro equipo de comunicaciones, ni aparatos el閏tricos o electr髇icos, salvo los que est閚 autorizados.

18. No obstante lo dispuesto en el punto 17, letra d), todos los equipos de comunicaciones y todos los aparatos el閏tricos o electr髇icos deber醤 ser examinados por la autoridad de seguridad competente antes de que puedan ser utilizados en zonas donde se est閚 celebrando reuniones o realizando trabajos en que se maneje informaci髇 clasificada de grado SECRET UE/EU SECRET y superior, y cuando la amenaza para la ICUE se considere elevada, con el fin de garantizar que ninguna informaci髇 en claro pueda transmitirse de manera involuntaria o il韈ita a trav閟 de dichos equipos m醩 all� del per韒etro de la zona de acceso restringido de que se trate.

19. Las zonas de acceso restringido que no est閚 ocupadas por personal de servicio las 24 horas del d韆 se inspeccionar醤, en su caso, al final de la jornada normal de trabajo y a intervalos aleatorios fuera de dicha jornada, a menos que se haya instalado en ellas un sistema de detecci髇 de intrusos.

20. Se podr醤 establecer con car醕ter temporal zonas de acceso restringido y zonas de acceso restringido protegidas por medios t閏nicos en una zona administrativa para la celebraci髇 de una reuni髇 clasificada u otro motivo similar.

21. Para cada zona de acceso restringido se definir醤 procedimientos operativos de seguridad en los que se disponga lo siguiente:

• a) el grado de la ICUE que puede manejarse o almacenarse en la zona;
• b) las medidas de vigilancia y protecci髇 que hayan de aplicarse;
• c) las personas autorizadas para entrar en ella sin acompa馻miento en virtud de su necesidad de conocer y de su habilitaci髇 de seguridad;
• d) si ha lugar, los procedimientos aplicables a los acompa馻ntes o a la protecci髇 de la ICUE cuando se autorice la entrada de cualquier otra persona en la zona, y
• e) cualquier otra medida o procedimiento pertinente.

22. Las c醡aras acorazadas se ubicar醤 en zonas de acceso restringido. Los muros, suelos, techos, ventanas y puertas que puedan cerrarse con llave deber醤 haber sido aprobados por la autoridad de seguridad competente y ofrecer una protecci髇 equivalente a la de un contenedor de seguridad aprobado para el almacenamiento de ICUE del mismo grado de clasificaci髇.

V

MEDIDAS DE PROTECCI覰 F蚐ICA PARA EL MANEJO Y ALMACENAMIENTO DE LA ICUE

23. La ICUE de grado RESTREINT UE/EU RESTRICTED se podr� manejar:

• a) en una zona de acceso restringido;
• b) en una zona administrativa, siempre que se impida el acceso a la ICUE a personas no autorizadas, o
• c) fuera de una zona de acceso restringido o de una zona administrativa, siempre que el poseedor transporte la ICUE de conformidad con los puntos 28 a 41 del anexo III y se haya comprometido a cumplir las medidas compensatorias establecidas en las instrucciones de seguridad definidas por la autoridad de seguridad competente para garantizar que la ICUE est� protegida del acceso de personas no autorizadas.

24. La ICUE de grado RESTREINT UE/EU RESTRICTED se guardar� en muebles de oficina adecuadamente cerrados con llave en las zonas administrativas o las zonas de acceso restringido. La ICUE de dicho grado podr� almacenarse temporalmente fuera de una zona de acceso restringido o de una zona administrativa, siempre que el poseedor se haya comprometido a cumplir las medidas compensatorias establecidas en las instrucciones de seguridad definidas por la autoridad de seguridad competente.

25. La ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET se podr� manejar:

• a) en una zona de acceso restringido;
• b) en una zona administrativa, siempre que se impida el acceso a la ICUE a personas no autorizadas, o
• c) fuera de una zona de acceso restringido o de una zona administrativa siempre que el poseedor:
  • i) transporte la ICUE de conformidad con los puntos 28 a 41 del anexo III,
  • ii) se haya comprometido a cumplir las medidas compensatorias establecidas en las instrucciones de seguridad definidas por la autoridad de seguridad competente para garantizar que el acceso a la ICUE se impide a personas no autorizadas,
  • iii) mantenga la ICUE en todo momento bajo su control personal, y
  • iv) en el caso de documentos en papel, haya notificado el hecho al registro correspondiente.

26. La ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET se almacenar� en una zona de acceso restringido, bien dentro de un contenedor de seguridad o bien en una c醡ara acorazada.

27. La ICUE de grado TR萐 SECRET UE/EU TOP SECRET se manejar� en una zona de acceso restringido.

28. La ICUE de grado TR萐 SECRET UE/EU TOP SECRET se almacenar� en una zona de acceso restringido en una de las condiciones siguientes:

• a) en un contenedor de seguridad conforme a lo dispuesto en el punto 8, con al menos uno de los controles adicionales siguientes:
  • i) protecci髇 continua o verificaci髇 peri骴ica por personal de seguridad o de servicio habilitado,
  • ii) un SDI aprobado, junto con personal de seguridad para intervenci髇 en caso de incidente;
• b) en una c醡ara acorazada con SDI, junto con personal de seguridad para intervenci髇 en caso de incidente.

29. En el anexo III se recogen las normas para el transporte de ICUE fuera de las zonas f韘icamente protegidas.

VI

CONTROL DE LLAVES Y COMBINACIONES EMPLEADAS PARA LA PROTECCI覰 DE ICUE

30. La autoridad de seguridad competente definir� procedimientos de gesti髇 de las llaves y las combinaciones de las oficinas, salas, c醡aras acorazadas y contenedores de seguridad. Estos procedimientos deber醤 evitar accesos no autorizados.

31. Las combinaciones ser醤 confiadas al menor n鷐ero posible de personas que necesiten conocerlas. Las combinaciones de los contenedores de seguridad y c醡aras acorazadas en los que se guarde ICUE se modificar醤:

• a) al recibir un nuevo contenedor;
• b) cada vez que cambie el personal que conoce la combinaci髇;
• c) cada vez que se haya producido o se sospeche que se ha producido una situaci髇 de comprometimiento;
• d) cuando se hayan realizado operaciones de mantenimiento o reparaci髇 de una cerradura, y e) al menos cada 12 meses.

ANEXO III

TRATAMIENTO DE LA INFORMACI覰 CLASIFICADA

I

INTRODUCCI覰

1. El presente anexo establece disposiciones para la aplicaci髇 del art韈ulo 9. Establece las medidas administrativas para controlar la ICUE a lo largo de su ciclo de vida con el fin de prevenir y detectar el comprometimiento o la p閞dida, accidentales o deliberados, de dicha informaci髇.

II

GESTI覰 DE LA CLASIFICACI覰

Clasificaciones y marcas

2. La informaci髇 se clasificar� cuando requiera protecci髇 respecto de su confidencialidad.

3. El originador de la ICUE ser� responsable de determinar el grado de clasificaci髇 de seguridad atendiendo a las directrices de clasificaci髇 pertinentes y de la difusi髇 inicial de la informaci髇.

4. El grado de clasificaci髇 de la ICUE se determinar� de conformidad con el art韈ulo 2, apartado 2, y con referencia a la pol韙ica de seguridad que se aprobar� de conformidad con el art韈ulo 3, apartado 3.

5. La clasificaci髇 de seguridad se indicar� clara y correctamente, independientemente de que la ICUE sea verbal o figure en soporte de papel, electr髇ico o cualquier otro.

6. Las distintas partes (es decir, p醙inas, apartados, secciones, anexos, ap閚dices o documentos adjuntos) de un documento determinado podr醤 requerir una clasificaci髇 diferente, lo cual deber� indicarse en consecuencia, incluso cuando se almacenen en forma electr髇ica.

7. El grado global de clasificaci髇 de un documento o archivo deber� ser al menos tan alto como el de su componente con mayor grado de clasificaci髇. Cuando se recopile informaci髇 procedente de diversas fuentes, se revisar� el producto final para determinar su grado global de clasificaci髇 de seguridad, dado que podr韆 estar justificado un grado de clasificaci髇 mayor que el de los componentes que lo forman.

8. En la medida de lo posible, los documentos que contengan partes con distintos grados de clasificaci髇 se estructurar醤 de tal modo que las partes con un grado de clasificaci髇 diferente puedan ser f醕ilmente reconocidas y separadas, si fuera necesario.

9. La clasificaci髇 de una carta o nota de transmisi髇 de documentos ser� equivalente al mayor grado de clasificaci髇 de los documentos adjuntos. El originador deber� indicar claramente en qu� grado est� clasificada la informaci髇 una vez separada de sus documentos adjuntos mediante la marca correspondiente, seg鷑 el siguiente ejemplo:

CONFIDENTIEL UE/EU CONFIDENTIAL

Sin anexos: RESTREINT UE/EU RESTRICTED

Marcas

10. Junto con una de las marcas de la clasificaci髇 de seguridad fijadas en el art韈ulo 2, apartado 2, la ICUE podr� llevar marcas adicionales tales como:

• a) un identificador para designar al originador;
• b) cualquier advertencia, c骴igo o acr髇imo que especifique el 醡bito de actividad a que se refiere el documento, as� como indicaciones relativas a su distribuci髇 espec韋ica, basada en el principio de la necesidad de conocer, o a restricciones de su uso;
• c) marcas sobre posibilidad de cesi髇, o
• d) en su caso, la fecha o acontecimiento espec韋ico tras los cuales podr� rebajarse el grado de clasificaci髇 o desclasificarse.

Marcas abreviadas de clasificaci髇

11. Podr醤 utilizarse marcas abreviadas normalizadas de clasificaci髇 para indicar el grado de clasificaci髇 de los diferentes apartados de un texto. Las marcas de clasificaci髇 completas no se sustituir醤 por abreviaturas.

12. Podr醤 utilizarse dentro de documentos clasificados de la UE las siguientes abreviaturas normalizadas para indicar el grado de clasificaci髇 de secciones o bloques del texto de extensi髇 inferior a una p醙ina:

TR萐 SECRET UE/EU TOP SECRET	TS-UE/EU-TS
SECRET UE/EU SECRET	S-UE/EU-S
CONFIDENTIEL UE/EU CONFIDENTIAL	C-UE/EU-C
RESTREINT UE/EU RESTRICTED	R-UE/EU-R

Producci髇 de ICUE

13. Cuando se genere un documento clasificado de la UE:

• a) cada p醙ina llevar� claramente marcado el grado de clasificaci髇;
• b) cada p醙ina ir� numerada;
• c) el documento deber� llevar un n鷐ero de referencia y un asunto, que no constituir� en s� mismo informaci髇 clasificada, salvo que se marque como tal;
• d) el documento estar� fechado, y
• e) los documentos con clasificaci髇 SECRET UE/EU SECRET o superior llevar醤 un n鷐ero de ejemplar en cada p醙ina cuando hayan de distribuirse en varios ejemplares.

14. Cuando no sea posible aplicar el punto 13 a una ICUE, se tomar醤 otras medidas adecuadas de conformidad con las directrices de seguridad que se establezcan con arreglo al art韈ulo 6, apartado 2.

Reducci髇 del grado de clasificaci髇 y desclasificaci髇 de la ICUE

15. En el momento de producir la informaci髇, el originador indicar�, cuando sea posible, y en especial si se trata de informaci髇 clasificada de grado RESTREINT UE/EU RESTRICTED, si el grado de clasificaci髇 de la ICUE puede ser reducido o desclasificado a partir de una determinada fecha o tras un acontecimiento concreto.

16. La SGC revisar� peri骴icamente la ICUE para verificar si el grado de clasificaci髇 asignado sigue siendo aplicable. La SGC crear� un sistema para revisar, con una frecuencia m韓ima quinquenal, el grado de clasificaci髇 de la ICUE que haya generado. Dicha revisi髇 no ser� necesaria cuando el originador haya indicado desde el principio que el grado de clasificaci髇 de la informaci髇 podr� ser autom醫icamente reducido o que la informaci髇 podr� desclasificarse, y la informaci髇 haya sido marcada consecuentemente.

III

REGISTRO DE LA ICUE A EFECTOS DE SEGURIDAD

17. Todo servicio administrativo de la SGC y de las administraciones p鷅licas de los Estados miembros en que se maneje ICUE contar� con un registro competente con el fin de garantizar que la ICUE se maneja de conformidad con las disposiciones de la presente Decisi髇. Los registros se constituir醤 como zonas de acceso restringido tal y como se definen en el anexo II.

18. A efectos de la presente Decisi髇, por registro a efectos de seguridad (玶egistro�) se entender� la aplicaci髇 de procedimientos que registren el ciclo de vida del material de que se trate, incluida su difusi髇 y destrucci髇.

19. Todo material clasificado de grado CONFIDENTIEL UE/EU CONFIDENTIAL y superior se inscribir� en registros especiales a su entrada o salida de un servicio administrativo.

20. El Registro Central de la SGC llevar� un registro de toda la informaci髇 clasificada cedida por el Consejo y la SGC a terceros Estados y organizaciones internacionales y de toda la informaci髇 clasificada recibida de terceros Estados u organizaciones internacionales.

21. En el caso de un SIC, los procedimientos de registro podr醤 llevarse a cabo mediante procesos dentro del propio SIC.

22. El Consejo aprobar� una pol韙ica de seguridad sobre el registro de ICUE a efectos de seguridad.

Registros TR萐 SECRET UE/EU TOP SECRET

23. En los Estados miembros y en la SGC se establecer� un registro que actuar� como principal organismo receptor y emisor de la informaci髇 clasificada de grado TR萐 SECRET UE/EU TOP SECRET. Cuando proceda, podr醤 designarse registros secundarios para manejar dicha informaci髇.

24. Los registros secundarios no podr醤 transmitir documentos TR萐 SECRET UE/EU TOP SECRET directamente a otros registros secundarios dependientes del mismo registro central TR萐 SECRET UE/EU TOP SECRET ni al exterior sin la aprobaci髇 expresa por escrito de este 鷏timo.

IV

COPIA Y TRADUCCI覰 DE DOCUMENTOS CLASIFICADOS DE LA UE

25. Los documentos TR萐 SECRET UE/EU TOP SECRET solo podr醤 copiarse o traducirse con el consentimiento previo por escrito del originador.

26. Cuando el originador de documentos clasificados de grado SECRET UE/EU SECRET o inferior no haya impuesto ninguna restricci髇 a su copia o traducci髇, estos documentos podr醤 copiarse o traducirse por orden de su poseedor.

27. Las medidas de seguridad aplicables a los documentos originales ser醤 aplicables a sus copias y traducciones.

V

TRANSPORTE DE ICUE

28. El transporte de ICUE estar� sujeto a las medidas de protecci髇 que se enuncian en los puntos 30 a 41. Cuando se transmita ICUE por medios electr髇icos, y no obstante lo dispuesto en el art韈ulo 9, apartado 4, las medidas de protecci髇 que figuran a continuaci髇 se completar醤 con las debidas contramedidas t閏nicas que prescriba la autoridad de seguridad competente, a fin de reducir al m韓imo el riesgo de p閞dida o comprometimiento.

29. Las autoridades de seguridad competentes de la SGC y de los Estados miembros emitir醤 instrucciones para el transporte de ICUE conforme a la presente Decisi髇.

Dentro de un edificio o grupo independiente de edificios

30. La ICUE que se transporte dentro de un mismo edificio o grupo independiente de edificios ir� cubierta, para evitar que se vea su contenido.

31. Dentro de un edificio o grupo independiente de edificios la informaci髇 clasificada de grado TR萐 SECRET UE/EU TOP SECRET se transportar� en sobre sellado en el que se indicar� 鷑icamente el nombre del destinatario.

Dentro de la Uni髇

32. La ICUE que se transporte entre edificios o locales de la Uni髇 ir� empaquetada de forma que quede protegida de una revelaci髇 no autorizada.

33. El transporte de informaci髇 clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET dentro de la Uni髇 se efectuar� por uno de los siguientes medios:

• a) correo diplom醫ico, oficial o militar, seg鷑 proceda;
• b) transporte en mano, siempre que:
  • i) la ICUE no deje de estar en posesi髇 del portador, a menos que se almacene de acuerdo con los requisitos establecidos en el anexo II,
  • ii) la ICUE no se abra durante el camino ni se lea en lugares p鷅licos,
  • iii) se instruya al portador sobre sus responsabilidades en materia de seguridad, y
  • iv) se entregue al portador un certificado de correo cuando sea necesario;
• c) servicios postales o servicios de mensajer韆 comercial, siempre que:
  • i) hayan sido aprobados por la ANS competente de conformidad con las disposiciones legales y reglamentarias nacionales, y
  • ii) apliquen medidas de protecci髇 adecuadas de conformidad con los requisitos m韓imos que se establezcan en las directrices de seguridad a que se refiere el art韈ulo 6, apartado 2.

Si el transporte se efect鷄 de un Estado miembro a otro, las disposiciones de la letra c) se aplicar醤 鷑icamente a la informaci髇 clasificada con el grado CONFIDENTIEL UE/EU CONFIDENTIAL.

34. La informaci髇 clasificada de grado RESTREINT UE/EU RESTRICTED podr� ser transportada tambi閚 por servicios postales o servicios de mensajer韆 comercial. Para el transporte de esta informaci髇 no se precisa un certificado de correo.

35. El material clasificado de grado CONFIDENTIEL UE/EU CONFIDENTIAL y de grado SECRET UE/EU SECRET (por ejemplo, equipo o maquinaria) que no pueda transportarse por los medios indicados en el punto 33 deber� ser transportado como carga por empresas comerciales de transporte con arreglo a lo dispuesto en el anexo V.

36. El transporte de informaci髇 clasificada de grado TR萐 SECRET UE/EU TOP SECRET entre edificios o locales de la Uni髇 se efectuar� por correo diplom醫ico, oficial o militar, seg鷑 proceda.

Desde la Uni髇 al territorio de un tercer Estado

37. La ICUE que se transporte desde la Uni髇 al territorio de un tercer Estado ir� empaquetada de forma que quede protegida de una revelaci髇 no autorizada.

38. El transporte de informaci髇 clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL y de grado SECRET UE/EU SECRET desde la Uni髇 al territorio de un tercer Estado se efectuar� por uno de los siguientes medios:

• a) correo diplom醫ico o militar;
• b) transporte en mano, siempre que:
  • i) el paquete lleve sello oficial, o por sus caracter韘ticas indique que se trata de un env韔 oficial, y no debe someterse a controles aduaneros o de seguridad,
  • ii) el portador lleve un certificado de correo, con menci髇 espec韋ica del paquete, que le autorice a transportarlo,
  • iii) la ICUE no deje de estar en posesi髇 del portador, a menos que se almacene de acuerdo con los requisitos establecidos en el anexo II,
  • iv) la ICUE no se abra durante el camino ni se lea en lugares p鷅licos, y v) se instruya al portador sobre sus responsabilidades en materia de seguridad.

39. El transporte de informaci髇 clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL y de grado SECRET UE/UE SECRET cedida por la Uni髇 a un tercer Estado o a una organizaci髇 internacional deber� atenerse a las disposiciones pertinentes de un acuerdo de seguridad de la informaci髇 o de un convenio conforme al art韈ulo 13, apartado 2, letras a) o b).

40. La informaci髇 clasificada de grado RESTREINT UE/EU RESTRICTED podr� ser transportada tambi閚 por servicios postales o servicios de mensajer韆 comercial.

41. El transporte de informaci髇 clasificada de grado TR萐 SECRET UE/EU TOP SECRET desde la Uni髇 hasta el territorio de un tercer Estado se efectuar� por correo militar o diplom醫ico.

VI

DESTRUCCI覰 DE ICUE

42. Los documentos clasificados de la UE que hayan dejado de ser necesarios podr醤 destruirse, sin perjuicio de las correspondientes normas sobre archivos.

43. Los documentos sujetos a registro de conformidad con el art韈ulo 9, apartado 2, ser醤 destruidos por el registro competente por orden de su poseedor o de una autoridad competente. Los libros de registro y cualquier informaci髇 relacionada con el registro se actualizar醤 en consecuencia.

44. Cuando se trate de documentos clasificados de grado SECRET UE/EU SECRET o TR萐 SECRET UE/EU TOP SECRET, la destrucci髇 se realizar� en presencia de un testigo, que deber� estar habilitado como m韓imo para el grado de clasificaci髇 del documento que se vaya a destruir.

45. El encargado del registro, y el testigo en caso de que se requiera su presencia, firmar醤 un certificado de destrucci髇, que se archivar� en el registro. El registro conservar� los certificados de destrucci髇 de los documentos de grado TR萐 SECRET UE/EU TOP SECRET durante diez a駉s como m韓imo y de los documentos de grado CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET durante cinco a駉s como m韓imo.

46. Los documentos clasificados, incluidos los de grado RESTREINT UE/EU RESTRICTED, se destruir醤 por m閠odos que cumplan las normas de la Uni髇 pertinentes o normas equivalentes o que hayan sido homologados por los Estados miembros de conformidad con las normas t閏nicas nacionales, a fin de impedir su reconstrucci髇 total o parcial.

47. La destrucci髇 de los soportes de almacenamiento inform醫ico utilizados para la ICUE se realizar� de conformidad con el punto 37 del anexo IV.

48. En caso de emergencia, y de haber un riesgo inminente de revelaci髇 no autorizada, la ICUE ser� destruida por el poseedor, de tal modo que no pueda reconstruirse ni total ni parcialmente. Se informar� al originador y al registro originador de la destrucci髇 de emergencia de la ICUE registrada.

VII

VISITAS DE EVALUACI覰

49. El t閞mino 玽isita de evaluaci髇� se emplear� en lo sucesivo para designar:

• a) toda inspecci髇 o visita de evaluaci髇 realizada de conformidad con el art韈ulo 9, apartado 3, y el art韈ulo 16, apartado 2, letras e), f) y g), o
• b) toda visita de evaluaci髇 realizada de conformidad con el art韈ulo 13, apartado 5, a fin de verificar la eficacia de las medidas establecidas para la protecci髇 de la ICUE.

50. Las visitas de evaluaci髇 se realizar醤, entre otros fines, para:

• a) asegurarse de que se apliquen las normas m韓imas para la protecci髇 de la ICUE establecidas en la presente Decisi髇;
• b) destacar la importancia de la seguridad y de una efectiva gesti髇 del riesgo en las entidades inspeccionadas;
• c) recomendar contramedidas que permitan paliar los efectos espec韋icos de la p閞dida de confidencialidad, integridad o disponibilidad de la informaci髇 clasificada, y
• d) reforzar los programas de formaci髇 y de sensibilizaci髇 en materia de seguridad que ya realicen las autoridades de seguridad.

51. Antes del t閞mino de cada a駉 natural, el Consejo adoptar� el programa de visitas de evaluaci髇 para el a駉 siguiente prescrito en el art韈ulo 16, apartado 1, letra c). Las fechas concretas de cada visita de evaluaci髇 se determinar醤 de com鷑 acuerdo con el 髍gano o la agencia de la Uni髇, el Estado miembro, el tercer Estado o la organizaci髇 internacional afectados.

Realizaci髇 de las visitas de evaluaci髇

52. Las visitas de evaluaci髇 se llevar醤 a cabo con el fin de comprobar el cumplimiento de las normas, reglamentaciones y procedimientos pertinentes de la entidad visitada y verificar si las pr醕ticas de dicha entidad se ajustan a los principios b醩icos y las normas m韓imas establecidas en la presente Decisi髇 y a las disposiciones que rigen el intercambio de informaci髇 clasificada con dicha entidad.

53. Las visitas de evaluaci髇 se efectuar醤 en dos fases. Antes de la visita propiamente dicha se celebrar� una reuni髇 preparatoria con la entidad afectada, si procede. Tras esta reuni髇 preparatoria, el equipo de evaluaci髇 establecer�, de com鷑 acuerdo con la entidad afectada, un programa detallado para la visita de evaluaci髇 que abarque todos los aspectos de la seguridad. El equipo de evaluaci髇 debe tener acceso a todos los locales, en particular a los registros y puntos de presencia de los SIC, en los que se maneje ICUE.

54. Las visitas de evaluaci髇 a las administraciones p鷅licas de los Estados miembros, terceros Estados y organizaciones internacionales se efectuar醤 en plena colaboraci髇 con los funcionarios de la entidad, del tercer Estado o de la organizaci髇 internacional visitados.

55. Las visitas de evaluaci髇 a los 髍ganos, agencias y entidades de la Uni髇 que apliquen la presente Decisi髇 o sus principios se efectuar醤 con asistencia de expertos de la ANS del pa韘 en que est� establecido el 髍gano o la agencia.

56. En el caso de las visitas de evaluaci髇 a 髍ganos, agencias y entidades de la Uni髇 que apliquen la presente Decisi髇 o sus principios, y a terceros Estados y organizaciones internacionales, se podr� solicitar la asistencia y contribuci髇 de expertos de la ANS, de conformidad con las medidas de aplicaci髇 que debe acordar el Comit� de Seguridad.

Informes

57. Al t閞mino de la visita de evaluaci髇 se presentar醤 a la entidad visitada las principales conclusiones y recomendaciones. A continuaci髇, se elaborar� un informe de la visita de evaluaci髇. Cuando se hayan propuesto medidas correctoras y recomendaciones, el informe incluir� datos suficientes que avalen sus conclusiones. El informe se remitir� a la autoridad que corresponda de la entidad visitada.

58. Con respecto a las visitas de evaluaci髇 realizadas en las administraciones p鷅licas de los Estados miembros:

• a) el proyecto de informe de evaluaci髇 se remitir� a las ANS de que se trate para que verifiquen que no contiene errores en cuanto a los hechos ni informaci髇 clasificada de grado superior a RESTREINT UE/EU RESTRICTED, y
• b) salvo cuando la ANS del Estado miembro afectado solicite que no se efect鷈 una difusi髇 general, los informes de evaluaci髇 se distribuir醤 al Comit� de Seguridad. El informe llevar� el grado de clasificaci髇 RESTREINT UE/EU RESTRICTED.

Se elaborar� un informe peri骴ico, bajo la responsabilidad de la Oficina de Seguridad de la SGC, para destacar las principales ense馻nzas extra韉as de las visitas de evaluaci髇 realizadas en los Estados miembros a lo largo de un per韔do determinado; el informe ser� examinado por el Comit� de Seguridad.

59. Cuando se trate de visitas de evaluaci髇 a terceros Estados u organizaciones internacionales, el informe se remitir� al Comit� de Seguridad. Esos informes llevar醤 la clasificaci髇, como m韓imo, de grado RESTREINT UE/EU RESTRICTED. En las visitas de seguimiento se comprobar� la aplicaci髇 de las medidas correctoras y se informar� de ella al Comit� de Seguridad.

60. Cuando se trate de visitas de evaluaci髇 a todo 髍gano, agencia y entidad de la Uni髇 que aplique la presente Decisi髇 o sus principios, los informes de las visitas de evaluaci髇 se distribuir醤 al Comit� de Seguridad. Los proyectos de informes de las visitas de evaluaci髇 se remitir醤 a la agencia u 髍gano de que se trate para que verifique que no contienen errores en cuanto a los hechos ni informaci髇 clasificada de grado superior a RESTREINT UE/EU RESTRICTED. En las visitas de seguimiento se comprobar� la aplicaci髇 de las medidas correctoras y se informar� de ella al Comit� de Seguridad.

61. La Oficina de Seguridad de la SGC realizar� inspecciones peri骴icas de los servicios administrativos de la SGC a los fines establecidos en el punto 50.

Lista de control

62. Corresponder� a la Oficina de Seguridad de la SGC elaborar y actualizar una lista de control de los puntos que deber醤 comprobarse en el curso de una visita de evaluaci髇. Esta lista y sus eventuales actualizaciones se remitir醤 al Comit� de Seguridad.

63. La informaci髇 para completar la lista de control se obtendr�, en particular durante la visita, de los encargados de la gesti髇 de seguridad de la entidad inspeccionada. Una vez completada con las respuestas detalladas, la lista de control se clasificar� de com鷑 acuerdo con la entidad inspeccionada. No formar� parte del informe de inspecci髇.

ANEXO IV

PROTECCI覰 DE LA ICUE MANEJADA EN LOS SIC

I

INTRODUCCI覰

1. El presente anexo establece disposiciones para la aplicaci髇 del art韈ulo 10.

2. Las siguientes propiedades y conceptos relativos a la GI se consideran esenciales para la seguridad y correcto funcionamiento de las operaciones realizadas en los SIC:

Autenticidad: la garant韆 de que la informaci髇 es ver韉ica y procede de fuentes de buena fe;

Disponibilidad: la propiedad de ser accesible y utilizable en el momento que lo requiera una entidad autorizada; Confidencialidad: la propiedad de la informaci髇 de no ser revelada a personas, organismos o procesos no autorizados;

Integridad: la propiedad de salvaguardar la exactitud y completitud de la informaci髇 y los activos;

No repudio: la capacidad de demostrar que un acto o suceso ha ocurrido efectivamente, de modo que el acto o suceso no pueda negarse posteriormente.

II

PRINCIPIOS DE LA GI

3. Las disposiciones que se establecen a continuaci髇 constituyen el punto de partida para garantizar la seguridad de todo sistema que maneje ICUE por parte de un SIC. Los requisitos detallados para dar cumplimiento a las presentes disposiciones se definir醤 en pol韙icas y directrices de seguridad para la GI.

Gesti髇 del riesgo de seguridad

4. La gesti髇 del riesgo de seguridad ser� parte integrante de la definici髇, desarrollo, funcionamiento y mantenimiento de los SIC. La gesti髇 del riesgo (evaluaci髇, tratamiento, aceptaci髇 y comunicaci髇) se llevar� a cabo como un proceso iterativo y de forma conjunta por parte de los representantes de los propietarios del sistema, las autoridades del proyecto, las autoridades operativas y las autoridades responsables de la aprobaci髇 de la seguridad, recurriendo a un m閠odo de evaluaci髇 del riesgo que haya demostrado su eficacia y sea transparente y plenamente comprensible. El alcance del SIC y de sus activos estar� claramente definido ya desde el comienzo del proceso de gesti髇 del riesgo.

5. Las autoridades competentes examinar醤 las amenazas potenciales para el SIC y mantendr醤 evaluaciones de la amenaza actualizadas y exactas que reflejen el entorno operativo del momento. Actualizar醤 continuamente sus conocimientos de las cuestiones relativas a la vulnerabilidad y revisar醤 peri骴icamente la evaluaci髇 de la vulnerabilidad para hacer frente al entorno cambiante de las tecnolog韆s de la informaci髇 (TI).

6. El tratamiento del riesgo de seguridad tendr� por objeto aplicar un conjunto de medidas de seguridad que creen un equilibrio satisfactorio entre las necesidades de los usuarios, el coste y el riesgo de seguridad residual.

7. Los requisitos espec韋icos, escala y grado de detalle determinados por la autoridad de acreditaci髇 de seguridad pertinente para acreditar un SIC ser醤 proporcionales al riesgo evaluado, teniendo en cuenta todos los factores pertinentes, con inclusi髇 del grado de clasificaci髇 de la ICUE manejada por el SIC. La acreditaci髇 incluir� una declaraci髇 formal sobre el riesgo residual y la aceptaci髇 de dicho riesgo por parte de una autoridad competente.

Seguridad a lo largo del ciclo de vida del SIC

8. Garantizar la seguridad constituir� un requisito a lo largo de todo el ciclo de vida del SIC, desde su comienzo hasta su retirada del servicio.

9. Para cada fase del ciclo de vida de un sistema, se determinar� el papel y la interacci髇 de todo participante en un SIC con respecto a su seguridad.

10. Cualquier SIC, incluidas sus medidas de seguridad de car醕ter t閏nico y no t閏nico, ser� objeto de pruebas de seguridad durante su proceso de acreditaci髇, para asegurarse de que se obtiene el nivel adecuado de garant韆 y verificar que esos sistemas est醤 correctamente aplicados, integrados y configurados.

11. Se realizar醤 peri骴icamente evaluaciones, inspecciones y ex醡enes de seguridad durante el funcionamiento y el mantenimiento del SIC y cuando se produzcan circunstancias excepcionales.

12. La documentaci髇 de seguridad de un SIC ir� evolucionando a lo largo de su ciclo de vida como parte integrante del proceso de gesti髇 de la configuraci髇 y del cambio.

Mejores pr醕ticas

13. La SGC y los Estados miembros colaborar醤 en el desarrollo de mejores pr醕ticas para la protecci髇 de la ICUE manejada en los SIC. Las directrices sobre las mejores pr醕ticas establecer醤 medidas de seguridad t閏nicas, f韘icas, de organizaci髇 y de procedimiento para los SIC, de probada eficacia para contrarrestar determinadas amenazas y vulnerabilidades.

14. La protecci髇 de la ICUE manejada en SIC se basar� en las ense馻nzas obtenidas por las entidades que intervienen en la GI tanto dentro de la Uni髇 como fuera de ella.

15. La difusi髇 y ulterior aplicaci髇 de las mejores pr醕ticas contribuir醤 a lograr un nivel equivalente de garant韆 en los distintos SIC que manejan ICUE y que funcionan en la SGC y en los Estados miembros.

Defensa en profundidad

16. Para paliar los riesgos en los SIC, se aplicar� una serie de medidas de seguridad de car醕ter t閏nico y no t閏nico, organizadas a modo de defensa en barreras sucesivas. Esas barreras de defensa incluir醤:

• a) disuasi髇: medidas de seguridad destinadas a desalentar a los adversarios que planeen un ataque a un SIC;
• b) prevenci髇: medidas de seguridad destinadas a impedir u obstaculizar un ataque a un SIC;
• c) detecci髇: medidas de seguridad destinadas a descubrir que se ha producido un ataque a un SIC;
• d) resistencia: medidas de seguridad destinadas a limitar las consecuencias de un ataque a un bloque m韓imo de informaci髇 o de activos de un SIC y a impedir mayores da駉s, y
• e) recuperaci髇: medidas de seguridad destinadas a volver al estado anterior de seguridad del SIC.

El grado de rigor de estas medidas de seguridad se determinar� mediante una evaluaci髇 del riesgo.

17. La ANS u otra autoridad competente se asegurar�:

• a) de que se pongan en pr醕tica capacidades de ciberdefensa a fin de responder a amenazas que puedan traspasar los l韒ites de las organizaciones o las fronteras nacionales, y
• b) de que se coordinen las respuestas y de que se comparta la informaci髇 sobre dichas amenazas, los incidentes y los riesgos conexos (capacidades de respuesta para urgencias inform醫icas).

Principio de minimalidad y privilegios m韓imos

18. 趎icamente se pondr醤 en marcha las funciones, dispositivos y servicios esenciales para cubrir las necesidades operativas, con el fin de evitar riesgos innecesarios.

19. Los usuarios de los SIC y los procesos autom醫icos solo obtendr醤 el acceso, los privilegios o los permisos que necesiten para realizar su cometido, con el fin de limitar los da駉s resultantes de accidentes, errores o uso no autorizado de recursos de los SIC.

20. Los procedimientos de registro que efect鷄 un SIC, cuando es preciso, se verificar醤 como parte del proceso de acreditaci髇.

Concienciaci髇 de la GI

21. La conciencia de los riesgos y de las medidas de seguridad disponibles constituye la primera l韓ea de defensa de la seguridad de los SIC. En particular, todas las personas que intervienen en el ciclo de vida de un SIC, incluidos sus usuarios, deben ser conscientes:

• a) de que los fallos de seguridad pueden perjudicar seriamente al SIC;
• b) de los posibles da駉s a terceros que pueden derivarse de la interconectividad e interdependencia, y
• c) de que son responsables de la seguridad del SIC y se les pedir醤 cuentas seg鷑 la funci髇 que desempe馿n en los sistemas y procesos.

22. Para garantizar que son conscientes de las responsabilidades que conlleva la seguridad, ser� obligatoria la formaci髇 y concienciaci髇 en relaci髇 con la GI para todo el personal implicado, tanto los altos directivos como los usuarios de SIC.

Evaluaci髇 y aprobaci髇 de los productos de seguridad de TI

23. El grado de confianza necesario en las medidas de seguridad, definido como nivel de garant韆, se determinar� con arreglo al resultado del proceso de gesti髇 del riesgo y en consonancia con las correspondientes pol韙icas y directrices de seguridad.

24. El nivel de garant韆 se verificar� recurriendo a procedimientos y metodolog韆s reconocidos internacionalmente o aprobados en el plano nacional. Aqu� deben incluirse principalmente la evaluaci髇, los controles y las auditor韆s.

25. Los productos criptol骻icos de protecci髇 de la ICUE ser醤 evaluados y aprobados por una ACC de un Estado miembro.

26. Antes de recomendarlos para su aprobaci髇 por el Consejo o el Secretario General, de conformidad con el art韈ulo 10, apartado 6, dichos productos criptol骻icos deber醤 superar una segunda evaluaci髇 realizada por la autoridad debidamente acreditada (ADA) de un Estado miembro que no haya participado en el dise駉 o fabricaci髇 del equipo considerado. El grado de detalle exigido en la segunda evaluaci髇 depender� del grado m醲imo de clasificaci髇 de la ICUE que se prev� proteger con dichos productos. El Consejo aprobar� una pol韙ica de seguridad sobre la evaluaci髇 y aprobaci髇 de los productos criptol骻icos.

27. Cuando ello est� justificado por motivos operativos espec韋icos, el Consejo o el Secretario General, seg鷑 proceda, podr�, previa recomendaci髇 del Comit� de Seguridad, dispensar del cumplimiento de los requisitos recogidos en los puntos 25 o 26 del presente anexo y otorgar una aprobaci髇 provisional durante un per韔do espec韋ico, de conformidad con el procedimiento establecido en el art韈ulo 10, apartado 6.

28. El Consejo, por recomendaci髇 del Comit� de Seguridad, podr� aceptar el proceso de evaluaci髇, selecci髇 y aprobaci髇 de los productos criptol骻icos de un tercer Estado o de una organizaci髇 internacional y considerar en consecuencia que tales productos criptol骻icos quedan aprobados a efectos de protecci髇 de ICUE cedida a dicho tercer Estado o dicha organizaci髇 internacional.

29. Una ADA ser� una ACC de un Estado miembro, acreditada mediante criterios objetivos establecidos por el Consejo para realizar la segunda evaluaci髇 de los productos criptol骻icos de protecci髇 de la ICUE.

30. El Consejo aprobar� una pol韙ica de seguridad sobre la cualificaci髇 y aprobaci髇 de productos de seguridad de TI no criptol骻icos.

Transmisi髇 dentro de zonas de acceso restringido y zonas administrativas

31. No obstante las disposiciones de la presente Decisi髇, cuando la transmisi髇 de ICUE se limite a zonas de acceso restringido o zonas administrativas, podr� utilizarse la transmisi髇 no cifrada, o cifrada en un nivel inferior, en base al resultado de un proceso de gesti髇 del riesgo y previa aprobaci髇 de la AAS.

Interconexi髇 segura de los SIC

32. A los efectos de la presente Decisi髇, por interconexi髇 se entender� la conexi髇 directa de dos o m醩 sistemas de TI con objeto de compartir datos y otros recursos de informaci髇 (por ejemplo, comunicaci髇) de forma unidireccional o multidireccional.

33. Todo SIC tratar� como no fiable a cualquier sistema de TI interconectado y aplicar� medidas protectoras para controlar el intercambio de informaci髇 clasificada.

34. Con relaci髇 a todas las interconexiones de un SIC con otro sistema de TI, se observar醤 los siguientes requisitos b醩icos:

• a) las autoridades competentes enunciar醤 y aprobar醤 los requisitos operacionales o de servicio de dichas interconexiones;
• b) la interconexi髇 se someter� a un proceso de gesti髇 del riesgo y acreditaci髇 y necesitar� la aprobaci髇 de las autoridades de acreditaci髇 de seguridad competentes, y
• c) se pondr醤 en marcha servicios de protecci髇 del per韒etro de todos los SIC.

35. No habr� interconexi髇 entre un SIC acreditado y una red desprotegida o p鷅lica, salvo cuando el SIC tenga instalado a tal fin un servicio de protecci髇 de per韒etro aprobado, que act鷈 entre el SIC y la red desprotegida o p鷅lica. Las medidas de seguridad de tales interconexiones ser醤 examinadas por la autoridad de garant韆 de la informaci髇 competente y aprobadas por la autoridad de acreditaci髇 de seguridad competente.

Cuando la red desprotegida o p鷅lica se utilice 鷑icamente para el transporte y los datos est閚 cifrados con un producto criptol骻ico aprobado en conformidad con el art韈ulo 10, se considerar� que la conexi髇 no es una interconexi髇.

36. Quedar醤 prohibidas las interconexiones directas o dispuestas en cascada de un SIC acreditado para manejar informaci髇 clasificada de grado TR萐 SECRET UE/EU TOP SECRET con redes p鷅licas o desprotegidas.

Soportes de almacenamiento inform醫ico

37. Los soportes de almacenamiento inform醫ico se destruir醤 con arreglo a un procedimiento aprobado por la autoridad de seguridad competente.

38. La reutilizaci髇, la reducci髇 del grado de clasificaci髇 y la desclasificaci髇 de los soportes de almacenamiento inform醫ico se efectuar醤 de conformidad con unas directrices de seguridad establecidas de conformidad con el art韈ulo 6, apartado 2.

Circunstancias de emergencia

39. No obstante lo dispuesto en la presente Decisi髇, podr醤 aplicarse los procedimientos espec韋icos que se describen a continuaci髇 en casos de emergencia, por ejemplo, en situaciones de crisis, conflicto o guerra, inminentes o reales, o en circunstancias operativas excepcionales.

40. La ICUE podr� transmitirse utilizando productos criptol骻icos que hayan sido certificados para un grado de clasificaci髇 inferior o sin cifrar con el consentimiento de la autoridad competente, si resulta evidente que un retraso podr韆 causar un da駉 superior al que acarrea la revelaci髇 del material clasificado y si:

• a) el emisor y el receptor carecen de los medios de cifra requeridos o carecen de todo medio de cifra, y
• b) el material clasificado no puede transmitirse a tiempo por otros medios.

41. En las circunstancias expuestas en el punto 39, la informaci髇 clasificada transmitida no llevar� ninguna marca ni indicaci髇 que la distinga de la informaci髇 no clasificada o que pueda protegerse mediante un producto criptol骻ico disponible. Se notificar� sin demora a los receptores el grado de clasificaci髇, recurriendo a otros medios.

42. Si hubiera que recurrir a lo expuesto en el punto 39, se presentar� posteriormente un informe a la autoridad competente y al Comit� de Seguridad.

III

GARANT虯 DE LA INFORMACI覰: FUNCIONES Y AUTORIDADES

43. En los Estados miembros y en la SGC se establecer醤 las siguientes funciones respecto de la GI. Estas funciones no necesitan ser desempe馻das por organismos espec韋icos y 鷑icos. Tendr醤 cometidos separados. Sin embargo, dichas funciones y sus responsabilidades conexas podr醤 combinarse o integrarse en el mismo servicio administrativo, o dividirse entre varios de ellos, siempre que se eviten los conflictos internos de intereses o de funciones.

Autoridad de Garant韆 de la Informaci髇

44. Corresponder� a la Autoridad de Garant韆 de la Informaci髇 (AGI):

• a) establecer pol韙icas y directrices de seguridad relativas a la GI y supervisar su eficacia y pertinencia;
• b) salvaguardar y administrar la informaci髇 t閏nica relacionada con los productos criptol骻icos;
• c) garantizar que las medidas de GI seleccionadas para proteger la ICUE cumplan las normas que rigen su idoneidad y selecci髇;
• d) garantizar que los productos criptol骻icos se seleccionen de conformidad con las normas que rigen su idoneidad y selecci髇;
• e) coordinar la formaci髇 y la concienciaci髇 respecto de la GI;
• f) consultar al proveedor del sistema, a los agentes en el 醡bito de la seguridad y a los representantes de los usuarios sobre las pol韙icas y directrices de seguridad relativas a la garant韆 de la informaci髇, y
• g) velar por que se disponga de los conocimientos necesarios en la subsecci髇 especializada del Comit� de Seguridad para cuestiones de GI.

Autoridad TEMPEST

45. Corresponder� a la autoridad TEMPEST garantizar que los SIC cumplan las pol韙icas y directrices TEMPEST. La autoridad TEMPEST aprobar� contramedidas para instalaciones y productos destinados a proteger ICUE de un determinado grado de clasificaci髇 dentro de su entorno operativo.

Autoridad de Certificaci髇 Criptol骻ica

46. Corresponder� a la Autoridad de Certificaci髇 Criptol骻ica (ACC) garantizar que los productos criptol骻icos cumplan la pol韙ica criptol骻ica nacional o la del Consejo. Dar� su aprobaci髇 a los productos criptol骻icos para tratar ICUE de un determinado grado de clasificaci髇 dentro de su entorno operativo. Por lo que se refiere a los Estados miembros, la ACC se encargar� de evaluar los productos criptol骻icos.

Autoridad de Distribuci髇 Criptol骻ica

47. Corresponder� a la ADC:

• a) gestionar y contabilizar el material criptol骻ico de la UE;
• b) garantizar que se apliquen los procedimientos adecuados y se establezcan los cauces pertinentes para rendir cuentas de todo el material criptogr醘ico de la UE, as� como para que su manejo, almacenamiento y distribuci髇 se hagan en condiciones de seguridad, y
• c) garantizar la transferencia del material criptol骻ico de la UE entre las personas o servicios que lo empleen.

Autoridad de Acreditaci髇 de Seguridad

48. Corresponder� a la Autoridad de Acreditaci髇 de Seguridad (AAS) de cada sistema:

• a) velar por que los SIC cumplan las pol韙icas y directrices de seguridad pertinentes, expedir una declaraci髇 de aprobaci髇 a los SIC para manejar ICUE de un determinado grado de clasificaci髇 en su entorno operativo, en la que se declaren las condiciones de la acreditaci髇 y los criterios aplicables para exigir una nueva aprobaci髇;
• b) establecer un proceso de acreditaci髇 de seguridad, de conformidad con las pol韙icas pertinentes, que enuncie claramente las condiciones de aprobaci髇 de los SIC bajo su autoridad;
• c) definir una estrategia de acreditaci髇 de seguridad que indique el grado de detalle para el proceso de acreditaci髇 seg鷑 el nivel de garant韆 requerido;
• d) examinar y aprobar la documentaci髇 de seguridad, incluidas las declaraciones de gesti髇 del riesgo y de riesgo residual, las declaraciones de requisitos espec韋icos de seguridad del sistema, la documentaci髇 relativa a la verificaci髇 de la aplicaci髇 de la seguridad y los procedimientos operativos de seguridad y asegurarse de que se cumplan las normas y pol韙icas de seguridad del Consejo;
• e) comprobar la aplicaci髇 de las medidas de seguridad en relaci髇 con los SIC realizando o patrocinando evaluaciones de seguridad, inspecciones o ex醡enes;
• f) aprobar los criterios de seguridad (por ejemplo, los grados de habilitaci髇 del personal) para puestos sensibles en relaci髇 con los SIC;
• g) refrendar la selecci髇 de productos criptol骻icos y TEMPEST aprobados para dotar de seguridad a los SIC;
• h) aprobar la interconexi髇 de un SIC a otros SIC o, cuando proceda, participar en la aprobaci髇 conjunta de dicha interconexi髇, y
• i) consultar al proveedor del sistema, a los actores en el 醡bito de la seguridad y a los representantes de los usuarios respecto de la gesti髇 del riesgo, en particular el riesgo residual, as� como sobre las condiciones de la declaraci髇 de aprobaci髇.

49. Corresponder� a la AAS de la SGC la acreditaci髇 de todos los SIC que funcionen en el marco del mandato de la SGC.

50. Corresponder� a la AAS competente de un Estado miembro acreditar los SIC y los componentes de estos que operen dentro de su jurisdicci髇.

51. Un Panel de Acreditaci髇 de Seguridad se encargar� de la acreditaci髇 de los SIC que entren dentro de la competencia tanto de la AAS de la SGC como de las AAS de los Estados miembros. Estar� integrado por un representante de la AAS de cada Estado miembro, y asistir� a 閘 un representante de la AAS de la Comisi髇. Se invitar� a asistir a otras entidades conectadas a un SIC, cuando dicho sistema se someta a debate.

El Panel de Acreditaci髇 de Seguridad estar� presidido por un representante de la AAS de la SGC. Se pronunciar� por consenso de los representantes de las AAS de las instituciones, de los Estados miembros y de otras entidades conectados al SIC de que se trate. Elaborar� informes peri骴icos sobre sus actividades, destinados al Comit� de Seguridad y le comunicar� todas las declaraciones de acreditaci髇.

Autoridad Operacional de Garant韆 de la Informaci髇

52. Corresponder� a la Autoridad Operacional de Garant韆 de la Informaci髇 (AOGI) de cada sistema:

• a) elaborar documentaci髇 de seguridad en consonancia con las pol韙icas y directrices de seguridad, en particular con los requisitos espec韋icos de seguridad del sistema, incluida la declaraci髇 sobre el riesgo residual, los procedimientos operativos de seguridad y el plan criptol骻ico en el proceso de acreditaci髇 de SIC;
• b) participar en la selecci髇 y ensayo de las medidas t閏nicas de seguridad espec韋icas para el sistema, de los dispositivos y los programas inform醫icos; supervisar su aplicaci髇 y garantizar que su instalaci髇, configuraci髇 y mantenimiento sean seguros, de conformidad con la correspondiente documentaci髇 de seguridad;
• c) participar en la selecci髇 de medidas de seguridad y dispositivos TEMPEST si lo requiere la enunciaci髇 de requisitos espec韋icos de seguridad del sistema y garantizar que su instalaci髇 y mantenimiento sean seguros, en colaboraci髇 con la autoridad TEMPEST;
• d) supervisar el cumplimiento y aplicaci髇 de los procedimientos operativos de seguridad y, cuando proceda, delegar las competencias sobre la seguridad operativa en el propietario del sistema;
• e) gestionar y manejar productos criptol骻icos, garantizando la custodia de los art韈ulos criptol骻icos y controlados y, si es preciso, garantizar la generaci髇 de variables criptol骻icas;
• f) realizar an醠isis, ex醡enes y ensayos en materia de seguridad, en particular para elaborar los correspondientes informes sobre el riesgo, cuando lo requiera la Autoridad de Acreditaci髇 de Seguridad (AAS);
• g) proporcionar formaci髇 sobre la GI espec韋ica para SIC, y
• h) aplicar y ejecutar medidas de seguridad espec韋icas para SIC.

ANEXO V

SEGURIDAD INDUSTRIAL

I

INTRODUCCI覰

1. El presente anexo establece disposiciones para la aplicaci髇 del art韈ulo 11, as� como disposiciones generales en materia de seguridad aplicables a las sociedades industriales u otro tipo de entidades en las negociaciones precontractuales y durante toda la duraci髇 de los contratos clasificados adjudicados por la Secretar韆 General del Consejo.

2. El Consejo aprobar� unas directrices sobre seguridad industrial que definan, en particular, requisitos detallados en relaci髇 con las habilitaciones de seguridad de establecimiento, las cl醬sulas sobre aspectos de la seguridad, las visitas y la transmisi髇 y el transporte de ICUE.

II

ELEMENTOS DE SEGURIDAD EN UN CONTRATO CLASIFICADO

Gu韆 de clasificaci髇 de seguridad

3. Antes de convocar una licitaci髇 o adjudicar un contrato clasificado, la SGC, como autoridad contratante, determinar� la clasificaci髇 de seguridad de toda informaci髇 que deba proporcionarse a los licitadores y contratistas, as� como la clasificaci髇 de seguridad de toda informaci髇 que haya de producir el contratista. Para ello, la SGC elaborar� una gu韆 de clasificaci髇 de seguridad, que deber� emplearse en la ejecuci髇 del contrato.

4. Para determinar la clasificaci髇 de seguridad de los diversos elementos de un contrato clasificado se aplicar醤 los principios siguientes:

• a) al elaborar una gu韆 de clasificaci髇 de seguridad, la SGC tendr� en cuenta todos los aspectos de seguridad pertinentes, incluida la clasificaci髇 de seguridad atribuida a la informaci髇 que se facilite y apruebe para ser utilizada en el contrato en cuesti髇 por el originador de la informaci髇;
• b) el grado general de clasificaci髇 del contrato no podr� ser inferior al mayor grado de clasificaci髇 de cualquiera de sus elementos, y
• c) cuando proceda, en caso de que se produzca alg鷑 cambio en relaci髇 con la clasificaci髇 de la informaci髇 producida por los contratistas o que se les haya facilitado en la ejecuci髇 de un contrato, y cuando se introduzca cualquier cambio ulterior en la gu韆 de clasificaci髇 de seguridad, la SGC actuar� de enlace con las ANS o las ASD de los Estados miembros o cualquier otra autoridad nacional de seguridad afectada.

Cl醬sula sobre aspectos de la seguridad

5. Los requisitos de seguridad espec韋icos de un contrato se describir醤 en una cl醬sula sobre aspectos de seguridad, la cual, cuando proceda, incluir� la gu韆 de clasificaci髇 de seguridad y ser� parte integrante de un contrato o subcontrato clasificado.

6. La cl醬sula sobre aspectos de la seguridad incluir� asimismo las disposiciones que exigir醤 del contratista o subcontratista el cumplimiento de los est醤dares m韓imos que se establecen en la presente Decisi髇. El incumplimiento de dichos est醤dares m韓imos podr� ser motivo suficiente para la rescisi髇 del contrato.

Instrucciones de seguridad de un programa o proyecto

7. Seg鷑 cu醠 sea el 醡bito de los programas o proyectos que conlleven acceso a ICUE o su manejo o almacenamiento, la autoridad contratante designada para gestionar el programa o proyecto podr� emitir unas instrucciones de seguridad espec韋icas del programa o proyecto. Estas instrucciones requerir醤 la aprobaci髇 de las ANS o de las ASD de los Estados miembros o de cualquier otra autoridad de seguridad competente que participen en un determinado proyecto o programa, y podr醤 contener requisitos de seguridad adicionales.

III

HABILITACI覰 DE SEGURIDAD DE ESTABLECIMIENTO

8. La habilitaci髇 de seguridad de establecimiento ser� concedida por la ANS o la ASD o cualquier otra autoridad de seguridad competente de un Estado miembro para indicar, de conformidad con las disposiciones legales y reglamentarias nacionales, que una sociedad industrial u otro tipo de entidad puede proteger dentro de sus instalaciones la ICUE del grado de clasificaci髇 que corresponda (CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET). Dicha habilitaci髇 se presentar� a la SGC, como autoridad contratante, antes de facilitar o conceder acceso a la ICUE a un contratista o subcontratista, o a un posible contratista o subcontratista.

9. Al expedir una habilitaci髇 de seguridad de establecimiento, la ANS o la ASD competente proceder�, como m韓imo, a:

• a) evaluar la integridad de la sociedad industrial u otro tipo de entidad;
• b) evaluar la propiedad, el control o cualquier posible influencia indebida que pueda considerarse un riesgo para la seguridad;
• c) verificar que la sociedad industrial u otro tipo de entidad ha implantado un sistema de seguridad en el establecimiento que aplica todas las medidas de seguridad apropiadas necesarias para la protecci髇 de la informaci髇 o el material clasificados de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, de conformidad con los requisitos prescritos en la presente Decisi髇;
• d) verificar que la situaci髇 de seguridad de los directivos, los propietarios y los empleados que necesitan acceder a informaci髇 clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET se ha establecido de conformidad con los requisitos prescritos en la presente Decisi髇, y
• e) verificar que la sociedad industrial u otro tipo de entidad ha nombrado un agente de seguridad del establecimiento, que responda ante su direcci髇 de la observancia de las obligaciones en cuanto a la seguridad.

10. Cuando proceda, la SGC, como autoridad contratante, comunicar� a la ANS o a la ASD competente o a cualquier otra autoridad de seguridad competente que es necesario contar con una habilitaci髇 de seguridad de establecimiento en la fase precontractual o para la ejecuci髇 del contrato. En la fase precontractual, ser� necesaria una habilitaci髇 de seguridad de establecimiento o una HPS cuando durante el proceso de licitaci髇 deba facilitarse informaci髇 clasificada de los grados CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.

11. La autoridad contratante no adjudicar� un contrato clasificado al licitador seleccionado antes de haber recibido de la ANS o de la ASD o de cualquier otra autoridad de seguridad competente del Estado miembro en que est� registrado el contratista o subcontratista confirmaci髇 de que se ha expedido a este la habilitaci髇 de seguridad de establecimiento adecuada.

12. La ANS o la ASD o cualquier otra autoridad de seguridad competente que haya expedido una habilitaci髇 de seguridad de establecimiento notificar� a la SGC, como autoridad contratante, los cambios que afecten a dicha habilitaci髇. En el caso de los subcontratos, se informar� al respecto a la ANS, la ASD o cualquier otra autoridad de seguridad competente.

13. La retirada de una habilitaci髇 de seguridad de establecimiento por parte de la ANS, la ASD o cualquier otra autoridad de seguridad competente constituir� motivo suficiente para que la SGC, como autoridad contratante, rescinda un contrato clasificado o excluya a un licitador de la licitaci髇.

IV

CONTRATOS Y SUBCONTRATOS CLASIFICADOS

14. Cuando se facilite ICUE a un licitador en la fase precontractual, el pliego de condiciones deber� contener una cl醬sula que obligue a los licitadores que no presenten ofertas o que no resulten seleccionados a devolver toda la documentaci髇 clasificada en un plazo determinado.

15. Una vez que se haya adjudicado un contrato o subcontrato clasificado, la SGC, como autoridad contratante, notificar� a la ANS, la ASD o cualquier otra autoridad de seguridad competente del contratista o subcontratista, las disposiciones de seguridad del contrato clasificado.

16. En caso de rescisi髇 de un contrato de este tipo, la SGC, como autoridad contratante (o la ANS, la ASD o cualquier otra autoridad de seguridad competente, seg鷑 proceda, en el caso de una subcontrataci髇), lo notificar醤 cuanto antes a los correspondientes organismos o autoridades competentes del Estado miembro en que est� registrado el contratista o subcontratista.

17. Por regla general, el contratista o subcontratista estar� obligado a devolver a la autoridad contratante, al t閞mino del contrato o subcontrato clasificado, toda la ICUE que obre en su posesi髇.

18. La cl醬sula sobre aspectos de la seguridad establecer� disposiciones espec韋icas para la eliminaci髇 de ICUE durante la ejecuci髇 del contrato o al t閞mino de este.

19. Cuando el contratista o subcontratista est� autorizado a conservar ICUE tras la terminaci髇 de un contrato, seguir醤 siendo de aplicaci髇 las normas m韓imas contenidas en la presente Decisi髇 y el contratista o subcontratista proteger� la confidencialidad de la ICUE.

20. Las condiciones en que un contratista podr� subcontratar se definir醤 en el pliego de condiciones y en el contrato.

21. Antes de subcontratar cualquier parte de un contrato clasificado, el contratista deber� obtener de la SGC, como autoridad contratante, el permiso correspondiente. No podr� adjudicarse un subcontrato a sociedades industriales u otro tipo de entidades registradas en un Estado que no sea miembro de la Uni髇 y no haya celebrado un acuerdo de seguridad de la informaci髇 con esta.

22. El contratista responder� de que todas las actividades subcontratadas se ejecuten de conformidad con las normas m韓imas prescritas en la presente Decisi髇 y no transmitir� ICUE a ning鷑 subcontratista sin el previo consentimiento escrito de la autoridad contratante.

23. Respecto de la ICUE producida o manejada por el contratista o subcontratista, los derechos que asistan al originador ser醤 ejercidos por la autoridad contratante.

V

VISITAS EN RELACI覰 CON CONTRATOS CLASIFICADOS

24. Cuando el personal de la SGC, de los contratistas o de los subcontratistas necesite acceder a informaci髇 clasificada de los grados CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET que se halle en los locales de los otros para la ejecuci髇 de un contrato clasificado, se organizar醤 visitas, en contacto con las ANS, las ASD o cualquier otra autoridad de seguridad competente. No obstante, en el contexto de proyectos espec韋icos, las ANS o las ASD podr醤 tambi閚 acordar un procedimiento que permita organizar directamente dichas visitas.

25. Todos los visitantes deber醤 estar en posesi髇 de una HPS adecuada y tener necesidad de conocer para poder acceder a la ICUE relacionada con el contrato de la SGC.

26. A los visitantes solo se les permitir� el acceso a ICUE que guarde relaci髇 con la finalidad de la visita.

VI

TRANSMISI覰 Y TRANSPORTE DE ICUE

27. Por lo que se refiere a la transmisi髇 de ICUE por medios electr髇icos, se aplicar醤 las disposiciones pertinentes del art韈ulo 10 y del anexo IV.

28. Por lo que se refiere al transporte de ICUE, se aplicar醤 las disposiciones pertinentes del anexo III, de conformidad con las disposiciones legales y reglamentarias nacionales.

29. Por lo que se refiere al transporte como carga de material clasificado, se aplicar醤 los siguientes principios para determinar las medidas de seguridad:

• a) la seguridad deber� estar garantizada durante todas las fases del transporte, desde el punto de origen hasta el destino final;
• b) el grado de protecci髇 concedido a un env韔 se determinar� en funci髇 del mayor grado de clasificaci髇 del material que contenga;
• c) se obtendr� una habilitaci髇 de seguridad de establecimiento del grado adecuado para las sociedades encargadas del transporte. En esos casos, el personal que se ocupe del env韔 deber� estar habilitado de conformidad con el anexo I;
• d) antes de efectuarse cualquier traslado transfronterizo de material clasificado de los grados CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, el remitente elaborar� un plan de transporte que deber� ser aprobado por la ANS, la ASD o cualquier otra autoridad de seguridad competente afectada;
• e) en la medida de lo posible, los viajes evitar醤 las paradas intermedias y se completar醤 con toda la rapidez que las circunstancias permitan, y
• f) siempre que sea posible, se circular� exclusivamente a trav閟 de Estados miembros. Solo deber醤 emplearse itinerarios que atraviesen Estados no miembros de la UE previa autorizaci髇 de la ANS, la ASD o cualquier otra autoridad de seguridad competente tanto del Estado remitente como del destinatario.

VII

TRANSMISI覰 DE ICUE A CONTRATISTAS ESTABLECIDOS EN TERCEROS ESTADOS

30. La transmisi髇 de ICUE a contratistas y subcontratistas establecidos en terceros Estados se har� de conformidad con las medidas de seguridad que adopten de com鷑 acuerdo la SGC, como autoridad contratante, y la ANS o la ASD del tercer Estado afectado en que est� registrado el contratista.

VIII

INFORMACI覰 CLASIFICADA RESTREINT UE/EU RESTRICTED

31. La SGC, como autoridad contratante, en colaboraci髇 con la ANS o la ASD del Estado miembro, seg鷑 proceda, estar� facultada para realizar inspecciones a los establecimientos de los contratistas o subcontratistas en virtud de disposiciones contractuales, con el fin de cerciorarse de que se aplican las medidas de seguridad adecuadas para la protecci髇 de la ICUE de grado RESTREINT UE/EU RESTRICTED, tal como se haya estipulado en el contrato.

32. En la medida necesaria de conformidad con las disposiciones legales y reglamentarias nacionales, la SGC, como autoridad contratante, notificar� a la ANS, la ASD o cualquier otra autoridad de seguridad competente los contratos o subcontratos que contengan informaci髇 clasificada de grado RESTREINT UE/EU RESTRICTED.

33. Para los contratos adjudicados por la SGC que contengan informaci髇 clasificada de grado RESTREINT UE/EU RESTRICTED, no se exigir� a los contratistas o subcontratistas ni a su personal una habilitaci髇 de seguridad de establecimiento ni una HPS.

34. La SGC, como autoridad contratante, estudiar� las respuestas a las invitaciones a presentar ofertas para los contratos que requieran el acceso a informaci髇 clasificada de grado RESTREINT UE/EU RESTRICTED, independientemente de los requisitos relativos a una habilitaci髇 de seguridad de establecimiento o una HPS que puedan exigir las disposiciones legales y reglamentarias nacionales.

35. Las condiciones en que el contratista podr� subcontratar deber醤 estar en conformidad con el punto 21.

36. Cuando un contrato suponga el manejo de informaci髇 clasificada de grado RESTREINT UE/EU RESTRICTED en un SIC gestionado por un contratista, la SGC, como autoridad contratante, garantizar� que en el contrato o en cualquier posible subcontrato se detallen los requisitos t閏nicos y administrativos necesarios para la acreditaci髇 del SIC que sean acordes al riesgo evaluado, teniendo en cuenta todos los factores pertinentes. El 醡bito de la acreditaci髇 de dicho SIC se determinar� mediante acuerdo entre la autoridad contratante y la ANS o la ASD competente.

ANEXO VI

INTERCAMBIO DE INFORMACI覰 CLASIFICADA CON TERCEROS ESTADOS Y ORGANIZACIONES INTERNACIONALES

I

INTRODUCCI覰

1. El presente anexo establece disposiciones para la aplicaci髇 del art韈ulo 13.

II

MARCOS QUE REGULAN EL INTERCAMBIO DE INFORMACI覰 CLASIFICADA

2. Cuando el Consejo haya determinado que existe la necesidad de intercambiar informaci髇 clasificada de forma prolongada,

• — se celebrar� un acuerdo de seguridad de la informaci髇, o
• — se celebrar� un acuerdo administrativo,

de conformidad con el art韈ulo 13, apartado 2, y las secciones III y IV y sobre la base de una recomendaci髇 del Comit� de Seguridad.

3. Cuando la ICUE generada a efectos de una operaci髇 PCSD deba comunicarse a terceros Estados u organizaciones internacionales que participen en dicha operaci髇, y cuando no exista ninguno de los marcos a que se refiere el punto 2, el intercambio de ICUE con el tercer Estado u organizaci髇 internacional de que se trate se regular�, conforme a lo dispuesto en la secci髇 V, por:

• — un acuerdo marco de participaci髇,
• — un acuerdo de participaci髇 ad hoc, o
• — de no existir alguno de estos, un acuerdo administrativo ad hoc.

4. En ausencia de uno de los marcos a que se refieren los puntos 2 y 3, y cuando se adopte la decisi髇 de ceder ICUE a un tercer Estado u organizaci髇 internacional con arreglo a un procedimiento ad hoc de car醕ter excepcional de conformidad con lo dispuesto en la secci髇 VI, se pedir醤 garant韆s por escrito al tercer Estado u organizaci髇 internacional interesado de que mantendr� protegida la ICUE que se le ceda de acuerdo con los principios b醩icos y las normas m韓imas establecidas por la presente Decisi髇.

III

ACUERDOS DE SEGURIDAD DE LA INFORMACI覰

5. Los acuerdos de seguridad de la informaci髇 establecer醤 los principios b醩icos y las normas m韓imas aplicables al intercambio de informaci髇 clasificada entre la Uni髇 y un tercer Estado u organizaci髇 internacional.

6. Los acuerdos de seguridad de la informaci髇 establecer醤 las disposiciones t閏nicas de aplicaci髇 que deban convenirse entre las autoridades de seguridad competentes de las instituciones y 髍ganos pertinentes de la Uni髇 y la autoridad de seguridad competente del tercer Estado u organizaci髇 internacional de que se trate. Dichas disposiciones tendr醤 debidamente en cuenta el grado de protecci髇 que ofrezcan las normas, estructuras y procedimientos de seguridad del tercer Estado o la organizaci髇 internacional de que se trate. Ser醤 aprobadas por el Comit� de Seguridad.

7. Con arreglo a un acuerdo de seguridad de la informaci髇, no se intercambiar� ICUE por medios electr髇icos a menos que se haya previsto expl韈itamente en el acuerdo o en las disposiciones t閏nicas de aplicaci髇 correspondientes.

8. En los acuerdos sobre seguridad de la informaci髇 que celebre el Consejo se designar� un registro en cada parte como punto principal de entrada y salida para los intercambios de informaci髇 clasificada.

9. Con el fin de evaluar la eficacia de las normas, estructuras y procedimientos de seguridad del tercer Estado o la organizaci髇 internacional en cuesti髇, se efectuar醤 visitas de evaluaci髇 de com鷑 acuerdo con el tercer Estado o la organizaci髇 internacional de que se trate. Dichas visitas se realizar醤 de conformidad con las disposiciones pertinentes del anexo III y evaluar醤:

• a) el marco regulador aplicable para proteger la informaci髇 clasificada;
• b) las caracter韘ticas propias de la pol韙ica de seguridad y la manera en que se organiza la seguridad en el tercer Estado u organizaci髇 internacional, que pueden influir en el grado de la informaci髇 clasificada que pueda intercambiarse;
• c) las medidas y procedimientos de seguridad que se aplican efectivamente, y
• d) los procedimientos de habilitaci髇 de seguridad del grado correspondiente al de la ICUE que ha de cederse.

10. El equipo que efect鷈 la visita de evaluaci髇 en nombre de la Uni髇 evaluar� si las normas y procedimientos de seguridad en el tercer Estado o la organizaci髇 internacional son adecuados para ofrecer protecci髇 a la ICUE de un determinado nivel.

11. Los resultados de estas visitas se recoger醤 en un informe que servir� de base al Comit� de Seguridad para determinar el grado m醲imo de la ICUE que podr� intercambiarse en papel o, cuando proceda, de forma electr髇ica, con el tercero de que se trate, as� como las condiciones espec韋icas de dicho intercambio.

12. Deber� ponerse el m醲imo empe駉 en realizar una visita completa de evaluaci髇 de la seguridad en el tercer Estado u organizaci髇 internacional de que se trate antes de que el Comit� de Seguridad apruebe las disposiciones de aplicaci髇, con objeto de determinar la naturaleza y la eficacia del sistema de seguridad que est� establecido. No obstante, cuando ello no resulte posible, el Comit� de Seguridad recibir� un informe lo m醩 completo posible de la Oficina de Seguridad de la SGC, basado en la informaci髇 de que disponga, en el que se le informar� de la normativa de seguridad aplicable y de la manera en que est� organizada la seguridad en el tercer Estado o la organizaci髇 internacional de que se trate.

13. El informe de la visita de evaluaci髇 o, en caso de no existir dicho informe, el informe a que se refiere el punto 12, se remitir� al Comit� de Seguridad, que deber� considerarlo satisfactorio, antes de que se ceda efectivamente ICUE al tercer Estado o a la organizaci髇 internacional de que se trate.

14. Las autoridades de seguridad competentes de las instituciones y 髍ganos de la Uni髇 comunicar醤 al tercer Estado u organizaci髇 internacional la fecha a partir de la cual la Uni髇 se encontrar� en condiciones de ceder informaci髇 clasificada de la Uni髇 con arreglo al acuerdo, as� como el m醲imo grado de ICUE que pueda intercambiarse en soporte de papel o por medios electr髇icos.

15. Si se juzga necesario, se efectuar醤 visitas de seguimiento, en particular si:

• a) es necesario elevar el grado en que se cede la ICUE, o
• b) se han notificado a la Uni髇 cambios fundamentales en las medidas de seguridad del tercer Estado u organizaci髇 internacional que puedan afectar al modo en que protege la ICUE, o c) se ha producido un incidente grave que implique revelaci髇 no autorizada de ICUE.

16. Una vez que el acuerdo de seguridad de la informaci髇 est� en vigor y se haya intercambiado informaci髇 clasificada con el tercer Estado o la organizaci髇 internacional de que se trate, el Comit� de Seguridad podr� decidir modificar el grado m醲imo de la ICUE que podr� ser intercambiada en papel o por medios electr髇icos, en particular, como consecuencia de posibles visitas de evaluaci髇 ulteriores.

IV

ACUERDOS ADMINISTRATIVOS

17. Cuando exista la necesidad de intercambiar durante largo tiempo informaci髇 clasificada, en principio, de un grado no superior a RESTREINT UE/EU RESTRICTED con un tercer Estado o una organizaci髇 internacional y el Comit� de Seguridad haya determinado que la otra parte no cuenta con un sistema de seguridad suficientemente desarrollado como para celebrar un acuerdo de seguridad de la informaci髇, el Secretario General podr�, previa aprobaci髇 del Consejo, celebrar un acuerdo administrativo, en nombre de la SGC, con las autoridades competentes del tercer Estado o la organizaci髇 internacional.

18. Cuando por motivos operativos urgentes sea necesario establecer r醦idamente un marco de intercambio de informaci髇 clasificada, el Consejo podr� decidir, con car醕ter excepcional, que se celebre un acuerdo administrativo para el intercambio de informaci髇 de un grado de clasificaci髇 superior.

19. Por regla general, los acuerdos administrativos adoptar醤 la forma de un canje de notas.

20. Antes de ceder efectivamente ICUE al tercer Estado o la organizaci髇 internacional de que se trate, se realizar� una visita de evaluaci髇 con arreglo al punto 9 y se remitir� el correspondiente informe o, en caso de no existir dicho informe, el informe a que se refiere el punto 12, al Comit� de Seguridad, que deber� considerarlo satisfactorio.

21. Con arreglo a un acuerdo administrativo, no se intercambiar� ICUE por medios electr髇icos a menos que se haya establecido expl韈itamente en el acuerdo.

V

INTERCAMBIO DE INFORMACI覰 CLASIFICADA EN EL CONTEXTO DE LAS OPERACIONES PCSD

22. La participaci髇 de terceros Estados o de organizaciones internacionales en operaciones PCSD se rige por acuerdos marco de participaci髇. Los citados acuerdos incluir醤 disposiciones en materia de cesi髇 de ICUE generada con motivo de operaciones PCSD a terceros Estados u organizaciones internacionales contribuyentes. No se podr� intercambiar ICUE de grado superior a RESTREINT UE/EU RESTRICTED para operaciones civiles PCSD y CONFIDENTIEL UE/UE CONFIDENTIAL para operaciones militares PCSD, a menos que se prescriba otra cosa en la decisi髇 que establezca cada operaci髇 PCSD.

23. Los acuerdos de participaci髇 ad hoc celebrados para una operaci髇 PCSD espec韋ica incluir醤 disposiciones sobre la cesi髇 de ICUE generada a efectos de dicha operaci髇 a terceros Estados u organizaciones internacionales contribuyentes. No se podr� intercambiar ICUE de grado superior a RESTREINT UE/EU RESTRICTED para operaciones civiles PCSD y CONFIDENTIEL UE/UE CONFIDENTIAL para operaciones militares PCSD, a menos que se prescriba otra cosa en la decisi髇 que establezca cada operaci髇 PCSD.

24. A falta de acuerdo de seguridad de la informaci髇, y a la espera de la celebraci髇 de un acuerdo de participaci髇, la cesi髇 de ICUE, generada a efectos de la operaci髇, a un tercer Estado u organizaci髇 internacional participante en la operaci髇, se regular� mediante un acuerdo administrativo que celebrar� el Alto Representante o ser� objeto de una decisi髇 sobre cesi髇 ad hoc de conformidad con la secci髇 VI. Con arreglo a dicho acuerdo solo se intercambiar� ICUE mientras se siga contemplando la participaci髇 del tercer Estado o de la organizaci髇 internacional. No se podr� intercambiar ICUE de grado superior a RESTREINT UE/EU RESTRICTED para operaciones civiles PCSD y CONFIDENTIEL UE/UE CONFIDENTIAL para operaciones militares PCSD, a menos que se prescriba otra cosa en la decisi髇 que establezca cada operaci髇 PCSD.

25. Las disposiciones sobre la informaci髇 clasificada que deber醤 figurar en los acuerdos marco de participaci髇, en los acuerdos de participaci髇 ad hoc y en los acuerdos administrativos ad hoc a que se refieren los puntos 22, 23 y 24 establecer醤 que el tercer Estado u organizaci髇 internacional afectado deber� garantizar que su personal destinado en comisi髇 de servicio a la operaci髇 proteger� la ICUE con arreglo a las normas de seguridad del Consejo y con cualquier otra directriz emitida por las autoridades competentes, incluida la cadena de mando de la operaci髇.

26. Si la Uni髇 y el tercer Estado o la organizaci髇 internacional contribuyente celebran ulteriormente un acuerdo de seguridad de la informaci髇, este acuerdo sustituir� a las disposiciones en materia de intercambio de informaci髇 clasificada establecidas en cualquier acuerdo marco de participaci髇, acuerdo de participaci髇 ad hoc o acuerdo administrativo ad hoc previo en lo que se refiere al intercambio y manejo de ICUE.

27. No se permitir� el intercambio de ICUE por medios electr髇icos con arreglo a un acuerdo marco de participaci髇, un acuerdo de participaci髇 ad hoc o un acuerdo administrativo ad hoc con un tercer Estado u organizaci髇 internacional, a menos que se haya establecido expl韈itamente en el acuerdo o en el acuerdo administrativo en cuesti髇.

28. La ICUE generada a efectos de la operaci髇 PCSD podr� ser revelada al personal destinado en comisi髇 de servicio para dicha operaci髇 por terceros Estados u organizaciones internacionales de conformidad con lo dispuesto en los puntos 22 a 27. Cuando se conceda autorizaci髇 de acceso a ICUE en los locales o en los SIC de una operaci髇 PCSD a dicho personal, se aplicar醤 las medidas necesarias (incluida la grabaci髇 de la ICUE revelada) para evitar riesgos de p閞dida o comprometimiento de la informaci髇. Estas medidas se determinar醤 en los documentos de planificaci髇 o de misi髇.

29. A falta de un acuerdo de seguridad de la informaci髇, y en caso de necesidad operativa espec韋ica e inmediata, la cesi髇 de ICUE al Estado anfitri髇 en cuyo territorio se lleve a cabo una operaci髇 PCSD podr� regularse mediante un acuerdo administrativo que celebrar� el Alto Representante. Esta posibilidad se dispondr� en la decisi髇 que establezca la operaci髇 PCSD. La ICUE cedida en esas circunstancias se limitar� a la generada para los fines de la operaci髇 PCSD y su grado de clasificaci髇 no ser� superior a RESTREINT UE/EU RESTRICTED, salvo que se disponga un grado de clasificaci髇 superior en la decisi髇 que establezca la operaci髇 PCSD. En el marco del citado acuerdo administrativo, se exigir� al Estado de acogida que se comprometa a proteger la ICUE respetando normas m韓imas no menos estrictas que las establecidas por la presente Decisi髇.

30. A falta de acuerdo de seguridad de la informaci髇, la cesi髇 de ICUE a un tercer Estado y a organizaciones internacionales pertinentes, distintos de los participantes en una operaci髇 PCSD, podr� regularse mediante un acuerdo administrativo que celebrar� la Alta Representante. Si resulta conveniente, se prever� dicha posibilidad y toda condici髇 al respecto en la decisi髇 que establezca la operaci髇 PCSD. La ICUE cedida en esas circunstancias se limitar� a la generada para los fines de la operaci髇 PCSD y su grado de clasificaci髇 no ser� superior a RESTREINT UE/EU RESTRICTED, salvo que se establezca un grado de clasificaci髇 superior en la decisi髇 que establezca la operaci髇 PCSD. En el marco del citado acuerdo administrativo, se pedir� al tercer Estado o a la organizaci髇 internacional de que se trate que se comprometan a proteger la ICUE respetando normas m韓imas no menos estrictas que las establecidas por la presente Decisi髇.

31. No ser� preciso establecer disposiciones de aplicaci髇 ni efectuar visitas de evaluaci髇 antes de aplicar las disposiciones en materia de cesi髇 de ICUE en el contexto de los puntos 22, 23 y 24.

VI

CESI覰 AD HOC CON CAR罜TER EXCEPCIONAL DE ICUE

32. En caso de que no exista un marco de conformidad con las secciones III, IV y V, y cuando el Consejo o uno de sus 髍ganos preparatorios determine que es necesario, a t韙ulo excepcional, ceder ICUE a un tercer Estado o a una organizaci髇 internacional, la SGC:

• a) comprobar�, en la medida de lo posible, en colaboraci髇 con las autoridades de seguridad del tercer Estado u organizaci髇 internacional de que se trate, que su normativa, estructuras y procedimientos de seguridad garantizan que la ICUE que se les ceda ser� protegida con arreglo a est醤dares no menos estrictos que los establecidos por la presente Decisi髇, e
• b) invitar� al Comit� de Seguridad a emitir, bas醤dose en la informaci髇 disponible, una recomendaci髇 sobre el grado de confianza que deba concederse a la normativa, estructuras y procedimientos de seguridad del tercer Estado u organizaci髇 internacional a la que se comunique ICUE.

33. Si el Comit� de Seguridad emite una recomendaci髇 a favor de la cesi髇 de la ICUE, el asunto se comunicar� al Comit� de Representantes Permanentes (Coreper), que deber� tomar una decisi髇 sobre la cesi髇 de dicha informaci髇.

34. Si la recomendaci髇 del Comit� de Seguridad no es favorable a la cesi髇 de la ICUE:

• a) para los asuntos relacionados con la PESC o la PCSD, el Comit� Pol韙ico y de Seguridad examinar� el asunto y formular� una recomendaci髇 al Coreper para que este tome una decisi髇;
• b) para todos los dem醩 asuntos, el Coreper examinar� el asunto y tomar� una decisi髇.

35. Cuando se considere apropiado, y siempre que se cuente con el consentimiento previo por escrito del originador, el Coreper podr� decidir que la informaci髇 clasificada sea cedida solo en parte o 鷑icamente si se ha reducido el grado de clasificaci髇 o se ha desclasificado previamente; o que la informaci髇 que deba cederse se elabore sin hacer referencia a la fuente o al grado de clasificaci髇 UE original.

36. Una vez que se haya tomado la decisi髇 de ceder ICUE, la SGC enviar� el documento de que se trate, el cual deber� llevar una marca de posibilidad de cesi髇 que indique a qu� tercer Estado u organizaci髇 internacional ha sido cedido. Antes o en el momento de la cesi髇 efectiva, el tercero de que se trate se comprometer� por escrito a proteger la ICUE que reciba de acuerdo con los principios b醩icos y las normas m韓imas que se establecen en la presente Decisi髇.

VII

AUTORIDAD PARA CEDER ICUE A TERCEROS ESTADOS U ORGANIZACIONES INTERNACIONALES

37. Cuando exista un marco para el intercambio de informaci髇 clasificada con un tercer Estado u organizaci髇 internacional con arreglo al punto 2, el Consejo tomar� una decisi髇 que autorice al Secretario General a ceder ICUE al tercer Estado o la organizaci髇 internacional de que se trate, respetando el principio del consentimiento previo del originador. El Secretario General podr� delegar tal autorizaci髇 en altos funcionarios de la SGC.

38. Cuando exista un acuerdo de seguridad de la informaci髇, con arreglo al punto 2, primer inciso, el Consejo podr� adoptar una decisi髇 que autorice al Alto Representante a ceder al tercer Estado o a la organizaci髇 internacional de que se trate ICUE originada en el Consejo en el 醡bito de la pol韙ica exterior y de seguridad com鷑, tras haber obtenido el consentimiento del originador de todo material de origen contenido en ella. El Alto Representante podr� delegar tal autorizaci髇 en altos funcionarios del SEAE o en los Representantes Especiales de la Uni髇.

39. Cuando exista un marco para el intercambio de informaci髇 clasificada con un tercer Estado u organizaci髇 internacional con arreglo a los puntos 2 o 3, se autorizar� al Alto Representante a ceder ICUE, de conformidad con la decisi髇 por la que se establezca la operaci髇 PCSD y respetando el principio del consentimiento previo del originador. El Alto Representante podr� delegar tal autorizaci髇 en altos funcionarios del SEAE, en la Operaci髇 de la UE, en los Comandantes de la Fuerza o de la Misi髇, o en los Jefes de Misi髇 de la UE.

Ap閚dice A

DEFINICIONES

A los efectos de la presente Decisi髇, se entender� por:

獳creditaci髇�: el proceso que concluye con la declaraci髇 formal de la Autoridad de Acreditaci髇 de Seguridad (AAS) de que un sistema ha recibido la correspondiente aprobaci髇 para tratar material de un grado determinado de clasificaci髇 en un modo espec韋ico de seguridad en su entorno operativo y con un nivel aceptable de riesgo, en el entendimiento de que se aplica un conjunto aprobado de medidas de seguridad t閏nicas, f韘icas, de organizaci髇 y de procedimiento.

獳ctivos�: todo lo que tenga valor para una organizaci髇, para su funcionamiento y continuidad, incluidos los recursos de informaci髇 disponibles para llevar a cabo su misi髇.

獳utorizaci髇 para acceder a ICUE�: una decisi髇 de la autoridad facultada para proceder a los nombramientos de la SGC, adoptada sobre la base de una garant韆 concedida por una autoridad competente de un Estado miembro, que acredita que un funcionario u otro agente de la SGC o experto nacional destinado en la SGC en comisi髇 de servicio puede tener acceso a ICUE de un determinado grado (CONFIDENTIEL UE/EU CONFIDENTIAL o superior) hasta una fecha determinada, siempre que se haya establecido su necesidad de conocer dicha informaci髇 y haya sido adecuadamente informado sobre sus responsabilidades.

獵iclo de vida de un SIC�: la duraci髇 completa de la existencia de un SIC, que comprende inicio, concepci髇, planificaci髇, an醠isis de requisitos, dise駉, desarrollo, pruebas, aplicaci髇, funcionamiento y mantenimiento, y desmantelamiento.

獵ontrato clasificado�: el contrato celebrado entre la SGC y un contratista para el suministro de bienes, la ejecuci髇 de obras o la prestaci髇 de servicios cuya ejecuci髇 exija o implique el acceso a ICUE o la creaci髇 de dicha informaci髇.

玈ubcontrato clasificado�: el contrato celebrado por un contratista de la SGC con otro contratista (denominado 玸ubcontratista�) para el suministro de bienes, la ejecuci髇 de obras o la prestaci髇 de servicios cuya ejecuci髇 exija o implique el acceso a ICUE o la creaci髇 de dicha informaci髇.

玈istema de informaci髇 y comunicaciones� (SIC) — v閍se el art韈ulo 10, apartado 2.

獵ontratista�: la persona f韘ica o jur韉ica con capacidad legal para celebrar contratos.

玀aterial de cifra�: algoritmos criptol骻icos, m骴ulos criptol骻icos software y hardware, y productos, incluida la informaci髇 sobre su uso y la documentaci髇 pertinente y los datos de claves.

玃roducto criptol骻ico�: producto que tiene como funci髇 primordial y principal la prestaci髇 de servicios de seguridad (confidencialidad, integridad, disponibilidad, autenticidad, no repudio) mediante uno o varios mecanismos criptol骻icos.

玂peraci髇 PCSD�: una operaci髇 militar o civil de gesti髇 de crisis en virtud del t韙ulo V, cap韙ulo 2, del TUE.

獶esclasificaci髇�: supresi髇 de toda clasificaci髇 de seguridad.

獶efensa en profundidad�: la aplicaci髇 de una serie de medidas de seguridad organizadas a modo de defensa en barreras sucesivas.

獳utoridad de Seguridad Designada� (ASD): la autoridad responsable ante la Autoridad Nacional de Seguridad (ANS) de un Estado miembro, encargada de comunicar a las sociedades industriales u otro tipo de entidades la pol韙ica nacional en todos los aspectos de la seguridad industrial y de facilitarles direcci髇 y asistencia para su aplicaci髇. La funci髇 de ASD podr� ser ejercida por la ANS o por cualquier otra autoridad competente.

獶ocumento�: toda informaci髇 registrada, independientemente de su soporte o caracter韘ticas f韘icas.

玆educci髇 del grado de clasificaci髇�: reducci髇 del grado de clasificaci髇 de seguridad.

獻nformaci髇 clasificada de la UE� (ICUE) — v閍se el art韈ulo 2, apartado 1.

獺abilitaci髇 de seguridad de establecimiento�: la certificaci髇 administrativa por parte de una ANS o una ASD de que, desde el punto de vista de la seguridad, un determinado establecimiento puede brindar un nivel adecuado de protecci髇 a la ICUE de un grado espec韋ico de clasificaci髇 de seguridad.

玀anejo� de ICUE: toda intervenci髇 posible a la que puede estar sujeta a lo largo de su ciclo de vida la ICUE, es decir: producci髇, tratamiento, traslado, reducci髇 del nivel de clasificaci髇, desclasificaci髇 y destrucci髇. En relaci髇 con los SIC abarca asimismo su recopilaci髇, exposici髇, transmisi髇 y almacenamiento.

玃oseedor�: persona debidamente autorizada con una probada necesidad de conocer la informaci髇, que est� en posesi髇 de cualquier ICUE y es, por tanto, responsable de su protecci髇.

玈ociedad industrial u otro tipo de entidad�: una entidad que participa en el suministro de bienes, la ejecuci髇 de obras o la prestaci髇 de servicios. Puede tratarse de sociedades industriales, comerciales y de servicios o de centros cient韋icos, de investigaci髇, educativos y de desarrollo, o de individuos que trabajen por cuenta propia.

玈eguridad industrial� — v閍se el art韈ulo 11, apartado 1.

獹arant韆 de la informaci髇� — v閍se el art韈ulo 10, apartado 1.

獻nterconexi髇� — v閍se el anexo IV, punto 32.

玊ratamiento de la informaci髇 clasificada� — v閍se el art韈ulo 9, apartado 1.

玀aterial�: todo documento, soporte de datos, m醧uina o aparato, producido o en proceso de producci髇.

玂riginador�: la instituci髇, organismo o agencia de la Uni髇, el Estado miembro, el tercer Estado o la organizaci髇 internacional bajo cuya autoridad se ha producido informaci髇 clasificada o se ha introducido en las estructuras de la Uni髇.

玈eguridad en el personal� — v閍se el art韈ulo 7, apartado 1.

獺abilitaci髇 personal de seguridad� (HPS): la declaraci髇 de una autoridad competente de un Estado miembro, efectuada al t閞mino de una investigaci髇 de seguridad realizada por las autoridades competentes del Estado miembro, mediante la cual se acredita que una persona puede tener acceso a ICUE de un determinado grado (CONFIDENTIEL UE/EU CONFIDENTIAL o superior) hasta una fecha determinada.

獵ertificado de habilitaci髇 personal de seguridad� (CHPS): el certificado expedido por una autoridad competente mediante el cual se establece que una persona est� habilitada y dispone de un certificado de habilitaci髇 de seguridad o una autorizaci髇 v醠idos para acceder a ICUE expedidos por la autoridad facultada para proceder a los nombramientos, y que indica el grado de ICUE a que puede tener acceso (CONFIDENTIEL UE/EU CONFIDENTIAL o superior), el per韔do de validez de la habilitaci髇 y la fecha de caducidad del propio certificado.

玈eguridad f韘ica� — v閍se el art韈ulo 8, apartado 1.

獻nstrucciones de seguridad de un programa o proyecto�: lista de procedimientos de seguridad aplicables a un programa o proyecto espec韋ico para tipificar los procedimientos de seguridad. Puede ser objeto de revisi髇 a lo largo de la ejecuci髇 del programa o proyecto.

獻nscripci髇 en un registro� — v閍se el anexo III, punto 18.

玆iesgo residual�: el riesgo que persiste una vez aplicadas las medidas de seguridad, dado que no es posible contrarrestar todas las amenazas ni eliminar todas las vulnerabilidades.

玆iesgo�: la posibilidad de que una determinada amenaza se aproveche de las vulnerabilidades internas o externas de una organizaci髇 o de cualquier sistema que esta utilice y al hacerlo ocasione da駉s a la organizaci髇 o a sus activos tangibles o intangibles. Se mide como la combinaci髇 de la probabilidad de que se cumplan las amenazas y de su repercusi髇.

• — 獳ceptaci髇 del riesgo�: la decisi髇 de aceptar, una vez tratado el riesgo, la persistencia de un riesgo residual.
• — 獷valuaci髇 del riesgo�: consiste en determinar las amenazas y las vulnerabilidades, y llevar a cabo el correspondiente an醠isis del riesgo, es decir, el an醠isis de la probabilidad y de las repercusiones.
• — 獵omunicaci髇 del riesgo�: consiste en sensibilizar de los riesgos a las comunidades de usuarios de SIC, informar de tales riesgos a las autoridades responsables de la aprobaci髇 y a las autoridades operativas.
• — 玊ratamiento del riesgo�: consiste en atenuar, suprimir o reducir el riesgo (adoptando una combinaci髇 adecuada de medidas t閏nicas, f韘icas, de gesti髇 o de procedimiento), transferir el riesgo o hacer un seguimiento del mismo.

獵l醬sula sobre aspectos de la seguridad�: conjunto de condiciones contractuales especiales impuestas por la autoridad contratante y que forman parte integrante de un contrato clasificado que conlleve el acceso a ICUE o la creaci髇 de ese tipo de informaci髇; en ella se enumeran los requisitos de seguridad o los elementos del contrato que requieren protecci髇 de seguridad.

獹u韆 de clasificaci髇 de seguridad�: documento que describe los elementos de un programa o contrato que est醤 clasificados, con especificaci髇 de los grados de clasificaci髇 de seguridad aplicables. La gu韆 de clasificaci髇 de seguridad podr� ampliarse durante toda la vigencia del programa o contrato, y se podr� reducir el grado de clasificaci髇 o reclasificar los elementos de informaci髇; cuando exista una gu韆 de clasificaci髇 de seguridad, formar� parte de la cl醬sula sobre aspectos de la seguridad.

獻nvestigaci髇 de seguridad�: procedimiento de investigaci髇 efectuado por la autoridad competente de un Estado miembro con arreglo a las disposiciones legales y reglamentarias nacionales vigentes, con el fin de obtener la garant韆 de que no se conocen datos desfavorables que impidan conceder a una persona determinada una HPS o una autorizaci髇 para acceder a ICUE de un determinado nivel (CONFIDENTIEL UE/EU CONFIDENTIAL o superior).

玀odo de operaci髇 de seguridad�: el conjunto de las condiciones de funcionamiento de un SIC, definidas sobre la base de la clasificaci髇 de la informaci髇 manejada y de los grados de habilitaci髇, las aprobaciones formales de acceso y la necesidad de conocer de los usuarios. Existen cuatro modos de operaci髇 para el manejo y la transmisi髇 de informaci髇 clasificada: dedicado, unificado a nivel superior, compartimentado y multinivel.

• — 玀odo dedicado�: modo de operaci髇 en el que todas las personas con acceso al SIC est醤 habilitadas al grado m醩 alto de clasificaci髇 de la informaci髇 manejada en 閘 y tienen la misma necesidad de conocer toda la informaci髇 manejada en el SIC.
• — 玀odo unificado a nivel superior�: modo de operaci髇 en el que todas las personas con acceso al SIC est醤 habilitadas al grado m醩 alto de clasificaci髇 de la informaci髇 manejada en 閘, pero en el que no todas las personas con acceso al SIC tienen la misma necesidad de conocer la informaci髇 manejada en 閘; la aprobaci髇 para acceder a la informaci髇 puede darla una persona.
• — 玀odo compartimentado�: modo de operaci髇 en el que todas las personas con acceso al SIC est醤 habilitadas al grado m醩 alto de clasificaci髇 de la informaci髇 manejada en 閘, pero no todas las personas con acceso al SIC poseen una autorizaci髇 formal de acceso a toda la informaci髇 manejada en 閘; la autorizaci髇 formal supone, a diferencia del acceso que se concede a discreci髇 de una persona, la existencia de una gesti髇 formal centralizada del control de acceso.
• — 玀odo multinivel�: modo de operaci髇 en el que no todas las personas con acceso al SIC est醤 habilitadas al grado m醩 alto de clasificaci髇 de la informaci髇 manejada en 閘, y no todas las personas con acceso al SIC tienen la misma necesidad de conocer la informaci髇 manejada en 閘.

玃roceso de gesti髇 del riesgo de seguridad�: la totalidad del proceso de determinaci髇, control y disminuci髇 de acontecimientos inciertos que puedan afectar a la seguridad de una organizaci髇 o de cualquiera de los sistemas que utiliza. Abarca todas las actividades relacionadas con los riesgos, incluida la evaluaci髇, tratamiento, aceptaci髇 y comunicaci髇.

玊EMPEST�: la investigaci髇, estudio y control de las emanaciones electromagn閠icas comprometedoras y las medidas para suprimirlas.

獳menaza�: la posible causa de un incidente no deseado que pueda ocasionar da駉s a una organizaci髇 o a algunos de los sistemas que use; las amenazas pueden ser accidentales o deliberadas (maliciosas) y constan de elementos amenazadores, posibles blancos y m閠odos de ataque.

玍ulnerabilidad�: una debilidad, cualquiera que sea su naturaleza, que pueda ser aprovechada por una o varias amenazas. La vulnerabilidad puede resultar de una omisi髇 o guardar relaci髇 con una deficiencia en el grado, completitud o coherencia de los controles, y puede ser t閏nica, f韘ica, de procedimiento, de organizaci髇 o de funcionamiento.

Ap閚dice B

CORRESPONDENCIA DE LAS CLASIFICACIONES DE SEGURIDAD

UE	TR萐 SECRET UE/EU TOP SECRET	SECRET UE/EU SECRET	CONFIDENTIEL UE/EU CONFIDENTIAL	RESTREINT UE/EU RESTRICTED
B閘gica	Tr鑣 Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998)	Secret (Loi11.12.1998) Geheim (Wet 11.12.1998)	Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998)	nota (5) infra
Bulgaria	Cтpoгo ceкретно	Ceкретно	Поверително	За служебно ползване
Rep鷅lica Checa	Př韘ně tajn�	Tajn�	Důvěrn�	Vyhrazen�
Dinamarca	YDERST HEMMELIGT	HEMMELIGT	FORTROLIGT	TIL TJENESTEBRUG|�
Alemania	STRENG GEHEIM	GEHEIM	VS (6) — VERTRAULICH	VS — NUR F躌 DEN DIENSTGEBRAUCH
Estonia	T鋓esti salajane	Salajane	Konfidentsiaalne	Piiratud
Irlanda	Top Secret	Secret	Confidential	Restricted
Grecia	Άκρως Απόρρητο Abr: ΑΑΠ	Απόρρητο Abr: (ΑΠ)	Εμπιστευτικό Αbr: (ΕΜ)	Περιορισμένης Χρήσης Abr: (ΠΧ)
Espa馻	SECRETO	RESERVADO	CONFIDENCIAL	DIFUSI覰 LIMITADA
Francia	Tr鑣 Secret D閒ense	Secret D閒ense	Confidentiel D閒ense	nota (7) infra
Croacia	VRLO TAJNO	TAJNO	POVJERLJIVO	OGRANIČENO
Italia	Segretissimo	Segreto	Riservatissimo	Riservato
Chipre	Άκρως Απόρρητο Αbr: (ΑΑΠ)	Απόρρητο Αbr: (ΑΠ)	Εμπιστευτικό Αbr: (ΕΜ)	Περιορισμένης Χρήσης Αbr: (ΠΧ)
Letonia	Sevišķi slepeni	Slepeni	Konfidenciāli	Dienesta vajadzībām
Lituania	Visiškai slaptai	Slaptai	Konfidencialiai	Riboto naudojimo
Luxemburgo	Tr鑣 Secret Lux	Secret Lux	Confidentiel Lux	Restreint Lux
Hungr韆	Szigor鷄n titkos!	Titkos!	Bizalmas!	Korl醫ozott terjeszt閟ű!
Malta	L-Ogħla Segretezza Top Secret	Sigriet Secret	Kunfidenzjali Confidential	Ristrett Restricted (8)
Pa韘es Bajos	Stg. ZEER GEHEIM	Stg. GEHEIM	Stg. CONFIDENTIEEL	Dep. VERTROUWELIJK
Austria	Streng Geheim	Geheim	Vertraulich	Eingeschr鋘kt
Polonia	Ściśle Tajne	Tajne	Poufne	Zastrzeżone
Portugal	Muito Secreto	Secreto	Confidencial	Reservado
UE	TR萐 SECRET UE/EU TOP SECRET	SECRET UE/EU SECRET	CONFIDENTIEL UE/EU CONFIDENTIAL	RESTREINT UE/EU RESTRICTED
Ruman韆	Strict secret de importanță deosebită	Strict secret	Secret	Secret de serviciu
Eslovenia	STROGO TAJNO	TAJNO	ZAUPNO	INTERNO
Eslovaquia	Pr韘ne tajn�	Tajn�	D魐ern�	Vyhraden�
Finlandia	ERITT腎N SALAINEN YTTERST HEMLIG	SALAINEN HEMLIG	LUOTTAMUKSELLINEN KONFIDENTIELL	K腨TT� RAJOITETTU BEGR腘SAD TILLG臢G
Suecia (9)	HEMLIG/TOP SECRET HEMLIG AV SYNNERLIG BETYDELSE F諶 RIKETS S腒ERHET	HEMLIG/SECRET HEMLIG	HEMLIG/CONFIDENTIAL HEMLIG	HEMLIG/RESTRICTED HEMLIG
Reino Unido	UK TOP SECRET	UK SECRET	UK CONFIDENTIAL	UK RESTRICTED

Ap閚dice C

LISTA DE AUTORIDADES NACIONALES DE SEGURIDAD (ANS)

B蒐GICA Autorit� nationale de S閏urit� SPF Affaires 閠rang鑢es, Commerce ext閞ieur et Coop閞ation au D関eloppement 15, rue des Petits Carmes 1000 Bruxelles Tel. de la Secretar韆: +32 25014542 Fax +32 25014596 Correo electr髇ico: nvo-ans@diplobel.fed.be	ESTONIA National Security Authority Department Estonian Ministry of Defence Sakala 1 15094 Tallinn Tel. +372 717 0019, +372 7170117 Fax +372 7170213 Correo electr髇ico: nsa@mod.gov.ee
BULGARIA State Commission on Information Security 90 Cherkovna Str. 1505 Sof韆 Tel. +359 29333600 Fax +359 29873750 Correo electr髇ico: dksi@government.bg P醙ina web: www.dksi.bg	IRLANDA National Security Authority Department of Foreign Affairs 76-78 Harcourt Street Dublin 2 Tel. +353 14780822 Fax +353 14082959
REP贐LICA CHECA N醨odn� bezpečnostn� �řad (National Security Authority) Na Popelce 2/16 150 06 Praha 56 Tel. +420 257283335 Fax +420 257283110 Correo electr髇ico: czech.nsa@nbu.cz P醙ina web: www.nbu.cz	GRECIA Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ) Διεύθυνση Ασφαλείας και Αντιπληροφοριών ΣΤΓ 1020 -Χολαργός (Αθήνα) Ελλάδα Τηλ.: +30 2106572045 (ώρες γραφείου) +30 2106572009 (ώρες γραφείου) Φαξ: +30 2106536279 +30 2106577612 Hellenic National Defence General Staff (HNDGS) Counter Intelligence and Security Directorate (NSA) 227-231 HOLARGOS STG 1020 ATHENS Tel. +30 2106572045 +30 2106572009 Fax +30 2106536279 +30 2106577612
DINAMARCA Politiets Efterretningstjeneste (Danish Security Intelligence Service) Klausdalsbrovej 1 2860 S鴅org Tel. +45 33148888 Fax +45 33430190 Forsvarets Efterretningstjeneste (Danish Defence Intelligence Service) Kastellet 30 2100 Copenhagen � Tel. +45 33325566 Fax +45 33931320	ESPA袮 Autoridad Nacional de Seguridad Oficina Nacional de Seguridad Avenida Padre Huidobro s/n 28023 Madrid Tel. +34 913725000 Fax +34 913725808 Correo electr髇ico: nsa-sp@areatec.com
ALEMANIA Bundesministerium des Innern Referat 諷 III 3 Alt-Moabit 101 D D-11014 Berlin Tel. +49 30186810 Fax +49 30186811441 Correo electr髇ico: oesIII3@bmi.bund.de	FRANCIA Secr閠ariat g閚閞al de la d閒ense et de la s閏urit� nationale Sous-direction Protection du secret (SGDSN/PSD) 51 Boulevard de la Tour-Maubourg 75700 Paris 07 SP Tel. +33 171758177 Fax +33 171758200
CROACIA Office of the National Security Council Croatian NSA Jurjevska 34 10000 Zagreb Croatia Tel. +385 14681222 Fax +385 14686049 www.uvns.hr	LUXEMBURGO Autorit� nationale de S閏urit� Bo顃e postale 2379 1023 Luxembourg Tel. +352 24782210 central +352 24782253 direct Fax +352 24782243
ITALIA Presidenza del Consiglio dei Ministri D.I.S.-U.C.Se. Via di Santa Susanna, 15 00187 Roma Tel. +39 0661174266 Fax +39 064885273	HUNGR虯 Nemzeti Biztons醙i Fel黦yelet (National Security Authority of Hungary) H-1024 Budapest, Szil醙yi Erzs閎et fasor 11/B Tel. +36 (1) 7952303 Fax +36 (1) 7950344 Postal address: H-1357 Budapest, PO Box 2 Correo electr髇ico: nbf@nbf.hu P醙ina web: www.nbf.hu
CHIPRE ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ Εθνική Αρχή Ασφάλειας (ΕΑΑ) Υπουργείο Άμυνας Λεωφόρος Εμμανουήλ Ροΐδη 4 1432 Λευκωσία, Κύπρος Τηλέφωνα: +357 22807569, +357 22807643, +357 22807764 Τηλεομοιότυπο: +357 22302351 Ministry of Defence Minister’s Military Staff National Security Authority (NSA) 4 Emanuel Roidi street 1432 Nicosia Tel. +357 22807569, +357 22807643, +357 22807764 Fax +357 22302351 Correo electr髇ico: cynsa@mod.gov.cy	MALTA Ministry for Home Affairs and National Security P.O. Box 146 MT-Valletta Tel. +356 21249844 Fax +356 25695321
LETONIA National Security Authority Constitution Protection Bureau of the Republic of Latvia P.O.Box 286 LV-1001 Riga Tel. +371 67025418 Fax +371 67025454 Correo electr髇ico: ndi@sab.gov.lv	PA蚐ES BAJOS Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Postbus 20010 2500 EA Den Haag Tel. +31 703204400 Fax +31 703200733 Ministerie van Defensie Beveiligingsautoriteit Postbus 20701 2500 ES Den Haag Tel. +31 703187060 Fax +31 703187522
LITUANIA Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija (The Commission for Secrets Protection Coordination of the Republic of Lithuania National Security Authority) Gedimino 40/1 LT-01110 Vilnius Tel. +370 706 66701, +370 706 66702 Fax +370 706 66700 Correo electr髇ico: nsa@vsd.lt	AUSTRIA Informationssicherheitskommission Bundeskanzleramt Ballhausplatz 2 1014 Wien Tel. +43 1531152594 Fax +43 1531152615 Correo electr髇ico: ISK@bka.gv.at
POLONIA Agencja Bezpieczeństwa Wewnętrznego – ABW (Internal Security Agency) 2A Rakowiecka St. 00-993 Warszawa Tel. +48 225857360 Fax +48 225858509 Correo electr髇ico: nsa@abw.gov.pl P醙ina web: www.abw.gov.pl	ESLOVAQUIA N醨odn� bezpečnostn� 鷕ad (National Security Authority) Budat韓ska 30 P.O. Box 16 850 07 Bratislava Tel. +421 268692314 Fax +421 263824005 P醙ina web: www.nbusr.sk
PORTUGAL Presid阯cia do Conselho de Ministros Autoridade Nacional de Seguran鏰 Rua da Junqueira, 69 1300-342 Lisboa Tel. +351 213031710 Fax +351 213031711	FINLANDIA National Security Authority Ministry for Foreign Affairs P.O. Box 453 FI-00023 Government Tel閒ono 1: +358 160505890 Fax +358 916055140 Correo electr髇ico: NSA@formin.fi
RUMAN虯 Oficiul Registrului Național al Informațiilor Secrete de Stat (Romanian NSA – ORNISS National Registry Office for Classified Information) Strada Mures nr. 4012275 Bucharest Tel. +40 212245830 Fax +40 212240714 Correo electr髇ico: nsa.romania@nsa.ro P醙ina web: www.orniss.ro	SUECIA Utrikesdepartementet (Ministry for Foreign Affairs) UD-RS S-103 39 Stockholm Tel. +46 84051000 Fax +46 87231176 Correo electr髇ico: ud-nsa@foreign.ministry.se
ESLOVENIA Urad Vlade RS za varovanje tajnih podatkov Gregorčičeva 27 1000 Ljubljana Tel. +386 14781390 Fax +386 14781399 Correo electr髇ico: gp.uvtp@gov.si	REINO UNIDO UK National Security Authority Room 335, 3rd Floor 70 Whitehall London SW1A 2AS Tel閒ono 1: +44 2072765645 Tel閒ono 2: +44 2072765497 Fax +44 2072765651 Correo electr髇ico: UK-NSA@cabinet-office.x.gsi.gov.uk

Ap閚dice D

LISTA DE ABREVIATURAS

Acr髇imo	Significado
AAS	Autoridad de Acreditaci髇 de Seguridad
ACC	Autoridad de Certificaci髇 Criptol骻ica
ADA	Autoridad debidamente acreditada
ADC	Autoridad de Distribuci髇 Criptol骻ica
AGI	Autoridad de Garant韆 de la Informaci髇
ANS	Autoridad Nacional de Seguridad
ASD	Autoridad de Seguridad Designada
CCTV	Circuito cerrado de televisi髇
CHPS	Certificado de habilitaci髇 personal de seguridad
Coreper	Comit� de Representantes Permanentes
ECSD	Direcci髇 de Seguridad de la Comisi髇 Europea
GI	Garant韆 de la Informaci髇
HPS	Habilitaci髇 personal de seguridad
ICUE	Informaci髇 clasificada de la UE
PCSD	Pol韙ica Com鷑 de Seguridad y Defensa
PESC	Pol韙ica Exterior y de Seguridad Com鷑
REUE	Representante Especial de la UE
SDI	Sistema de detecci髇 de intrusiones
SGC	Secretar韆 General del Consejo
SIC	Sistemas de informaci髇 y comunicaciones que manejen ICUE
TI	Tecnolog韆s de la informaci髇