Besluit van de hoge vertegenwoordiger van de Europese Unie voor Buitenlandse Zaken en Veiligheidsbeleid van 15 juni 2011 betreffende de beveiligingsvoorschriften voor de Europese dienst voor Extern Optreden
Besluit van de hoge vertegenwoordiger van de Europese Unie voor Buitenlandse Zaken en Veiligheidsbeleid van 15 juni 2011 betreffende de beveiligingsvoorschriften voor de Europese dienst voor Extern Optreden
15.10.2011 | NL | Publicatieblad van de Europese Unie | C 304/7 |
Besluit van de hoge vertegenwoordiger van de Europese Unie voor Buitenlandse Zaken en Veiligheidsbeleid
van 15 juni 2011
betreffende de beveiligingsvoorschriften voor de Europese dienst voor Extern Optreden
2011/C 304/05
DE HOGE VERTEGENWOORDIGER,
Gezien Besluit 2010/427/EU van de Raad tot vaststelling van de organisatie en werking van de Europese dienst voor Extern Optreden (hierna „EDEO” genoemd), en met name artikel 10,
Gezien het advies van het comité bedoeld in artikel 10, lid 1, van genoemd besluit van de Raad,
Overwegende hetgeen volgt:
(1) | De EDEO dient als functioneel autonoom orgaan van de Europese Unie te beschikken over beveiligingsvoorschriften als bedoeld in artikel 10, lid 1, van Besluit 2010/427/EU van de Raad. |
(2) | De hoge vertegenwoordiger dient beveiligingsvoorschriften voor de EDEO vast te stellen die betrekking hebben op alle aspecten van beveiliging, zodat de EDEO de risico’s voor zijn personeel, zijn materiële activa en zijn informatie doeltreffend kan beheersen en zijn zorgplicht en andere verplichtingen in dit verband kan vervullen. |
(3) | De beveiligingsvoorschriften voor de EDEO dienen bij te dragen tot het ontstaan van een samenhangender algemeen kader binnen de Europese Unie voor de bescherming van gerubriceerde informatie, op basis van de beveiligingsvoorschriften van de Raad en de beveiligingsbepalingen van de Commissie. |
(4) | Met name dient voor het personeel, de materiële activa en de informatie van de EDEO een beschermingsniveau te worden gegarandeerd dat in overeenstemming is met de beste praktijken bij de Raad, de Europese Commissie, de lidstaten en, waar van toepassing, internationale organisaties. |
(5) | De in de EDEO toegepaste basisbeginselen en minimumnormen voor de bescherming van gerubriceerde informatie dienen gelijkwaardig te zijn aan die welke bij de Raad en de Europese Commissie worden toegepast. |
(6) | De organisatie van de beveiliging in de EDEO en de toewijzing van beveiligingstaken aan de structuren van de EDEO dienen te worden vastgesteld. |
(7) | De hoge vertegenwoordiger dient alle passende maatregelen te nemen die noodzakelijk zijn voor de tenuitvoerlegging van deze voorschriften, met de steun van de lidstaten, het secretariaat-generaal van de Raad en de Europese Commissie. |
(8) | De hoge vertegenwoordiger dient waar nodig gebruik te maken van relevante deskundigheid in de lidstaten, het secretariaat-generaal van de Raad en de Europese Commissie, ook door middel van passende structurering van de beveiliging, |
HEEFT HET VOLGENDE BESLUIT VASTGESTELD:
Artikel 1
Doel en werkingssfeer
1. Bij dit besluit worden de voorschriften voor de veiligheid en de beveiliging van de Europese dienst voor Extern Optreden (hierna „beveiligingsvoorschriften van de EDEO” genoemd) vastgesteld. Het algemene regelgevingskader wordt vastgesteld voor de doeltreffende beheersing van de risico’s voor personeel, materiële activa en informatie en de vervulling van de zorgplicht van de EDEO in dit verband.
2. De beveiligingsvoorschriften van de EDEO gelden voor alle personeelsleden van de EDEO (dat wil zeggen ambtenaren en andere personeelsleden, gedetacheerde nationale deskundigen en plaatselijke functionarissen) en alle personeelsleden van de delegaties van de Unie, ongeacht hun administratieve status of herkomst (hierna „personeel” of „personeelsleden” genoemd).
3. De hoge vertegenwoordiger neemt alle maatregelen die noodzakelijk zijn voor de tenuitvoerlegging van deze voorschriften binnen de EDEO en voor de totstandkoming van de noodzakelijke capaciteit inzake alle aspecten van beveiliging, met de steun van de relevante diensten van de lidstaten, het secretariaat-generaal van de Raad en de Europese Commissie.
4. Vanaf de inwerkingtreding van dit besluit kan zo nodig gebruik worden gemaakt van overgangsregelingen in de vorm van overeenkomsten inzake het dienstverleningsniveau met de relevante diensten van het secretariaat-generaal van de Raad en de Commissie.
5. De hoge vertegenwoordiger zorgt ervoor dat deze beveiligingsvoorschriften voortdurend worden geëvalueerd. De hoge vertegenwoordiger ziet toe op de algehele samenhang bij de toepassing van dit besluit.
6. Indien nodig stelt de hoge vertegenwoordiger, op aanbeveling van het in artikel 9, lid 6, bedoelde comité, een beveiligingsbeleid vast dat maatregelen voor de uitvoering van dit besluit omvat. Dit comité kan op zijn niveau beveiligingsrichtsnoeren aannemen ter aanvulling of ondersteuning van dit besluit.
7. Bij de uitvoering van lid 6 neemt het comité het beveiligingsbeleid en de beveiligingsrichtsnoeren die bij de Raad en de Europese Commissie van kracht zijn ten volle in acht, teneinde de samenhang tussen de beveiligingsmaatregelen van de EDEO, de Raad en de Commissie te bewaren.
Artikel 2
Beheersing van beveiligingsrisico’s
1. Om te bepalen welke maatregelen moeten worden genomen om zijn veiligheid te beschermen, past de EDEO in overleg met de dienst Beveiliging van het secretariaat-generaal van de Raad en het directoraat Beveiliging van de Europese Commissie een methode voor integrale beoordeling van de veiligheidsrisico’s toe. Het in artikel 9, lid 6, bedoelde comité wordt geraadpleegd betreffende de toepassing daarvan in de EDEO.
2. De risico’s voor personeel, materiële activa en informatie worden beheerst als een proces. Dit proces wordt gericht op het bepalen van de bekende beveiligingsrisico’s, het vaststellen van beveiligingsmaatregelen om deze risico’s tot een aanvaardbaar niveau terug te dringen en het toepassen van deze maatregelen overeenkomstig het begrip „verdediging in de diepte”. De doeltreffendheid van deze maatregelen wordt voortdurend geëvalueerd.
3. De bij dit besluit vastgestelde functies, verantwoordelijkheden en taken doen niets af aan de verantwoordelijkheid van alle personeelsleden van de EDEO om met gezond verstand en een goed oordeelsvermogen te werk te gaan wat hun eigen veiligheid betreft, of aan het vereiste dat alle personeelsleden de toepasselijke veiligheidsvoorschriften, -regelingen, -procedures en -instructies naleven.
4. De EDEO neemt overeenkomstig artikel 1, lid 3, alle redelijke maatregelen om de veiligheid van het personeel, de materiële activa en informatie te waarborgen en redelijkerwijs voorzienbare schade daaraan te voorkomen.
5. De in de EDEO geldende beveiligingsmaatregelen voor de bescherming van gerubriceerde informatie gedurende de gehele levenscyclus daarvan moeten evenredig zijn met in het bijzonder de rubricering, de vorm en de omvang van de informatie of het materiaal, de locatie en de constructie van de faciliteiten waar de gerubriceerde informatie is ondergebracht en de dreiging, ook op lokaal niveau beoordeeld, van kwaadwillige en/of criminele activiteiten, met inbegrip van spionage, sabotage en terrorisme.
Artikel 3
Bescherming van informatie
1. Na raadpleging van het comité bedoeld in artikel 10, lid 1, van Besluit 2010/427/EU tot vaststelling van de organisatie en werking van de Europese dienst voor Extern Optreden stelt de hoge vertegenwoordiger voorschriften vast voor de bescherming van gerubriceerde informatie die gelijkwaardig zijn aan die welke zijn vastgesteld bij Besluit 2011/292/EU van de Raad betreffende de beveiligingsvoorschriften voor de bescherming van gerubriceerde EU-informatie(1). In afwachting van de vaststelling van die voorschriften zijn de genoemde beveiligingsvoorschriften van de Raad van overeenkomstige toepassing op de EDEO. De hoge vertegenwoordiger neemt overeenkomstig artikel 1, lid 3, alle noodzakelijke maatregelen voor de toepassing van die voorschiften in de EDEO.
2. Wanneer lidstaten gerubriceerde informatie met een nationale rubricering in de structuren of netwerken van de EDEO invoeren, beschermt de EDEO die informatie in overeenstemming met de voorschriften voor gerubriceerde EU-informatie op het gelijkwaardige beschermingsniveau dat volgens de krachtens artikel 3, lid 1, vastgestelde voorschriften vereist is.
3. Wat de bescherming van gevoelige niet-gerubriceerde informatie betreft, past de EDEO beveiligingsmaatregelen toe die in overeenstemming zijn met de gevoeligheid van die informatie en/of de gevolgen voor de belangen van de EU van ongeoorloofde openbaarmaking van die informatie.
Artikel 4
Fysieke beveiliging
1. Passende fysieke beveiligingsmaatregelen, met inbegrip van regelingen voor toegangscontrole, worden ingesteld voor alle locaties, gebouwen, kantoren, vertrekken en andere zones binnen de EDEO, alsmede voor zones waar communicatie- en informatiesystemen zijn ondergebracht die gerubriceerde informatie verwerken. Met dergelijke maatregelen wordt rekening gehouden bij het ontwerp en de planning van gebouwen.
2. Indien noodzakelijk worden fysieke beveiligingsmaatregelen ter bescherming van personeelsleden en van hen afhankelijke personen ingesteld.
3. De in de leden 1 en 2 bedoelde maatregelen zijn in overeenstemming met het ingeschatte risico voor personeelsleden en bezoekers, materiële activa en informatie.
4. Zones binnen de EDEO waar informatie met de rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger, of een daarmee gelijkwaardige rubricering, wordt opgeslagen, worden aangewezen als beveiligde zones overeenkomstig de krachtens artikel 3, lid 1, vastgestelde voorschriften en goedgekeurd door de binnen de EDEO bevoegde beveiligingsautoriteit.
Artikel 5
Veiligheidsmachtiging voor het personeel
1. Voor de toegang tot gerubriceerde informatie en de procedures voor de veiligheidsmachtiging van het personeel gelden de vereisten die worden vastgelegd in de krachtens artikel 3, lid 1, vast te stellen voorschriften.
2. Alle personeelsleden die op grond van hun taken toegang moeten hebben tot informatie met de rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger, of een daarmee gelijkwaardige rubricering, dienen een veiligheidsmachtiging van het vereiste niveau te verkrijgen alvorens hun toegang tot die gerubriceerde informatie wordt verleend. Plaatselijke functionarissen krijgen echter geen toegang tot gerubriceerde EU-informatie, tenzij overeenkomstig de voorwaarden die zijn vastgelegd in de krachtens artikel 3, lid 1, vast te stellen voorschriften.
3. De procedures voor de veiligheidsmachtiging van het personeel van de EDEO worden vastgelegd in de krachtens artikel 3, lid 1, vast te stellen voorschriften. Deze procedures bieden een beschermingsniveau dat gelijkwaardig is met het beschermingsniveau dat wordt geboden door de procedures van de Europese Commissie en het secretariaat-generaal van de Raad.
Artikel 6
Beveiliging van communicatie- en informatiesystemen
1. De EDEO beschermt informatie die in communicatie- en informatiesystemen wordt verwerkt tegen bedreigingen voor de vertrouwelijkheid, integriteit, beschikbaarheid, authenticiteit en onweerlegbaarheid.
2. Alle communicatie- en informatiesystemen worden aan een homologatieprocedure onderworpen. De EDEO past een systeem voor het beheer van veiligheidshomologatie toe in overleg met het secretariaat-generaal van de Raad en de Europese Commissie.
3. Wanneer gerubriceerde EU-informatie door encryptieproducten wordt beschermd, moeten deze producten zijn goedgekeurd door de EDEO-autoriteit voor de goedkeuring van encryptieproducten, op aanbeveling van het comité bedoeld in artikel 10, lid 1, van Besluit 2010/427/EU tot vaststelling van de organisatie en werking van de Europese dienst voor Extern Optreden en in overeenstemming met artikel 10 van Besluit 2011/292/EU van de Raad betreffende de beveiligingsvoorschriften voor de bescherming van gerubriceerde EU-informatie.
4. De hoge vertegenwoordiger stelt, voor zover nodig, overeenkomstig artikel 1, lid 3, de volgende information-assurancefuncties in:
a) | een information-assuranceautoriteit; |
b) | een Tempest-autoriteit; |
c) | een autoriteit voor de goedkeuring van encryptieproducten; |
d) | een autoriteit voor de verdeling van encryptieproducten. |
5. De hoge vertegenwoordiger stelt voor elk systeem overeenkomstig artikel 1, lid 3, de volgende functies in:
a) | een veiligheidshomologatieautoriteit; |
b) | een operationele autoriteit voor information assurance. |
Artikel 7
Veiligheidsbesef en veiligheidsopleiding
1. De hoge vertegenwoordiger ziet erop toe dat passende programma’s voor veiligheidsbesef en veiligheidsopleiding worden opgezet en in de EDEO worden uitgevoerd, en dat de personeelsleden en in voorkomend geval de van hen afhankelijke personen de nodige briefings inzake veiligheidsbesef en -opleiding ontvangen in overeenstemming met de risico’s in hun woonplaats.
2. Voordat toegang wordt verleend tot gerubriceerde informatie, en vervolgens met regelmatige tussenpozen, worden alle personeelsleden geïnstrueerd over hun verantwoordelijkheden met betrekking tot de bescherming van gerubriceerde EU-informatie overeenkomstig de krachtens artikel 3, lid 1, vastgestelde voorschriften.
Artikel 8
Inbreuken op de beveiligingvoorschriften en compromittering van gerubriceerde informatie
1. Inbreuken of vermoedelijke inbreuken op de beveiligingsvoorschriften worden onmiddellijk gemeld aan het directoraat Beveiliging van de EDEO, dat in voorkomend geval de bevoegde autoriteiten van de Europese Commissie, het secretariaat-generaal van de Raad of de lidstaten inlicht.
2. Wanneer bekend is of er redenen zijn om aan te nemen dat gerubriceerde informatie gecompromitteerd is of verloren is gegaan, licht het directoraat Beveiliging van de EDEO, naargelang van het geval, het directoraat Beveiliging van de Europese Commissie, het secretariaat-generaal van de Raad of de lidstaat in en neemt het alle nodige maatregelen overeenkomstig de krachtens artikel 3, lid 1, vastgestelde voorschriften.
3. Een personeelslid dat verantwoordelijk is voor een inbreuk op de beveiligingsvoorschriften van dit besluit kan aan disciplinaire maatregelen worden onderworpen overeenkomstig de geldende regels en voorschriften. Eenieder die verantwoordelijk is voor het compromitteren of verliezen van gerubriceerde informatie kan aan disciplinaire en/of strafrechtelijke maatregelen worden onderworpen overeenkomstig de geldende wet- en regelgeving.
Artikel 9
Organisatie van de beveiliging binnen de EDEO
1. De hoge vertegenwoordiger is de veiligheidsautoriteit van de EDEO. In die hoedanigheid ziet de hoge vertegenwoordiger er in het bijzonder op toe dat:
a) | de beveiligingsmaatregelen waar nodig worden gecoördineerd met de bevoegde autoriteiten van de lidstaten, het secretariaat-generaal van de Raad en de Europese Commissie en in voorkomend geval derde landen of internationale organisaties, met betrekking tot alle beveiligingsaangelegenheden die voor de activiteiten van de EDEO relevant zijn, zoals met betrekking tot de aard van bedreigingen voor de veiligheid van het personeel, de materiële activa en informatie en de middelen om zich tegen die bedreigingen te beschermen; |
b) | de beveiligingsaspecten bij alle activiteiten van de EDEO vanaf het eerste begin in aanmerking worden genomen; |
c) | aan personeelsleden van de EDEO overeenkomstig artikel 5, lid 2, een EU-personeelsveiligheidsmachtiging wordt verstrekt, alvorens hun toegang kan worden verleend tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger, of een daarmee gelijkwaardige rubricering; |
d) | binnen de EDEO een registratiesysteem voor beveiligingsdoeleinden wordt opgezet dat waarborgt dat gerubriceerde informatie wordt verwerkt overeenkomstig de voorschriften die krachtens artikel 3, lid 1, zijn vastgesteld en dat aantekening wordt gehouden van alle gerubriceerde informatie die de EDEO vrijgeeft aan derde landen en internationale organisaties en van alle gerubriceerde informatie die de EDEO ontvangt van derde landen of internationale organisaties. |
e) | de in artikel 11 bedoelde veiligheidsinspecties worden verricht; |
f) | onderzoek wordt gedaan naar alle inbreuken of vermoedelijke inbreuken op de beveiligingsvoorschriften, waaronder compromittering of verlies van gerubriceerde informatie die in het bezit of afkomstig van de EDEO is, en de bevoegde veiligheidsautoriteiten om hulp wordt verzocht bij die onderzoeken; |
g) | passende plannen en mechanismen voor incidenten- en gevolgenbeheersing worden opgezet om bij beveiligingsincidenten tijdig en doeltreffend te kunnen optreden; |
h) | passende maatregelen worden getroffen bij niet-naleving van dit besluit door personeelsleden. |
2. De hoge vertegenwoordiger kan indien nodig administratieve regelingen treffen, in het bijzonder voor de uitwisseling van gerubriceerde informatie met derde landen of internationale organisaties, onverminderd artikel 218, lid 3, van het Verdrag betreffende de werking van de Europese Unie. Het in artikel 9, lid 6, bedoelde comité wordt geraadpleegd alvorens dergelijke regelingen worden getroffen.
3. De uitvoerend secretaris-generaal ziet erop toe dat op alle EDEO-locaties passende fysieke en organisatorische maatregelen zijn ingesteld voor de beveiliging en de veiligheid van het personeel en bezoekers, materiële activa en informatie. De uitvoerend secretaris-generaal wordt bij deze taak bijgestaan door de Chief Operating Officer en het directoraat Beveiliging van de EDEO.
4. De EDEO beschikt over een directoraat Beveiliging, dat verantwoordelijk is voor de organisatie van alle beveiligingsaangelegenheden in de EDEO; het directoraat Beveiliging staat ter beschikking van de hoge vertegenwoordiger en kan waar nodig overeenkomstig zijn mandaat rapporteren aan de hoge vertegenwoordiger. Overeenkomstig artikel 10, lid 3, van Besluit 2010/427/EU van de Raad tot vaststelling van de organisatie en werking van de Europese dienst voor Extern Optreden wordt het directoraat Beveiliging bijgestaan door de bevoegde diensten van de lidstaten.
5. Het hoofd van elke delegatie van de Unie is verantwoordelijk voor de uitvoering van alle maatregelen met betrekking tot de beveiliging van de delegatie en beheert de beveiliging en veiligheid van het personeel, de bezoekers, de materiële activa en de informatie van de delegatie. Het hoofd wordt bij deze taken bijgestaan door het directoraat Beveiliging van de EDEO, door het personeel van de delegatie dat specifieke taken en functies op beveiligingsgebied uitvoert en indien nodig door speciaal beveiligingspersoneel.
6. Er wordt een beveiligingscomité ingesteld. De hoge vertegenwoordiger wint advies in bij het beveiligingscomité, dat alle onder dit besluit vallende beveiligingsaangelegenheden onderzoekt en beoordeelt en in voorkomend geval aanbevelingen doet. Het beveiligingscomité bestaat uit beveiligingsdeskundigen die als vertegenwoordigers optreden van de lidstaten, het secretariaat-generaal van de Raad en het directoraat Beveiliging van de Europese Commissie. Het beveiligingscomité wordt voorgezeten door de hoge vertegenwoordiger of de door deze aangewezen vertegenwoordiger, en komt bijeen op instructie van de hoge vertegenwoordiger of op verzoek van een lid. Het beveiligingscomité organiseert zijn werkzaamheden zodanig dat het aanbevelingen kan doen over alle specifieke beveiligingsgebieden die onder dit besluit vallen.
7. Het hoofd van het directoraat Beveiliging van de EDEO komt regelmatig bijeen met de directeur Beveiliging van het secretariaat-generaal van de Raad en de directeur van het directoraat Beveiliging van de Europese Commissie om aangelegenheden van gemeenschappelijk belang te bespreken.
Artikel 10
Beveiliging van GBVB-missies en speciale vertegenwoordigers van de EU
De verantwoordelijkheden van missiehoofden en speciale vertegenwoordigers van de EU met betrekking tot de veiligheid van de missie of het team worden vastgelegd in het besluit van de Raad tot instelling van de missie of tot benoeming van de speciale vertegenwoordiger van de EU. Een missiehoofd of speciale vertegenwoordiger van de EU kan worden bijgestaan door het directoraat Beveiliging van de EDEO bij de tenuitvoerlegging van het door de Raad vastgestelde beleid inzake de beveiliging van personeel dat op grond van titel V, hoofdstuk 2, van het Verdrag betreffende de Europese Unie voor operationele doeleinden buiten de EU wordt ingezet. Hiertoe worden passende verbindingsregelingen ingesteld.
Artikel 11
Veiligheidsinspecties
1. De hoge vertegenwoordiger ziet erop toe dat veiligheidsinspecties worden uitgevoerd ter controle van de naleving van de beveiligingsvoorschriften en -regelingen voor de bescherming van personeel, materiële activa en informatie binnen de EDEO en missies die krachtens titel V, hoofdstuk 2, van het Verdrag betreffende de Europese Unie zijn ingesteld.
2. De hoge vertegenwoordiger kan waar nodig gebruikmaken van deskundigheid in de lidstaten, het secretariaat-generaal van de Raad en de Europese Commissie.
3. De hoge vertegenwoordiger stelt een programma voor jaarlijkse veiligheidsinspecties vast.
Artikel 12
Bedrijfscontinuïteitsplan
Bij het beheer van de veiligheidsgerelateerde aspecten van de bedrijfsprocessen van de EDEO in het kader van het algehele bedrijfscontinuïteitsplan van de EDEO wordt de uitvoerend secretaris-generaal bijgestaan door het directoraat Beveiliging van de EDEO.
Artikel 13
Inwerkingtreding
Dit besluit treedt in werking op de datum waarop het wordt ondertekend.
Gedaan te Brussel, 15 juni 2011.
De hoge vertegenwoordiger
C. ASHTON