Besluit 2013/488/EU beveiligingsvoorschriften bescherming gerubriceerde EU-informatie:bijlage II

Besluit 2013/488/EU beveiligingsvoorschriften bescherming gerubriceerde EU-informatie

Bijlage II Fysieke beveiliging

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

I. Inleiding

1

Deze bijlage bevat bepalingen ter uitvoering van artikel 8. Er worden minimumvoorschriften vastgesteld voor de fysieke beveiliging van locaties, gebouwen, bureaus, ruimten en andere zones waar EUCI wordt verwerkt en opgeslagen, evenals zones waar CIS zijn ondergebracht.

2

Fysieke beveiligingsmaatregelen zijn bedoeld om de toegang zonder machtiging tot EUCI te voorkomen door:

a)

ervoor te zorgen dat EUCI op passende wijze wordt verwerkt en opgeslagen;

b)

op basis van het ‘noodzaak tot kennisname’-beginsel en, in voorkomend geval, van hun veiligheidsmachtiging een onderscheid tussen personeelsleden mogelijk te maken wat de toegang tot EUCI betreft;

c)

acties waarvoor geen toestemming is verleend af te schrikken, tegen te houden en op te sporen, en

d)

het door list of geweld binnendringen te verhinderen of te vertragen.

II. Vereisten en maatregelen inzake fysieke beveiliging

3

De fysieke beveiligingsmaatregelen worden geselecteerd op basis van de dreigingsbeoordeling door de bevoegde instanties. Het SGR en de lidstaten passen ieder een risicobeheerprocedure toe ter bescherming van EUCI in hun gebouwen, teneinde ervoor te zorgen dat een fysieke bescherming wordt geboden die overeenstemt met het ingeschatte risico. In de risicobeheerprocedure wordt rekening gehouden met alle relevante factoren, met name:

a)

de rubriceringsgraad van de EUCI;

b)

de vorm en omvang van de EUCI, waarbij in aanmerking moet worden genomen dat grote hoeveelheden of een compilatie van EUCI de toepassing van striktere beschermingsmaatregelen kunnen vergen;

c)

de omgeving en de structuur van de gebouwen of zones waar EUCI ondergebracht is, en

d)

de beoordeelde dreiging die uitgaat van inlichtingendiensten die zich richten op de Europese Unie of de lidstaten en van sabotage, terrorisme en subversieve of andere criminele activiteiten.

4

De bevoegde beveiligingsinstantie stelt aan de hand van het begrip ‘defence in depth’ vast welke passende combinatie van fysieke beveiligingsmaatregelen moet worden getroffen. Deze maatregelen kunnen zijn:

a)

een afsluiting: een fysieke barrière ter verdediging van de grens van een zone die bescherming behoeft;

b)

indringerdetectiesystemen (intrusion detection systems, hierna: ‘IDS’): een IDS kan worden gebruikt om het beveiligingsniveau van de afsluiting te verhogen, of in lokalen en gebouwen om beveiligingspersoneel te vervangen of te ondersteunen;

c)

toegangscontrole: er kan toegangscontrole worden uitgeoefend voor een locatie, een gebouw of gebouwen op een locatie of voor zones of ruimten in een gebouw. De controle kan elektronisch of elektromechanisch worden verricht, door beveiligingspersoneel en/of een receptionist, of met enig ander fysiek hulpmiddel;

d)

beveiligingspersoneel: beveiligingspersoneel dat een opleiding heeft gekregen, onder toezicht werkt en, in voorkomend geval, een gedegen veiligheidsonderzoek heeft ondergaan, kan onder meer worden ingezet om personen af te schrikken die overwegen heimelijk binnen te dringen;

e)

gesloten tv-circuit (hierna: ‘CCTV’): een gesloten tv-circuit kan door beveiligingspersoneel worden gebruikt om incidenten en IDS-alarmen op grote locaties of aan de afsluitingen te controleren;

f)

beveiligingsverlichting: beveiligingsverlichting kan worden gebruikt om mogelijke indringers af te schrikken en biedt daarnaast de noodzakelijke verlichting voor effectieve bewaking die rechtstreeks door beveiligingspersoneel dan wel onrechtstreeks via een gesloten tv-circuit geschiedt, en

g)

alle andere passende fysieke maatregelen om ongeoorloofde toegang te ontmoedigen of op te sporen of om verlies of beschadiging van EUCI te voorkomen.

5

De bevoegde instantie kan worden gemachtigd om controles uit te voeren bij het in- en uitgaan, ter afschrikking van het ongeoorloofd binnenbrengen van materiaal in, of het ongeoorloofd verwijderen van EUCI uit een locatie of gebouw.

6

Als het risico bestaat dat EUCI van buitenaf wordt waargenomen, zelfs per ongeluk, worden passende maatregelen genomen om dit risico te voorkomen.

7

Voor nieuwe voorzieningen worden fysieke beveiligingsvereisten en functiespecificaties reeds bij het plannen en ontwerpen vastgesteld. Voor bestaande voorzieningen worden fysieke beveiligingsvereisten in de hoogst mogelijke mate uitgevoerd.

III. Uitrusting voor de fysieke bescherming van EUCI

8

Bij de aanschaf van uitrusting (zoals beveiligingsopbergmiddelen, papierversnipperaars, deursloten, elektronische systemen voor toegangscontrole, indringerdetectiesystemen, alarmsystemen) voor de fysieke bescherming van EUCI ziet de bevoegde beveiligingsinstantie erop toe dat de uitrusting in overeenstemming is met de goedgekeurde technische normen en minimumvoorschriften.

9

De technische specificaties van uitrusting die bestemd is voor de fysieke bescherming van EUCI worden vastgelegd in beveiligingsrichtlijnen die door het Beveiligingscomité moeten worden goedgekeurd.

10

De beveiligingssystemen worden geregeld geïnspecteerd en de uitrusting wordt regelmatig onderhouden. Bij de onderhoudswerkzaamheden wordt met het resultaat van de inspecties rekening gehouden om te garanderen dat de uitrusting optimaal blijft werken.

11

De effectiviteit van individuele beveiligingsmaatregelen en van het gehele beveiligingssysteem wordt bij iedere inspectie getoetst.

IV. Fysiek beschermde zones

12

Voor de fysieke bescherming van EUCI worden twee soorten fysiek beschermde zones, of de nationale equivalenten ervan, ingesteld:

a)

administratieve zones, en

b)

beveiligde zones (waaronder technisch beveiligde zones).

In dit besluit slaan alle verwijzingen naar administratieve zones en beveiligde zones, waaronder technisch beveiligde zones, ook op de nationale equivalenten daarvan.

13

De bevoegde beveiligingsinstantie bepaalt dat een zone voldoet aan de eisen om te worden aangewezen als administratieve zone, beveiligde zone of technisch beveiligde zone.

14

Voor administratieve zones:

a)

wordt een duidelijk omschreven afscheiding ingesteld waar personen en indien mogelijk voertuigen kunnen worden gecontroleerd;

b)

wordt toegang zonder begeleiding alleen toegestaan aan personen die naar behoren door de bevoegde instantie gemachtigd zijn, en

c)

worden alle andere personen altijd begeleid of aan gelijkwaardige controles onderworpen.

15

Voor beveiligde zones:

a)

wordt een duidelijk omschreven, beschermde afscheiding ingesteld waar elk in- en uitgaan wordt gecontroleerd middels een pasje of een systeem van persoonsherkenning;

b)

wordt toegang zonder begeleiding alleen verleend aan personen die een veiligheidsonderzoek hebben ondergaan en specifiek gemachtigd zijn om de zone te betreden op basis van hun noodzaak tot kennisname, en

c)

worden alle andere personen altijd begeleid of aan gelijkwaardige controles onderworpen.

16

Wanneer het betreden van een beveiligde zone in de praktijk neerkomt op rechtstreekse toegang tot de gerubriceerde informatie die zich daar bevindt, zijn daarnaast de volgende aanvullende voorschriften van toepassing:

a)

de hoogste rubriceringsgraad van de informatie die normaal in de zone worden bewaard, wordt duidelijk aangegeven;

b)

alle bezoekers moeten een specifieke machtiging bezitten om de zone te betreden, moeten altijd worden begeleid en moeten passend gescreend zijn, tenzij het nodige wordt gedaan opdat dat geen toegang tot EUCI mogelijk is.

17

Beveiligde zones die tegen afluisteren zijn beschermd, worden als technisch beveiligde zones aangemerkt. Daarnaast zijn de volgende aanvullende voorschriften van toepassing:

a)

de zones worden uitgerust met IDS, worden afgesloten wanneer ze niet worden gebruikt en bewaakt wanneer ze in gebruik zijn. Sleutels worden gecontroleerd overeenkomstig afdeling VI;

b)

alle personen en goederen die deze zones binnenkomen, worden gecontroleerd;

c)

deze zones worden aan regelmatige fysieke en/of technische inspecties onderworpen, zoals vereist door de bevoegde beveiligingsinstantie. Die inspecties worden ook verricht nadat de zones door onbevoegden zijn betreden of indien dit wordt vermoed, en

d)

deze zones zijn vrij van ongeoorloofde communicatielijnen of telefoons of andere ongeoorloofde communicatieapparatuur en elektrische of elektronische apparatuur.

18

Niettegenstaande punt 17, onder d), moet communicatieapparatuur en elektrische en elektronische apparatuur van welke aard ook, voordat zij wordt gebruikt in zones waar vergaderingen plaatsvinden of werk wordt verricht in verband met informatie met rubricering SECRET UE/EU SECRET en hoger, wanneer de dreiging voor EUCI als hoog wordt beoordeeld, eerst door de bevoegde beveiligingsinstantie worden onderzocht om ervoor te zorgen dat geen begrijpelijke informatie door die apparatuur onbedoeld of op illegale wijze kan worden doorgegeven tot buiten de perimeter van de betrokken beveiligde zone.

19

Beveiligde zones waar niet op 24-uursbasis dienstdoend personeel aanwezig is, worden, in voorkomend geval, aan het eind van de normale werktijd geïnspecteerd, alsook buiten de normale werktijd met willekeurige tussenpozen, tenzij er een indringerdetectiesysteem is.

20

Beveiligde zones en technische beveiligde zones kunnen binnen een administratieve zone tijdelijk worden ingesteld voor een gerubriceerde vergadering of een soortgelijk doel.

21

Voor iedere beveiligde zone worden operationele beveiligingsprocedures opgesteld, waarbij het volgende wordt vastgesteld:

a)

het niveau van de EUCI die in die zone mag worden verwerkt en opgeslagen;

b)

de te handhaven bewakings- en beschermingsmaatregelen;

c)

de personen die op grond van hun noodzaak tot kennisname en veiligheidsmachtiging zonder begeleiding toegang mogen hebben tot de zone;

d)

in voorkomend geval, de procedures inzake begeleiding of inzake bescherming van EUCI wanneer aan anderen toegang tot de zone wordt verleend, en

e)

andere relevante maatregelen en procedures.

22

Binnen de beveiligde zones worden kluizen geïnstalleerd. De muren, vloeren, plafonds, ramen en afsluitbare deuren moeten door de bevoegde beveiligingsinstantie worden goedgekeurd en een gelijkwaardig beschermingsniveau bieden als de beveiligingsopbergmiddelen die zijn goedgekeurd voor de opslag van EUCI met dezelfde rubriceringsgraad.

V. Fysieke beveiligingsmaatregelen voor het verwerken en opslaan van EUCI

23

EUCI met rubricering RESTREINT UE/EU RESTRICTED mag worden verwerkt:

a)

in een beveiligde zone;

b)

in een administratieve zone, als de EUCI wordt beschermd tegen toegang door onbevoegden, of

c)

buiten een beveiligde of een administratieve zone, als de houder EUCI vervoert overeenkomstig de punten 28 tot en met 41 van bijlage III en heeft toegezegd zich te zullen houden aan de in de beveiligingsinstructies van de bevoegde beveiligingsinstantie opgenomen compenserende maatregelen ter bescherming van EUCI tegen toegang van onbevoegden.

24

EUCI met rubricering RESTREINT UE/EU RESTRICTED wordt opgeslagen in daarvoor geschikt afgesloten kantoormeubilair in een administratieve zone of een beveiligde zone. De informatie mag tijdelijk buiten een beveiligde of een administratieve zone worden opgeslagen, als de houder heeft toegezegd zich te zullen houden aan compenserende maatregelen volgens de beveiligingsinstructies van de bevoegde beveiligingsinstantie.

25

EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET mag worden verwerkt:

a)

in een beveiligde zone;

b)

in een administratieve zone, als de EUCI wordt beschermd tegen toegang door onbevoegden, of

c)

buiten een beveiligde zone of een administratieve zone als de houder:

i)

de EUCI vervoert overeenkomstig de punten 28 tot en met 41 van bijlage III;

ii)

heeft toegezegd zich te zullen houden aan de in de beveiligingsinstructies van de bevoegde beveiligingsinstantie opgenomen compenserende maatregelen ter bescherming van EUCI tegen toegang van onbevoegden;

iii)

de EUCI te allen tijde onder zijn persoonlijke controle houdt, en

iv)

in het geval van documenten op papier, het desbetreffend register op de hoogte heeft gebracht.

26

EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET wordt in een beveiligde zone opgeslagen in hetzij een beveiligingsopbergmiddel, hetzij een kluis.

27

EUCI met rubricering TRÈS SECRET UE/EU TOP SECRET wordt verwerkt in een beveiligde zone.

28

EUCI met rubricering TRÈS SECRET UE/EU TOP SECRET wordt opgeslagen in een beveiligde zone, op één van de volgende manieren:

a)

in een beveiligingsopbergmiddel overeenkomstig punt 8 met één of meer van de volgende aanvullende controles:

i)

permanente bescherming of verificatie door beveiligingspersoneel of dienstdoend personeel in het bezit van een veiligheidsmachtiging;

ii)

een goedgekeurd IDS in combinatie met interventiebeveiligingspersoneel, of

b)

in een met een IDS uitgeruste kluis in combinatie met interventiebeveiligingspersoneel.

29

De voorschriften voor het vervoeren van EUCI buiten fysiek beveiligde zones staan in bijlage III.

VI. Controle van sleutels en codecombinaties die worden gebruikt voor de bescherming van EUCI

30

De bevoegde beveiligingsinstantie stelt procedures vast voor het beheer van sleutels en codecombinaties voor kantoren, lokalen, kluizen en beveiligingsopbergmiddelen. Die procedures bieden bescherming tegen ongeoorloofde toegang.

31

De codecombinaties worden gememoriseerd door het kleinst mogelijke aantal personen die er kennis van moeten nemen. De codecombinaties van beveiligingsopbergmiddelen en kluizen waarin EUCI wordt opgeslagen, worden gewijzigd:

a)

bij ontvangst van nieuwe opbergmiddelen;

b)

in geval van een wijziging in het personeel dat de combinatie kent;

c)

bij compromitteren of het vermoeden ervan;

d)

wanneer een slot in onderhoud of in herstelling is geweest, en

e)

ten minste om de twaalf maanden.

Deze functie is alleen te gebruiken als je bent ingelogd.