Bijlage V Industriële beveiliging

Deze bijlage bevat bepalingen ter uitvoering van artikel 11. De bijlage bevat algemene beveiligingsbepalingen die voor industriële of andere entiteiten gelden in precontractuele onderhandelingen en gedurende de levenscyclus van gerubriceerde opdrachten die het SGR gunt.

De Raad stelt richtsnoeren inzake industriële beveiliging vast waarin in het bijzonder uitvoerige vereisten worden geformuleerd inzake VMV's, memoranda over de beveiligingsaspecten (MBA's), bezoeken, overdracht en vervoer van EUCI.

Een VMV wordt verleend door de NSA of DSA of een andere bevoegde instantie van een lidstaat en toont overeenkomstig de nationale wetten en regelgeving aan dat een industriële of andere entiteit binnen haar vestigingen in staat is EUCI te beschermen op het vereiste rubriceringsniveau (CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET). Voordat aan een contractant of subcontractant of mogelijke contractant of subcontractant EUCI mag worden verstrekt of toegang tot EUCI mag worden verleend, wordt de machtiging overgelegd aan het SGR, als aanbestedende instantie.

Wanneer de betrokken NSA of DSA een VMV afgeeft, zal zij op zijn minst:

In voorkomend geval deelt het SGR, als aanbestedende instantie, de NSA/DSA of een andere bevoegde beveiligingsinstantie mee dat in de precontractuele fase of voor de uitvoering van de opdracht een VMV vereist is. Een VMV of een BMP wordt verlangd in de precontractuele fase waarin EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET moet worden verstrekt in het stadium van de offertes.

De aanbestedende instantie kent geen gerubriceerde toe opdracht aan een geselecteerde inschrijver zonder van de NSA/DSA of een andere bevoegde beveiligingsinstantie van de lidstaat waar de contractant of subcontractant is geregistreerd, een bevestiging te hebben ontvangen dat er, indien zulks vereist is, een VMV is afgegeven.

De NSA/DSA of een andere bevoegde beveiligingsinstantie die een VMV heeft afgegeven brengt het SGR, de aanbestedende instantie, op de hoogte van wijzigingen die de VMV betreffen. Bij onderaanneming worden de NSA/DSA of een andere bevoegde beveiligingsinstantie op de hoogte gebracht.

Intrekking van een VMV door de NSA/DSA of andere bevoegde nationale beveiligingsinstantie biedt het SGR, de aanbestedende instantie, voldoende redenen om een gerubriceerde opdracht te beëindigen of een inschrijver uit te sluiten van mededinging.

Wanneer in de precontractuele fase EUCI wordt verstrekt aan een inschrijver, bevat de uitnodiging tot inschrijving een bepaling die de inschrijver die uiteindelijk geen offerte doet, of die niet wordt geselecteerd, verplicht alle gerubriceerde documenten binnen een bepaalde termijn terug te zenden.

Zodra een gerubriceerde opdracht of opdracht in onderaanneming is gegund, deelt het SGR, als aanbestedende instantie, de NSA/DSA of een andere bevoegde beveiligingsinstantie van de contractant of subcontractant de beveiligingsbepalingen van de gerubriceerde opdracht mee.

Wanneer zulke opdrachten aflopen, deelt het SGR, als aanbestedende dienst (en/of, bij onderaanneming, de NSA/DSA of een andere bevoegde beveiligingsinstantie, naargelang het geval) dit mee aan de NSA/DSA of een andere bevoegde beveiligingsinstantie van de lidstaat waar de contractant of subcontractant is geregistreerd.

Als algemene regel geldt dat de contractant of subcontractant alle EUCI die hij in zijn bezit heeft, na voltooiing van de gerubriceerde opdracht of onderaanneming moet terugbezorgen aan de aanbestedende instantie.

In het MBA worden specifieke bepalingen opgenomen voor het verwijderen van EUCI tijdens de uitvoering van een opdracht of bij de voltooiing ervan.

Wanneer de contractant of subcontractant gemachtigd is EUCI te houden na voltooiing van een opdracht, blijven de minimumnormen van dit besluit van toepassing en wordt de vertrouwelijkheid van EUCI door de contractant of subcontractant beschermd.

De voorwaarden waaronder een contractant een beroep kan doen op subcontractanten worden in de aanbesteding en de opdracht omschreven.

Een contractant krijgt van het SGR, de aanbestedende instantie, toestemming voordat hij delen van een gerubriceerde opdracht uitbesteedt aan een onderaannemer. Industriële of andere entiteiten die geregistreerd zijn in een land dat geen lidstaat van de Europese Unie is en geen informatiebeveiligingsovereenkomst met de Europese Unie heeft, mogen niet als subcontractant worden ingeschakeld.

Het is de verantwoordelijkheid van de contractant te garanderen dat alle onderaannemingsactiviteiten verlopen in overeenstemming met de minimumnormen van dit besluit en de contractant mag geen EUCI doorgeven aan een subcontractant zonder voorafgaande schriftelijke toestemming van de aanbestedende instantie.

Wat betreft EUCI die door de contractant of subcontractant wordt gegenereerd of verwerkt, oefent de aanbestedende instantie de rechten van de bron uit.

Wanneer het SGR of personeel van contractanten of subcontractanten voor de uitvoering van een gerubriceerde opdracht in elkaars ruimten toegang vragen tot als CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET gerubriceerde informatie, worden in overleg met de NSA/DSA's of een andere bevoegde beveiligingsinstantie bezoeken georganiseerd. In het kader van specifieke projecten kunnen de NSA/DSA's echter ook een procedure overeenkomen waarmee zulke bezoeken rechtstreeks kunnen worden georganiseerd.

Alle bezoekers beschikken over een passende BMP en hebben een ‘need-to-know’ voor toegang tot de EUCI met betrekking tot de opdracht van het SGR.

Bezoekers krijgen uitsluitend toegang tot de EUCI die verband houdt met het doel van het bezoek.

Op de overdracht van EUCI met elektronische middelen zijn artikel 10 en bijlage IV van toepassing.

Op het vervoer van EUCI is bijlage III van toepassing, overeenkomstig de nationale wet- en regelgeving.

Wat het vervoer van gerubriceerd materiaal als vracht betreft, worden bij de opstelling van regeling inzake beveiliging de volgende beginselen toegepast:

EUCI wordt overgedragen aan contractanten en subcontractanten in derde staten overeenkomstig de beveiligingsmaatregelen die zijn overeengekomen door het SGR, als aanbestedende dienst, en de NSA/DSA van de derde staat in kwestie waar de contractant is geregistreerd.

Samen, waar nodig, met de NSA/DSA van de lidstaat, is het SGR, als aanbestedende instantie, op basis van contractuele bepalingen gerechtigd inspecties te verrichten van vestigingen van contractanten/subcontractanten om na te gaan of, zoals in de opdracht wordt vereist, de beveiligingsmaatregelen ter zake zijn getroffen voor de bescherming van EUCI van het niveau RESTREINT UE/EU RESTRICTED.

Voor zover dat nodig is volgens de nationale wet- en regelgeving, worden NSA's/DSA's of andere bevoegde beveiligingsinstanties door het SGR, als aanbestedende dienst, in kennis gesteld van opdrachten of opdrachten in onderaanneming die informatie met rubricering RESTREINT UE/EU RESTRICTED bevatten.

Een VMV of een BMP voor contractanten of subcontractanten en hun personeel is niet vereist voor opdrachten van het SGR, die als RESTREINT UE/EU RESTRICTED gerubriceerde informatie bevatten.

Het SGR bestudeert, als aanbestedende dienst, de reacties op de uitnodigingen tot inschrijving voor opdrachten waarvoor toegang tot als RESTREINT UE/EU RESTRICTED gerubriceerde informatie nodig is, ongeacht eventuele vereisten met betrekking tot VMV of BMP uit hoofde van nationale wet- en regelgeving.

De voorwaarden voor uitbesteding in onderaanneming door de contractant zijn in overeenstemming met het bepaalde in punt 21.

Wanneer een opdracht de verwerking van informatie met rubricering RESTREINT UE/EU RESTRICTED in een door een contractant geëxploiteerd CIS behelst, zorgt het SGR, als aanbestedende dienst, ervoor dat in het contract of de onderaanneming de nodige technische en administratieve eisen worden gespecificeerd met betrekking tot de homologatie van het CIS in overeenstemming met het ingeschatte risico, rekening houdend met alle belangrijke factoren. Hoe ver de homologatie van een dergelijke CIS reikt, wordt door de aanbestedende dienst en de betrokken NSA/DSA bepaald.