Aanhangsel A Definities

In dit besluit wordt verstaan onder:

‘Homologatie’: het proces dat leidt tot de formele verklaring van de instantie voor beveiligingshomologatie (SAA) dat een systeem mag functioneren met een bepaald rubriceringniveau, in een specifieke beveiligingsmodus in zijn operationele omgeving en op een aanvaardbaar risiconiveau, nadat is vastgesteld dat er een goedgekeurde reeks technische, fysieke, organisatorische en procedurele beveiligingsmaatregelen is ingebouwd;

‘Kritisch bestanddeel’: alles wat van waarde is voor een organisatie, haar bedrijfsactiviteiten en de continuïteit daarvan, met inbegrip van informatiebronnen ter ondersteuning van de opdracht van de organisatie;

‘Machtiging voor toegang tot EUCI’: een besluit van het tot aanstelling bevoegde gezag van het SGR op grond van een van een bevoegde instantie verkregen verzekering dat een functionaris van het SGR, een ander personeelslid of een gedetacheerde nationale deskundige, mits zijn noodzaak tot kennisname is vastgesteld en hij op passende wijze in kennis is gesteld van zijn verantwoordelijkheden, tot op een bepaald niveau CONFIDENTIEL UE/EU CONFIDENTIAL of hoger) en tot een bepaalde datum toegang is verleend tot EUCI;

‘CIS-levenscyclus’: de volledige bestaansduur van een CIS, inhoudende ingebruikname, conceptie, planning, behoefteanalyse, ontwerp, ontwikkeling, testen, implementatie, in bedrijf zijn, onderhoud en buitengebruikstelling;

‘Gerubriceerde opdracht’: een overeenkomst tussen het SGR en een contractant voor de levering van goederen, de uitvoering van werken of de verrichting van diensten waarvan de uitvoering de toegang tot of het genereren van EUCI vereist of behelst;

‘Gerubriceerde onderaanneming’: een overeenkomst tussen een contractant van het SGR en een andere contractant (de subcontractant) voor de levering van goederen, de uitvoering van werken of de verrichting van diensten waarvan de uitvoering de toegang tot of het genereren van EUCI vereist of behelst;

‘Communicatie- en informatiesysteem’ (CIS) — zie artikel 10, lid 2;

‘Contractant’: een natuurlijke persoon of een rechtspersoon die handelingsbekwaam is om overeenkomsten te sluiten;

‘Encryptiemateriaal’: encryptiealgoritmen, hard- en softwaremodules voor encryptie en encryptieproducten, inclusief nadere informatie betreffende de implementatie en bijbehorende documentatie en bedieningsmateriaal;

‘Encryptieproduct’: een product waarvan de functie er hoofdzakelijk en in de eerste plaats in bestaat aan de hand van één of meer encryptiemechanismen een beveiligingsdienst te verlenen (vertrouwelijkheid, integriteit, beschikbaarheid, echtheid, onweerlegbaarheid);

‘EVDB-operatie’: een militaire of civiele crisisbeheersingsoperatie uit hoofde van titel V, hoofdstuk 2, van het VEU;

‘Derubricering’: de opheffing van een rubricering;

‘Verdediging in de diepte’: de toepassing van een reeks beveiligingsmaatregelen in de vorm van meerdere verdedigingslagen;

‘Aangewezen beveiligingsinstantie’ (Designated Security Authority — DSA): een instantie onder het gezag van de nationale beveiligingsinstantie (NSA) van een lidstaat die tot taak heeft industriële of andere entiteiten te informeren over alle aspecten van het nationaal beleid inzake industriële beveiliging, en leiding te geven en bijstand te verlenen bij de uitvoering ervan. De NSA of een andere bevoegde instantie kan de rol van DSA op zich nemen;

‘Document’: opgeslagen informatie, ongeacht de fysieke vorm of de kenmerken daarvan;

‘Rubricering verlagen’: verlaging van het rubriceringsniveau;

‘Gerubriceerde EU-informatie’ (EUCI) — zie artikel 2, lid 1;

‘Veiligheidsmachtiging voor een vestiging’ (VMV): een administratieve beslissing van een NVI of AVI waaruit blijkt dat de vestiging vanuit beveiligingsoogpunt een afdoend niveau van bescherming biedt voor EUCI met een bepaalde rubriceringsgraad;

‘Verwerking’ van EUCI: alle mogelijke handelingen waaraan EUCI tijdens de gehele levenscyclus kan worden onderworpen. Hiertoe behoren het genereren, verwerken, vervoeren, rubricering verlagen, declassificeren en vernietigen van de informatie. Met betrekking tot CIS behoren hiertoe ook het verzamelen, tonen, overdragen en opslaan ervan;

‘Houder’: een naar behoren gemachtigde persoon van wie de noodzaak tot kennisname vaststaat en die EUCI in zijn bezit heeft en derhalve voor de bescherming daarvan verantwoordelijk is;

‘Industriële of andere entiteit’: een entiteit die betrokken is bij de levering van goederen, de uitvoering van werken of de verlening van diensten; het kan hierbij gaan om entiteiten die actief zijn op het gebied van industrie, handel, diensten, wetenschappen, onderzoek, onderwijs of ontwikkeling, of om een zelfstandige;

‘Industriële beveiliging’ — zie artikel 11, lid 1;

‘Information assurance’ — zie artikel 10, lid 1;

‘Interconnectie’ — zie bijlage IV, punt 32;

‘Beheer van gerubriceerde informatie’ — zie artikel 9, lid 1;

‘Materiaal’: een document, gegevensdrager of enigerlei onderdeel van machines of uitrustingen die zijn of worden vervaardigd;

‘Bron’: de instelling, het orgaan of de instantie of de lidstaat van de Europese Unie, een derde staat of een internationale organisatie onder het gezag waarvan gerubriceerde informatie is gegenereerd en/of ingevoerd in de structuren van de Europese Unie;

‘Personeelsgerelateerde beveiliging’ — zie artikel 7, lid 1;

‘Persoonlijke veiligheidsmachtiging’ (PVM): een verklaring van een bevoegde instantie van een lidstaat, die wordt afgelegd na de voltooiing van een veiligheidsonderzoek door de bevoegde instanties van die lidstaat, waarbij wordt bevestigd dat de betrokkene tot een bepaalde datum toegang mag hebben tot EUCI tot een bepaald niveau (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger);

‘Certificaat van veiligheidsmachtiging voor personen’ (CVMP): een door een bevoegde instantie afgegeven certificaat waarin wordt bevestigd dat de betrokkene gescreend is en in het bezit is van een geldige veiligheidsmachtiging voor personen of machtiging van het tot aanstelling bevoegde gezag voor toegang tot EUCI, en dat de rubriceringsgraad vermeldt van EUCI waartoe hij toegang mag hebben (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger), alsook de geldigheidsduur van de BMP en de datum waarop de geldigheid van het certificaat zelf afloopt;

‘Fysieke beveiliging’ — zie artikel 8, lid 1;

‘Programma-/projectbeveiligingsinstructie’ (PBI): een lijst van beveiligingsprocedures die op een specifiek programma/project worden toegepast om de beveiligingsprocedures te standaardiseren. Het kan gedurende de gehele looptijd van het programma/project worden herzien;

‘Registratie’ — zie bijlage III, punt 18;

‘Overblijvend risico’: het risico dat blijft bestaan nadat er beveiligingsmaatregelen zijn genomen, aangezien niet alle dreigingen worden tegengegaan en niet alle kwetsbaarheden kunnen worden weggenomen;

‘Risico’: de mogelijkheid dat een bepaalde dreiging de interne en externe kwetsbaarheden van een organisatie of een van de door haar gebruikte systemen zal uitbuiten en daarbij schade zal toebrengen aan de organisatie en haar materiële en immateriële kritische bestanddelen. Risico wordt gemeten als een combinatie van de waarschijnlijkheid dat dreigingen zich zullen voordoen en het effect daarvan;

‘Memorandum over de beveiligingsaspecten’ (MBA): een geheel van bijzondere, door de aanbestedende instantie uitgevaardigde contractvoorwaarden die een integrerend deel vormen van een gerubriceerde opdracht die de toegang tot of het genereren van EUCI behelst, en waarin de beveiligingseisen of de elementen van de opdracht die beveiligd moeten worden, worden genoemd;

‘Gids voor rubricering’ (GBR): een document waarin wordt bepaald welke elementen van een programma of opdracht gerubriceerd zijn en wat de toepasselijke rubriceringsgraden zijn. De GBR kan gedurende de looptijd van het programma of de opdracht worden uitgebreid en de informatie kan opnieuw of lager worden gerubriceerd; als er een GBR is, is het een onderdeel van het MBA;

‘Veiligheidsonderzoek’: de onderzoeksprocedures die de bevoegde instantie van een lidstaat overeenkomstig de nationale wet- en regelgeving uitvoert om zekerheid te krijgen dat er geen negatieve feiten bekend zijn waardoor de betrokkene niet in aanmerking zou komen voor een PVM of een machtiging voor toegang tot EUCI tot op een bepaald niveau (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger);

‘Beveiligingsmodus’: de vaststelling van de voorwaarden waaronder een CIS functioneert, op basis van de rubricering van de verwerkte informatie en de machtigingsgraden, de formele goedkeuringen inzake toegang en de noodzaak tot kennisname van de gebruikers ervan. Er zijn vier modi voor het verwerken en overdragen van gerubriceerde informatie: de gededicaceerde modus, de system-highmodus, de compartimenteringsmodus en de multilevelmodus;

‘Proces inzake het beheer van beveiligingsrisico's’: het volledige proces van het vaststellen, onder controle houden en tot een minimum beperken van onzekere gebeurtenissen die de beveiliging van een organisatie of de door haar gebruikte systemen kunnen treffen. Het bestrijkt alle risicogebonden activiteiten, met inbegrip van beoordeling, behandeling, aanvaarding en communicatie;

‘TEMPEST’: het onderzoeken en bestuderen van en het toezicht houden op compromitterende elektromagnetische emissies en de maatregelen om ze te bestrijden;

‘Dreiging’: een mogelijke oorzaak van een ongewenst incident dat kan leiden tot schade aan een organisatie of de door haar gebruikte systemen; zulke dreigingen kunnen onopzettelijk op opzettelijk (kwaadwillig) zijn, en worden gekenmerkt door bedreigende elementen, mogelijke doelwitten en aanvalsmethoden;

‘Kwetsbaarheid’: een zwakte van eender welke aard die door één of meer dreigingen kan worden uitgebuit. Kwetsbaarheid kan bestaan in nalatigheid of kan verband houden met onvoldoende strenge, onvolledige of onsamenhangende controles en kan van technische, procedurele, fysieke, organisatorische of operationele aard zijn.