Bijlage II

Deze veiligheidsmededeling bevat de voorschriften voor het beheer van vertrouwelijke informatie door het Parlement.

Wanneer hij vertrouwelijke informatie genereert, beoordeelt de opsteller het vertrouwelijkheidsniveau en beslist hij op basis van de in deze veiligheidsmededeling vermelde beginselen over de rubricering of markering van die informatie.

Het besluit om een document te rubriceren, moet worden genomen voordat het document wordt opgesteld. Als informatie als EUCI wordt gerubriceerd, houdt dit in dat vooraf is beoordeeld hoe vertrouwelijk deze is en dat de opsteller ervan heeft besloten dat de ongeoorloofde openbaarmaking van deze informatie de belangen van de Europese Unie of van een of meer lidstaten of personen in meerdere of mindere mate zou kunnen schaden.

Als eenmaal is besloten de informatie te rubriceren, volgt een tweede beoordeling om het passende rubriceringsniveau te bepalen. Het rubriceringsniveau van een document wordt bepaald naar gelang van het niveau van gevoeligheid van de inhoud.

De verantwoordelijkheid voor het rubriceren van informatie berust uitsluitend bij de opsteller. Ambtenaren van het Parlement rubriceren informatie op instructie van of volgens een delegatie van de secretaris-generaal.

Met rubricering moet op een correcte en zuinige wijze worden omgesprongen. De opsteller van een te rubriceren document moet weerstand bieden aan elke neiging om het document te hoog of te laag te rubriceren.

Het rubriceringsniveau dat de informatie krijgt, bepaalt de mate van bescherming die eraan wordt verleend op het vlak van persoonsgerelateerde beveiliging, fysieke beveiliging, procedurele beveiliging en IA.

Informatie die aanleiding geeft tot rubricering moet als zodanig worden gemarkeerd en verwerkt, ongeacht de fysieke vorm ervan. De rubricering ervan moet duidelijk aan de ontvangers kenbaar worden gemaakt, in de vorm van een rubriceringsmarkering (als de informatie in geschreven vorm wordt verstrekt, op papier of binnen een CIS) of een mededeling (als de informatie mondeling wordt verstrekt, tijdens een gesprek of een vergadering achter gesloten deuren). Gerubriceerd materiaal moet fysiek worden gemarkeerd zodat het rubriceringsniveau duidelijk zichtbaar is.

EUCI in elektronische vorm mag alleen binnen een geaccrediteerd CIS worden gecreëerd. De gerubriceerde informatie zelf alsmede de bestandsnaam en het opslagmedium (indien dit extern is, bijvoorbeeld cd-rom's of USB-sticks) moeten altijd een rubriceringsmarkering hebben die overeenkomt met het rubriceringsniveau ervan.

Informatie moet worden gerubriceerd zodra zij vorm krijgt. Persoonlijke aantekeningen, kladteksten of e-mails waarin informatie staat die aanleiding geeft tot rubricering moeten direct als EUCI worden gemarkeerd en worden geproduceerd en verwerkt overeenkomstig de fysieke en technische eisen van de instructies voor behandeling. Deze informatie kan later de vorm aannemen van een officieel document dat eveneens op passende wijze zal worden gemarkeerd en verwerkt. Het is mogelijk dat een officieel document tijdens het redactieproces opnieuw moet worden beoordeeld en, naarmate het evolueert, een hogere of lagere rubricering moet krijgen.

De opsteller kan besluiten een standaardrubriceringsniveau toe te kennen aan categorieën informatie die hij regelmatig genereert. De opsteller moet er echter wel voor zorgen dat hij daarbij niet stelselmatig afzonderlijke delen informatie te hoog of te laag rubriceert.

EUCI moet altijd een rubriceringsmarkering hebben die overeenkomt met het rubriceringsniveau ervan.

‘Andere vertrouwelijke informatie’ wordt gemarkeerd overeenkomstig punt E van deze veiligheidsmededeling en de instructies voor behandeling.

Alleen personen die daartoe krachtens dit besluit bevoegd zijn of die daartoe door de SA zijn gemachtigd, mogen vertrouwelijke informatie genereren.

Vertrouwelijke informatie mag niet in documentenbeheersystemen voor internet of intranet worden opgenomen.

Beveiligingsindicatoren en markeringen in documenten zijn bedoeld om de informatiestroom in goede banen te leiden en de toegang tot vertrouwelijke informatie te beperken op basis van het ‘need to know’-beginsel.

Wanneer beveiligingsindicatoren en markeringen worden gebruikt of toegevoegd, moet erop worden gelet geen verwarring te creëren met de EUCI-rubricering, namelijk ‘RESTREINT UE/EU RESTRICTED’, ‘CONFIDENTIEL UE/EU CONFIDENTIAL’, ‘SECRET UE/EU SECRET’ en ‘TRES SECRET UE/EU TOP SECRET’.

Specifieke regels voor het gebruik van beveiligingsindicatoren en markeringen, alsook de lijst van goedgekeurde beveiligingsmarkeringen van het Europees Parlement, worden vastgesteld in de instructies voor behandeling.

Binnen het Parlement is alleen de CIU bevoegd om informatie die als ‘CONFIDENTIEL UE/EU CONFIDENTIAL’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, van derde partijen te ontvangen.

Zowel de CIU als het bevoegde parlementaire orgaan/de bevoegde parlementaire ambtsdrager kunnen verantwoordelijk zijn voor de ontvangst van informatie die als ‘RESTREINT UE/EU RESTRICTED’ of op een gelijkwaardig niveau is gerubriceerd en ‘andere vertrouwelijke informatie’ van derde partijen en voor de toepassing van de in deze veiligheidsmededeling vermelde beginselen.

Registratie betekent de toepassing van procedures voor het optekenen van de levenscyclus van vertrouwelijke informatie, ook de verspreiding, raadpleging en vernietiging ervan.

Voor de toepassing van deze veiligheidsmededeling betekent logboek een register waarin met name de datum en het tijdstip worden genoteerd waarop vertrouwelijke informatie:

De opsteller van gerubriceerde informatie is verantwoordelijk voor het markeren van de initiële verklaring bij het genereren van een document die dergelijke informatie bevat. Die verklaring wordt aan de CIU meegedeeld wanneer het document wordt gegenereerd.

Informatie die als ‘CONFIDENTIEL UE/EU CONFIDENTIAL’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, mag alleen voor veiligheidsdoeleinden in een CIS worden geregistreerd. Informatie die als ‘RESTREINT UE/EU RESTRICTED’ of op een gelijkwaardig niveau is gerubriceerd en ‘andere vertrouwelijke informatie’ die van derde partijen is ontvangen, wordt door de dienst die verantwoordelijk is voor de officiële ontvangst van het document, d.w.z. hetzij de CIU, hetzij het secretariaat van het parlementaire orgaan/de parlementaire ambtsdrager, voor administratieve doeleinden geregistreerd. Binnen het Parlement geproduceerde ‘andere vertrouwelijke informatie’ wordt voor administratieve doeleinden geregistreerd door de opsteller.

Informatie die als ‘CONFIDENTIEL UE/CONFIDENTIEL EU’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, wordt met name geregistreerd wanneer deze:

Informatie die als ‘RESTREINT UE/EU RESTRICTED’ of op een gelijkwaardig niveau is gerubriceerd, wordt met name geregistreerd wanneer deze:

De registratie van vertrouwelijke informatie kan hetzij op papier, hetzij in een elektronisch logboek/CIS geschieden.

In het geval van informatie die als ‘RESTREINT UE/EU RESTRICTED’ of op een gelijkwaardig niveau is gerubriceerd en ‘andere vertrouwelijke informatie’ wordt ten minste het volgende geregistreerd:

In het geval van informatie die als ‘CONFIDENTIEL UE/CONFIDENTIEL EU’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd wordt ten minste het volgende geregistreerd:

Logboeken worden zo nodig gerubriceerd of gemarkeerd. Logboeken voor informatie die als ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, moeten op hetzelfde niveau worden gerubriceerd.

Gerubriceerde informatie mag worden geregistreerd:

Indien de informatie elektronisch wordt verwerkt binnen het CIS, mogen de registratieprocedures verlopen met de middelen binnen het CIS zelf die aan gelijkwaardige eisen als bovengenoemde eisen voldoen. Wanneer EUCI het CIS verlaat, is bovengenoemde registratieprocedure van toepassing.

Het CIS registreert alle gerubriceerde informatie die door het Parlement wordt vrijgegeven aan derden en van gerubriceerde informatie die van derden wordt ontvangen.

Als de registratie van informatie die als ‘CONFIDENTIEL UE/CONFIDENTIEL EU’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, eenmaal is voltooid, controleert de CIU of de geadresseerde een geldige veiligheidsmachtiging heeft. Zo ja, wordt de geadresseerde door de CIU in kennis gesteld. Gerubriceerde informatie mag slechts worden geraadpleegd nadat het document die deze informatie bevat, is geregistreerd.

De opsteller stelt de initiële verzendlijst op voor de EUCI die hij heeft gegenereerd.

Informatie die als ‘RESTREINT UE/EU RESTRICTED’ is gerubriceerd en ‘andere vertrouwelijke informatie’ die door het Parlement is gegenereerd, wordt binnen het Parlement verspreid door de opsteller, overeenkomstig de desbetreffende instructies voor behandeling en op basis van het ‘need to know’-beginsel. In het geval van als ‘CONFIDENTIEL UE/EU CONFIDENTIAL’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ gerubriceerde informatie die binnen het Parlement is gegenereerd, wordt de verzendlijst (en eventuele nader instructies voor verspreiding) verstrekt aan de CIU, die voor het beheer ervan verantwoordelijk is.

Door het Parlement gegenereerde EUCI mag alleen door de CIU aan derden worden verzonden, op basis van het ‘need to know’-beginsel.

Vertrouwelijke informatie die wordt ontvangen door hetzij de CIU, hetzij een orgaan/ambtsdrager van het parlement die daarom heeft verzocht, wordt verspreid overeenkomstig de instructies die de opsteller ervan heeft gegeven.

De behandeling, de opslag en de raadpleging van vertrouwelijke informatie geschieden overeenkomstig veiligheidsmededeling 4 en de instructies voor behandeling.

Documenten die informatie bevatten die als ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, mogen niet zonder voorafgaande schriftelijke toestemming van de opsteller worden gekopieerd of vertaald. Documenten die informatie bevatten die als ‘SECRET UE/EU SECRET’ of op een gelijkwaardig niveau of ‘CONFIDENTIEL UE/EU CONFIDENTIAL’ of op een gelijkwaardig niveau is gerubriceerd, mogen op instructie van de houder worden gekopieerd of vertaald, mits de opsteller dat niet heeft verboden.

Elke kopie van een document dat informatie bevat die als ‘TRES SECRET UE/EU TOP SECRET’, ‘SECRET UE/EU SECRET’ of ‘CONFIDENTIEL UE/EU CONFIDENTIAL’of op een gelijkwaardig niveau is gerubriceerd, wordt voor veiligheidsdoeleinden geregistreerd.

De beveiligingsmaatregelen die voor het originele document met gerubriceerde informatie gelden, zijn ook van toepassing op de kopieën en vertalingen ervan.

Documenten die van de Raad worden ontvangen, dienen in alle officiële talen te worden ontvangen.

Om kopieën en/of vertalingen van documenten die gerubriceerde informatie bevatten, mag door de opsteller of de houder van een kopie worden verzocht. Kopieën van documenten die informatie bevatten die als ‘CONFIDENTIEL UE/EU CONFIDENTIAL’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau zijn gerubriceerd, mogen alleen in de beveiligde zone worden gemaakt, en wel op kopieerapparaten die deel uitmaken van een gehomologeerd CIS. Kopieën van documenten die informatie bevatten die als ‘RESTREINT UE/EU RESTRICTED’ of op een gelijkwaardig niveau zijn gerubriceerd, moeten binnen de gebouwen van het Parlement worden gemaakt met gehomologeerde kopieerapparatuur.

Alle kopieën en vertalingen van een document of delen of kopieën van documenten die vertrouwelijke informatie bevatten, worden naar behoren gemarkeerd, genummerd en geregistreerd.

Er worden niet meer kopieën gemaakt dan strikt nodig is. Na afloop van de raadplegingstermijn moeten alle kopieën overeenkomstig de instructies voor behandeling worden vernietigd.

Alleen tolken en vertalers die ambtenaren van het Parlement zijn, krijgen toegang tot gerubriceerde informatie.

Tolken en vertalers die toegang hebben tot documenten die informatie bevatten die als ‘CONFIDENTIEL UE/EU CONFIDENTIAL’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, moeten de nodige veiligheidsmachtiging hebben.

Wanneer tolken en vertalers aan documenten werken die informatie bevatten die als ‘CONFIDENTIEL UE/EU CONFIDENTIAL’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, moeten zij in de beveiligde zone werken.

Vertrouwelijke informatie (papieren of elektronische versie) die niet langer nodig is, wordt vernietigd of gewist overeenkomstig de instructies voor behandeling en de desbetreffende archiveringsvoorschriften.

Informatie die als ‘TRES SECRET UE/EU TOP SECRET’ of of ‘SECRET UE/EU SECRET’ of op een gelijkwaardig niveau is gerubriceerd, wordt door de CIU vernietigd in aanwezigheid van een getuige die een veiligheidsmachtiging heeft voor ten minste het rubriceringsniveau van de te vernietigen informatie.

Informatie die als ‘TRES SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, mag alleen met voorafgaande schriftelijke toestemming van de opsteller worden vernietigd.

Informatie die als ‘CONFIDENTIEL UE/EU CONFIDENTIAL’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, wordt door de CIU vernietigd en verwijderd op instructie van de opsteller of een bevoegde instantie. De logboeken en andere registers worden dienovereenkomstig geactualiseerd. Informatie die als ‘RESTREINT UE/EU RESTRICTED’ of op een gelijkwaardig niveau is gerubriceerd, wordt hetzij door de CIU, hetzij door de het parlementaire orgaan/de parlementaire ambtsdrager vernietigd en verwijderd.

De ambtenaar die verantwoordelijk is voor de vernietiging en de getuige van de vernietiging ondertekenen een vernietigingscertificaat, dat door de CIU wordt bewaard en gearchiveerd. De CIU houdt, samen met de verspreidingsformulieren, de vernietigingscertificaten betreffende informatie die als ‘TRES SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, gedurende ten minste tien jaar bij, en in het geval van informatie die als ‘SECRET UE/EU SECRET’ of op een gelijkwaardig niveau of ‘CONFIDENTIEL UE/EU CONFIDENTIAL’ of op een gelijkwaardig niveau is gerubriceerd, gedurende ten minste vijf jaar.

Documenten die gerubriceerde informatie bevatten, worden vernietigd volgens methoden die aan de toepasselijke normen van de Unie of gelijkwaardige normen voldoen om te voorkomen dat zij geheel of gedeeltelijk worden gereconstrueerd.

Digitale opslagmedia die voor gerubriceerde informatie zijn gebruikt, worden vernietigd overeenkomstig de desbetreffende instructies voor behandeling.

De vernietiging van gerubriceerde informatie wordt in het logboek geregistreerd met de volgende gegevens:

Gerubriceerde informatie, met inbegrip van begeleidende nota's of brieven, bijlagen, afgiftebewijzen en/of andere onderdelen van het dossier, wordt zes maanden na de laatste raadpleging en uiterlijk één jaar na de deponering ervan naar het beveiligde archief in de beveiligde zone overgebracht. Nadere regels voor de archivering van gerubriceerde informatie worden in de instructies voor behandeling vastgesteld.

Op ‘andere vertrouwelijke informatie’ zijn de algemene regels betreffende documentbeheer van toepassing, onverminderd eventuele andere specifieke voorschriften betreffende de behandeling ervan.

Informatieborging (hierna: ‘Information Assurance — IA’) op het gebied van informatiesystemen is het vertrouwen dat die systemen de erin opgenomen informatie zullen beschermen en zullen functioneren zoals nodig en wanneer nodig, onder toezicht van legitieme gebruikers. Doeltreffende IA waarborgt passende niveaus van vertrouwelijkheid, integriteit, beschikbaarheid, onweerlegbaarheid en authenticiteit. IA is op een risicobeheerproces gebaseerd.

‘Communicatie- en informatiesystemen’ (CIS) voor het verwerken van gerubriceerde informatie zijn systemen waarmee informatie in elektronische vorm kan worden verwerkt. Een dergelijk informatiesysteem omvat alle functionele bestanddelen die voor het functioneren ervan vereist zijn, waaronder infrastructuur, organisatie, personeel en informatiebronnen.

CIS verwerken gerubriceerde informatie overeenkomstig het concept van IA.

CIS worden aan een homologatieprocedure onderworpen. Met de homologatie wordt beoogd de verzekering te verkrijgen dat alle toepasselijke beveiligingsmaatregelen zijn getroffen en dat het niveau van bescherming van de gerubriceerde informatie en van het CIS overeenkomstig deze veiligheidsmededeling voldoende wordt geacht. In de homologatieverklaring worden de maximaal toegelaten rubriceringsgraad van de informatie die door het CIS mag worden verwerkt en de voorwaarden daarvoor vastgesteld.

Onderstaande IA-eigenschappen en -concepten zijn essentieel voor de beveiliging en de correcte werking van operaties met CIS.

De onderstaande bepalingen vormen de basis voor de beveiliging van alle CIS die voor het verwerken van gerubriceerde informatie worden gebruikt. In de beveiligingsbeleidsmaatregelen en beveiligingsrichtlijnen inzake IA moeten uitgebreide voorschriften voor de uitvoering van deze bepalingen worden vastgelegd.

Deze veiligheidsmededeling omvat de beveiligingsbeginselen voor het scheppen van een veilige omgeving voor het correct verwerken van gerubriceerde informatie binnen het Europees Parlement. Die beginselen, inclusief die betreffende de technische beveiliging, worden aangevuld met de instructies voor behandeling.

Risico's voor gerubriceerde informatie worden beheerd als een proces. Dat proces is gericht op het bepalen van de bekende veiligheidsrisico's, het vaststellen van beveiligingsmaatregelen om deze risico's tot een aanvaardbaar niveau te beperken conform de grondbeginselen en minimumnormen van deze veiligheidsmededeling, en het toepassen van die maatregelen overeenkomstig het begrip ‘grondige verdediging’, zoals omschreven in veiligheidsmededeling 3. De doeltreffendheid van deze maatregelen wordt constant geëvalueerd.

De beveiligingsmaatregelen ter bescherming van gerubriceerde informatie gedurende haar gehele levenscyclus zijn evenredig met, in het bijzonder, de rubricering, de vorm en de omvang van de informatie of het materiaal in kwestie, de locatie en constructie van faciliteiten waar de gerubriceerde informatie in is ondergebracht en de lokaal beoordeelde dreiging van kwaadwillige en/of criminele activiteiten, met inbegrip van spionage, sabotage en terrorisme.

In de rampenplannen wordt rekening gehouden met de noodzaak om gerubriceerde informatie in noodsituaties te beschermen, teneinde toegang en openbaarmaking zonder machtiging of aantasting van de integriteit of beschikbaarheid te voorkomen.

In de bedrijfscontinuïteitsplannen worden preventie- en herstelmaatregelen opgenomen om de gevolgen van ernstige storingen of incidenten voor de verwerking en opslag van gerubriceerde informatie zo gering mogelijk te houden.

De rubricerings- of markeringsgraad die aan de informatie wordt toegekend, bepaalt welk beschermingsniveau van toepassing is ten aanzien van de fysieke beveiliging ervan.

Informatie die aanleiding geeft tot rubricering moet als zodanig worden gemarkeerd en verwerkt, ongeacht de fysieke vorm ervan. De rubricering ervan wordt duidelijk aan de ontvangers kenbaar gemaakt, in de vorm van een rubriceringsmarkering (als de informatie schriftelijk wordt verstrekt, op papier of in het CIS) of een mededeling (als de informatie mondeling wordt verstrekt, bijvoorbeeld in een gesprek of tijdens een presentatie). Gerubriceerd materiaal wordt fysiek zodanig gemarkeerd dat de rubriceringsgraad duidelijk zichtbaar is.

Vertrouwelijke informatie wordt in geen enkel geval gelezen op openbare plaatsen waar zij kan worden gezien door personen die geen noodzaak tot kennisname (‘need to know’) hebben, zoals treinen, vliegtuigen, cafés of bars. Zij wordt niet op hotelkamers of in hotelkluisjes achtergelaten. Zij wordt niet onbeheerd op openbare plaatsen achtergelaten.

De CIU is verantwoordelijk voor de waarborging van de fysieke beveiliging bij het beheren van vertrouwelijke informatie die in haar beveiligde ruimten is opgeslagen. Ook is de CIU verantwoordelijk voor het beheer van haar beveiligde ruimten.

De fysieke beveiliging bij het beheer van informatie die als ‘RESTREINT UE/EU RESTRICTED’ of op een gelijkwaardig niveau is gerubriceerd, of van ‘andere vertrouwelijke informatie’, is de verantwoordelijkheid van het bevoegde parlementaire orgaan/de bevoegde parlementaire ambtsdrager.

Het directoraat Veiligheid en risicobeoordeling draagt zorg voor de persoonlijke beveiliging en de veiligheidsmachtiging die noodzakelijk zijn voor de veilige verwerking van vertrouwelijke informatie binnen het Europees Parlement.

Het DIT brengt advies uit en ziet erop toe dat alle gecreëerde en gebruikte CIS volledig in overeenstemming zijn met veiligheidsmededeling 3 en de bijbehorende instructies voor behandeling.

Beveiligde ruimten kunnen overeenkomstig de technische beveiligingsnormen worden geïnstalleerd, volgens de graad die aan de vertrouwelijke informatie is toegekend zoals omschreven in artikel 7.

De beveiligde ruimten worden door de SAA gecertificeerd en door de veiligheidsinstantie gevalideerd.

Wanneer als ‘RESTREINT UE/EU RESTRICTED’ of op een gelijkwaardig niveau gerubriceerde informatie bij de CIU is gedeponeerd en buiten de beveiligde zone moet worden geraadpleegd, voorziet de CIU de passende bevoegde dienst van een kopie. De bevoegde dienst zorgt ervoor dat de raadpleging en behandeling van de informatie in kwestie in overeenstemming zijn met de artikelen 8, lid 2, en artikel 10 van dit besluit en de desbetreffende instructies voor behandeling.

Wanneer als ‘RESTREINT UE/EU RESTRICTED’ of op een gelijkwaardig niveau gerubriceerde informatie of ‘andere vertrouwelijke informatie’ is gedeponeerd bij een ander parlementair orgaan of een andere parlementaire ambtsdrager dan de CIU, ziet het secretariaat van het parlementair orgaan of de parlementaire ambtsdrager in kwestie erop toe dat de raadpleging en behandeling van de informatie in kwestie in overeenstemming zijn met artikel 7, lid 3, artikel 8, leden 1, 2, en 4, artikel 9, leden 3, 4, en 5, artikel 10, leden 2 t/m 6, en artikel 11 van dit besluit en de desbetreffende instructies voor behandeling.

Wanneer als ‘CONFIDENTIEL UE/EU CONFIDENTIAL’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau gerubriceerde informatie buiten de beveiligde zone moet worden geraadpleegd, ziet de CIU erop toe dat de raadpleging en behandeling van de informatie in kwestie in overeenstemming zijn met de artikelen 9 en 10 van dit besluit en de desbetreffende instructies voor behandeling.

Technische beveiligingsmaatregelen vallen onder de verantwoordelijkheid van de SAA, die in de desbetreffende instructies voor behandeling vaststelt welke specifieke technische beveiligingsmaatregelen moeten worden toegepast.

Beveiligde leeskamers voor de raadpleging van als ‘RESTREINT UE/EU RESTRICTED’ of op een gelijkwaardig niveau gerubriceerde informatie dan wel ‘andere vertrouwelijke informatie’ voldoen aan specifieke technische beveiligingsmaatregelen zoals omschreven in de instructies voor behandeling.

De beveiligde ruimte omvat de volgende voorzieningen:

De beveiligde zone voldoet aan de toepasselijke internationale beveiligingsnormen en is gecertificeerd door het directoraat Veiligheid en risicobeoordeling. De beveiligde zone voorziet in de volgende minimumvoorschriften met betrekking tot beveiliging en techniek:

Indien aanvullende technische beveiligingsmaatregelen nodig zijn, kunnen zij worden toegevoegd door de SAA, in nauwe samenwerking met de CIU en na goedkeuring van de veiligheidsinstantie.

De infrastructuurapparatuur kan worden gekoppeld aan de algemene beheerssystemen van het gebouw waarin de beveiligde zone zich bevindt. De beveiligingsapparatuur voor toegangscontrole en voor de CIS blijven echter los staan van alle andere soortgelijke apparatuur binnen het Europees Parlement.

De SAA voert regelmatig en op verzoek van de CIU inspecties van de beveiligde zone uit.

De SAA stelt, in overeenstemming met de instructies voor behandeling, een controlelijst voor beveiligingsinspecties op met de punten die tijdens een inspectie moeten worden geverifieerd, en houdt deze lijst bij.

Vertrouwelijke informatie wordt uit het zicht vervoerd, zonder enige indicatie over de vertrouwelijke aard van de inhoud ervan, in overeenstemming met de instructies voor behandeling.

Alleen bodes of personeel met de passende veiligheidsmachtiging mogen informatie bij zich dragen die als ‘CONFIDENTIEL UE/CONFIDENTIEL EU’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd.

Vervoer van vertrouwelijke infpormatie per externe post of met de hand buiten een gebouw gebeurt altijd in overeenstemming met de voorwaarden die zijn vastgelegd in de instructies voor behandeling.

Informatie die als ‘CONFIDENTIEL UE/CONFIDENTIEL EU’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, wordt nooit per e-mail of fax verstuurd, zelfs niet wanneer er een beveiligd e-mailsysteem of cryptofax is geïnstalleerd. Informatie die als ‘RESTREINT UE/EU RESTRICTED’ of op een gelijkwaardig niveau is gerubriceerd mag, evenals andere vertrouwelijke informatie, via e-mail worden verzonden indien een geaccrediteerd versleutelingssysteem wordt gebruikt.

De rubricerings- of markeringsgraad die aan de informatie wordt toegekend, bepaalt welk beschermingsniveau van toepassing is ten aanzien van de opslag ervan. De informatie wordt opgeslagen in voor deze doelstelling gecertificeerde apparatuur, in overeenstemming met de instructies voor behandeling.

Informatie die als ‘RESTREINT UE/EU RESTRICTED’ of op een gelijkwaardig niveau is gerubriceerd en ‘andere vertrouwelijke informatie’ wordt:

Informatie die als ‘RESTREINT UE/EU RESTRICTED’ of op een gelijkwaardig niveau is gerubriceerd, en ‘andere vertrouwelijke informatie’, wordt overeenkomstig de instructies voor behandeling enkel opgeslagen binnen het secretariaat van het parlementaire orgaan/de parlementaire ambtsdrager, of binnen de CIU;

Informatie die als ‘CONFIDENTIEL UE/CONFIDENTIEL EU’, ‘SECRET UE/EU SECRET’ of ‘TRÈS SECRET UE/EU TOP SECRET’ of op een gelijkwaardig niveau is gerubriceerd, wordt:

Wanneer binnen de beveiligde zone een document met gerubriceerde informatie in elektronische vorm wordt opgesteld, wordt de computer vergrendeld en het scherm ontoegankelijk gemaakt zodra de schrijver van het document of het bevoegde personeelslid van de CIU de ruimte verlaat (zelfs voor een zeer korte afwezigheid). Een automatisch veiligheidsslot dat na enkele minuten wordt geactiveerd, is geen toereikende maatregel.

Deze veiligheidsmededeling heeft enkel betrekking op vertrouwelijke informatie.

Zij bevat bepalingen voor de toepassing van de gemeenschappelijke minimumnormen van bijlage I, deel 1, van dit besluit.

Industriële veiligheid is de toepassing van maatregelen om de bescherming van gerubriceerde informatie door contractanten of subcontractanten tijdens precontractuele onderhandelingen en tijdens de volledige looptijd van gerubriceerde opdrachten te waarborgen. In het kader van dergelijke opdrachten mag geen toegang worden verleend tot informatie met de rubricering ‘TRÈS SECRET UE/EU TOP SECRET’.

Het Europees Parlement zorgt er als aanbestedende instantie voor dat aan de in dit besluit en in de gerubriceerde opdrachten vervatte minimumnormen voor industriële veiligheid is voldaan bij het plaatsen van gerubriceerde opdrachten bij industriële of andere entiteiten.

Een VMV wordt verleend door de nationale veiligheidsinstantie of een andere bevoegde instantie van een lidstaat en toont overeenkomstig de nationale wetten en regelgeving aan dat een industriële of andere entiteit binnen haar vestigingen in staat is gerubriceerde EUCI te beschermen die als ‘CONFIDENTIEL UE/EU CONFIDENTIAL’ of ‘SECRET UE/EU SECRET’ of op een gelijkwaardig niveau is gerubriceerd. Voordat aan een contractant of subcontractant of mogelijke contractant of subcontractant EUCI mag worden verstrekt of toegang tot EUCI mag worden verleend, wordt een bewijs van de VMV overgelegd aan het Europees Parlement, als aanbestedende instantie.

In het kader van een VMV wordt:

In voorkomend geval deelt het Europees Parlement, als aanbestedende instantie, de nationale veiligheidsinstantie of een andere bevoegde veiligheidsinstantie mee dat in de precontractuele fase of voor de uitvoering van de opdracht een VMV vereist is. Een VMV of een persoonlijke veiligheidsmachtiging (PVM) wordt verlangd in de precontractuele fase waarin informatie met rubricering ‘CONFIDENTIEL UE/EU CONFIDENTIAL’ of ‘SECRET UE/EU SECRET’ moet worden verstrekt in het stadium van de offertes.

De aanbestedende instantie kent geen gerubriceerde opdracht toe aan een geselecteerde inschrijver zonder van de nationale veiligheidsinstantie of een andere bevoegde veiligheidsinstantie van de lidstaat waar de contractant of subcontractant is geregistreerd, een bevestiging te hebben ontvangen dat er, indien zulks vereist is, een VMV is afgegeven.

De bevoegde veiligheidsinstantie die een VMV heeft afgegeven brengt het Europees Parlement, de aanbestedende instantie, op de hoogte van wijzigingen die de VMV betreffen. Bij onderaanneming wordt de bevoegde veiligheidsinstantie op de hoogte gebracht.

Intrekking van een VMV door de nationale veiligheidsinstantie of een andere bevoegde veiligheidsinstantie biedt het Europees Parlement, de aanbestedende instantie, voldoende redenen om een gerubriceerde opdracht te beëindigen of een inschrijver uit te sluiten van mededinging.

Wanneer in de precontractuele fase gerubriceerde informatie wordt verstrekt aan een inschrijver, bevat de uitnodiging tot inschrijving een bepaling die de inschrijver die uiteindelijk geen offerte doet, of die niet wordt geselecteerd, verplicht alle gerubriceerde documenten binnen een bepaalde termijn terug te zenden.

Zodra een gerubriceerde opdracht of opdracht in onderaanneming is gegund, deelt het Europees Parlement, als aanbestedende instantie, de nationale veiligheidsinstantie van de contractant of subcontractant en/of een andere bevoegde veiligheidsinstantie de beveiligingsbepalingen van de gerubriceerde opdracht mee.

Na afloop van zulke opdrachten, deelt het Europees Parlement, als aanbestedende dienst (en/of, bij onderaanneming, de bevoegde veiligheidsinstantie, naargelang het geval) dit mee aan de nationale veiligheidsinstantie of een andere bevoegde veiligheidsinstantie van de lidstaat waar de contractant of subcontractant is geregistreerd.

Als algemene regel geldt dat de contractant of subcontractant alle gerubriceerde informatie die hij in zijn bezit heeft, na voltooiing van de gerubriceerde opdracht of onderaanneming moet terugbezorgen aan de aanbestedende instantie.

In het MBA worden specifieke bepalingen opgenomen voor het verwijderen van gerubriceerde informatie tijdens de uitvoering van een opdracht of bij de voltooiing ervan.

Wanneer de contractant of subcontractant gemachtigd is gerubriceerde informatie te houden na voltooiing van een opdracht, blijven de minimumnormen van dit besluit van toepassing en wordt de vertrouwelijkheid van gerubriceerde informatie door de contractant of subcontractant beschermd.

De voorwaarden waaronder een contractant een beroep kan doen op subcontractanten worden in de aanbesteding en de opdracht omschreven.

Een contractant krijgt van het Europees Parlement, als aanbestedende instantie, toestemming voordat hij delen van een gerubriceerde opdracht uitbesteedt aan een onderaannemer. Industriële of andere entiteiten die geregistreerd zijn in een derde land dat geen informatiebeveiligingsovereenkomst met de Europese Unie heeft, mogen niet als subcontractant worden ingeschakeld.

Het is de verantwoordelijkheid van de contractant te garanderen dat alle onderaannemingsactiviteiten verlopen in overeenstemming met de minimumnormen van dit besluit en de contractant mag geen gerubriceerde EU-informatie doorgeven aan een subcontractant zonder voorafgaande schriftelijke toestemming van de aanbestedende instantie.

Wat betreft gerubriceerde informatie die door de contractant of subcontractant wordt gegenereerd of verwerkt, oefent de aanbestedende instantie de rechten van de opsteller uit.

Wanneer het Europees Parlement, contractanten of subcontractanten voor de uitvoering van een gerubriceerde opdracht in elkaars ruimten toegang vragen tot als ‘CONFIDENTIEL UE/EU CONFIDENTIAL’ of ‘SECRET UE/EU SECRET’ gerubriceerde informatie, worden in overleg met de nationale veiligheidsinstanties of een andere bevoegde veiligheidsinstantie bezoeken georganiseerd. In het kader van specifieke projecten kunnen de nationale veiligheidsinstanties echter ook een procedure overeenkomen waarmee zulke bezoeken rechtstreeks kunnen worden georganiseerd.

Alle bezoekers beschikken over een passende personeelsveiligheidsmachtiging en hebben een noodzaak tot kennisname voor toegang tot de gerubriceerde informatie met betrekking tot de opdracht van het Europees Parlement.

Bezoekers krijgen uitsluitend toegang tot de gerubriceerde informatie die verband houdt met het doel van het bezoek.

Op de overdracht van gerubriceerde informatie met elektronische middelen zijn de desbetreffende bepalingen van veiligheidsmededeling 3 van toepassing.

Op het vervoer van gerubriceerde informatie zijn de desbetreffende bepalingen van veiligheidsmededeling 4 en de desbetreffende instructies voor behandeling van toepassing.

Wat het vervoer van gerubriceerd materiaal als vracht betreft, worden bij het opstellen van beveiligingsregelingen de volgende beginselen toegepast:

Gerubriceerde informatie wordt overgedragen aan contractanten en subcontractanten in derde landen overeenkomstig de beveiligingsmaatregelen die zijn overeengekomen door het Europees Parlement, als aanbestedende dienst, en de derde staat in kwestie waar de contractant is geregistreerd.

Samen, waar nodig, met de nationale veiligheidsinstantie van de betrokken lidstaat, is het Europees Parlement, als aanbestedende instantie, op basis van contractuele bepalingen gerechtigd bezoeken af te leggen aan vestigingen van contractanten/subcontractanten om na te gaan of, zoals in de opdracht wordt vereist, de beveiligingsmaatregelen ter zake zijn getroffen voor de bescherming van gerubriceerde EUCI van het niveau ‘RESTREINT UE/EU RESTRICTED’.

Voor zover dat nodig is volgens de nationale wet- en regelgeving, worden nationale veiligheidsinstanties of andere bevoegde veiligheidsinstanties door het Europees Parlement, als aanbestedende dienst, in kennis gesteld van opdrachten of opdrachten in onderaanneming die informatie met de rubricering ‘RESTREINT UE/EU RESTRICTED’ bevatten.

Een VMV of een PMV voor contractanten of subcontractanten en hun personeel is niet vereist voor opdrachten van het Europees Parlement, die als ‘RESTREINT UE/EU RESTRICTED’ gerubriceerde informatie bevatten.

Het Europees Parlement bestudeert, als aanbestedende dienst, de reacties op de uitnodigingen tot inschrijving voor opdrachten waarvoor toegang tot als ‘RESTREINT UE/EU RESTRICTED’ gerubriceerde informatie nodig is, ongeacht eventuele vereisten met betrekking tot VMV's of PMV's uit hoofde van nationale wet- en regelgeving.

De voorwaarden waaronder een contractant een beroep kan doen op subcontractanten worden in de aanbesteding en de opdracht omschreven.

Wanneer een opdracht de verwerking van informatie met rubricering ‘RESTREINT UE/EU RESTRICTED’ in een door een contractant geëxploiteerd CIS behelst, zorgt het Europees Parlement, als aanbestedende dienst, ervoor dat in het contract of de onderaanneming de nodige technische en administratieve eisen worden gespecificeerd met betrekking tot de homologatie van het CIS in overeenstemming met het ingeschatte risico, rekening houdend met alle belangrijke factoren. Hoe ver de homologatie van een dergelijk CIS reikt, wordt door de aanbestedende dienst en de betrokken nationale veiligheidsinstantie bepaald.