Artikelen bij COM(2022)119 - Informatiebeveiliging in de instellingen, organen en instanties van de Unie - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2022)119 - Informatiebeveiliging in de instellingen, organen en instanties van de Unie. |
|---|---|
| document | COM(2022)119   |
| datum | 22 maart 2022 |
Hoofdstuk 1
Algemene bepalingen
Artikel 1
Onderwerp
1. Bij deze verordening worden voorschriften inzake informatiebeveiliging voor alle instellingen en organen van de Unie vastgesteld.
Artikel 2
Toepassingsgebied
1. Deze verordening is van toepassing op alle informatie die door de instellingen en organen van de Unie wordt verwerkt en opgeslagen, met inbegrip van informatie in verband met activiteiten van de Europese Gemeenschap voor Atoomenergie, met uitzondering van gerubriceerde Euratom-informatie.
2. Zij is van toepassing op de volgende vertrouwelijkheidsniveaus van informatie:
a) drie niveaus van niet-gerubriceerde informatie: voor openbaar gebruik, normaal, en gevoelig niet-gerubriceerd;
b) vier niveaus van gerubriceerde EU-informatie: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET, TRÈS SECRET UE/EU TOP SECRET.
3. Deze niveaus zijn gebaseerd op de schade die ongeoorloofde openbaarmaking kan berokkenen aan legitieme particuliere en openbare belangen, met inbegrip van die van de Unie, de instellingen en organen van de Unie en de lidstaten of andere belanghebbenden, zodat passende beschermingsmaatregelen kunnen worden getroffen.
Artikel 3
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
a) “informatie”: gegevens in mondelinge, visuele, elektronische, magnetische of fysieke vorm, dan wel in de vorm van materiaal, uitrusting of technologie, met inbegrip van reproducties, vertalingen en materiaal dat zich in de ontwikkelingsfase bevindt;
b) “informatiebeveiliging”: het waarborgen van de authenticiteit, beschikbaarheid, vertrouwelijkheid, integriteit en onweerlegbaarheid van informatie;
c) “verwerking” van informatie: alle mogelijke handelingen waaraan informatie tijdens de gehele levenscyclus kan worden onderworpen; verwerking omvat het aanmaken, verzamelen en registreren, het toewijzen van een vertrouwelijkheidsniveau, het verwerken, weergeven, raadplegen, vervoeren en doorgeven, het verlagen van de rubricering, het derubriceren, archiveren en vernietigen ervan;
d) “opslag”: het bewaren van informatie op een medium om ervoor te zorgen dat deze beschikbaar is voor toekomstig gebruik;
e) “instellingen en organen van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of krachtens het Verdrag betreffende de Europese Unie, het Verdrag betreffende de werking van de Europese Unie of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie, of een wetgevingshandeling;
f) “gerubriceerde Euratom-informatie”: informatie in de zin van Verordening nr. 3/1958 van de Raad van de Europese Gemeenschap voor Atoomenergie;
g) “veiligheidsautoriteit”: de beveiligingsfunctie van een instelling of orgaan van de Unie, aangewezen overeenkomstig het reglement van orde of de oprichtingshandeling van die instelling of dat orgaan;
h) “proces inzake het beheer van informatiebeveiligingsrisico’s”: het volledige proces van het vaststellen, onder controle houden en tot een minimum beperken van onzekere gebeurtenissen die de veiligheid van een organisatie of de door haar gebruikte systemen kunnen treffen; dit proces bestrijkt alle risicogerelateerde activiteiten, met inbegrip van beoordeling, behandeling, aanvaarding en communicatie;
i) “kritisch bestanddeel”: alles wat van waarde is voor een instelling of orgaan van de Unie en voor de bedrijfsactiviteiten en de continuïteit daarvan, met inbegrip van informatiebronnen ter ondersteuning van de opdracht ervan;
j) “operationele beveiligingsprocedures”: een reeks gedocumenteerde procedures, als bedoeld in bijlage III, voor de exploitatie van een beveiligde zone, een communicatie- en informatiesysteem of andere veiligheidsgerelateerde kritische bestanddelen of diensten, om de doeltreffendheid ervan te waarborgen;
k) “communicatie- en informatiesysteem” of “CIS”: elk systeem dat de verwerking en opslag van informatie in elektronische vorm mogelijk maakt, met inbegrip van alle daarvoor vereiste kritische bestanddelen;
l) “informatieborging”: de verzekering dat de communicatie- en informatiesystemen de informatie die zij verwerken en opslaan zullen beschermen en dat zij, wanneer dat nodig is, naar behoren zullen functioneren onder controle van legitieme gebruikers, en dat daarbij passende niveaus van authenticiteit, beschikbaarheid, vertrouwelijkheid, integriteit en onweerlegbaarheid zijn gewaarborgd;
m) “homologatie”: de formele machtiging die door de instantie voor beveiligingshomologatie wordt verleend aan een communicatie- en informatiesysteem om EUCI met een vooraf bepaalde rubriceringsgraad te verwerken, en aan een beveiligde zone om EUCI met een vooraf bepaalde rubriceringsgraad op te slaan;
n) “homologatieprocedure”: de stappen en taken die voorafgaand aan de homologatie vereist zijn;
o) “Tempest-beveiligingsmaatregelen”: maatregelen om CIS die informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger verwerken en opslaan, te beschermen tegen compromittering van dergelijke informatie door onopzettelijke elektromagnetische emissies;
p) “CERT-EU”: het cyberbeveiligingscentrum voor de instellingen, organen en instanties van de Unie in de zin van Verordening (EU) […] van het Europees Parlement en de Raad betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie;
q) “informatiebeveiligingsincident”: elke gebeurtenis die de authenticiteit, beschikbaarheid, vertrouwelijkheid, integriteit of onweerlegbaarheid van opgeslagen, verzonden of verwerkte informatie kan compromitteren;
r) “noodzaak van kennisneming”: de noodzaak dat een persoon toegang krijgt tot bepaalde informatie die door een instelling of orgaan van de Unie wordt verwerkt of opgeslagen, teneinde de taken van die instelling of dat specifieke orgaan van de Unie te vervullen;
s) “zero trust”: een beveiligingsmodel, een reeks beginselen inzake systeemontwerp en een gecoördineerde strategie voor cyberbeveiliging en systeembeheer, gebaseerd op erkenning van het bestaan van dreigingen binnen en buiten de traditionele netwerkgrenzen;
t) “markering”: een label dat wordt aangebracht om ervoor te zorgen dat passende beveiligingsmaatregelen worden toegepast;
u) “beveiligingsmarkering”: een markering die het niveau van vertrouwelijkheid van de informatie aangeeft;
v) “verspreidingsmarkering”: een markering die aangeeft welke de beoogde geadresseerden van informatie zijn binnen de instelling of het orgaan van de Unie;
w) “vrijgavemarkering”: een markering die aangeeft welke de toegelaten geadresseerden zijn buiten de instelling of het orgaan van de Unie;
x) “systeemeigenaar”: de persoon die de algehele verantwoordelijkheid draagt voor de aanschaf, de ontwikkeling, de integratie, de wijziging, de werking, het onderhoud en de buitendienststelling van een communicatie- en informatiesysteem;
y) “bedreiging voor de informatieveiligheid”: een gebeurtenis of factor waarvan redelijkerwijs een negatief effect op de informatieveiligheid kan worden verwacht, indien geen respons en controle plaatsvindt;
z) “kwetsbaarheid”: een zwakte, vatbaarheid of gebrekkigheid van een kritisch bestanddeel, systeem, proces of controlemiddel, die door een of meer dreigingen kan worden uitgebuit;
aa) “risico”: het potentiële negatieve effect van een bepaalde bedreiging die mogelijk gebruik maakt van interne en externe kwetsbaarheden van een instelling of orgaan van de Unie of van de systemen die zij gebruiken en waardoor schade wordt toegebracht aan legitieme publieke en particuliere belangen; het risico wordt gemeten als een combinatie van de waarschijnlijkheid dat een dreiging zich voordoet en het effect ervan;
ab) “residueel risico”: het risico dat blijft bestaan nadat beveiligingsmaatregelen zijn genomen;
ac) “risicobeoordeling”: het in kaart brengen van dreigingen en kwetsbaarheden en het verrichten van de daarmee verband houdende risicoanalyse, dat wil zeggen de analyse van waarschijnlijkheid en effect;
ad) “risicobehandeling” het mitigeren, wegnemen, verkleinen (via een passende combinatie van technische, fysieke, organisatorische of procedurele maatregelen), overbrengen of onder toezicht houden van het risico;
ae) “Europees cyberbeveiligingscertificaat”: een certificaat in de zin van artikel 2, punt 11, van Verordening (EU) 2019/88128;
af) “houder”: een naar behoren gemachtigde persoon van wie de noodzaak tot kennisneming vaststaat en die informatie in zijn bezit heeft die beschermd moet worden en die dientengevolge voor die bescherming verantwoordelijk is;
ag) “materiaal”: een document, een gegevensdrager, een machine of een uitrustingsstuk die of dat is vervaardigd of wordt vervaardigd;
ah) “gerubriceerde informatie van de Europese Unie” of “EUCI”: informatie of materiaal met een bepaalde EU-rubricering waarvan ongeoorloofde openbaarmaking de belangen van de Unie of van een of meer van haar lidstaten in meerdere of mindere mate kan schaden;
ai) “machtiging die toegang geeft tot EUCI”: een besluit van een veiligheidsautoriteit dat een ambtenaar, ander personeelslid of gedetacheerde nationale deskundige van een instelling of orgaan van de Unie gedurende een bepaalde periode toegang mag krijgen tot EUCI tot een bepaalde rubriceringsgraad;
aj) “nationale veiligheidsautoriteit”: de overheidsinstantie van een EU-lidstaat die de eindverantwoordelijkheid draagt voor de beveiliging van gerubriceerde informatie in die lidstaat;
ak) “aangewezen veiligheidsautoriteit”: een instantie van een lidstaat (de nationale veiligheidsautoriteit of een andere bevoegde instantie) die tot taak heeft leiding te geven aan en/of bijstand te verlenen bij de uitvoering van industriële beveiliging of procedures voor veiligheidsmachtigingen of beide;
al) “veiligheidsonderzoek”: de onderzoeksprocedures die de bevoegde autoriteit van een lidstaat overeenkomstig de nationale wet- en regelgeving uitvoert om zich ervan te vergewissen dat er geen negatieve feiten bekend zijn waardoor de betrokkene niet in aanmerking zou komen voor een veiligheidsverklaring voor toegang tot EUCI tot een bepaalde rubriceringsgraad (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger);
am) “fysieke beveiliging”: de toepassing van fysieke, technische en organisatorische maatregelen op panden, gebouwen, ruimten, kantoren of faciliteiten van een instelling of orgaan van de Unie die moeten worden beschermd tegen ongeoorloofde toegang tot de informatie die daar wordt verwerkt, opgeslagen of besproken;
an) “locaties”: de panden, gebouwen, ruimten, kantoren of faciliteiten van een instelling of orgaan van de Unie;
ao) “defence in depth”: een type beveiliging waarbij gebruik wordt gemaakt van verschillende onafhankelijke lagen van beveiligingscontroles om ervoor te zorgen dat, wanneer een van de beveiligingslagen faalt, een andere nog operationeel is;
ap) “cryptografisch materiaal”: cryptografische algoritmen, cryptografische hard- en softwaremodules en producten, inclusief nadere informatie betreffende de implementatie en bijbehorende documentatie en sleutelmateriaal;
aq) “cryptografisch product”: een product waarvan de functie er hoofdzakelijk en in de eerste plaats in bestaat aan de hand van één of meer cryptografische mechanismen beveiligingsdiensten te verlenen (echtheid, beschikbaarheid, vertrouwelijkheid, integriteit, en onweerlegbaarheid);
ar) “auteur”: de instelling of het orgaan van de Unie, of de lidstaat, het derde land of de internationale organisatie onder het gezag waarvan gerubriceerde informatie is aangemaakt en/of ingevoerd in de structuren van de Unie;
as) “document”: elke inhoud, ongeacht de drager ervan (op papier, elektronisch, magnetisch of anderszins), in schriftelijke vorm of in de vorm van een visuele of audiovisuele opname;
at) “registratie voor beveiligingsdoeleinden”: de toepassing van procedures waarbij de levenscyclus van materiaal, met inbegrip van de verspreiding en de vernietiging ervan, wordt geregistreerd;
au) “derubricering” de opheffing van een rubricering;
av) “verlaging van rubricering”: verlaging van de rubriceringsgraad;
aw) “gerubriceerd contract”: een raamovereenkomst of een overeenkomst, als bedoeld in Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad, die door een instelling of orgaan van de Unie met een contractant is gesloten voor de levering van roerende of onroerende goederen, de uitvoering van werken of de verrichting van diensten, waarvan de uitvoering het verwerken, met inbegrip van het aanmaken, of het opslaan van EUCI vereist of omvat;
ax) “gerubriceerde subsidieovereenkomst”: een overeenkomst waarbij een instelling of orgaan van de Unie een subsidie toekent, als bedoeld in titel VIII, van Verordening (EU, Euratom) 2018/1046, waarvan de uitvoering het aanmaken, behandelen of opslaan van EUCI vereist;
ay) “gerubriceerd subcontract”: een overeenkomst die door een contractant of begunstigde van een instelling of orgaan van de Unie is aangegaan met een subcontractant voor de levering van roerende of onroerende goederen, de uitvoering van werken of de verrichting van diensten, waarvan de uitvoering het verwerken, met inbegrip van het aanmaken, of het opslaan van EUCI vereist of omvat;
az) “programma- of projectbeveiligingsinstructie”: een lijst van beveiligingsprocedures die op een specifiek programma of project worden toegepast om de beveiligingsprocedures te standaardiseren;
ba) “memorandum over de beveiligingsaspecten”: een geheel van bijzondere, door de aanbestedende dienst of subsidieverlenende instantie uitgevaardigde contractvoorwaarden die een integrerend deel vormen van een gerubriceerd contract of een gerubriceerde subsidieovereenkomst die het verlenen van toegang tot of het aanmaken van EUCI behelst, en waarin de beveiligingsvereisten en de te beveiligen onderdelen van het contract of de subsidie worden genoemd;
bb) “rubriceringsgids”: een document waarin wordt beschreven welke onderdelen van een programma, project, overeenkomst of subsidieovereenkomst gerubriceerd zijn en wat de toepasselijke rubriceringsgraden zijn.
Artikel 4
Algemene beginselen
1. Elke instelling en elk orgaan van de Unie is verantwoordelijk voor de uitvoering van de bepalingen van deze verordening binnen de eigen organisatie, rekening houdend met het eigen proces inzake het beheer van informatiebeveiligingsrisico’s.
2. Niet-naleving van deze verordening, met name ongeoorloofde openbaarmaking van informatie van de in artikel 2, lid 2, bedoelde vertrouwelijkheidsniveaus, met uitzondering van informatie voor openbaar gebruik, wordt onderzocht en kan ertoe leiden dat personeelsleden ter verantwoording worden geroepen overeenkomstig de Verdragen of de desbetreffende personeelsregels.
3. De instellingen en organen van de Unie beoordelen alle informatie die zij verwerken en opslaan met het oog op de indeling overeenkomstig de in artikel 2, lid 2, bedoelde vertrouwelijkheidsniveaus.
4. De instellingen en organen van de Unie bepalen de beveiligingsnoodzaak van alle informatie die zij verwerken en opslaan, waarbij zij rekening houden met de volgende aspecten:
a) echtheid: de garantie dat informatie echt is en van bonafide bronnen afkomstig is;
b) beschikbaarheid: de toegankelijkheid en bruikbaarheid op verzoek van een gemachtigde entiteit;
c) vertrouwelijkheid: informatie mag niet worden bekendgemaakt aan onbevoegde personen, entiteiten of processen;
d) integriteit: het feit dat informatie volledig is en dat alle informatie ongewijzigd is;
e) onweerlegbaarheid: de eigenschap dat kan worden bewezen dat een actie of gebeurtenis heeft plaatsgevonden, zodat deze actie of gebeurtenis niet achteraf kan worden ontkend.
5. Voor elk communicatie- en informatiesysteem dat onder hun verantwoordelijkheid valt, stellen de instellingen en organen van de Unie het hoogste vertrouwelijkheidsniveau vast die met dat communicatie- en informatiesysteem mag worden verwerkt en opgeslagen, verrichten zij een beoordeling van het informatiebeveiligingsrisico en houden zij regelmatig toezicht op de beveiligingsnoodzaak en de correcte uitvoering van de vastgestelde beschermingsmaatregelen.
6. Alle instellingen en organen van de Unie bieden opleidings- en bewustmakingsactiviteiten aan met betrekking tot de verwerking en opslag van niet-gerubriceerde informatie en EUCI.
De instellingen en organen van de Unie die EUCI verwerken en opslaan, organiseren ten minste eenmaal per vijf jaar een verplichte opleiding voor alle personen die toegang hebben tot EUCI. De betrokken instellingen en organen van de Unie organiseren een specifieke opleiding voor de specifieke functies waarbij taken op het gebied van informatiebeveiliging worden verricht.
Een instelling of orgaan van de Unie kan dergelijke opleidings- en bewustmakingsactiviteiten coördineren met andere instellingen en organen van de Unie.
Artikel 5
Proces inzake het beheer van informatiebeveiligingsrisico’s
1. Elke instelling en elk orgaan van de Unie stelt een proces inzake het beheer van informatiebeveiligingsrisico’s vast voor de bescherming van de informatie die de instelling of het orgaan verwerkt en opslaat.
2. Het proces inzake het beheer van informatiebeveiligingsrisico’s omvat de volgende stappen:
a) identificatie van dreigingen en kwetsbaarheden;
b) risicoanalyse;
c) risicobehandeling;
d) risicoaanvaarding;
e) risicocommunicatie.
3. Het proces inzake het beheer van informatiebeveiligingsrisico’s houdt rekening met alle factoren die relevant zijn voor de betrokken instelling of het betrokken orgaan, en met name:
a) het vertrouwelijkheidsniveau van de informatie en de daaraan verbonden wettelijke verplichtingen;
b) de vorm en hoeveelheid van de informatie en de faciliteiten of CIS waarin de informatie wordt verwerkt en opgeslagen;
c) de personen die toegang hebben tot de informatie op de locaties of op afstand;
d) de omgeving en de structuur van de gebouwen of zones waar de informatie is opgeslagen;
e) tegen de Unie, de instellingen en organen van de Unie of de lidstaten gerichte dreigingen als gevolg van cyberaanvallen, aanvallen op de toeleveringsketen, spionage, sabotage, terroristische, subversieve of andere criminele activiteiten;
f) bedrijfscontinuïteit en herstel bij calamiteiten;
g) resultaten van inspecties, audits en evaluatiebezoeken, indien van toepassing.
Hoofdstuk 2
Governance en organisatie van de beveiliging
Artikel 6
Interinstitutionele coördinatiegroep voor informatiebeveiliging
1. Er wordt een interinstitutionele coördinatiegroep voor informatiebeveiliging ingesteld, hierna “coördinatiegroep” genoemd.
De coördinatiegroep bestaat uit alle veiligheidsautoriteiten van de instellingen en organen van de Unie en heeft een mandaat om hun gemeenschappelijk beleid op het gebied van informatiebeveiliging te bepalen.
2. De coördinatiegroep, die optreedt met de instemming en in het gemeenschappelijk belang van alle instellingen en organen van de Unie:
a) stelt zijn reglement van orde en jaarlijkse gemeenschappelijke doelstellingen en prioriteiten vast;
b) neemt besluiten over de oprichting van thematische subgroepen en hun taakomschrijving;
c) stelt indien nodig richtsnoeren op voor de uitvoering van deze verordening, in samenwerking met de in artikel 9 van Verordening EU […] betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie bedoelde interinstitutionele raad voor cyberbeveiliging;
d) zet speciale platforms op voor het delen van beste praktijken en kennis met betrekking tot gemeenschappelijke onderwerpen die relevant zijn voor informatiebeveiliging en voor het verlenen van bijstand bij incidenten op het gebied van informatiebeveiliging;
e) zorgt ervoor dat met het oog op de bescherming van EUCI de beveiligingsmaatregelen waar nodig worden gecoördineerd met de bevoegde nationale veiligheidsautoriteiten.
3. De coördinatiegroep wijst uit haar leden een voorzitter en twee vicevoorzitters aan voor een periode van drie jaar.
4. De coördinatiegroep komt ten minste eenmaal per jaar bijeen op initiatief van haar voorzitter of op verzoek van een instelling of orgaan van de Unie.
5. De coördinatiegroep krijgt administratieve ondersteuning van een permanent secretariaat dat door de Commissie wordt verzorgd.
6. Elk van de instellingen en organen van de Unie wordt op passende wijze vertegenwoordigd in de coördinatiegroep en, indien van toepassing, in de thematische subgroepen.
7. De instellingen en organen van de Unie brengen alle belangrijke ontwikkelingen van het informatiebeveiligingsbeleid binnen hun organisatie onder de aandacht van de coördinatiegroep.
8. Bij de uitvoering van de in lid 2, punt e), bedoelde taken wordt de coördinatiegroep bijgestaan door een comité voor informatiebeveiliging. Dat comité bestaat uit een vertegenwoordiger van elke nationale veiligheidsautoriteit en wordt voorgezeten door het secretariaat van de in lid 5 bedoelde coördinatiegroep. Het comité voor informatiebeveiliging heeft een adviserende rol.
Artikel 7
Thematische subgroepen
1. De coördinatiegroep richt de volgende permanente thematische subgroepen op om de uitvoering van deze verordening te vergemakkelijken:
a) een subgroep inzake informatieborging;
b) een subgroep inzake niet-gerubriceerde informatie;
c) een subgroep inzake fysieke beveiliging;
d) een subgroep inzake homologatie van communicatie- en informatiesystemen die EUCI verwerken en opslaan;
e) een subgroep inzake uitwisseling van EUCI en gerubriceerde informatie.
2. Indien nodig kan de coördinatiegroep ad-hocsubgroepen oprichten voor een specifieke taak en voor een beperkte duur.
3. Tenzij in hun taakomschrijving anders is bepaald, zijn de subgroepen gebaseerd op open lidmaatschap met vertegenwoordigers van de betrokken instellingen en organen van de Unie. De leden van de subgroepen zijn deskundigen op het gebied waarvoor de subgroep bevoegd is.
4. Het in artikel 5, lid 5, bedoelde secretariaat van de coördinatiegroep ondersteunt de werkzaamheden van alle subgroepen en zorgt voor de communicatie tussen de leden.
Artikel 8
ORGANISATIE VAN DE BEVEILIGING
1. Elke instelling en elk orgaan van de Unie wijst een veiligheidsautoriteit aan, die wordt belast met de taken die bij deze verordening en, in voorkomend geval, bij de interne veiligheidsvoorschriften van die instelling of dat orgaan aan die autoriteit worden toegewezen. Bij de uitvoering van haar taken wordt elke veiligheidsautoriteit ondersteund door de dienst of de functionaris die belast is met taken op het gebied van informatiebeveiliging.
2. Indien nodig stellen de veiligheidsautoriteiten van de instellingen en organen van de Unie interne uitvoeringsvoorschriften voor de bescherming van informatie vast, in overeenstemming met hun specifieke opdracht, zoals die hun krachtens het EU-recht is toevertrouwd, en op basis van hun institutionele autonomie.
3. Elk van de veiligheidsautoriteiten vervult indien nodig ook de volgende functies:
a) de instantie voor informatieborging (Information Assurance Authority), belast met het ontwikkelen van beveiligingsbeleid en ‑richtsnoeren inzake informatieborging en het toezicht op de doeltreffendheid en pertinentie daarvan;
b) de operationele instantie voor informatieborging (Information Assurance Operational Authority), belast met het opstellen van beveiligingsdocumentatie, met name de operationele beveiligingsprocedures en het cryptografisch plan in het kader van het homologatieproces voor communicatie- en informatiesystemen;
c) de instantie voor veiligheidshomologatie (Security Accreditation Authority), belast met de homologatie van beveiligde zones en van de CIS waarin EUCI wordt verwerkt en opgeslagen;
d) de Tempest-instantie (TEMPEST Authority), belast met de goedkeuring van maatregelen ter bescherming tegen compromittering van EUCI door onopzettelijke elektromagnetische emissies;
e) de instantie voor de goedkeuring van cryptografische producten (Crypto Approval Authority), belast met de goedkeuring van het gebruik van encryptietechnologieën op verzoek van de systeemeigenaar;
f) de instantie (Crypto Distribution Authority) voor het distribueren van cryptografisch materiaal voor de bescherming van EUCI (encryptieapparatuur, cryptografische sleutels, certificaten en aanverwante authenticatiemiddelen) aan de betrokken gebruikers.
4. De taken van een of meer van de in lid 3 bedoelde functies kunnen aan een andere instelling of een ander orgaan van de Unie worden gedelegeerd wanneer de gedecentraliseerde uitvoering van de beveiliging aanzienlijke efficiëntievoordelen of middelen- of tijdsbesparing oplevert.
Hoofdstuk 3
Informatieborging en communicatie- en informatiesystemen (CIS)
Artikel 9
Beginselen van informatieborging
1. Voor alle CIS, met inbegrip van interne, uitbestede en hybride CIS, wordt vanaf het begin van de vervaardiging ervan of in de aanbestedingsfase rekening gehouden met de beoordeling van de informatiebeveiligingsbehoeften.
2. Elk CIS waarin EUCI wordt verwerkt en opgeslagen, ondergaat homologatie overeenkomstig hoofdstuk 5, afdeling 5. Elk CIS waarin gevoelige niet-gerubriceerde informatie wordt verwerkt en opgeslagen, voldoet aan de minimumvereisten voor gevoelige niet-gerubriceerde informatie in CIS zoals uiteengezet in hoofdstuk 4.
Artikel 10
Subgroep inzake informatieborging
1. De in artikel 7, lid 1, punt a), bedoelde subgroep inzake informatieborging heeft de volgende taken en verantwoordelijkheden:
a) zij verstrekt indien nodig richtsnoeren voor de markering, verwerking en opslag van informatie in CIS, in nauwe samenwerking met de interinstitutionele raad voor cyberbeveiliging bedoeld in artikel 9 van Verordening EU [XXX] betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie;
b) zij zet een metagegevensregeling op voor markeringen en alle nodige technische informatie om bij te dragen tot een interoperabele en naadloze uitwisseling van informatie tussen de instellingen en organen van de Unie in verband met de onderlinge koppeling van hun CIS;
c) zij draagt bij tot de samenhang van de regels inzake informatiebeveiliging en het basisniveau van cyberbeveiliging in alle instellingen en organen van de Unie, als bedoeld in artikel 5 van Verordening EU [XXX] tot vaststelling van maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging bij de instellingen, organen en agentschappen van de Unie.
Artikel 11
Vereisten voor communicatie- en informatiesystemen
1. De instellingen en organen van de Unie lichten gebruikers in over de vertrouwelijkheidsniveaus van informatie die in een CIS kan worden verwerkt en opgeslagen. Wanneer een CIS informatie van meerdere vertrouwelijkheidsniveaus verwerkt en opslaat, worden metagegevens en visuele markeringen gebruikt die waarborgen dat de verschillende niveaus kunnen worden onderscheiden.
2. De instellingen en organen van de Unie identificeren gebruikers van CIS alvorens hun toegang te verlenen tot andere vertrouwelijkheidsniveaus dan openbaar gebruik. Gebruikers worden geauthenticeerd met een mate van zekerheid die passend is voor het vertrouwelijkheidsniveau. Waar nodig wordt een beveiligd gemeenschappelijk identificatiesysteem gebruikt.
3. Voor alle CIS worden adequate beveiligingslogbestanden bijgehouden, die snel onderzoek mogelijk maken in geval van informatie-inbreuken of ‑lekken. Deze logbestanden worden zodanig bijgehouden dat onweerlegbaarheid is gewaarborgd, gedurende een periode die bij de effectbeoordeling of in het relevante beveiligingsbeleid is vastgesteld.
Wanneer in een CIS EUCI wordt verwerkt en opgeslagen, worden logbestanden met betrekking tot de noodzaak van kennisneming en de toegang tot informatie bijgehouden totdat de informatie is gederubriceerd. De beveiligingslogboeken zijn toegankelijk en doorzoekbaar voor de veiligheidsautoriteit.
4. De instellingen en organen van de Unie stellen interne voorschriften inzake de beveiliging van CIS vast, waarin de passende beveiligingsmaatregelen worden gespecificeerd in overeenstemming met de beveiligingsbehoeften die gelden voor de informatie die moet worden verwerken en opgeslagen en rekening houdend met de rechtsgebieden waarnaar de informatie wordt doorgegeven en waar deze wordt opgeslagen en verwerkt. In voorkomend geval omvatten die maatregelen het volgende:
a) beperkingen op geografische locatie;
b) overweging of er sprake is van mogelijke belangenconflicten, boycots of sancties met betrekking tot contractanten;
c) contractuele bepalingen om de beveiliging van informatie te waarborgen;
d) versleuteling van informatie in rust en in doorvoer;
e) beperkingen op de toegankelijkheid van de informatie van de instellingen en organen van de Unie voor het personeel van de contractant;
f) bescherming van persoonsgegevens overeenkomstig de toepasselijke wetgeving inzake gegevensbescherming.
5. De instellingen en organen van de Unie beheren hun CIS met inachtneming van de volgende beginselen:
a) voor elk CIS is er een systeemeigenaar of een operationele instantie voor informatieborging die verantwoordelijk is voor de beveiliging ervan;
b) er wordt een proces inzake het beheer van informatiebeveiligingsrisico’s uitgevoerd dat betrekking heeft op informatiebeveiligingsaspecten;
c) de beveiligingsvoorschriften en operationele beveiligingsprocedures worden formeel vastgesteld, uitgevoerd, gecontroleerd en getoetst;
d) incidenten op het gebied van informatiebeveiliging worden formeel geregistreerd en opgevolgd, overeenkomstig Verordening EU [XXX] betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie.
Hoofdstuk 4
Niet-gerubriceerde informatie
Artikel 12
Informatie voor openbaar gebruik
1. Informatie die bestemd is voor openbaar gebruik of voor officiële publicatie of reeds openbaar is gemaakt, en die zonder beperkingen binnen of buiten de instellingen en organen van de Unie kan worden gedeeld, wordt ingedeeld en verwerkt en opgeslagen als informatie voor openbaar gebruik.
2. De instellingen en organen van de Unie kunnen de in lid 1 bedoelde informatie voorzien van de markering “PUBLIC USE”.
3. Alle instellingen en organen van de Unie waarborgen de integriteit en beschikbaarheid van informatie voor openbaar gebruik door middel van passende maatregelen, in overeenstemming met de beveiligingsnoodzaak ervan.
Artikel 13
Normale informatie
1. Informatie die bestemd is voor gebruik door een instelling of orgaan van de Unie bij de uitoefening van de functies daarvan, en die noch gevoelig, noch voor openbaar gebruik is, wordt ingedeeld, verwerkt en opgeslagen als normale informatie. Deze categorie omvat alle informatie op normaal werkniveau die in de betrokken instelling of het betrokken orgaan van de Unie wordt verwerkt.
2. Normale informatie kan visueel of door middel van metagegevens worden gemarkeerd wanneer dat nodig is om de bescherming ervan te waarborgen, met name wanneer deze informatie buiten de instellingen en organen van de Unie wordt gedeeld. In dat geval wordt de markering “EU NORMAL” of “[naam of acroniem van de instelling of het orgaan van de Unie] NORMAL” (per geval aangepast) gebruikt.
3. De instellingen en organen van de Unie stellen standaardbeschermingsmaatregelen vast voor normale informatie, rekening houdend met de richtsnoeren van de subgroep inzake niet-gerubriceerde informatie en eventuele specifieke risico’s in verband met hun taken en activiteiten.
4. Normale informatie wordt buiten de instellingen en organen van de Unie alleen uitgewisseld met natuurlijke personen of rechtspersonen die een noodzaak tot kennisneming hebben.
Artikel 14
Gevoelige niet-gerubriceerde informatie
1. Alle informatie die niet gerubriceerd is, maar die door de instellingen en organen van de Unie moet worden beschermd op grond van wettelijke verplichtingen of wegens de schade die door ongeoorloofde openbaarmaking kan worden toegebracht aan legitieme particuliere en openbare belangen, met inbegrip van die van de instellingen en organen van de Unie, de lidstaten of van personen, wordt door de instellingen en organen van de Unie ingedeeld, verwerkt en opgeslagen als gevoelige niet-gerubriceerde informatie.
2. Alle instellingen en organen van de Unie identificeren gevoelige niet-gerubriceerde informatie door middel van een zichtbare beveiligingsmarkering en stellen instructies voor de verwerking ervan op overeenkomstig bijlage I.
3. De instellingen en organen van de Unie beschermen gevoelige niet-gerubriceerde informatie door passende maatregelen toe te passen met betrekking tot de verwerking en opslag ervan. Dergelijke informatie mag alleen binnen de instellingen en organen van de Unie ter beschikking worden gesteld van personen die voor de uitvoering van de hun toegewezen taken de noodzaak tot kennisneming hebben.
4. Gevoelige niet-gerubriceerde informatie wordt buiten de instellingen en organen van de Unie alleen uitgewisseld met natuurlijke personen en rechtspersonen die een noodzaak tot kennisneming hebben, met inachtneming van de verwerkingsinstructies die de informatie vergezelt. Alle betrokken partijen worden op de hoogte gebracht van de passende verwerkingsinstructies.
Artikel 15
Bescherming van niet-gerubriceerde informatie en interoperabiliteit
1. De instellingen en organen van de Unie stellen procedures vast voor het melden en beheren van incidenten of vermoedelijke incidenten die de beveiliging van niet-gerubriceerde informatie in gevaar kunnen brengen.
2. Indien nodig gebruiken de instellingen en organen van de Unie de in de artikelen 12, 13 en 14 bedoelde markeringen. Andere, gelijkwaardige markeringen mogen intern en ten aanzien van equivalente onderdelen van andere instellingen en organen van de Unie of van de lidstaten worden gebruikt, indien alle partijen daarmee instemmen. Van dergelijke uitzonderingen wordt melding gemaakt aan de subgroep inzake niet-gerubriceerde informatie, bedoeld in artikel 7, lid 1, punt b).
3. Er worden contractuele waarborgen vastgesteld om de bescherming van normale en gevoelige niet-gerubriceerde informatie die in het kader van uitbestede diensten wordt verwerkt, te waarborgen. De waarborgen zijn zodanig opgezet dat zij ten minste een beschermingsniveau garanderen dat gelijkwaardig is aan dat waarin deze verordening voorziet; zij omvatten vertrouwelijkheids- en geheimhoudingsverbintenissen die moeten worden ondertekend door alle relevante dienstverleners die betrokken zijn bij de levering van de uitbestede systemen.
Artikel 16
Subgroep inzake niet-gerubriceerde informatie
1. De in artikel 7, lid 1, punt b), bedoelde subgroep inzake niet-gerubriceerde informatie heeft de volgende taken en verantwoordelijkheden:
a) stroomlijning van de procedures voor het verwerken en opslaan van de niet-gerubriceerde informatie en opstelling van de desbetreffende richtsnoeren;
b) coördinatie met de in artikel 7, lid 1, punt a), bedoelde subgroep inzake informatieborging over aangelegenheden met betrekking tot systemen voor de verwerking en opslag van niet-gerubriceerde informatie;
c) opstelling van instructies voor de verwerking van de verschillende vertrouwelijkheidsniveaus van niet-gerubriceerde informatie;
d) verlening van bijstand aan de instellingen en organen van de Unie bij het vaststellen van de gelijkwaardigheid van hun specifieke categorieën niet-gerubriceerde gegevens met de in de artikelen 12, 13 en 14 bedoelde categorieën;
e) facilitering van de uitwisseling van niet-gerubriceerde informatie tussen de instellingen en organen van de Unie door middel van bijstand en begeleiding.
Artikel 17
Verwerking en opslag van gevoelige niet-gerubriceerde informatie in CIS
1. De instellingen en organen van de Unie zorgen ervoor dat CIS die gevoelige niet-gerubriceerde informatie verwerking en opslaan, aan de volgende minimumvereisten voldoen:
a) voor de verlening van toegang tot gevoelige niet-gerubriceerde informatie wordt sterke authenticatie toegepast en bij doorgifte en opslag wordt gevoelige niet-gerubriceerde informatie versleuteld;
b) de voor de opslag gebruikte encryptiesleutels vallen onder de verantwoordelijkheid van de instellingen of organen van de Unie die verantwoordelijk zijn voor de exploitatie van het CIS;
c) gevoelige niet-gerubriceerde informatie wordt opgeslagen en verwerkt in de Unie;
d) in alle uitbestedingsovereenkomsten worden bepalingen opgenomen betreffende de beveiliging van personeel, kritische bestanddelen en informatie;
e) er wordt gebruikgemaakt van interoperabele metagegevens om het vertrouwelijkheidsniveau van elektronische documenten vast te leggen en de automatisering van beveiligingsmaatregelen te faciliteren;
f) ter bescherming van gevoelige niet-gerubriceerde informatie nemen de instellingen en organen van de Unie maatregelen om gegevenslekken te voorkomen en op te sporen;
g) er wordt gebruikgemaakt van beveiligingsapparatuur met een Europees cyberbeveiligingscertificaat, indien beschikbaar;
h) er worden beveiligingsmaatregelen getroffen op basis van de beginselen inzake noodzaak tot kennisneming en “zero trust” teneinde de toegang van dienstverleners en contractanten tot gevoelige niet-gerubriceerde informatie tot een minimum te beperken.
2. Elke afwijking van de minimumvereisten van lid 1 wordt onderworpen aan goedkeuring door het passende managementniveau van de betrokken instelling of het betrokken orgaan van de Unie, op basis van een risicobeoordeling betreffende de juridische en technische risico’s voor de beveiliging van gevoelige niet-gerubriceerde informatie.
3. De instantie voor informatieborging van de betrokken instelling of het betrokken orgaan van de Unie kan tijdens de levenscyclus van een CIS te allen tijde de naleving van de beginselen van lid 1 controleren.
Hoofdstuk 5
EUCI
Afdeling 1
Algemene bepalingen
Artikel 18
Rubriceringen en markeringen
1. Voor EUCI worden de volgende rubriceringen en bijbehorende markeringen gehanteerd:
a) TRÈS SECRET UE/EU TOP SECRET: informatie en materiaal waarvan de ongeoorloofde openbaarmaking de wezenlijke belangen van de Unie of van een of meer van haar lidstaten uitzonderlijk ernstig kan schaden;
b) SECRET UE/EU SECRET: informatie en materiaal waarvan de ongeoorloofde openbaarmaking de wezenlijke belangen van de Unie of van een of meer van haar lidstaten ernstig kan schaden;
c) CONFIDENTIEL UE/EU CONFIDENTIAL: informatie en materiaal waarvan de ongeoorloofde openbaarmaking de wezenlijke belangen van de Unie of van een of meer van haar lidstaten kan schaden;
d) RESTREINT UE/EU RESTRICTED: informatie en materiaal waarvan de ongeoorloofde openbaarmaking nadelig kan zijn voor de belangen van de Unie of van een of meer van haar lidstaten.
2. De coördinatiegroep stelt richtsnoeren vast voor het aanmaken en rubriceren van EUCI.
Artikel 19
Geschiktheid om EUCI te verwerken en op te slaan
1. Elke instelling en elk orgaan van de Unie mag EUCI verwerken en opslaan indien aan de volgende voorwaarden is voldaan:
a) de instelling of het orgaan heeft overeenkomstig deze verordening voorschriften en procedures vastgesteld om de bescherming van informatie voor een bepaalde rubriceringsgraad te waarborgen; en
b) de instelling of het orgaan heeft overeenkomstig artikel 53 een evaluatiebezoek ondergaan, waarna is gecertificeerd dat de instelling of het orgaan in staat is EUCI te beschermen overeenkomstig deze verordening en, in voorkomend geval, andere relevante voorschriften en procedures.
2. Aan de voorwaarden van lid 1 wordt geacht standaard te zijn voldaan door de leden van de in artikel 7, lid 1, punt e), bedoelde subgroep inzake uitwisseling van EUCI en gerubriceerde informatie.
Artikel 20
Bescherming van EUCI
1. De houder van enigerlei vorm van EUCI is verantwoordelijk voor de bescherming ervan.
2. Wanneer een lidstaat gerubriceerde informatie met een nationale rubriceringsmarkering invoert in de structuren of netwerken van een instelling of orgaan van de Unie, beschermt die instelling of dat orgaan die informatie volgens de overeenkomstige rubriceringsmarkering die is vastgelegd in de Overeenkomst tussen de lidstaten van de Europese Unie, in het kader van de Raad bijeen, betreffende de bescherming van in het belang van de Europese Unie uitgewisselde gerubriceerde informatie29. De overeenkomstige equivalentietabel is opgenomen in bijlage VI bij deze verordening.
3. Het is mogelijk dat voor gebundelde EUCI een beschermingsniveau is vereist dat overeenstemt met een hogere rubriceringsgraad dan die van de componenten ervan.
Artikel 21
Proces inzake het beheer van EUCI-beveiligingsrisico’s
1. De veiligheidsautoriteit van elke instelling en elk orgaan van de Unie keurt de beveiligingsmaatregelen voor de bescherming van EUCI gedurende de gehele levenscyclus ervan goed overeenkomstig de resultaten van een door de instelling of het orgaan van de Unie uitgevoerde risicobeoordeling.
2. De door de instellingen en organen van de Unie getroffen beveiligingsmaatregelen zijn in overeenstemming met de rubriceringsgraad van de verwerkte en opgeslagen informatie, de vorm en het volume ervan, de locatie en de beschermingsvoorzieningen van de faciliteiten waar EUCI wordt verwerkt en opgeslagen, en de lokaal beoordeelde dreiging van kwaadwillige of criminele activiteiten.
3. Door alle instellingen en organen van de Unie worden vastgesteld:
a) noodplannen om de beveiliging van EUCI in noodsituaties te waarborgen;
b) bedrijfscontinuïteitsplannen waarin preventie- en herstelmaatregelen zijn opgenomen om de gevolgen van ernstige storingen of beveiligingsincidenten voor de verwerking en opslag van EUCI zo gering mogelijk te houden.
Artikel 22
Inbreuken op de beveiliging en compromittering van EUCI
1. Een handelen of nalaten van een instelling of orgaan van de Unie of een persoon dat in strijd is met deze verordening, wordt als een inbreuk op de beveiliging beschouwd.
2. EUCI wordt geacht te zijn gecompromitteerd wanneer de EUCI als gevolg van een inbreuk geheel of gedeeltelijk is vrijgegeven aan een of meer personen die niet zijn gemachtigd om toegang te krijgen tot die informatie.
3. Elke compromittering of vermoedelijke compromittering van EUCI wordt onmiddellijk gemeld aan de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie, waardoor een veiligheidsonderzoek wordt uitgevoerd en ten minste de volgende maatregelen worden genomen:
a) de auteur wordt in kennis gesteld;
b) er wordt voor gezorgd dat de zaak wordt onderzocht door personeel dat niet rechtstreeks met de inbreuk te maken heeft, teneinde de toedracht vast te stellen;
c) de eventuele schade wordt beoordeeld die aan de belangen van de Unie of van de lidstaten is toegebracht;
d) er worden passende maatregelen genomen om herhaling te voorkomen;
e) de bevoegde instanties worden in kennis gesteld van de feitelijke of potentiële compromittering en de actie die is ondernomen.
Afdeling 2
Personeelsgerelateerde beveiliging
Artikel 23
Basisbeginselen
1. De veiligheidsautoriteit van een instelling of orgaan van de Unie kan aan personen toegang verlenen tot EUCI indien aan alle volgende voorwaarden is voldaan:
a) de personen hebben een noodzaak tot kennisneming;
b) de personen zijn geïnstrueerd over de beveiligingsvoorschriften en ‑procedures voor de bescherming van EUCI en de relevante beveiligingsnormen en ‑richtsnoeren, en hebben hun verantwoordelijkheden in verband met de bescherming van dergelijke informatie bevestigd;
c) indien het informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger betreft, is de personen een veiligheidsmachtiging verleend en zijn zij op het passende niveau gemachtigd.
2. De instellingen en organen van de Unie houden rekening met de loyaliteit en betrouwbaarheid van een persoon, zoals vastgesteld door middel van een veiligheidsonderzoek dat is uitgevoerd door de bevoegde instanties van de lidstaat waarvan de aanvrager burger of onderdaan is.
3. De instellingen en organen van de Unie kunnen veiligheidsmachtigingen aanvaarden van derde landen en internationale organisaties waarmee de Unie een informatiebeveiligingsovereenkomst heeft gesloten.
4. De instellingen en organen van de Unie kunnen de processen voor de afgifte van veiligheidsmachtigingen autonoom beheren of met de Commissie een dienstenniveauovereenkomst sluiten met betrekking tot veiligheidsmachtigingen.
Wanneer een dienstenniveauovereenkomst wordt gesloten, is de veiligheidsautoriteit van de Commissie het contactpunt voor de beveiligingsbureaus van de betrokken instelling en het betrokken orgaan van de Unie en de nationale bevoegde instanties van de lidstaten met betrekking tot veiligheidsmachtigingen.
5. De veiligheidsautoriteit van elke instelling en elk orgaan van de Unie registreert de veiligheidsmachtigingen, briefings, schriftelijke verklaringen en machtigingen die toegang geven tot EUCI van de instelling of het orgaan van de Unie.
6. De instellingen en organen van de Unie die een dienstenniveauovereenkomst met de Commissie sluiten, stellen de veiligheidsautoriteit van de Commissie de relevante gegevens ter beschikking met betrekking tot ten minste het niveau van EUCI waartoe de betrokkene toegang kan worden verleend, de datum van afgifte van de machtiging de toegang geeft tot EUCI en de geldigheidsduur ervan. Die gegevens zijn, indien zulks gerechtvaardigd is, toegankelijk voor andere instellingen en organen van de Unie waarmee een dienstenniveauovereenkomst is gesloten.
Artikel 24
Machtiging die toegang geeft tot EUCI
1. Elke instelling en elk orgaan van de Unie bepaalt voor welke posities binnen de organisatie toegang tot informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger vereist is om de houder in staat te stellen zijn of haar taken te vervullen.
2. Wanneer een persoon toegang moet krijgen tot informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger, stelt de betrokken instelling of het betrokken orgaan de bevoegde veiligheidsautoriteit daarvan in kennis, waarna deze de in punt 1 van bijlage II voorgeschreven formaliteiten vervult.
3. De veiligheidsautoriteit van elk van de instellingen en organen van de Unie is verantwoordelijk voor het verlenen, opschorten, intrekken en verlengen van machtigingen die toegang geven tot EUCI voor het personeel van de instelling of het orgaan.
4. In uitzonderlijke omstandigheden, wanneer dit in het belang van de dienst gerechtvaardigd is, kan de veiligheidsautoriteit van een instelling of orgaan van de Unie, in afwachting van de voltooiing van een volledig veiligheidsonderzoek, aan personen een tijdelijke machtiging die toegang geeft tot EUCI verlenen voor een specifieke functie, zulks onverminderd de bepalingen betreffende de verlenging van de machtiging die toegang geeft tot EUCI en na verificatie door de bevoegde nationale veiligheidsautoriteit.
5. De instellingen en organen van de Unie volgen de in bijlage II beschreven procedures voor het beheer van machtigingen die toegang geven tot EUCI.
Artikel 25
Erkenning van machtigingen die toegang geven tot EUCI
1. Een machtiging die toegang geeft tot EUCI is tot het vermelde niveau geldig ongeacht bij welke instelling of orgaan van de Unie de betrokkene is aangesteld.
2. De instellingen en organen van de Unie aanvaarden door andere instellingen of organen van de Unie verleende machtigingen die toegang geven tot EUCI.
3. Wanneer de houder van een machtiging die toegang geeft tot EUCI bij een andere instelling of orgaan van de Unie in dienst treedt, stelt die instelling of dat orgaan van de Unie de betrokken nationale veiligheidsautoriteit via de bevoegde veiligheidsautoriteit in kennis van de verandering van werkgever.
Artikel 26
EUCI-briefings
1. De veiligheidsautoriteit van een instelling of orgaan van de Unie instrueert alle personen die toegang moeten hebben tot EUCI over alle mogelijke bedreigingen voor de veiligheid en over hun verplichting om alle verdachte activiteiten te melden. De briefing vindt plaats voordat toegang tot EUCI wordt verleend, en vervolgens ten minste eenmaal per vijf jaar.
2. Nadat de betrokken personen de in lid 1 bedoelde briefing hebben gekregen, bevestigen zij schriftelijk dat zij op de hoogte zijn van hun plichten met betrekking tot de bescherming van EUCI en van de gevolgen indien EUCI wordt gecompromitteerd.
3. Bij de in lid 1 bedoelde briefing wordt onder meer de volgende informatie verstrekt:
a) dat eenieder die verantwoordelijk is voor schending van de beveiligingsvoorschriften van deze verordening zich blootstelt aan disciplinaire maatregelen, overeenkomstig de geldende regelgeving;
b) dat eenieder die verantwoordelijk is voor compromittering of verlies van EUCI zich blootstelt aan disciplinaire maatregelen en/of strafvervolging, overeenkomstig de geldende wet- en regelgeving.
4. Wanneer personen aan wie een machtiging die toegang geeft tot EUCI is verleend, die toegang niet langer nodig hebben, zien de instellingen en organen van de Unie erop toe dat die personen op de hoogte zijn van hun verplichtingen om EUCI te blijven beschermen en dat zij deze zo nodig schriftelijk bevestigen.
5. De instellingen en organen van de Unie kunnen de taak van het organiseren en beheren van EUCI-briefings delen, mits rekening wordt gehouden met hun specifieke vereisten.
Afdeling 3
Fysieke beveiliging
Artikel 27
Basisbeginselen
1. Elke instelling en elk orgaan van de Unie stelt de voor de eigen locaties passende fysieke beveiligingsmaatregelen vast overeenkomstig bijlage III en het beginsel van defence in depth, op basis van een door de eigen veiligheidsautoriteit verrichte risicobeoordeling. De maatregelen hebben de volgende doelstellingen:
a) verhinderen dat een indringer toegang krijgt tot EUCI of zich toegang verschaft tot de locatie;
b) ongeoorloofde handelingen ontmoedigen, belemmeren en opsporen en zo snel mogelijk reageren op beveiligingsincidenten;
c) op basis van noodzaak tot kennisneming en waar nodig van de veiligheidsmachtiging van de betrokkene onderscheid kunnen maken tussen personeelsleden wat hun toegang tot EUCI betreft.
2. De instellingen en organen van de Unie treffen fysieke beveiligingsmaatregelen voor alle locaties waar EUCI wordt besproken, opgeslagen of verwerkt, met inbegrip van zones waar communicatie- en informatiesystemen als bedoeld in afdeling 5 van dit hoofdstuk zijn ondergebracht.
3. Voor de fysieke bescherming van informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL mag uitsluitend beveiligingsapparatuur worden gebruikt die door de veiligheidsautoriteit van een instelling of orgaan van de Unie is goedgekeurd.
4. De instellingen en organen van de Unie kunnen beveiligde zones, als bedoeld in bijlage III, voor de verwerking en opslag van EUCI delen, nadat daartoe een overeenkomst is gesloten.
Artikel 28
Subgroep inzake fysieke beveiliging
1. De in artikel 7, lid 1, punt c), bedoelde subgroep inzake fysieke beveiliging heeft de volgende taken en verantwoordelijkheden:
a) het opstellen van richtsnoeren met betrekking tot fysieke beveiliging;
b) het vaststellen van de algemene beveiligingscriteria voor de aanschaf van apparatuur als beveiligde opbergmiddelen, versnipperaars, deursloten, elektronische toegangscontrolesystemen, inbraakdetectiesystemen en alarmsystemen voor de fysieke bescherming van EUCI;
c) het verlenen van bijstand aan de instellingen en organen van de Unie bij het vaststellen van passende beveiligingsmaatregelen voor hun locaties;
d) het voorstellen van compenserende maatregelen voor de bescherming van EUCI wanneer EUCI wordt verwerkt buiten de fysiek beschermde zones van een instelling of orgaan van de Unie.
Artikel 29
Fysieke bescherming van EUCI
1. Met het oog op de fysieke bescherming van EUCI stellen de instellingen en organen van de Unie de volgende fysiek beschermde zones in:
a) administratieve zones als bedoeld in bijlage III;
b) waar nodig beveiligde zones, met inbegrip van beveiligde zones van klasse I en klasse II en technisch beveiligde zones, als bedoeld in bijlage III.
2. De veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie voert een interne inspectie uit om na te gaan of is voldaan aan de voorwaarden van bijlage III voor het instellen van administratieve zones en beveiligde zones. Indien uit het inspectieverslag blijkt dat aan de voorwaarden is voldaan, kan de veiligheidsautoriteit een homologatie afgeven voor de beveiligde zone, die voor ten hoogste vijf jaar geldig blijft voor de bescherming van EUCI tot het vermelde niveau.
De veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie is verantwoordelijk voor de hernieuwde homologatie van de beveiligde zones, die moet plaatsvinden voordat de homologatie verstrijkt of telkens wanneer binnen de gehomologeerde zone wijzigingen zijn doorgevoerd.
3. Elke instelling en elk orgaan van de Unie stelt procedures vast voor het beheer van sleutels en codecombinaties voor kantoren, ruimten, kluizen en beveiligde opbergmiddelen voor de rubriceringsgraad CONFIDENTIEL UE/EU-CONFIDENTIAL en hogere graden.
4. De veiligheidsautoriteit kan machtiging verlenen tot controles bij binnenkomst en vertrek om het ongeoorloofd binnenbrengen van materiaal in, of het ongeoorloofd verwijderen van EUCI uit een locatie te ontmoedigen en op te sporen.
5. De instellingen en organen van de Unie stellen de maatregelen voor de fysieke bescherming van EUCI vast overeenkomstig bijlage III.
Afdeling 4
Beheer van EUCI
Artikel 30
Basisbeginselen
1. De instellingen en organen van de Unie dragen er zorg voor dat hun EUCI-documenten worden geregistreerd, opgeborgen en behouden en uiteindelijk worden verwijderd, bemonsterd of naar de gepaste archieven worden overgebracht overeenkomstig het bewaringsbeleid en de specifieke voorschriften voor de dossiers van elk van de instellingen en organen van de Unie.
2. Alle instellingen en organen van de Unie die auteurs zijn van EUCI, bepalen de rubriceringsgraad van de desbetreffende informatie bij het aanmaken ervan, overeenkomstig artikel 18, lid 1.
3. De instellingen en organen van de Unie delen de rubriceringsgraad duidelijk mee aan de ontvangers, hetzij door middel van een rubriceringsmarkering, hetzij door middel van een aankondiging, wanneer de informatie mondeling wordt verstrekt.
4. De beveiligingsmaatregelen die voor het originele document gelden, zijn ook van toepassing op ontwerpen, kopieën en vertalingen ervan.
5. De instellingen en organen van de Unie stellen de maatregelen voor het beheer van EUCI vast overeenkomstig bijlage IV.
Artikel 31
Aanmaken van EUCI
De instellingen en organen van de Unie onder wier gezag EUCI wordt aangemaakt, zien erop toe dat aan de volgende eisen wordt voldaan:
a) op elke bladzijde wordt duidelijk de rubriceringsgraad aangegeven;
b) elke bladzijde wordt genummerd;
c) op het document wordt een referentienummer vermeld en in voorkomend geval een registratienummer, alsmede een onderwerp, dat op zich geen EUCI is, tenzij het als zodanig is gemarkeerd;
d) de aanmaakdatum wordt op het document vermeld;
e) alle bijlagen en bijvoegsels worden vermeld, indien mogelijk op de eerste bladzijde;
f) documenten met rubriceringsgraad SECRET UE/EU SECRET en hoger worden op elke bladzijde van een exemplaarnummer voorzien, indien zij in meerdere exemplaren moeten worden verspreid. Elektronische kopieën die worden verspreid buiten het systeem waarin de EUCI wordt aangehouden, worden voorzien van een uniek identificatienummer op basis van een elektronische handtekening.
Artikel 32
Controle door de auteur
1. De instelling of het orgaan van de Unie onder het gezag waarvan een EUCI-document wordt aangemaakt, heeft als auteur de controle over dat document. De auteur bepaalt de rubriceringsgraad van het document en is verantwoordelijk voor de aanvankelijke verspreiding ervan. Onverminderd Verordening (EG) nr. 1049/2001 moet de voorafgaande schriftelijke toestemming van de auteur worden verkregen voordat de informatie:
a) wordt gederubriceerd of de rubricering ervan wordt verlaagd;
b) wordt gebruikt voor andere dan door de auteur vastgestelde doeleinden;
c) wordt doorgestuurd naar een entiteit buiten de instelling of het orgaan van de Unie waarbij de informatie berust, zoals een derde land of internationale organisatie, een andere instelling of een ander orgaan van de Unie, een lidstaat, een contractant of potentiële contractant, een begunstigde of potentiële begunstigde;
d) wordt gekopieerd en vertaald, indien de rubriceringsgraad TRÈS SECRET UE/EU TOP SECRET is.
2. Indien de auteur van een EUCI-document niet kan worden vastgesteld, oefent de instelling of het orgaan van de Unie waarbij de gerubriceerde informatie berust, de controle door de auteur uit.
3. De auteur van EUCI houdt een register bij van alle gerubriceerde bronnen die voor de productie van een gerubriceerd document zijn gebruikt, met inbegrip van gegevens over bronnen die oorspronkelijk afkomstig zijn van een lidstaat, internationale organisatie of derde land. Waar zulks passend is, wordt geaggregeerde gerubriceerde informatie op zodanige wijze gemarkeerd dat de auteurs van de gebruikte gerubriceerde bronmaterialen altijd geïdentificeerd kunnen worden.
Artikel 33
Rubriceringsmarkeringen
1. In voorkomend geval kunnen EU-documenten, naast een van de rubriceringsmarkeringen, voorzien zijn van aanvullende markeringen, zoals verspreidings- of vrijgavemarkeringen of om de auteur aan te duiden.
2. Verschillende delen van een EUCI-document kunnen verschillende rubriceringen vereisen en worden van een dienovereenkomstige markering voorzien. De rubricering die voor het gehele document of bestand geldt, is van ten minste van dezelfde graad als die van het hoogst gerubriceerde gedeelte ervan.
3. Documenten die delen met verschillende rubriceringsgraden bevatten, worden zo gestructureerd dat de delen met een verschillende rubriceringsgraad gemakkelijk kunnen worden herkend en, indien nodig, worden gescheiden.
Artikel 34
EUCI-registersysteem
1. Alle instellingen en organen van de Unie die informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIEL of hoger verwerken en opslaan, zetten een of meer EUCI-registers op om ervoor te zorgen dat deze gegevens voor beveiligingsdoeleinden worden geregistreerd wanneer zij bij een instelling of orgaan van de Unie aankomen of deze verlaten.
2. De registers worden ingericht als beveiligde zones zoals bedoeld in bijlage III.
3. De instellingen en organen van de Unie wijzen voor het beheer van elk EUCI-register een registercontrolefunctionaris (Registry Control Officer, RCO) aan. De RCO beschikt over een passende veiligheidsmachtiging en krijgt een machtiging overeenkomstig artikel 24. De instellingen en organen van de Unie zorgen voor een passende opleiding van hun RCO.
Artikel 35
Verlaging van rubricering en derubricering
1. Informatie blijft slechts gerubriceerd zolang bescherming vereist is. EUCI waarvoor de oorspronkelijke rubricering niet langer vereist is, krijgt een lagere rubriceringsgraad. EUCI die in het geheel niet meer als gerubriceerd behoeft te worden beschouwd, wordt gederubriceerd.
2. Bij het aanmaken geeft de auteur waar mogelijk, en in het bijzonder voor als RESTREINT UE/EU RESTRICTED gerubriceerde informatie, aan of de EUCI op een bepaalde datum of na een bepaalde gebeurtenis lager gerubriceerd of gederubriceerd kan worden.
3. De als auteur fungerende instelling of orgaan van de Unie is verantwoordelijk voor de beslissing of een EUCI-document lager gerubriceerd of gederubriceerd kan worden. Die instelling of dat orgaan evalueert de informatie en beoordeelt de risico’s ten minste om de vijf jaar om vast te stellen of de oorspronkelijke rubriceringsgraad nog passend is.
4. Instellingen en organen van de Unie die EUCI bezitten waarvan zij niet de auteur zijn, mogen dat document niet lager rubriceren of derubriceren, noch de in artikel 18, lid 1, bedoelde markeringen wijzigen of verwijderen zonder voorafgaande schriftelijke toestemming van de auteur.
5. Instellingen en organen van de Unie kunnen door hen aangemaakte EUCI gedeeltelijk lager rubriceren of derubriceren. In dat geval wordt een uittreksel met een lagere rubricering of een gederubriceerd uittreksel vervaardigd.
6. De instellingen en organen van de Unie stellen de organisatie die de EUCI ontvangt in kennis van de lagere rubricering of derubricering ervan.
Artikel 36
Markeringen op documenten met verlaagde rubricering en gederubriceerde documenten
1. Wanneer een instelling of orgaan van de Unie besluit een EUCI-document te derubriceren, wordt nagegaan of het document moet worden gemarkeerd als gevoelige niet-gerubriceerde informatie.
2. De originele rubriceringsmarkering aan de boven- en de onderzijde van elke bladzijde wordt zichtbaar geschrapt (niet verwijderd) met behulp van de doorhaalfunctie in het geval van elektronische formaten dan wel handmatig bij papieren afdrukken. De oorspronkelijke rubriceringsmarkering wordt niet verwijderd.
3. Op de eerste bladzijde of op het dekblad wordt een stempel aangebracht dat aangeeft dat het document een lagere rubricering heeft gekregen of gederubriceerd is, samen met de vermelding van de voor de lagere rubricering of derubricering verantwoordelijke autoriteit en de desbetreffende datum. Verlaging van de rubricering of derubricering van elektronische EUCI wordt aangetoond met een elektronische handtekening onder het gezag van de auteur.
Artikel 37
Vernietiging en wissing van EUCI
1. De instellingen en organen van de Unie evalueren EUCI-documenten, zowel op papier als opgenomen in een CIS, ten minste om de vijf jaar om te bepalen of zij moeten worden vernietigd of gewist. Wanneer EUCI wordt vernietigd of gewist, wordt aan eenieder die de EUCI eerder heeft ontvangen, een instructie gericht.
2. De instellingen en organen van de Unie kunnen duplicaten van EUCI vernietigen die niet langer nodig zijn, rekening houdend met de toepasselijke voorschriften inzake documentenbeheer voor de originelen.
3. De instellingen en organen van de Unie laten elk papieren exemplaar van informatie die als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger is gerubriceerd, uitsluitend vernietigen door hun registercontrolefunctionaris. De registercontrolefunctionaris werkt de logbestanden en andere registratiegegevens dienovereenkomstig bij en bewaart essentiële metagegevens van het vernietigde document.
Documenten met rubriceringsgraad SECRET UE/EU SECRET of hoger worden uitsluitend vernietigd door de registercontrolefunctionaris in het bijzijn van een getuige die een veiligheidsmachtiging heeft voor ten minste de rubriceringsgraad van het document dat wordt vernietigd.
4. Zowel de registercontrolefunctionaris als de getuige, als de aanwezigheid van deze laatste vereist is, ondertekent een vernietigingscertificaat, dat in het register wordt bewaard. Het certificaat wordt ten minste vijf jaar bewaard in het geval van informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET, en ten minste tien jaar in het geval van informatie die als TRÈS SECRET UE/EU TOP SECRET is gerubriceerd.
Artikel 38
Evacuatie en vernietiging van EUCI in noodsituaties
1. Elke instelling en elk orgaan van de Unie ontwikkelt op basis van de plaatselijke omstandigheden noodevacuatie- en vernietigingsplannen ter bescherming van EUCI-informatie die een aanzienlijk risico loopt om in handen van onbevoegden te vallen.
De operationele voorschriften van noodplannen voor de evacuatie en vernietiging van deze informatie worden zelf als RESTREINT UE/EU RESTRICTED gerubriceerd.
2. In noodgevallen, wanneer er een dreigend risico van ongeoorloofde openbaarmaking van EUCI bestaat, wordt EUCI door de instellingen en organen van de Unie geëvacueerd.
Wanneer evacuatie niet mogelijk is, moet de EUCI op zodanige wijze worden vernietigd dat deze niet geheel of gedeeltelijk kan worden gereconstrueerd.
3. De auteur en het register van oorsprong worden op de hoogte gebracht van de noodevacuatie of ‑vernietiging van geregistreerde EUCI.
4. Wanneer een noodplan is geactiveerd, wordt voorrang gegeven aan het evacueren of vernietigen van de hogere niveaus van EUCI, met inbegrip van de encryptie-uitrusting.
Artikel 39
Archivering
1. De instellingen en organen van de Unie beslissen of en wanneer EUCI worden gearchiveerd en stellen de bijbehorende praktische maatregelen vast in overeenstemming met hun beleid inzake documentenbeheer.
2. EUCI-documenten worden niet overgebracht naar het historisch archief van de Europese Unie.
Afdeling 5
Bescherming van EUCI in communicatie- en informatiesystemen (CIS)
Artikel 40
Subgroep inzake homologatie van communicatie- en informatiesystemen die EUCI verwerken en opslaan
De in artikel 7, lid 1, punt d), bedoelde subgroep inzake homologatie van CIS die EUCI verwerken en opslaan, heeft de volgende taken en verantwoordelijkheden:
a) de instellingen en organen van de Unie bijstaan bij hun homologatieprocessen;
b) een aanbeveling doen voor een door alle instellingen en organen van de Unie te volgen homologatienorm;
c) beste praktijken en richtsnoeren met betrekking tot de homologatie van CIS verspreiden en delen.
Artikel 41
Communicatie- en informatiesystemen
De instellingen en organen van de Unie nemen met betrekking tot de verwerking en opslag van EUCI de volgende vereisten in acht:
a) de systeemeigenaar of de operationele instantie voor informatieborging raadpleegt de instantie voor veiligheidshomologatie alvorens een CIS te ontwikkelen, aan te schaffen of voor de verwerking en opslag van EUCI vrij te geven, teneinde de homologatievereisten vast te stellen;
b) de belangrijkste beveiligingsbeginselen die van toepassing zijn op het ontwerp van CIS waarin EUCI wordt verwerkt en opgeslagen, zijn vanaf het begin van het project van kracht als onderdeel van het proces inzake het beheer van informatiebeveiligingsrisico’s, waarbij rekening wordt gehouden met beginselen als noodzaak tot kennisneming, minimale functionaliteit, defence in depth, minste voorrechten, scheiding van taken, en het vierogenprincipe;
c) de onderdelen voor opslag, centrale verwerking en netwerkbeheer van een CIS dat EUCI verwerkt en opslaat, worden geïnstalleerd in een beveiligde zone als bedoeld in bijlage III;
d) er worden “Tempest-beveiligingsmaatregelen” geïmplementeerd die in verhouding staan tot het risico van misbruik en de rubriceringsgraad van de informatie;
e) alle personeelsleden die betrokken zijn bij de werking van een CIS waarin EUCI wordt verwerkt en opgeslagen, stellen de veiligheidsautoriteit en de betrokken systeemeigenaar of de operationele instantie voor informatieborging in kennis van mogelijke zwakke punten, incidenten, inbreuken op de beveiliging of systeemcompromitteringen die gevolgen kunnen hebben voor de bescherming van het CIS of van de EUCI die in het CIS wordt verwerkt en opgeslagen;
f) in voorkomend geval stelt de veiligheidsautoriteit de veiligheidsautoriteiten van alle andere betrokken instellingen en organen van de Unie in kennis van mogelijke zwakke punten of incidenten op beveiligingsgebied die van invloed kunnen zijn op de verwerking en opslag van EUCI door hun CIS.
Artikel 42
Cryptografische producten
1. Voor de verzending en opslag van EUCI met elektronische middelen wordt gebruikgemaakt van goedgekeurde cryptografische producten. De lijst van goedgekeurde cryptografische producten wordt door de Raad bijgehouden op basis van input van de nationale veiligheidsautoriteiten.
2. Indien de in lid 1 bedoelde lijst geen geschikt product voor het beoogde doel bevat, verzoekt de instantie voor de goedkeuring van cryptografische producten van de betrokken instelling of het betrokken orgaan van de Unie de Raad om een voorlopige goedkeuring. Waar mogelijk wordt een cryptografisch product geselecteerd dat door de nationale veiligheidsautoriteit van een lidstaat is goedgekeurd.
De Raad neemt de nodige maatregelen om ervoor te zorgen dat een geschikt product aan de lijst wordt toegevoegd.
3. De goedkeuring van een cryptografisch product is maximaal vijf jaar geldig en wordt daarna jaarlijks getoetst.
4. Elk cryptografisch product waarvoor de nationale goedkeuring is ingetrokken of is verstreken, wordt door Raad van de lijst van goedgekeurde cryptografische producten geschrapt.
5. De coördinatiegroep stelt de Raad jaarlijks in kennis van alle cryptografische producten die zij aanbeveelt voor evaluatie door een instantie voor de goedkeuring van cryptografische producten van een lidstaat op basis van een in de instellingen en organen van de Unie uitgevoerd onderzoek.
Artikel 43
Homologatie van CIS waarin EUCI wordt verwerkt en opgeslagen
1. Door homologatie van CIS waarin EUCI wordt verwerkt en opgeslagen, bevestigen de instellingen en organen van de Unie dat alle gepaste beveiligingsmaatregelen zijn getroffen en dat een voldoende niveau van bescherming van de EUCI en van het CIS overeenkomstig deze verordening tot stand is gebracht.
2. De eigenaar van het CIS of de operationele instantie voor informatieborging is verantwoordelijk voor het opstellen van de homologatiedossiers en de documentatie, met inbegrip van handleidingen voor verschillende categorieën gebruikers.
3. De instantie voor beveiligingshomologatie van elke instelling en elk orgaan van de Unie is verantwoordelijk voor de vaststelling van een homologatieprocedure met duidelijke voorwaarden die moeten worden goedgekeurd voor alle CIS die onder die instantie vallen.
4. Wanneer bij een CIS voor de verwerking en opslag van EUCI zowel instellingen en organen van de Unie als nationale veiligheidsautoriteiten betrokken zijn, stellen de betrokken instellingen en organen van de Unie, bij overeenkomstig artikel 8, lid 2, vast te stellen uitvoeringsvoorschriften, een gezamenlijke raad voor beveiligingshomologatie in die belast wordt met de homologatie van het systeem. Die raad is samengesteld uit vertegenwoordigers van de betrokken partijen die deel uitmaken van de instantie voor beveiligingshomologatie, en wordt voorgezeten door de instantie voor beveiligingshomologatie van de instelling of het orgaan van de Unie die eigenaar is van het CIS.
Artikel 44
Procedure voor de homologatie van een CIS waarin EUCI wordt verwerkt en opgeslagen
1. Elk CIS waarin EUCI wordt verwerkt en opgeslagen, ondergaat een op de beginselen van informatieborging gebaseerde homologatieprocedure, waarvan de details in overeenstemming zijn met het vereiste beschermingsniveau.
2. De homologatieprocedure mondt uit in een homologatieverklaring waarin de hoogste toegelaten rubriceringsgraad wordt vermeld van de informatie die in een CIS mag worden verwerkt en opgeslagen, en de voorwaarden daarvoor worden vastgesteld. De homologatieverklaring is gebaseerd op de formele validering van de risicobeoordeling en van de beveiligingsmaatregelen die voor het betrokken CIS zijn genomen, en biedt de waarborg dat:
a) het proces inzake het beheer van informatiebeveiligingsrisico’s naar behoren is uitgevoerd;
b) de systeemeigenaar of de risico-eigenaar het residuele risico welbewust heeft aanvaard;
c) een voldoende beschermingsniveau voor het CIS en de daarin verwerkte en opgeslagen EUCI is verwezenlijkt overeenkomstig deze verordening.
3. De instantie voor beveiligingshomologatie van een instelling of orgaan van de Unie valideert de homologatieverklaring formeel. Na geslaagde validering verleent de instantie voor veiligheidshomologatie een exploitatievergunning, waarbij de hoogste toegelaten rubriceringsgraad wordt vermeld van de informatie die in een CIS mag worden verwerkt, en de voorwaarden daarvoor worden vastgesteld. De vergunning wordt verleend voor een welbepaalde termijn. Wanneer een of meer van de vereiste beveiligingsmaatregelen niet zijn genomen, maar daardoor geen noemenswaardige gevolgen ontstaan voor de algemene veiligheid, kan een voorlopige exploitatievergunning worden verleend, met vermelding van de vereiste herstelpunten.
4. Op elk moment in de levenscyclus van een CIS kan de instantie voor veiligheidshomologie van de betrokken instelling of het betrokken orgaan van de Unie de volgende maatregelen nemen:
a) toepassing van een homologatieprocedure;
b) audit of inspectie van het CIS;
c) indien niet langer wordt voldaan aan de operationele voorwaarden, bijvoorbeeld wanneer een beveiligingsincident een significante kwetsbaarheid in het CIS aan het licht heeft gebracht, eisen dat binnen een welbepaalde termijn een plan voor betere beveiliging wordt opgesteld en daadwerkelijk wordt uitgevoerd, en eventueel de exploitatievergunning van het CIS intrekken totdat weer wordt voldaan aan de operationele voorwaarden.
5. De systeemeigenaar of de operationele instantie voor informatieborging brengt tijdens de geldigheidsduur van een exploitatievergunning jaarlijks formeel verslag uit aan de instantie voor veiligheidshomologatie, met inbegrip van een samenvatting van alle significante incidenten, wijzigingen en risicofactoren.
Artikel 45
Noodsituaties
1. De instellingen en organen van de Unie kunnen in noodsituaties, zoals bij dreigende of feitelijke crises, conflicten, oorlogssituaties of in uitzonderlijke operationele omstandigheden, specifieke procedures toepassen voor de overbrenging of opslag van EUCI, nadat zij de goedkeuring hebben verkregen van hun instantie voor de goedkeuring van cryptografische producten.
2. EUCI mag in de in lid 1 genoemde situaties, met toestemming van de bevoegde instantie, door middel van voor een lagere rubriceringsgraad goedgekeurde cryptografische producten of zonder encryptie worden overgebracht, indien vertraging schade zou veroorzaken die duidelijk zwaarder weegt dan de schade ten gevolge van bekendmaking van het gerubriceerde materiaal en indien aan de volgende voorwaarden is voldaan:
a) de zender of de ontvanger beschikt niet over de vereiste encryptieapparatuur, en
b) het gerubriceerde materiaal kan niet tijdig met andere middelen worden verzonden.
3. Gerubriceerde informatie die in de in punt 2 bedoelde omstandigheden wordt overgebracht, mag niet door markeringen of aanwijzingen te onderscheiden zijn van niet-gerubriceerde informatie of informatie die beschermd kan worden met een wel beschikbaar cryptografisch product. De ontvanger wordt onverwijld langs andere weg op de hoogte gebracht van de rubriceringsgraad.
4. Vervolgens wordt aan de bevoegde veiligheidsautoriteit verslag uitgebracht over de overbrenging van EUCI in de in lid 1 bedoelde omstandigheden.
Afdeling 6
Industriële beveiliging
Artikel 46
Basisbeginselen
1. De instellingen en organen van de Unie zorgen er, als aanbestedende dienst of subsidieverlenende instantie, voor dat de in deze afdeling vervatte minimumnormen inzake industriële beveiliging en de voorwaarden voor de bescherming van EUCI in gerubriceerde contracten en subsidieovereenkomsten in bijlage V worden vermeld of opgenomen in de contracten of subsidieovereenkomsten en in acht worden genomen bij de gunning van gerubriceerde contracten of de verlening van gerubriceerde subsidies.
2. Industriële beveiliging is de toepassing van maatregelen om de bescherming van EUCI door onderstaande personen of entiteiten te waarborgen:
a) in direct beheer30 in het kader van gerubriceerde contracten:
i) gegadigden of inschrijvers tijdens de inschrijvings- en aanbestedingsprocedure;
ii) contractanten of subcontractanten tijdens de hele looptijd van een gerubriceerd contract;
b) in direct beheer31 in het kader van gerubriceerde subsidieovereenkomsten:
i) aanvragers tijdens de toekenningsprocedure;
ii) begunstigden en subcontractanten tijdens de gehele looptijd van een gerubriceerde subsidieovereenkomst;
c) in indirect beheer in het kader van kaderovereenkomsten inzake financieel partnerschap (FFPA) en de daarmee verband houdende bijdrageovereenkomsten: de met de uitvoering belaste entiteiten gedurende de gehele looptijd van deze overeenkomsten.
3. Als toewijzende entiteit beschrijft de instelling of het orgaan van de Unie de specifieke beveiligingsvereisten voor de met de uitvoering belaste entiteit in het beveiligingshoofdstuk van de FFPA en de daarmee verband houdende bijdrageovereenkomsten. Deze vereisten zijn gebaseerd op de beveiligingsbeginselen en ‑bepalingen die in deze verordening zijn opgenomen met betrekking tot gerubriceerde contracten en subsidieovereenkomsten, die van overeenkomstige toepassing zijn.
4. Gerubriceerde contracten en subsidieovereenkomsten mogen geen betrekking hebben op informatie met rubriceringsgraad TRÈS SECRET UE/EU TOP SECRET.
5. De bepalingen in dit hoofdstuk die betrekking hebben op gerubriceerde contracten of contractanten, of op gerubriceerde subsidieovereenkomsten of begunstigden daarvan, zijn ook van toepassing op gerubriceerde subcontracten en subcontractanten onder die gerubriceerde contracten of gerubriceerde subsidieovereenkomsten.
6. De instellingen en organen van de Unie werken als aanbestedende dienst of subsidieverlenende instantie nauw samen met de veiligheidsautoriteiten en andere bevoegde autoriteiten van het land waar de overeenkomstsluitende partij of de ontvanger van de subsidie is geregistreerd, alsmede met de veiligheidsautoriteiten en andere bevoegde autoriteiten van de internationale organisatie waarmee een overeenkomst is gesloten of waaraan een subsidie is verleend.
7. De instellingen en organen van de Unie communiceren als aanbestedende dienst of subsidieverlenende instantie met de veiligheidsautoriteiten of, via de veiligheidsautoriteiten, met andere bevoegde autoriteiten.
8. De instellingen en organen van de Unie stellen als aanbestedende dienst of subsidieverlenende instantie de in lid 6 bedoelde autoriteiten via hun veiligheidsautoriteit ervan in kennis wanneer zij een gerubriceerd contract of een gerubriceerde subsidieovereenkomst hebben ondertekend.
In de kennisgeving worden relevante gegevens vermeld zoals de naam van de contractant of de begunstigde, de looptijd van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst en de hoogste rubriceringsgraad die ermee gemoeid is.
De instellingen en organen van de Unie stellen, als aanbestedende dienst of subsidieverlenende instantie, de in lid 6 bedoelde autoriteiten ook in kennis wanneer gerubriceerde contracten of subsidieovereenkomsten voortijdig worden beëindigd.
9. De instellingen en organen van de Unie mogen, als aanbestedende dienst of subsidieverlenende instantie, gerubriceerde contracten en gerubriceerde delen van subsidies slechts gunnen aan entiteiten die zijn geregistreerd in een derde land dat een informatiebeveiligingsovereenkomst met de Unie heeft gesloten, of die zijn opgericht door een internationale organisatie die een informatiebeveiligingsovereenkomst met de Unie heeft gesloten. Indien de betrokken EUCI persoonsgegevens bevat, wordt bij elke doorgifte daarvan aan een derde land of een internationale organisatie Verordening (EU) 2018/1725 in acht genomen.
Artikel 47
Beveiligingselementen in gerubriceerde contracten en subsidieovereenkomsten
1. In gerubriceerde contracten en subsidieovereenkomsten worden de volgende beveiligingselementen opgenomen:
a) een rubriceringsgids;
b) een memorandum over de beveiligingsaspecten.
2. In gerubriceerde contracten of subsidieovereenkomsten kan een programma- of projectbeveiligingsinstructie zijn opgenomen.
Artikel 48
Rubriceringsgids
1. Alvorens een gerubriceerd contract of een gerubriceerde subsidieovereenkomst te ondertekenen, bepaalt de instelling of het orgaan van de Unie, als aanbestedende dienst of subsidieverlenende instantie, de rubriceringsgraad van alle informatie die door contractanten of begunstigden of hun subcontractanten wordt aangemaakt. Daartoe stelt de instelling of het orgaan van de Unie een rubriceringsgids op die moet worden gebruikt bij de uitvoering van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst.
2. De rubriceringsgids kan gedurende de looptijd van het programma of het project worden gewijzigd, en zoals aangegeven in artikel 50 kan de informatie opnieuw worden gerubriceerd of een lagere rubriceringsgraad krijgen.
3. Voor het bepalen van de rubriceringsgraad van de diverse onderdelen van een gerubriceerd contract of gerubriceerde subsidieovereenkomst gelden onderstaande beginselen:
a) bij het opstellen van een rubriceringsgids houdt de instelling of het orgaan van de Unie als aanbestedende dienst of subsidieverlenende instantie rekening met alle ter zake doende beveiligingsaspecten, zoals de rubriceringsgraad die is toegekend aan verstrekte informatie waarvan het gebruik voor het gerubriceerde contract of de gerubriceerde subsidieovereenkomst is goedgekeurd door de auteur van de informatie;
b) de algehele rubriceringsgraad van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst mag niet lager zijn dan de hoogste rubriceringsgraad van de afzonderlijke onderdelen ervan;
c) in voorkomend geval neemt de betrokken instelling of het betrokken orgaan van de Unie, als aanbestedende dienst of subsidieverlenende instantie, via de eigen veiligheidsautoriteit contact op met de veiligheidsautoriteiten of andere bevoegde instanties van het betrokken land wanneer wijzigingen worden aangebracht in de rubriceringsgids.
Artikel 49
Memorandum over de beveiligingsaspecten
1. De instellingen en organen van de Unie beschrijven als aanbestedende dienst of subsidieverlenende instantie de specifieke beveiligingsvereisten van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst in een memorandum over de beveiligingsaspecten. In dat memorandum wordt de rubriceringsgids opgenomen, die integraal deel uitmaakt van het gerubriceerde contract, de gerubriceerde subsidieovereenkomst of het gerubriceerde subcontract.
2. De brief over de beveiligingsaspecten bevat bepalingen op grond waarvan de contractant of begunstigde, en diens subcontractanten, de bepalingen van deze verordening en alle verdere uit hoofde van artikel 8, lid 2, vastgestelde uitvoeringsvoorschriften inzake industriële beveiliging moeten naleven. In het memorandum over de beveiligingsaspecten wordt duidelijk aangegeven dat niet-naleving van de bepalingen ervan voldoende grond kan vormen voor de beëindiging van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst.
Artikel 50
Programma- of projectbeveiligingsinstructie
1. De instellingen en organen van de Unie kunnen als aanbestedende dienst of subsidieverlenende instantie programma- of projectbeveiligingsinstructies ontwikkelen, in nauwe samenwerking met hun veiligheidsautoriteiten, met name voor programma’s en projecten waarvan het toepassingsgebied, de omvang of de complexiteit aanzienlijk is of waarbij sprake is van een groot aantal verschillende contractanten, begunstigden en andere betrokken partners en belanghebbenden.
2. De veiligheidsautoriteit van elk van de instellingen en organen van de Unie die als aanbestedende dienst of subsidieverlenende instantie optreden, legt de specifieke programma- of projectbeveiligingsinstructie ter advies voor aan het adviesorgaan op veiligheidsgebied van de betrokken lidstaat, dat wil zeggen de nationale veiligheidsautoriteit en/of de aangewezen veiligheidsautoriteit.
Wanneer voor een instelling of orgaan van de Unie een dergelijk adviesorgaan niet beschikbaar is, wordt de programma- of projectbeveiligingsinstructie voorgelegd aan het in artikel 6, lid 8, bedoelde comité voor informatiebeveiliging.
Afdeling 7
Delen van EUCI en uitwisselen van gerubriceerde informatie
Artikel 51
Basisbeginselen
1. Alle instellingen en organen van de Unie kunnen EUCI delen met andere instellingen of organen van de Unie onder de voorwaarden van artikel 54.
2. De instellingen en organen van de Unie kunnen EUCI delen met de lidstaten en de Europese Gemeenschap voor Atoomenergie, mits zij die informatie beschermen volgens de overeenkomstige rubriceringsmarkering die is vastgelegd in de Overeenkomst tussen de lidstaten van de Europese Unie, in het kader van de Raad bijeen, betreffende de bescherming van in het belang van de Unie uitgewisselde gerubriceerde informatie en de tabel in bijlage VI bij deze verordening.
3. De instellingen en organen van de Unie wisselen gerubriceerde gegevens alleen uit met derde landen of internationale organisaties waarmee overeenkomstig de artikelen 55 en 56 een informatiebeveiligingsovereenkomst of een administratieve regeling is gesloten.
In die overeenkomst of regeling zijn bepalingen opgenomen die waarborgen dat door derde landen of internationale organisaties ontvangen EUCI wordt beschermd in overeenstemming met de rubriceringsgraad ervan en volgens minimumnormen die niet minder streng zijn dan die welke in deze verordening zijn vastgelegd.
4. Wanneer er geen informatiebeveiligingsovereenkomst of administratieve regeling is gesloten, kan een instelling of orgaan van de Unie in uitzonderlijke omstandigheden overeenkomstig artikel 58 EUCI vrijgeven aan een andere instelling of orgaan van de Unie, een derde land of een internationale organisatie.
5. De instellingen en organen van de Unie wijzen de registers aan die fungeren als de belangrijkste punten van binnenkomst en uitgang voor EUCI die wordt gedeeld met andere instellingen of organen van de Unie of voor gerubriceerde informatie die met derde landen of internationale organisaties wordt uitgewisseld.
Artikel 52
Subgroep inzake uitwisseling van EUCI en gerubriceerde informatie
1. De in artikel 7, lid 1, punt e), bedoelde subgroep inzake uitwisseling van EUCI en gerubriceerde informatie heeft de volgende taken en verantwoordelijkheden:
a) het organiseren van evaluatiebezoeken aan instellingen en organen van de Unie, derde landen en internationale organisaties en het vaststellen van het jaarlijkse programma van die bezoeken;
b) voorbereiding en uitvoering van de evaluatiebezoeken;
c) opstelling van een verslag over de resultaten van de in punt a) bedoelde bezoeken, behalve in de in artikel 56, lid 2, bedoelde gevallen.
2. De subgroep inzake uitwisseling van EUCI en gerubriceerde informatie bestaat uit vertegenwoordigers van de Commissie, de Raad en de Europese Dienst voor extern optreden en treedt op bij consensus.
Artikel 53
Evaluatiebezoeken in verband met het delen van EUCI
1. De subgroep inzake uitwisseling van EUCI en gerubriceerde informatie verricht evaluatiebezoeken, waaraan de ambtenaren van de bezochte instelling of het bezochte orgaan van de Unie alle medewerking verlenen. De subgroep kan een bijstandsverzoek richten aan de nationale veiligheidsautoriteit die bevoegd is op het grondgebied waar de instelling of het orgaan van de Unie zich bevindt.
2. De evaluatiebezoeken aan de betrokken instellingen en organen van de Unie hebben de volgende doeleinden:
a) nagaan of de in deze verordening vastgestelde voorschriften voor de bescherming van EUCI worden nageleefd en derhalve of de uitgevoerde maatregelen doeltreffend zijn;
b) benadrukken wat het belang is van beveiliging en doelmatig risicobeheer binnen de geïnspecteerde entiteiten;
c) tegenmaatregelen aanbevelen om de specifieke gevolgen van de aantasting van de beschikbaarheid, vertrouwelijkheid of de integriteit van gerubriceerde informatie te reduceren;
d) zorgen voor versterking van de programma’s die de veiligheidsautoriteiten uitvoeren op het gebied van veiligheidseducatie en ‑bewustzijn.
3. Na het evaluatiebezoek voert de subgroep inzake uitwisseling van EUCI en gerubriceerde informatie de volgende taken uit:
a) zij stelt een verslag op met de belangrijkste conclusies van de evaluatie;
b) zij vraagt het in artikel 6, lid 8, bedoelde comité voor informatiebeveiliging om advies over het verslag;
c) zij zendt het verslag voor follow-up naar de veiligheidsautoriteit van de bezochte instelling of het bezochte orgaan van de Unie.
4. Wanneer in het verslag corrigerende maatregelen worden voorgesteld of aanbevelingen worden gedaan, wordt een vervolgbezoek georganiseerd om na te gaan of de maatregelen zijn genomen, of de aanbevelingen uitgevoerd.
Artikel 54
Delen van EUCI
1. Een instelling of orgaan van de Unie kan EUCI delen met een andere instelling of een ander orgaan van de Unie mits aan de volgende voorwaarden is voldaan:
a) de uitwisseling is aantoonbaar noodzakelijk;
b) bij de betrokken instelling of het betrokken orgaan van de Unie is een evaluatiebezoek afgelegd overeenkomstig artikel 53, waarvan het resultaat bevestigt dat die instelling of dat orgaan van de Unie in staat is een bepaald niveau van EUCI te verwerken en op te slaan;
c) de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie heeft besloten dat de instelling of het orgaan tot een bepaald niveau gerubriceerde informatie mag delen met andere gecertificeerde instellingen en organen van de Unie.
2. Het secretariaat van de coördinatiegroep heeft een lijst opgesteld van EUCI die mag worden verwerkt en opgeslagen door elk van de instellingen en organen van de Unie die voldoen aan de voorwaarden van lid 1, punten b) en c). Het werkt die lijst regelmatig bij.
Artikel 55
Informatiebeveiligingsovereenkomsten
1. Wanneer het noodzakelijk is op lange termijn gerubriceerde gegevens uit te wisselen met een derde land of een internationale organisatie, streeft de bevoegde instelling of het bevoegde orgaan naar onderhandeling over en sluiting van een informatiebeveiligingsovereenkomst overeenkomstig artikel 218 van het Verdrag betreffende de werking van de Europese Unie.
2. In informatiebeveiligingsovereenkomsten worden de grondbeginselen en minimumnormen vastgesteld voor de uitwisseling van gerubriceerde informatie tussen de Europese Unie en een derde land of internationale organisatie.
3. Informatiebeveiligingsovereenkomsten voorzien ook in een technische uitvoeringsregeling, waarover overeenstemming moet worden bereikt tussen de bevoegde veiligheidsautoriteiten van de betrokken instellingen en organen van de Unie en de bevoegde veiligheidsautoriteit van het derde land of de internationale organisatie in kwestie.
4. Voorafgaand aan de goedkeuring van de in lid 3 bedoelde technische uitvoeringsregeling brengt de subgroep inzake uitwisseling van EUCI en gerubriceerde informatie een evaluatiebezoek overeenkomstig artikel 57.
Artikel 56
Administratieve regelingen met een derde land of internationale organisatie
1. Indien het reglement van orde of de oprichtingshandeling van een instelling of orgaan van de Unie in die mogelijkheid voorziet, kan die instelling of dat orgaan van de Unie een administratieve regeling aangaan met de equivalente entiteit in een derde land of een internationale organisatie, nadat de subgroep inzake uitwisseling van EUCI en gerubriceerde informatie is ingelicht, mits aan de volgende voorwaarden is voldaan:
a) het is noodzakelijk dat de betrokken instelling of het betrokken orgaan van de Unie op lange termijn informatie met een rubriceringsgraad van doorgaans niet hoger dan RESTREINT UE/EU RESTRICTED uitwisselt met de equivalente entiteit in een derde land of internationale organisatie;
b) de betrokken instelling of het betrokken orgaan van de Unie voldoet aan de voorwaarden van artikel 54, lid 1;
c) het in artikel 57 bedoelde verslag van het evaluatiebezoek bevestigt dat de equivalente entiteit in het betrokken derde land of de betrokken internationale organisatie over de capaciteit beschikt om een bepaald niveau van EUCI te verwerken en op te slaan.
2. Voorafgaand aan de sluiting van een administratieve regeling wordt een evaluatiebezoek afgelegd overeenkomstig de beginselen van artikel 57. De instelling van de Unie die of het orgaan van de Unie dat om de administratieve regeling verzoekt, kan de subgroep inzake uitwisseling van EUCI en gerubriceerde informatie verzoeken het evaluatiebezoek namens de instelling of het orgaan uit te voeren of aan het bezoek deel te nemen.
3. De veiligheidsautoriteit van de instelling of het orgaan van de Unie waarvan het verzoek om een administratieve regeling uitgaat, neemt een besluit over de specifieke voorwaarden voor de uitwisseling en over de hoogste toegelaten rubriceringsgraad van EUCI die mag worden uitgewisseld. Die graad mag niet hoger zijn dan de rubriceringsgraad die is vastgesteld voor het delen van EUCI met andere instellingen en organen van de Unie, overeenkomstig artikel 54, en mag in voorkomend geval niet hoger zijn dan de rubriceringsgraad die is vastgesteld in een informatiebeveiligingsovereenkomst met hetzelfde derde land of dezelfde internationale organisatie.
Artikel 57
Evaluatiebezoeken ten behoeve van de uitwisseling van gerubriceerde informatie met derde landen en internationale organisaties
1. Er wordt een evaluatiebezoek gebracht aan een derde land of een internationale organisatie om te bepalen of een instelling of orgaan van de Unie gerubriceerde informatie mag uitwisselen met het betrokken derde land of de betrokken internationale organisatie.
2. Het evaluatiebezoek heeft tot doel de doeltreffendheid van de beveiligingsvoorschriften en ‑procedures in het betrokken derde land of de betrokken internationale organisatie met betrekking tot de bescherming van EUCI op een bepaald niveau te beoordelen. Het evaluatiebezoek wordt uitgevoerd in onderlinge overeenstemming met het betrokken derde land of de betrokken internationale organisatie.
3. Tijdens het evaluatiebezoek worden ten minste de volgende aspecten beoordeeld:
a) het regelgevingskader dat van toepassing is op de bescherming van gerubriceerde informatie en de geschiktheid daarvan voor de bescherming van EUCI op een bepaald niveau;
b) specifieke kenmerken van het beveiligingsbeleid en de manier waarop de beveiliging in het derde land of bij de internationale organisatie is georganiseerd, en de eventuele gevolgen die een en ander heeft voor de rubriceringsgraad van de gerubriceerde informatie die kan worden uitgewisseld;
c) de vigerende beveiligingsmaatregelen en ‑procedures;
d) de veiligheidsmachtigingsprocedures voor de rubriceringsgraad van de vrij te geven EUCI.
4. Aan het in artikel 6, lid 8, bedoelde comité voor informatiebeveiliging wordt verslag uitgebracht over de resultaten van de evaluatiebezoeken voordat de EUCI daadwerkelijk aan het betrokken derde land of de betrokken internationale organisatie wordt vrijgegeven. In voorkomend geval wordt het verslag ook gedeeld met de betrokken instelling of het betrokken orgaan van de Unie.
5. De bevoegde veiligheidsautoriteiten van de betrokken instelling of het betrokken orgaan van de Unie delen de derde staat of internationale organisatie mee vanaf welke datum de Unie in de positie is om de EUCI vrij te geven, alsook wat de hoogste rubriceringsgraad is van de EUCI die in papieren vorm of met elektronische middelen mag worden uitgewisseld.
6. Er worden vervolgbezoeken georganiseerd in de volgende omstandigheden:
a) de rubriceringsgraad van de EUCI die mag worden uitgewisseld, moet worden verhoogd;
b) de betrokken instelling of het betrokken orgaan van de Unie is in kennis gesteld van fundamentele wijzigingen in de beveiligingsregelingen van het derde land of de internationale organisatie, die van invloed kunnen zijn op de wijze waarop EUCI wordt beschermd;
c) er heeft zich een ernstig incident voorgedaan waarbij EUCI ongeoorloofd bekend is gemaakt.
Artikel 58
Uitzonderlijke ad-hocvrijgave van EUCI
1. Indien er geen informatiebeveiligingsovereenkomst of administratieve regeling is gesloten en een instelling of orgaan van de Unie vaststelt dat er een uitzonderlijke noodzaak bestaat om EUCI vrij te geven aan een andere instelling of orgaan van de Unie of aan een derde land of een internationale organisatie, of
indien er wel een informatiebeveiligingsovereenkomst of een administratieve regeling is gesloten en een instelling of orgaan van de Unie vaststelt dat er een uitzonderlijke noodzaak bestaat om EUCI met een hogere rubriceringsgraad vrij te geven dan waarin de overeenkomst of de regeling voorziet, neemt de instelling of het orgaan van de Unie die EUCI verstrekt, de volgende stappen:
a) voor zover mogelijk wordt bij de veiligheidsautoriteit van het derde land, de internationale organisatie of de ontvangende instelling of het ontvangende orgaan van de Unie geverifieerd of de beveiligingsvoorschriften, -structuren en -procedures kunnen waarborgen dat de vrijgegeven EUCI wordt beschermd volgens normen die niet minder streng zijn dan die welke bij deze verordening zijn vastgesteld;
b) het in artikel 6, lid 8, bedoelde comité voor informatiebeveiliging wordt verzocht om advies uit te brengen op basis van de overeenkomstig punt a) verrichte verificatie, tenzij de operationele omstandigheden onmiddellijke ad-hocvrijgave vereisen, in welk geval het comité voor informatiebeveiliging vervolgens op de hoogte wordt gebracht.
2. Op alle documenten die op grond van dit artikel worden vrijgegeven, wordt een vrijgavemarkering aangebracht met vermelding van het derde land, de internationale organisatie of de instelling of het orgaan van de Unie waaraan zij zijn vrijgegeven.
3. Vóór of bij de daadwerkelijke vrijgave vraagt de instelling of het orgaan van de Unie waardoor de EUCI wordt verstrekt, de ontvangende partij om een schriftelijke verbintenis dat zij de ontvangen EUCI zal beschermen. In voorkomend geval wordt die partij verzocht zich ertoe te verbinden de EUCI te beschermen overeenkomstig de basisbeginselen en minimumnormen van deze verordening.
Hoofdstuk 6
Slotbepalingen
Artikel 59
Uitvoering
1. De coördinatiegroep stelt richtsnoeren inzake informatiebeveiliging op voor de uitvoering van deze verordening.
2. De instellingen en organen van de Unie kunnen op basis van hun specifieke behoeften interne voorschriften vaststellen voor de uitvoering van deze verordening, overeenkomstig artikel 8, lid 2.
Artikel 60
Overgangsbepalingen
1. De interne voorschriften inzake informatiebeveiliging die afzonderlijke instellingen of organen van de Unie vóór [dd/mm/jjjj datum van toepassing] hebben vastgesteld, worden uiterlijk [drie jaar na de inwerkingtreding van deze verordening] geëvalueerd.
2. Alle instellingen en organen van de Unie die vóór [dd/mm/jjjj datum van toepassing] door de Commissie, de Raad of de EDEO geschikt zijn bevonden voor de verwerking en opslag van EUCI, worden geacht te voldoen aan de voorwaarden van artikel 19, lid 1.
3. Administratieve regelingen die de instellingen en organen van de Unie vóór [dd/mm/jjjj datum van toepassing] met derde landen en internationale organisaties hebben gesloten, blijven geldig.
4. Wanneer de lidstaten op het grondgebied waarvan de begunstigden van de subsidieovereenkomst van de Commissie in het kader van het industrieel ontwikkelingsprogramma voor de Europese defensie hebben besloten een specifiek beveiligingskader op te zetten voor de bescherming en verwerking van nationaal gerubriceerde informatie met betrekking tot de betrokken subsidieovereenkomst, zal de Commissie bij de toepassing van de in deze verordening vervatte industriële beveiligingsprocedures dit beveiligingskader in acht nemen tot het einde van de looptijd van de subsidieovereenkomst.
Artikel 61
Monitoring en evaluatie
1. Uiterlijk op [dd/mm/jjjj drie jaar na de datum van toepassing] dient de Commissie bij het Europees Parlement en de Raad een verslag in over de uitvoering van deze verordening.
2. Niet eerder dan [vijf jaar na de datum van toepassing] en vervolgens iedere vijf jaar voert de Commissie een evaluatie van deze verordening uit en brengt zij over de voornaamste bevindingen verslag uit aan het Europees Parlement en de Raad.
Artikel 62
Inwerkingtreding en toepassing
1. Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
2. Zij is van toepassing met ingang van [datum: de eerste dag van de maand volgende op de periode van twee jaar na de datum van inwerkingtreding].
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.