Gazzetta n. 143 del 20 giugno 2002 (vai al sommario) PRESIDENZA DEL CONSIGLIO DEI MINISTRI DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 11 aprile 2002 Norme di sicurezza per la tutela delle informazioni UE classificate di attuazione della Decisione del Consiglio dell'Unione europea del 19 marzo 2001. IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI Vista la legge 24 ottobre 1977, n. 801, recante "Istituzione e ordinamento dei servizi per le informazioni e la sicurezza e disciplina del segreto di Stato", in particolare articoli 1, secondo comma, e 12; Vista la Decisione 2001/264/CE del Consiglio, pubblicata nella Gazzetta Ufficiale delle Comunita' europee n. L 101 dell'11 aprile 2001, in particolare l'articolo 2, paragrafo 2, che impone agli Stati membri di adottare le misure adeguate, in conformita' alle disposizioni nazionali, per garantire che, nel trattamento di informazioni UE classificate all'interno dei rispettivi servizi ed edifici, siano rispettate le norme della medesima Decisione da parte di: membri della Rappresentanza permanente d'Italia presso l'Unione europea, nonche' membri di delegazioni nazionali che partecipano alle riunioni del Consiglio o dei suoi organi o che prendono parte ad altre attivita' del Consiglio; altri membri della pubblica amministrazione, di soggetti privati e privati cittadini soggetti, in Italia o all'estero, alla giurisdizione dello Stato italiano; contraenti esterni e personale distaccato dallo Stato presso il Segretariato generale del Consiglio dell'Unione europea che trattano informazioni UE classificate; Visto il decreto del Presidente del Consiglio dei Ministri del 21 settembre 1999; Viste le direttive del Presidente del Consiglio dei Ministri/Autorita' nazionale per la sicurezza: PCM-ANS 1/R - Norme unificate per la tutela del segreto di Stato - Volume I - Sistema di sicurezza - Edizione 1987 e successive modificazioni e integrazioni; PCM-ANS 1/R - Norme unificate per la tutela del segreto di Stato - Volume II - Sicurezza delle comunicazioni ed organizzazioni e procedure del servizio cifra - Edizione 1994; PCM-ANS 1/R - Norme unificate per la tutela del segreto di Stato - Volume III - Sicurezza industriale - Edizione 1993; PCM-ANS 1/R - Norme unificate per la tutela del segreto di Stato - Volume I - Direttiva per la protezione delle informazioni coperte dal segreto di Stato trattate in sistemi di elaborazione automatica e/o elettronica dei dati (EAD) - Edizione 1993; PCM-ANS COMSEC 256 (B) - Norme relative all'installazione di apparati elettrici elettronici che elaborano informazioni classificate - Edizione 1998; Ritenuta l'esigenza di dare, per gli aspetti interni, piena attuazione alla predetta Decisione del Consiglio dell'Unione europea 2001/264/CE; Consultato, ai sensi dell'art. 31, comma 2, della legge 31 dicembre 1996, n. 675, il Garante per la protezione dei dati personali; ADOTTA il seguente decreto: Art. 1. 1. Per gli aspetti di rilevanza interna, piena e completa attuazione e' data alla Decisione 2001/264/CE del Consiglio dell'Unione europea del 19 marzo 2001, che adotta le norme di sicurezza del Consiglio, pubblicata nella Gazzetta Ufficiale delle Comunita' europee n. L 101 dell'11 aprile 2001, di cui all'allegato 1. 2. L'organizzazione nazionale per la sicurezza, istituita ai fini della tutela delle informazioni classificate, e' di conseguenza aggiornata secondo le disposizioni contenute nell'allegato 2. 3. L'Autorita' nazionale per la sicurezza prescrive le altre disposizioni di dettaglio per l'integrale attuazione delle norme di sicurezza contenute nella predetta Decisione, nell'ambito nazionale e nel rispetto della disciplina di protezione dei dati personali, eventualmente applicabile. 4. Il presente decreto e' pubblicato nella Gazzetta Ufficiale della Repubblica italiana. Roma, 11 aprile 2002 Il Presidente: BERLUSCONI Registrato alla Corte dei conti il 13 maggio 2002 Ministeri istituzionali, rep. n. 1/R, foglio n. 20   ALLEGATO 1 DECISIONE DEL CONSIGLIO del 19 marzo 2001 che adotta le norme di sicurezza del Consiglio (2001/264/CE) IL CONSIGLIO DELL'UNIONE EUROPEA, visto il trattato che istituisce la Comunita' europea, in particolare l'articolo 207, paragrafo 3, vista la decisione 2000/396/CE, CECA, Euratom del Consiglio, del 5 giugno 2000, che adotta il regolamento interno del Consiglio (1), in particolare l'articolo 24, considerando quanto segue: (1) Per sviluppare le attivita' del Consiglio in settori che richiedono un certo grado di riservatezza occorre porre in essere un sistema di sicurezza globale riguardante il Consiglio, il Segretariato generale e gli Stati membri. (2) Detto sistema dovrebbe combinare in un unico testo la materia disciplinata da tutte le precedenti decisioni e disposizioni nello stesso settore. (3) In concreto, la maggior parte delle informazioni UE classificate CONFIDENTIEL UE (UE riservatissime) e oltre riguarderanno la politica comune in materia di sicurezza e di difesa. (4) Per salvaguardare l'efficienza del sistema di sicurezza cosi' posto in essere, gli Stati membri dovrebbero condividerne la responsabilita' del funzionamento, adottando le necessarie misure a livello nazionale per il rispetto delle disposizioni della presente decisione nei casi in cui le loro autorita' competenti e i loro funzionari trattino informazioni classificate UE. (5) Il Consiglio accoglie favorevolmente l'iniziativa della Commissione di introdurre per la data di applicazione della presente decisione un sistema globale che sia in linea con gli allegati della stessa, allo scopo di assicurare il buon funzionamento del processo decisionale dell'Unione. (6) Il Consiglio sottolinea l'importanza di associare, ove opportuno, il Parlamento europeo e la Commissione alle regole e alle norme di riservatezza necessarie per salvaguardare gli interessi dell'Unione e degli Stati membri. (7) La presente decisione lascia impregiudicato l'articolo 255 del trattato e i relativi strumenti di attuazione. (8) La presente decisione lascia impregiudicate le pratiche esistenti negli Stati membri per quanto riguarda l'informazione dei Parlamenti nazionali sulle attivita' dell'Unione, DECIDE: Articolo 1 Sono approvate le norme di sicurezza del Consiglio contenute nell'allegato. Articolo 2 1. Il Segretario generale/Alto rappresentante adotta le misure adeguate per garantire che, nel trattare informazioni classificate UE, i funzionari e gli altri agenti del Segretariato generale del Consiglio (in seguito denominato: "SGC"), i contraenti esterni dell'SGC e il personale distaccato presso l'SGC nonche' negli edifici del Consiglio e negli organismi UE decentrati rispettino le norme di cui all'articolo 1 (2). (1) GU L 149 del 23.6.2000, pag. 21. (2) Cfr. conclusioni del Consiglio del 10 novembre 2000. 2. Gli Stati membri adottano le misure adeguate, in conformita' di accordi nazionali, per garantire che, nel trattamento di informazioni classificate UE, all'interno dei servizi e degli edifici siano rispettate le norme di cui all'articolo 1 da parte di: a) membri delle Rappresentanze permanenti degli Stati membri presso l'Unione europea, nonche' membri di delegazioni nazionali che partecipano alle riunioni del Consiglio o dei suoi organi o che prendono parte ad altre attivita' del Consiglio; b) altri membri delle amministrazioni nazionali degli Stati membri che trattano informazioni classificate UE, che prestino servizio nel territorio degli Stati membri o all'estero; e c) contraenti esterni e personale distaccato degli Stati membri che trattano informazioni classificate UE. Gli Stati membri informano l'SGC delle misure adottate. 3. Le misure di cui ai paragrafi 1 e 2 sono adottate entro il 30 novembre 2001. Articolo 3 Conformemente ai principi fondamentali e alle norme minime di sicurezza contenuti nella parte I dell'allegato, il Segretario generale/Alto rappresentante puo' adottare misure ai sensi della parte II, sezione I, punti 1 e 2, dell'allegato. Articolo 4 A decorrere dalla data della sua applicazione, la presente decisione sostituisce: a) la decisione 98/319/CE del Consiglio, del 27 aprile 1998, relativa alle modalita' secondo cui i funzionari e gli agenti del Segretariato generale del Consiglio possono essere autorizzati ad accedere a informazioni classificate in possesso del Consiglio (1) b) la decisione del Segretario generale/Alto rappresentante, del 27 luglio 2000, relativa alle misure di protezione delle informazioni classificate applicabili al Segretariato generale del Consiglio (2); c) la decisione 433/97 del Segretario generale del Consiglio, del 22 maggio 1997, relativa alla procedura di nulla osta di sicurezza dei funzionari responsabili per il funzionamento della rete Cortesy. Articolo 5 1. La presente decisione ha effetto il giorno della pubblicazione. 2. Essa si applica a decorrere dal 1 dicembre 2001. Fatto a Bruxelles, addi' 19 marzo 2001. Per il Consiglio Il Presidente A. LINDH (1) GU L 140 del 12.5.1998, pag. 12. (2) GU C 239 del 23.8.2000, pag. 1.   ALLEGATO NORME DI SICUREZZA DEL CONSIGLIO DELL'UNIONE EUROPEA PARTE I PRINCIPI FONDAMENTALI E NORME MINIME DI SICUREZZA INTRODUZIONE Con queste disposizioni si stabiliscono i principi fondamentali e le norme minime di sicurezza che il Consiglio, il Segretariato generale del Consiglio (in seguito denominato "SGC"), gli Stati membri e gli organismi decentrati dell'Unione europea (in seguito denominati "organismi decentrati UE") devono debitamente rispettare perche' sia salvaguardata la sicurezza e tutti abbiano la garanzia che e' in vigore uno standard comune di protezione. 2. Con "informazioni classificate UE" si intendono le informazioni e i materiali la cui divulgazione non autorizzata potrebbe recare in varia misura pregiudizio agli interessi dell'UE o a uno o piu' Stati membri, sia che le informazioni suddette provengano dall'interno dell'UE ovvero dagli Stati membri, da Stati terzi o da organizzazioni internazionali. 3. Ai fini delle presenti norme si intende per: a) "documento", qualsiasi lettera, nota, verbale, relazione, promemoria, segnale/messaggio, schizzo, fotografia, diapositiva, pellicola, mappa, diagramma, piano, notebook, stencil, carta carbone, nastro dattilografico o per stampante, nastro, cassetta, dischetto di computer, CD ROM o altro mezzo materiale sul quale possono essere state registrate informazioni; b) "materiale", qualsiasi "documento" secondo la definizione di cui alla lettera a) e altresi' qualsiasi elemento di equipaggiamento o di anni, sia sotto forma di prodotto finito sia in corso di lavorazione. 4. La sicurezza ha i seguenti obiettivi principali: a) a) proteggere le informazioni classificate UE dallo spionaggio, dalla violazione o dalla diffusione non autorizzata; b) b) salvaguardare le informazioni UE impiegate in sistemi e reti di comunicazione e informazioni da minacce contro la loro integrita' e disponibilita'; c) c) salvaguardare le installazioni in cui sono collocate le informazioni UE dal sabotaggio e dal danno intenzionale premeditato; d) d) nel caso fosse impossibile evitarlo, valutare il danno prodotto, limitarne le conseguenze ed adottare le misure necessarie per ripararlo. 5. Un'efficace sicurezza si fonda sui seguenti elementi: a) all'interno di ciascuno Stato membro un'organizzazione della sicurezza nazionale responsabile per: i) la raccolta e la registrazione di intelligence in materia di spionaggio, sabotaggio, terrorismo e altre attivita' sovversive; ii) l'informazione e la consulenza del proprio governo, e attraverso questo, del Consiglio, circa il carattere delle minacce che incombono sulla sicurezza e i relativi mezzi di protezione; b) all'interno di ciascuno Stato membro e nell'ambito dell'SGC, un'autorita' tecnica INFOSEC responsabile per la cooperazione con l'autorita' di sicurezza interessata, che ha lo scopo di fornire informazioni e consulenza circa le minacce tecniche che incombono sulla sicurezza e i relativi mezzi di protezione; c) una regolare collaborazione tra amministrazioni pubbliche, organismi e organi interessati dell'SGC per stabilire e raccomandare opportunamente: i) quali informazioni, risorse e installazioni occorre proteggere; ii) norme comuni di protezione. 6. Per quanto riguarda la riservatezza, la selezione delle informazioni e dei materiali da proteggere e la valutazione del grado di protezione necessaria richiedono diligenza ed esperienza. E' particolarmente importante che il grado di protezione corrisponda al grado di sicurezza richiesto dalla singola informazione e dal singolo materiale da proteggere. Perche' non vi siano ostacoli al flusso delle informazioni occorre prendere provvedimenti per evitare la sovraclassificazione. Il sistema di classificazione e' lo strumento per tradurre in pratica questi principi; un sistema di classificazione analogo dovrebbe essere adottato nella pianificazione e nell'organizzazione delle modalita' per combattere lo spionaggio, il sabotaggio, il terrorismo e altre minacce in modo che godano della massima protezione i principali edifici in cui sono collocate informazioni classificate e i punti piu' sensibili all'interno di questi. PRINCIPI BASILARI 7. Le misure di sicurezza: a) riguardano tutte le persone che hanno accesso alle informazioni classificate, ai supporti delle informazioni classificate, agli edifici che contengono tali informazioni e a importanti installazioni; b) sono destinate a individuare le persone la cui posizione possa mettere a repentaglio la sicurezza di informazioni classificate e di importanti installazioni che contengono informazioni classificate e a provvedere alla loro esclusione o allontanamento; c) impediscono alle persone non autorizzate di accedere alle informazioni classificate o alle installazioni che le contengono; d) garantiscono che le informazioni classificate siano diffuse soltanto in base al principio della necessita' di sapere che e' fondamentale per tutti gli aspetti della sicurezza; e) assicurano l'integrita' (ossia la prevenzione della corruzione, dell'alterazione o della cancellazione non autorizzata) e la disponibilita' (ossia l'accesso non e' negato a coloro che devono e sono autorizzati ad averlo) di tutte le informazioni, siano esse classificate o non, e soprattutto delle informazioni immagazzinate, elaborate o trasmesse sotto forma elettromagnetica. ORGANIZZAZIONE DELLA SICUREZZA Norme comuni minime 8. Il Consiglio e ciascuno Stato membro garantiscono che nelle amministrazioni locali e/o governative, presso altre istituzioni, altri organismi e contraenti UE siano osservate norme minime comuni di sicurezza in modo che informazioni classificate UE possano essere fornite confidando che siano trattate con la stessa diligenza. Dette norme minime includono criteri per il nulla osta di sicurezza del personale e procedure per la protezione delle informazioni classificate UE. SICUREZZA DEL PERSONALE Nulla osta di sicurezza del personale 9. Tutti coloro che devono accedere a informazioni classificate CONFIDENTIEL UE (UE riservatissime) o oltre devono aver debitamente ricevuto il nulla osta prima di essere autorizzate a tale accesso. Lo stesso nulla osta e' richiesto alle persone che si occupano del funzionamento tecnico o della manutenzione dei sistemi di comunicazione e di informazione contenenti informazioni classificate. Questo nulla osta deve servire a determinare se detti individui: a) a) sono di indefettibile lealta'; b) b) dimostrano forza di carattere e discrezione tali che non vi siano dubbi sulla loro integrita' nel trattamento delle informazioni classificate ovvero; c) c) possono essere sensibili a pressioni provenienti dall'esterno o altre, per esempio a causa di soggiorni precedenti o frequentazioni passate che possono costituire un rischio per la sicurezza. A un esame particolarmente accurato nell'ambito delle procedure di nulla osta sono sottoposti coloro che: d) d) devono ottenere accesso alle informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo); e) e) occupano posizioni per le quali hanno normale accesso a una considerevole quantita' di informazioni SECRET EU (UE segreto); f) f) hanno per le loro mansioni accesso speciale a sistemi di comunicazione o di informazioni essenziali per le missioni e percio' possono avere accesso non autorizzato a grandi quantita' di informazioni classificate UE o danneggiare gravemente la missione con atti di sabotaggio tecnico. Nelle circostanze di cui alle lettere d), e) e f) deve farsi il massimo uso possibile della tecnica delle indagini di fondo. 10. Le persone che non hanno una vera e propria necessita' di sapere e lavorano in circostanze nelle quali possono avere accesso a informazioni classificate UE (per esempio fattorini, agenti della sicurezza, personale addetto alla manutenzione o alle pulizie ecc.), devono prima di tutto ottenere un debito nulla osta di sicurezza. Registrazione dei nulla osta del personale 11. Tutti i servizi, organi o installazioni che trattano informazioni classificate UE ovvero ospitano sistemi di comunicazione o di informazioni essenziali per le missioni tengono una traccia dei nulla osta concessi al personale addetto. Ciascun nulla osta deve essere verificato secondo le esigenze, affinche' si abbia la garanzia che e' adatto ai compiti svolti da quella persona; deve essere immediatamente riesaminato non appena nuove informazioni indichino che non e' piu' nell'interesse della sicurezza mantenere quella persona a contatto con le informazioni classificate. E' il capo della sicurezza per il servizio, organismo o installazione interessata a custodire la traccia dei nulla osta. Istruzioni di sicurezza per il personale 12. Tutto il personale che ricopre incarichi in cui potrebbe aver accesso a informazioni classificate e' dettagliatamente istruito al momento di assumere l'incarico e a intervalli regolari circa la necessita' della sicurezza e le relative procedure. Occorre esigere che tutto il personale di cui trattasi certifichi per iscritto di aver perfettamente compreso le norme di sicurezza connesse alle sue mansioni. Responsabilita' dei dirigenti 13. I dirigenti hanno il dovere di sapere quali dei loro subordinati lavorino a contatto di informazioni classificate o abbiano accesso a sistemi di comunicazione o di informazioni sensibili per le missioni e di registrare e riferire circa qualsiasi incidente o caso di palese vulnerabilita' che possa avere conseguenze sulla sicurezza. Status del personale in fatto di sicurezza 14. Sono poste in essere procedure per garantire che, allorche' si viene a conoscenza di informazioni negative riguardo all'individuo, si chiarisca se costui svolge un lavoro connesso con le informazioni classificate ovvero ha accesso a sistemi di comunicazione o di informazioni essenziali per le missioni e se le autorita' interessate ne siano informate. Se si stabilisce che rappresenta un pericolo per la sicurezza, detto individuo deve essere allontanato o rimosso dal suo incarico nel quale potrebbe mettere a repentaglio la sicurezza. SICUREZZA MATERIALE Necessita' della protezione 15. Il grado di sicurezza materiale da applicare per garantire la protezione delle informazioni classificate UE deve essere proporzionato alla classificazione, al volume e alle minacce che incombono sulle informazioni e sul materiale custodito. Occorrera' percio' evitare sia la sovraclassificazione sia la sottoclassificazione e la classificazione deve essere oggetto di regolare revisione. Tutti i detentori di informazioni classificate UE devono seguire pratiche uniformi per quanto riguarda la classificazione delle informazioni in loro possesso e ottemperare a norme comuni di protezione per quel che riguarda la custodia, la trasmissione e la diffusione di informazioni e di materiale soggetti a protezione. Controlli 16. Prima di lasciare i luoghi in cui sono riposte informazioni classificate UE non sottoposti a sorveglianza le persone a cui detti luoghi sono affidati devono assicurarsi che le informazioni siano immagazzinate in modo sicuro e che tutti i dispositivi di sicurezza siano stati attivati (serrature, allarmi. ecc.). Al termine dell'orario di lavoro devono essere effettuati altri controlli indipendenti. Sicurezza degli edifici 17. Gli edifici contenenti informazioni classificate UE o sistemi di comunicazione e informazioni essenziali per le missioni devono essere protetti contro l'accesso non autorizzato. Il tipo di protezione destinato alle informazioni classificate UE, per esempio sbarramento di finestre, serrature alle porte, guardie all'entrata, sistemi di controllo dell'accesso automatizzati, controlli di sicurezza e ispezioni, sistemi d'allarme, sistemi di individuazione delle intrusioni e cani da guardia dipendono: a) a) dalla classificazione, dal volume e dall'ubicazione all'interno dell'edificio delle informazioni e dei materiali da proteggere; b) b) dalla qualita' dei contenitori di sicurezza per queste informazioni e materiali; c) c) dalle caratteristiche dell'edificio e dalla sua ubicazione. 18. Anche nel caso dei sistemi di comunicazione e di informazioni il tipo di protezione prescelto deve dipendere da una stima del valore di quanto e' in gioco e del danno potenziale che deriverebbe dal venir meno della sicurezza, dalle caratteristiche e dall'ubicazione dell'edificio nel quale e' custodito il sistema e dalla collocazione del sistema all'interno dell'edificio. Piani d'emergenza 19. Occorre predisporre in anticipo piani dettagliati per la protezione delle informazioni classificate durante un'emergenza locale o nazionale. SICUREZZA DELLE INFORMAZIONI (INFOSEC) 20. L'Infosec riguarda l'individuazione e l'applicazione di misure di sicurezza per proteggere le informazioni elaborate, immagazzinate o trasmesse in sistemi elettronici di comunicazione e di informazioni ed altri contro il venir meno della riservatezza, dell'integrita' o della disponibilita', accidentale o intenzionale. Adeguate contromisure devono essere prese per prevenire l'accesso alle informazioni UE da parte di utenti non autorizzati, per impedire che a utenti autorizzati sia opposto il rifiuto di accedere alle informazioni UE e per prevenire l'alterazione ovvero la modificazione o la cancellazione non autorizzata di informazioni UE. MISURE CONTRO IL SABOTAGGIO ED ALTRE FORME DI DANNO INTENZIONALE PREMEDITATO 21. Le precauzioni materiali per la protezione di importanti installazioni in cui sono conservate informazioni classificate sono la migliore garanzia di sicurezza e di protezione contro il sabotaggio e il danno intenzionale premeditato, laddove il solo nulla osta del personale non basta. L'organismo nazionale competente deve raccogliere intelligence circa lo spionaggio, il sabotaggio e il terrorismo ed altre attivita' sovversive. COMUNICAZIONE DI INFORMAZIONI CLASSIFICATE A STATI TERZI O ORGANIZZAZIONI INTERNAZIONALI 22. E' compito del Consiglio decidere se comunicare a uno Stato terzo o a un'organizzazione internazionale informazioni classificate UE. Se l'originatore delle informazioni che si vogliono comunicare non e' il Consiglio, questo deve anzitutto ottenere il consenso dell'originatore. Se e' impossibile stabilire l'originatore, il Consiglio deve assumersi la responsabilita'. 23. Le informazioni classificate che il Consiglio riceve da Stati terzi, da organizzazioni internazionali o da altri terzi devono essere oggetto di protezione proporzionata alla loro classificazione ed equivalente alle norme qui stabilite per informazioni classificate UE o alle norme piu' severe richieste dai terzi che comunicano l'informazione. Possono essere predisposti controlli reciproci. 24. I principi di cui sopra devono essere applicati in conformita' delle disposizioni dettagliate della parte II. PARTE II SEZIONE I ORGANIZZAZIONE DELLA SICUREZZA NEL CONSIGLIO DELL'UNIONE EUROPEA Il Segretario generale/Alto rappresentante 1. Il Segretario generale/Alto rappresentante a) attua la politica di sicurezza del Consiglio; b) prende in esame i problemi di sicurezza sottopostigli dal Consiglio o dagli organi competenti di questo; c) esamina le questioni che comportano cambiamenti nella politica di sicurezza del Consiglio in stretto legame con le autorita' di sicurezza nazionali (o altre) degli Stati membri (in seguito denominate "NSA"). Un elenco di dette autorita' e' contenuto nell'appendice I. 2. In particolare il Segretario generale/Alto rappresentante e' responsabile per a) il coordinamento di tutte le questioni di sicurezza connesse alle attivita' del Consiglio; b) esigere dagli Stati membri di predispone un registro centrale TRES SECRET UE/EU TOP SECRET (UE segretissimo) e chiedere che siffatto registro sia predisposto eventualmente negli organismi decentrati UE; c) inviare alle autorita' designate dagli Stati membri le richieste affinche' gli NSA predispongano i nulla osta di sicurezza per il personale impiegato nell'SGC in conformita' della sezione VI; d) fare ordinare indagini riguardo a qualsiasi fuga di notizie circa informazioni classificate UE, che a prima vista sembri avere avuto luogo nell'SGC o in uno degli organismi decentrati UE; e) chiedere alle autorita' di sicurezza interessate di avviare indagini nel caso di fughe di notizie circa informazioni classificate UE che sembrino aver avuto luogo al di fuori dell'SGC o di un organismo decentrato UE e coordinare lo inchieste quando sono coinvolte piu' autorita' di sicurezza; f) compiere insieme e d'accordo con l'NSA interessata esami periodici della normativa sulla sicurezza per la protezione delle informazioni classificate UE negli Stati membri; g) mantenere uno stretto legame con tutte le autorita' per la sicurezza interessate ai fini di un coordinamento globale della sicurezza; h) riesaminare costantemente la politica e le procedure di sicurezza del Consiglio e se necessario predisporre le opportune raccomandazioni. Al riguardo egli presenta al Consiglio il piano di ispezione annuale predisposto dal Servizio di sicurezza dell'SGC. Comitato per la sicurezza del Consiglio 3. E' istituito un Comitato per la sicurezza. Ne fanno parte rappresentanti delle NSA degli Stati membri. E' presieduto dal Segretario generale/Alto rappresentante o dal suo delegato. Possono essere invitati a parteciparvi rappresentanti degli organismi decentrati UE quando vi si discutono questioni che li riguardano. 4. Il Comitato di sicurezza si riunisce secondo le istruzioni del Consiglio, a richiesta del Segretario generale/Alto rappresentante o di una NSA. Il Comitato ha facolta' di esaminare e valutare tutti i problemi di sicurezza relativi ai lavori del Consiglio e di presentare opportune raccomandazioni a quest'ultimo. Per quanto riguarda l'attivita' dell'SGC il Comitato ha il potere di fare raccomandazioni su problemi di sicurezza al Segretario generale/Alto rappresentante. Servizio di sicurezza del Segretariato generale del Consiglio 5. Per adempiere le responsabilita' di cui ai paragrafi 1 e 2 il Segretario generale/Alto rappresentante dispone del Servizio di sicurezza dell'SGC per il coordinamento, la supervisione e l'applicazione delle misure di sicurezza. 6. Il capo del Servizio di sicurezza dell'SGC e' il consigliere principale del Segretario generale/Alto rappresentante circa le questioni di sicurezza e funge da segretario del Comitato per la sicurezza. Al riguardo dirige l'aggiornamento della normativa in merito alla sicurezza e coordina le misure di sicurezza con le autorita' competenti degli Stati membri e, se opportuno, con le organizzazioni internazionali collegate al Consiglio mediante accordi in materia di sicurezza. Allo scopo agisce come ufficiale di collegamento. 7. Il capo del Servizio di sicurezza dell'SGC e' responsabile dell'accreditamento dei sistemi e delle reti di TI all'interno dell'SGC. Il capo del Servizio di sicurezza dell'SGC e la relativa NSA decidono insieme, se opportuno, circa l'accreditamento dei sistemi e delle reti di TI che coinvolgono l'SGC, gli Stati membri e gli organismi decentrati UE o i terzi (Stati o organizzazioni internazionali). Organismi decentrati UE 8. I direttori degli organismi decentrati UE sono responsabili dell'attuazione della sicurezza all'interno dell'edificio. Di norma affidano la responsabilita' a un membro del personale, che e' designato come funzionario responsabile della sicurezza. Stati membri 9. Ciascuno Stato membro designa un responsabile NSA per la sicurezza delle informazioni classificate UE (1). 10. Nel quadro di ciascuna amministrazione nazionale la relativa NSA e' responsabile per: a) Il mantenimento della sicurezza delle informazioni classificate UE custodite da un dipartimento, un organo o organismo nazionale, sia esso pubblico o privato, nel paese o all'estero; b) autorizzare la costituzione di registri TRES SECRET UE/EU TOP SECRET (UE segretissimo) (questa facolta' puo' essere delegata all'ufficiale di controllo TRES SECRET UE/EU TOP SECRET (UE segretissimo) di un ufficio centrale di registrazione; c) l'ispezione periodica dei dispositivi di sicurezza per la protezione delle informazioni classificate UE; d) garantire che tutti i cittadini e gli stranieri impiegati in un dipartimento, organo o organismo nazionale che possano avere accesso a informazioni classificate TRES SECRET UE/EU TOP SECRET (UE segretissime), SECRET UE (UE segrete) e CONFIDENTIEL UE (UE riservatissime) abbiano ottenuto il nulla osta di sicurezza; e) concepire i piani di sicurezza necessari per impedire che le informazioni classificate UE finiscano in mano a persone non autorizzate. Ispezioni reciproche di sicurezza. 11. Il Servizio di sicurezza dell'SGC e le NSA interessate, insieme e d'accordo tra loro, compiono ispezioni periodiche dei dispositivi di sicurezza per la protezione delle informazioni classificate UE nell'SGC e nelle Rappresentanze permanenti degli Stati membri presso l'Unione europea oltreche' negli uffici degli Stati membri negli edifici del Consiglio (2). 12. Il Servizio di sicurezza dell'SGC ovvero, a richiesta del Segretariato generale, la NSA dello Stato membro ospitante, compiono ispezioni periodiche della normativa di sicurezza per la protezione delle informazioni classificate UE negli organismi decentrate UE. (1) Un elenco delle responsabili della sicurezza delle informazioni classificate UE e' contenuto nell'appendice 1. (2) Fatta salva la convenzione di Vienna del 1961 sulle relazioni diplomatiche. SEZIONE II CLASSIFICAZIONI E CONTRASSEGNI LIVELLI Dl CLASSIFICAZIONE (1) Le informazioni sono classificate ai seguenti livelli: 1. TRES SECRET UE/EU TOP SECRET: questa classificazione si applica soltanto a informazioni e materiali la cui divulgazione non autorizzata potrebbe arrecare danni di eccezionale gravita' agli interessi fondamentali dell'Unione europea o di uno o piu' Stati membri. 2. SECRET UE: questa classificazione si applica soltanto a informazioni e materiali la cui divulgazione non autorizzata potrebbe ledere gravemente gli interessi fondamentali dell'Unione europea o di uno o piu' Stati membri. 3. CONFIDENTIEL UE: questa classificazione si applica a informazioni e materiale la cui divulgazione non autorizzata potrebbe ledere gli interessi fondamentali dell'Unione europea o di uno o piu' Stati membri. 4. RESTREINT UE: questa classificazione si applica a informazioni e materiali la cui divulgazione non autorizzata potrebbe arrecare danno agli interessi dell'Unione europea o di uno o piu' Stati membri. CONTRASSEGNI 5. Un contrassegno di limitazione puo' essere usato per specificare un settore che fa parte del documento o una distribuzione particolare sulla base del principio della necessita' di sapere. 6. Il contrassegno ESDP/PESD si appone su documenti e copie degli stessi per quanto riguarda la sicurezza e la difesa dell'Unione o di uno o piu' Stati membri o riguardo alla gestione delle crisi militare o non militare. 7. Taluni documenti, in particolare quelli che si riferiscono ai sistemi di tecnologia dell'informazione (TI) possono recare un altro contrassegno che implica misure di sicurezza supplementari, come definito nella normativa appropriata. APPOSIZIONE DELLE CLASSIFICAZIONI E CONTRASSEGNI 8. La classificazione e i contrassegni si applicano come segue: a) su documenti RESTREINT UE (UE riservato) con mezzi meccanici o elettronici; b) su documenti CONFIDENTIEL UE (UE riservatissimo) con mezzi meccanici e a mano o a stampa su carta prestampigliata, registrata; c) su documenti SECRET UE (UE segreto) e TRES SECRET UE/EU TOP SECRET (UE segretissimo) con mezzi meccanici e a mano. (1) Nell'appendice 2 e' contenuta una tabella comparativa delle classificazioni di sicurezza UE, NATO, UEO, e degli Stati membri. SEZIONE III GESTIONE DELLA CLASSIFICAZIONE 1. Le informazioni sono classificate solo ove necessario. La classificazione e' indicata chiaramente e correttamente ed e' mantenuta solo per la durata in cui e' necessario proteggere l'informazione. 2. La responsabilita' della classificazione dell'informazione e di eventuali declassamenti o declassificazioni (1) successivi spetta unicamente all'originatore. Il funzionario o altro agente dell'SGC classifica un'informazione, oppure la declassa o la declassifica su istruzione del suo direttore generale o d'intesa con il medesimo. 3. Le modalita' dettagliate per il trattamento dei documenti classificati sono state elaborate in modo da garantire che essi siano soggetti a una protezione commisurata alle informazioni che contengono. 4. Il numero di persone autorizzate ad emanare documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) e' limitato al minimo e il loro nominativo figura in un elenco elaborato dall'SGC, da ogni Stato membro e, se opportuno, da ogni organismo decentrato dell'UE. ATTRIBUZIONE DELLE CLASSIFICAZIONI 5. La classificazione di un documento e' determinata dal livello di sensibilita' del suo contenuto, ai sensi della definizione di cui alla sezione II, punti da 1 a 4. E' importante che la classificazione sia attribuita correttamente e con moderazione, in particolare per quanto riguarda la classificazione TRES SECRET UE/EU TOP SECRET (UE segretissimo). 6. L'originatore di un documento che deve essere classificato tiene presente le disposizioni sopraelencate e limita la tendenza alla sovra o sottoclassificazione. Anche se un grado di classificazione elevato sembra garantire a prima vista una maggiore protezione del documento, la sovraclassificazione abituale puo' condurre ad una perdita di fiducia nella validita' del sistema di classificazione. D'altro canto, i documenti non devono essere sottoclassificati nella prospettiva di aggirare i vincoli connessi con la protezione. Nell'appendice 3 figura una guida pratica per la classificazione. 7. E' possibile che singole pagine, paragrafi, sezioni, annessi, appendici, allegati di un determinato documento e altro materiale accluso richiedano classificazioni differenti: in tal caso essi sono contraddistinti di conseguenza e a tutto il documento viene attribuito il grado di classificazione dell'elemento con grado di classificazione piu' elevato. 8. Il grado di classificazione attribuito a una lettera o nota cui e' accluso altro materiale corrisponde a quello dell'elemento accluso con grado piu' elevato. L'originatore indica chiaramente il grado di classificazione da attribuire alla lettera o nota quando e' separata dal materiale accluso. DECLASSAMENTO E DECLASSIFICAZIONE 9. I documenti classificati UE possono essere declassati o declassificati unicamente con il consenso dell'originatore e, se necessario, previa discussione con le altre parti interessate. Il declassamento o la declassificazione sono confermati per iscritto. L'istituzione, lo Stato membro, l'ufficio, l'organizzazione successiva o l'alta autorita' da cui ha origine il documento sono tenuti ad informare i destinatari del cambiamento di classificazione e questi ultimi sono a loro volta tenuti ad informarne i destinatari successivi ai quali hanno trasmesso l'originale o una copia del documento. 10. Nella misura del possibile, l'originatore indica sul documento classificato la data o un termine a partire dal quale le informazioni in esso contenute potranno essere declassate o declassificate. In caso contrario, esso verifica almeno ogni cinque anni che la classificazione iniziale del documento sia tuttora necessaria. (1) Per declassamento ("downgrading") si intende una riduzione del grado di classificazione. Per declassificare ("declassification") si intende la soppressione di qualsiasi menzione di classificazione. SEZIONE IV SICUREZZA MATERIALE DISPOSIZIONI GENERALI 1. Scopo principale delle misure di sicurezza materiale e' evitare che le persone non autorizzate abbiano accesso alle informazioni e/o al materiale classificato UE. REQUISITI DI SICUREZZA 2. Tutti i locali, zone, edifici, uffici, stanze, sistemi di comunicazione e d'informazione, ecc. in cui sono custoditi e/o trattati informazioni e materiale classificato UE sono protetti da adeguate misure di sicurezza materiale. 3. Per la decisione sul grado di protezione materiale necessario occorre tener conto di tutti i fattori pertinenti, quali: a) il grado di classificazione dell'informazione e/o del materiale; b) la quantita' e la forma (ad esempio supporto cartaceo, mezzi di archiviazione elettronica) delle informazioni detenute; c) la minaccia in loco rappresentata da servizi segreti che prendono di mira l'UE, gli Stati membri e/o altre istituzioni o terzi in possesso di informazioni classificate UE, nonche' segnatamente da atti di sabotaggio, terrorismo e altri atti sovversivi e/o criminali. 4. Le misure di sicurezza materiale applicate sono volte a: a) impedire agli intrusi l'ingresso fraudolento o con la forza; b) dissuadere, impedire e scoprire azioni da parte di personale in malafede (cosiddette "talpe"); c) evitare che funzionari o altri agenti dell'SGC, di dipartimenti governativi degli Stati membri e/o di altre istituzioni nonche' terzi che non hanno necessita' di sapere possano accedere alle informazioni classificate UE. MISURE DI SICUREZZA MATERIALE Zone di sicurezza 5. Le zone in cui sono trattate e custodite le informazioni classificate CONFIDENTIEL UE (UE riservatissimo) o di grado superiore sono organizzate e strutturate in modo da corrispondere a uno dei seguenti parametri: a) zona di sicurezza di categoria I: zona in cui sono trattate e custodite informazioni CONFIDENTIEL UE (UE riservatissimo) o di grado superiore in modo che l'ingresso in tale zona rappresenti, a tutti i fini pratici, l'accesso alle informazioni classificate. Per tale zona occorre prevedere: i) un perimetro chiaramente delimitato e protetto attraverso cui controllare tutti gli ingressi e le uscite; ii) un sistema di controllo all'entrata che consenta l'ingresso solo alle persone in possesso di debito nulla osta di sicurezza e espressamente autorizzate ad entrare in tale zona; iii) la specificazione della classificazione attribuita all'informazione normalmente custodita nella zona in questione, ossia l'informazione cui si accede entrando in tale zona; b) zona di sicurezza di categoria II: zona in cui sono trattate e custodite informazioni CONFIDENTIEL UE (UE riservatissimo) o di grado superiore in modo da proteggerle da un accesso di persone non autorizzate mediante controlli interni, ad esempio locali in cui si trovano gli uffici in cui vengono di solito trattate e custodite le informazioni CONFIDENTIEL UE (UE riservatissimo) o di grado superiore. Per tale zona occorre prevedere; i) un perimetro chiaramente delimitato e protetto attraverso cui controllare tutti gli ingressi e le uscite; ii) un sistema di controllo all'entrata che consenta l'ingresso senza scorta solo alle persone in possesso di debito nulla osta di sicurezza ed espressamente autorizzate ad entrare in tale zona. Per tutte le altre persone occorre prevedere scorte o controlli equivalenti per evitare l'accesso non autorizzato alle informazioni classificate UE e l'ingresso non controllato a zone soggette a ispezioni tecniche di sicurezza. Le zone non occupate da personale in servizio 24 ore al giorno sono ispezionate immediatamente dopo il normale orario di lavoro per garantire che le informazioni classificate UE siano correttamente protette. Zona amministrativa 6. In prossimita' delle zone di sicurezza di categoria I e II o per accedere a tali zone, puo' essere creata una zona amministrativa con minor livello di sicurezza. Occorre prevedere un perimetro chiaramente delimitato per l'ispezione del personale e dei veicoli. Nella zona amministrativa sono trattate e custodite solo informazioni classificate RESTREINT (UE riservato). Controlli all'entrata e all'uscita 7. L'ingresso a zone di sicurezza delle categorie I e II e' controllato da un lasciapassare o da un sistema di riconoscimento personale che si applica all'organico. E' altresi' predisposto un sistema di controllo dei visitatori al fine di impedire l'accesso non autorizzato ad informazioni classificate UE. I sistemi di lasciapassare possono essere completati da altri di identificazione automatizzata, senza che cio' sostituisca totalmente il personale del servizio di sicurezza. Una modifica nella valutazione del rischio puo' comportare un rafforzamento delle misure di controllo delle entrate e delle uscite, per esempio durante la visita di personalita'. Ronde di controllo 8. Le ronde di' controllo delle zone di sicurezza di categoria I e II vengono effettuate al di fuori del normale orario di lavoro per proteggere i beni dell'UE dal rischio di manomissioni, danni o perdite. Le ronde sono effettuate secondo una frequenza determinata dalle circostanze locali ma, come orientamento generale, ogni due ore. Contenitori di sicurezza e camere blindate 9. Le informazioni classificate UE sono custodite in contenitori suddivisi in tre categorie: - Categoria A; contenitori approvati a livello nazionale per custodire informazioni classificate TRES SECRET UE/EU TOP SECRET (UE segretissimo) nelle zone di sicurezza delle categorie I e II; - Categoria B; contenitori approvati a livello nazionale per custodire informazioni classificate SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo) nelle zone di sicurezza delle categorie I e II; - Categoria C: mobili da ufficio atti a custodire solo le informazioni classificate RESTREINT UE (UE riservato). 10. Nelle camere blindate costruite in una zona di sicurezza della categoria I o II, e in tutte le zone di sicurezza della categoria I in cui sono custodite le informazioni classificate CONFIDENTIEL UE (UE riservatissimo) o di grado superiore in scaffali aperti o in cui si visualizzano prospetti, piantine, ecc., le pareti, il pavimento ed il soffitto, la o le porte provviste di serratura o serrature sono omologate da una NSA per garantire che offrano una protezione equivalente alla categoria di contenitore di sicurezza approvato per custodire informazioni con lo stesso grado di classificazione. Dispositivi di chiusura 11. I dispositivi di chiusura utilizzati per i contenitori di sicurezza e le camere blindate in cui sono custodite informazioni classificate UE devono soddisfare i seguenti requisiti; - Gruppo A: approvati a livello nazionale per contenitori della categoria A; - Gruppo B: approvati a livello nazionale per contenitori della categoria B; - Gruppo C: idonei solo per i mobili da ufficio della categoria C. Controllo delle chiavi e delle combinazioni 12. Le chiavi dei contenitori di sicurezza non possono essere asportate dall'edificio. La combinazione dei contenitori di sicurezza deve essere conosciuta a memoria dalle persone che ne fanno uso. Il capo della sicurezza dell'edificio in questione ha la responsabilita' delle chiavi di riserva e di tutte le combinazioni, conservate in singoli plichi opachi sigillati, di cui far uso in caso di emergenza. Le chiavi, le chiavi di riserva e le combinazioni sono custodite in contenitori di sicurezza separati. Le chiavi e le combinazioni ricevono almeno la stessa protezione riservata al materiale cui danno accesso. 13. La combinazione dei contenitori di sicurezza e' portata a conoscenza del minor numero di persone possibile. Le combinazioni vengono sostituite: a) al ricevimento di ogni nuovo contenitore; b) ad ogni cambiamento di personale; c) ad ogni manomissione effettiva o sospettata; d) ad intervalli possibilmente semestrali, e per lo meno ogni dodici mesi. Dispositivi per il rilevamento di intrusi 14. Quando le informazioni classificate UE sono protette da sistemi di allarme, televisione a circuito chiuso e altri dispositivi elettrici, si prevede un'erogazione di elettricita' di emergenza per garantire il funzionamento ininterrotto del sistema in caso di avaria del sistema centrale. E' altresi' indispensabile che in caso di disfunzione o di manomissione di detti sistemi, venga attivato un allarme o un altro segnale affidabile per il servizio di sicurezza. Attrezzatura approvata 15. Le NSA mantengono, da sole o con le NSA di un altro Paese, elenchi aggiornati suddivisi per tipo e modello dell'attrezzatura di sicurezza da essi approvata per la protezione diretta o indiretta delle informazioni classificate in base a varie circostanze e condizioni specificate. Il servizio di sicurezza dell'SGC mantiene un elenco analogo che si basa, tra l'altro, sulle informazioni fornite dalle NSA. Prima dell'acquisto di tali attrezzature gli organi decentrati dell'UE si consultano con il servizio di sicurezza dell'SGC e, se del caso, con la NSA dello Stato membro che le ospita. Protezione materiale delle fotocopiatrici e dei fax 16. Le fotocopiatrici e i fax sono protetti materialmente per quanto necessario a garantire che solo le persone autorizzate possano usarli e che tutti i documenti classificati da essi prodotti siano soggetti a opportuni controlli. PROTEZIONE CONTRO SGUARDI E ASCOLTI INDISCRETI Sguardi indiscreti 17. Per garantire che le informazioni classificate UE non siano visionate, anche accidentalmente, da persone non autorizzate devono essere prese tutte le misure appropriate, sia di giorno che di notte. Ascolti indiscreti 18. Gli uffici o le zone in cui si discutono regolarmente informazioni classificate SECRET UE (UE segreto) o di grado superiore sono protetti dall'ascolto indiscreto attivo e passivo qualora il rischio lo richieda. La valutazione del rischio del verificarsi di questo evento spetta alle autorita' di sicurezza competenti, eventualmente previa consultazione delle NSA. 19. Per decidere le misure di protezione che occorre prendere nei locali che possono essere soggetti ad ascolto indiscreto passivo (per esempio, isolamento dei muri, delle porte, del pavimento e del soffitto, misurazione delle emissioni compromettenti) e all'ascolto indiscreto attivo (per esempio, ricerca di microfoni), il servizio di sicurezza dell'SGC puo' chiedere l'assistenza di esperti delle NSA. I capi della sicurezza degli organismi decentrati dell'UE possono chiedere al servizio di sicurezza dell'SGC di procedere ad ispezioni tecniche e/o possono richiedere l'assistenza di esperti delle NSA. 20. Parimenti, su richiesta del capo della sicurezza competente, quando le circostanze lo rendano necessario, specialisti della sicurezza tecnica presso le NSA possono ispezionare il materiale per le telecomunicazioni e qualsiasi tipo di attrezzatura elettrica o elettronica da ufficio utilizzata durante le riunioni di livello SECRET UE (UE segreto) e di grado superiore. ZONE TECNICAMENTE SICURE 21. Alcune zone possono essere designate come zone tecnicamente sicure, per le quali e' previsto un controllo speciale all'ingresso. Quando non vengono occupate tali zone sono chiuse a chiave mediante una procedura convenuta, e tutte le chiavi sono considerate chiavi di sicurezza. Queste zone sono soggette a regolari ispezioni materiali, cui si procedera' anche dopo ogni ingresso non autorizzato, effettivo o sospettato. 22. Si procede ad un inventario particolareggiato dell'attrezzatura e dei mobili per controllarne la movimentazione. In queste zone non possono essere introdotti mobili o altra attrezzatura che non siano stati precedentemente verificati con cura dal personale di sicurezza avente una formazione specifica per rilevare qualsiasi meccanismo di ascolto. Come regola generale, nelle zone tecnicamente sicure occorre evitare l'installazione di linee per la comunicazione. SEZIONE V REGOLE GENERALI RELATIVE AL PRINCIPIO "NEED TO KNOW" (NECESSITA' DI SAPERE) E AL NULLA OSTA DI SICUREZZA L'accesso alle informazioni classificate UE e' consentito solo alle persone che hanno necessita' di sapere per lo svolgimento delle loro funzioni o missioni. L'accesso alle informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo), SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo) e' autorizzato solo per le persone in possesso dell'appropriato nulla osta di sicurezza. 2. La responsabilita' di determinare la "necessita' di sapere" spetta all'SGC, agli organismi decentrati dell'UE e al servizio o dipartimento dello Stato membro presso cui la persona in questione sara' assunta, in funzione dei requisiti delle sue funzioni. 3. Il rilascio del nulla osta di sicurezza al personale spetta al datore di lavoro del funzionario in base alle pertinenti procedure applicabili. Per quanto riguarda i funzionari e altri agenti dell'SGC, la procedura relativa al rilascio del nulla osta di sicurezza e' specificata nella sezione VI. Tale procedura si conclude con il rilascio di un "nulla osta di sicurezza" in cui e' specificato il grado delle informazioni classificate cui la persona abilitata ha accesso e la data di scadenza di tale nulla osta. Un nulla osta di sicurezza per un determinato grado puo' conferire al titolare il diritto all'accesso ad informazioni classificate di grado inferiore. 4. Le persone che non sono funzionari o altri agenti dell'SGC o degli Stati membri, ad esempio membri, funzionari o agenti delle istituzioni dell'UE, con cui possa essere necessario discutere informazioni classificate UE, o ai quali tali informazioni devono essere mostrate, devono avere un nulla osta di sicurezza per le informazioni classificate UE e devono venir istruite quanto alla loro responsabilita' in materia di sicurezza. La stessa regola si applica, in circostanze analoghe, a contraenti, esperti o consulenti esterni. REGOLE SPECIFICHE RELATIVE ALL'ACCESSO ALLE INFORMAZIONI TRES SECRET UE/EU TOP SECRET (EU segretissimo) 5. La persona che deve accedere alle informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo) deve preliminarmente essere abilitata a tale accesso. 6. La persona che deve accedere alle informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo) e' designata dal capo del servizio da cui dipende e il suo nominativo e' inserito nel pertinente registro TRES SECRET UE/EU TOP SECRET (UE segretissimo). 7. Prima di accedere alle informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo) la persona in questione deve firmare un certificato in cui dichiara di essere stata istruita sulle procedure del Consiglio in materia di sicurezza e di essere pienamente consapevole della responsabilita' che le incombe quanto alla protezione delle informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo) nonche' delle conseguenze previste dalle norme dell'UE e dalle norme nazionali o amministrative qualora informazioni classificate vengano divulgate a persone non autorizzate, sia intenzionalmente che per negligenza. 8. Per le persone che hanno accesso a informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo) nel corso di riunioni, ecc., il funzionario di controllo competente del servizio o dell'organismo presso cui tali persone sono assunte notifica all'organo che organizza la riunione che le persone in questione sono in possesso della pertinente autorizzazione. 9. Il nominativo della persona che cessi di svolgere funzioni per le quali e' richiesto l'accesso alle informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo) e' rimosso dall'elenco TRES SECRET UE/EU TOP SECRET (UE segretissimo). Inoltre, la sua attenzione e' nuovamente richiamata sulla responsabilita' particolare che le incombe quanto alla protezione delle informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo). Essa e' anche tenuta a firmare una dichiarazione in cui si impegna a non utilizzare o divulgare le informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo) in suo possesso. REGOLE SPECIFICHE RELATIVE ALL'ACCESSO ALLE INFORMAZIONI SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo) 10. La persona che deve accedere alle informazioni SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo) deve essere preliminarmente abilitata al pertinente grado. 11. La persona che deve accedere alle informazioni SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo) deve essere a conoscenza delle pertinenti norme di sicurezza ed essere consapevole delle conseguenze di un atto di negligenza. 12. Per le persone che hanno accesso a informazioni SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo) nel corso di riunioni, ecc., il capo della sicurezza del servizio o dell'organismo presso cui tali persone sono assunte notifica all'organismo che organizza la riunione che le persone in questione sono in possesso della pertinente autorizzazione. REGOLE SPECIFICHE RELATIVE ALL'ACCESSO ALLE INFORMAZIONI RESTREINT UE (UE riservato) 13. La persona che ha accesso a informazioni RESTREINT UE (UE riservato) viene messa a conoscenza delle presenti norme di sicurezza e delle conseguenze di un atto di negligenza. TRASFERIMENTI 14. Quando un membro del personale e' trasferito da un posto che comporta il trattamento di materiale classificato UE, l'ufficio della registrazione provvede al corretto trasferimento di detto materiale dal funzionario uscente al funzionario entrante. ISTRUZIONI PARTICOLARI 15. La persona che deve trattare informazioni classificate UE deve essere resa consapevole, all'atto dell'assunzione delle sue funzioni e successivamente con periodicita', di quanto segue: a) i pericoli per la sicurezza derivanti da conversazioni indiscrete; b) le precauzioni da prendere nei rapporti con la stampa; c) la minaccia rappresentata dalle attivita' di servizi segreti che prendono di mira l'UE e gli Stati membri per quanto riguarda le informazioni e le attivita' classificate UE; d) l'obbligo di riferire immediatamente alle pertinenti autorita' di sicurezza in merito a qualsiasi approccio o manovra che possa destare i sospetti di un'attivita' di spionaggio o di qualsiasi circostanza inabituale in materia di sicurezza. 16. Tutti coloro che sono abitualmente esposti a frequenti contatti con rappresentanti di paesi i cui servizi segreti prendono di mira l'UE e gli Stati membri per quanto riguarda le informazioni e le attivita' classificate UE vengono istruiti sulle tecniche notoriamente impiegate dai vari servizi segreti. 17. Non esistono norme di sicurezza del Consiglio relative ai viaggi personali verso qualsiasi destinazione effettuati da personale abilitato all'accesso a informazioni classificate UE. Le pertinenti autorita' di sicurezza, tuttavia, informano i funzionari e altri agenti di cui sono responsabili in merito alle disposizioni in materia di viaggio cui possono essere soggetti. Spetta ai responsabili della sicurezza organizzare riunioni di aggiornamento per i membri del personale su queste istruzioni particolari. SEZIONE VI PROCEDURA PER IL RILASCIO DEL NULLA OSTA DI SICUREZZA AI FUNZIONARI E ALTRI AGENTI DELL'SGC 1. Hanno accesso alle informazioni classificate in possesso del Consiglio soltanto i funzionari e gli altri agenti dell'SGC o le persone che lavorano in seno all'SGC che, a motivo delle loro funzioni e per esigenze di servizio, abbiano bisogno di prenderne visione o di effettuarne il trattamento. 2. Per poter accedere alle informazioni classificate TRES SECRET UE/EU TOP SECRET (UE segretissimo), SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo) le persone di cui al punto 1 devono essere state abilitate a tal fine, secondo la procedura di cui ai paragrafi 4 e 5. 3. Il nulla osta di sicurezza e' rilasciato soltanto alle persone che sono state oggetto di un'indagine di sicurezza da parte delle autorita' nazionali competenti degli Stati membri (NSA) secondo la procedura di cui ai paragrafi da 6 a 10. 4. L'autorita' che ha il potere di nomina (APN) ai sensi dell'articolo 2, primo comma, dello statuto e' competente per il rilascio del nulla osta di sicurezza di cui ai paragrafi 1, 2 e 3. L'APN rilascia tale nulla osta previo parere delle autorita' nazionali competenti degli Stati membri sulla base dell'indagine di sicurezza condotta ai sensi dei paragrafi da 6 a 12. 5. Il nulla osta di sicurezza, che e' valido per un periodo di cinque anni, non puo' avere durata superiore a quella delle funzioni che ne hanno giustificato il rilascio. Esso puo' essere rinnovato dall'APN secondo la procedura di cui al paragrafo 4. Il nulla osta di sicurezza e' revocato dall'APN ove questa ritenga che ve ne sia motivo. La decisione di revoca e' notificata alla persona interessata, che puo' chiedere di essere ascoltata dall'APN, nonche' all'autorita' nazionale competente. 6. L'indagine di sicurezza ha lo scopo di assicurare che nulla osti a che la persona possa avere accesso alle informazioni classificate in possesso del Consiglio. 7. L'indagine di sicurezza e' effettuata, con la collaborazione della persona interessata e su richiesta dell'APN, dalle autorita' nazionali competenti dello Stato membro di cui la persona da abilitare e' cittadino. Qualora la persona interessata risieda nel territorio di un altro Stato membro, le autorita' nazionali competenti possono avvalersi della collaborazione delle autorita' dello Stato di residenza. 8. Ai fini dell'indagine la persona interessata e' tenuta a compilare una nota informativa individuale. 9. Nella richiesta l'APN specifica il tipo e il grado di classificazione delle informazioni di cui la persona interessata dovra' prendere visione, per consentire alle autorita' nazionali competenti di svolgere l'indagine ed esprimere un parere per il grado di abilitazione appropriato da rilasciare alla persona in questione. 10. Per lo svolgimento e i risultati della procedura relativa all'indagine di sicurezza sono applicabili le disposizioni e le norme vigenti in materia nello Stato membro interessato, comprese quelle relative agli eventuali mezzi di impugnazione. 11. Se le autorita' nazionali competenti degli Stati membri esprimono parere positivo, l'APN puo' rilasciare il nulla osta alla persona interessata. 12. Se le autorita' nazionali competenti esprimono parere negativo, la persona interessata e' informata di tale parere e puo' chiedere di essere ascoltata dall'APN. L'APN puo', se lo ritiene necessario, rivolgersi alle autorita' nazionali competenti per chiedere i chiarimenti complementari che esse sono in grado di fornire. In caso di riconferma del parere negativo, il nulla osta non puo' essere rilasciato. 13. Ogni persona abilitata a norma dei paragrafi 4 e 5 riceve, al momento del rilascio del nulla osta e successivamente ad intervalli regolari, le necessarie istruzioni concernenti la protezione delle informazioni classificate e le modalita' per garantirla. Essa firma una dichiarazione in cui conferma di avere ricevuto tali istruzioni e di impegnarsi a rispettarle. 14. L'APN adotta le misure necessarie per attuare la presente sezione, in particolare per quanto riguarda le norme in materia di accesso all'elenco delle persone abilitate. 15. In via eccezionale e per esigenze di servizio l'APN, previa informazione delle autorita' nazionali competenti e in mancanza di reazioni da parte di queste ultime entro il termine di un mese, puo' rilasciare un nulla osta a titolo temporaneo per un periodo che non puo' essere superiore a sei mesi, in attesa dell'esito dell'indagine di cui al paragrafo 7. 16. I nulla osta provvisori e temporanei rilasciati non danno accesso alle informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo); tale accesso e' limitato ai funzionari che siano stati effettivamente sottoposti a un'indagine di sicurezza con esito positivo, ai sensi del paragrafo 7. In attesa dell'esito dell'indagine, i funzionari per i quali e' stato richiesto un nulla osta di sicurezza al grado di TRES SECRET UE/EU TOP SECRET (UE segretissimo) possono essere abilitati in via temporanea e provvisoria ad accedere a informazioni classificate fino al grado TRES SECRET UE/EU TOP SECRET (UE segretissimo) incluso. SEZIONE VII ELABORAZIONE, DISTRIBUZIONE, TRASMISSIONE, ARCHIVIAZIONE E DISTRUZIONE DI MATERIALE CLASSIFICATO UE Disposizioni generali La presente sezione precisa le misure per l'elaborazione, la distribuzione, la trasmissione, l'archiviazione e la distruzione di documenti classificati UE, secondo quanto definito al paragrafo 3, lettera a) dei principi fondamentali e norme minime di sicurezza di cui alla parte I del presente allegato. Va utilizzata come riferimento per adeguare dette misure ad altro materiale classificato UE, in base al tipo e in funzione dei singoli casi. Capitolo I Elaborazione e distribuzione di documenti classificati UE ELABORAZIONE 1. Le classificazioni e i contrassegni UE sono applicati secondo le disposizioni della sezione II e figurano sulla parte superiore e inferiore di ogni pagina, al centro. Ogni pagina e' numerata. Ciascun documento classificato UE reca un numero di riferimento e una data. Nei documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) e SECRET UE (UE segreto) il numero di riferimento figura su ciascuna pagina. Qualora i documenti siano distribuiti in piu' esemplari ognuno di essi reca un numero di copia che figura sulla prima pagina, a fianco del numero totale di pagine. Tutti gli allegati e il materiale accluso sono elencati sulla prima pagina dei documenti classificati CONFIDENTIEL UE (UE riservatissimo) o di grado superiore. 2. I documenti classificati CONFIDENTIEL UE (UE riservatissimo) o di grado superiore sono dattiloscritti, tradotti, archiviati, fotocopiati, riprodotti su supporto magnetico o microfilm soltanto da persone che hanno ricevuto il nulla osta di sicurezza per l'accesso alle informazioni classificate UE per un grado almeno pari alla classificazione di sicurezza del documento in questione, ad eccezione del caso particolare di cui al paragrafo 27 della presente sezione. Le disposizioni che disciplinano la produzione informatica di documenti classificati sono riportate nella sezione XI. DISTRIBUZIONE 3. Le informazioni classificate UE sono distribuite solo alle persone aventi necessita' di sapere e che hanno ricevuto il pertinente nulla osta di sicurezza. La distribuzione iniziale e' specificata dall'originatore. 4. I documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) sono distribuiti tramite gli uffici di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) (cfr. la sezione VIII). Per i messaggi TRES SECRET UE/EU TOP SECRET (UE segretissimo) l'ufficio di registrazione competente puo' autorizzare il capo del centro di comunicazioni a produrre il numero di copie specificato nell'elenco dei destinatari. 5. I documenti classificati SECRET UE (UE segreto) o di grado inferiore possono essere ridistribuiti dal destinatario originale ad altri destinatari in base alla necessita' di sapere. Le autorita' d'origine tuttavia indicano chiaramente ogni limitazione che desiderino imporre. In presenza di tali limitazioni i destinatari possono ridistribuire i documenti solo con l'autorizzazione dell'autorita' d'origine. 6. Ogni documento classificato CONFIDENTIEL UE (UE riservatissimo) o di grado superiore viene registrato, all'entrata e all'uscita dall'edificio, dall'ufficio di registrazione interno. I dettagli da annotare (riferimenti, data e, ove applicabile, numero della copia) sono tali da consentire l'identificazione dei documenti e sono iscritti in un repertorio o registrati su un supporto informatico specificamente protetto. Capitolo II Trasmissione di documenti classificati UE INVOLUCRI 7. I documenti classificati CONFIDENTIEL UE (UE riservatissimo) o di grado superiore sono trasmessi in buste doppie, resistenti, opache. La busta interna reca la pertinente classificazione di sicurezza UE e, ove possibile, i dati completi della funzione, del titolo e dell'indirizzo del destinatario. 8. Solo il funzionario di controllo dell'ufficio di registrazione, o il suo sostituto, puo' aprire la busta interna e accusare ricevuta dei documenti che contiene a meno che essa sia indirizzata ad una persona determinata; in tal caso il pertinente ufficio di registrazione registra l'entrata della busta e soltanto la persona cui essa e' indirizzata puo' aprire la busta interna e accusare ricevuta dei documenti in essa contenuti. 9. Nella busta interna viene inserito un modulo di ricevuta, che non viene classificato, indicante il numero di riferimento, la data e il numero di copia del documento ma in nessun caso l'oggetto del contenuto. 10. La busta interna e' inserita in una busta esterna recante un numero di involucro ai fini della ricevuta. In nessun caso la busta esterna reca la classificazione di sicurezza. 11. Per i documenti classificati CONFIDENTIEL UE (UE riservatissimo) o di grado superiore, viene consegnata ai corrieri una ricevuta con il numero di involucro. TRASMISSIONE ALL'INTERNO DL UN EDIFICIO O DI UN GRUPPO DI EDIFICI 12. All'interno di un determinato edificio o gruppo di edifici, i documenti classificati possono essere trasportati in una busta sigillata recante unicamente il nome del destinatario, purche' il trasporto sia effettuato materialmente da una persona abilitata al grado di classificazione dei documenti. TRASMISSIONE DI DOCUMENTI UE ALL'INTERNO DI UN PAESE 13. All'interno di un paese i documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) devono essere inviati solo a mezzo di un servizio ufficiale di messaggeria o tramite persone abilitate ad accedere a informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo). 14. Per il ricorso a un servizio di messaggeria in caso di trasmissione di un documento TRES SECRET UE/EU TOP SECRET (UE segretissimo) al di fuori di un edificio o di un gruppo di edifici, devono essere rispettate le disposizioni relative all'involucro e alla ricezione di cui al presente capitolo. L'organico dei servizi di messaggeria e' tale da garantire che gli involucri contenenti documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) siano in ogni momento sotto la supervisione diretta di un funzionario responsabile. 15. In via eccezionale i documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) possono essere trasportati da funzionari, non appartenenti a un servizio di messaggeria, al di fuori di un edificio o gruppo di edifici per la loro utilizzazione in loco nel corso di riunioni o discussioni, purche': a) il latore sia abilitato ad accedere a tali documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo); b) il modo di trasporto sia conforme alle norme nazionali che disciplinano la trasmissione di documenti nazionali TOP SECRET (segretissimo); c) in nessuna circostanza i documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) siano lasciati incustoditi; d) si definiscano procedure affinche' l'elenco dei documenti trasportati in tal modo sia iscritto presso l'ufficio di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) che detiene i documenti e in un apposito repertorio e sia ricontrollato all'atto della riconsegna. 16. All'interno di un paese i documenti SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo) possono essere spediti sia tramite posta se tale tipo di trasmissione e' consentita in base alle norme nazionali ed e' conforme a dette norme, o mediante servizio di messaggeria oppure affidandoli a persone abilitate all'accesso alle informazioni classificate UE. 17. Ciascuno Stato membro, o organismo decentrato dell'UE, elabora istruzioni per il personale che trasporta documenti classificati UE in base alle presenti norme. Il datore e' tenuto a leggere e firmare tali istruzioni le quali prevedono, in particolare, che in nessun caso i documenti: a) siano lasciati incustoditi a meno che siano conservati in modo sicuro ai sensi delle disposizioni di cui alla sezione IV; b) siano lasciati incustoditi su mezzi di trasporto pubblico o all'interno di veicoli privati, o in luoghi quali ristoranti o alberghi. Essi non possono essere depositati nella cassaforte degli alberghi o restare incustoditi nelle camere; c) siano letti in luoghi pubblici quali aeromobili o treni. TRASMISSIONE TRA STATI MEMBRI 18. Il materiale classificato CONFIDENTIEL UE (UE riservatissimo) o di grado superiore e' trasferito da uno Stato membro ad un altro mediante valigia diplomatica o corriere militare. 19. Tuttavia il trasporto personale di materiale classificato SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo) e' consentito se le disposizioni per il trasporto sono tali da garantire che detto materiale non possa cadere nelle mani di persone non autorizzate. 20. Le NSA possono autorizzare il trasporto personale quando la valigia diplomatica e il corriere militare non siano disponibili o quando il ricorso a tali mezzi di trasporto comporti un ritardo che sarebbe dannoso per le operazioni dell'UE nonche' quando il materiale sia richiesto urgentemente dal destinatario previsto. Ciascuno Stato membro prepara istruzioni per il trasporto personale internazionale di materiale classificato fino al grado di SECRET UE (UE segreto) incluso, effettuato da persone che non siano corrieri diplomatici o militari. Ai sensi di tali istruzioni: a) il latore deve avere il pertinente nulla osta di sicurezza rilasciato dagli Stati membri; b) il materiale trasportato e' registrato nel pertinente ufficio o ufficio di registrazione; c) gli involucri o i plichi contenenti materiale UE recano un sigillo ufficiale volto ad evitare o scoraggiare un'ispezione doganale e etichette relative all'identificazione nonche' istruzioni per chi ritrova il materiale; d) il latore dispone di un certificato di corriere e/o di un ordine di missione, riconosciuto da tutti gli Stati dell'UE, che lo autorizza a trasportare l'involucro specificato; e) in caso di viaggio via terra non viene attraversato alcun paese terzo, ne' la sua frontiera, a meno che lo Stato di invio non abbia una garanzia speciale da parte del paese in questione; f) l'organizzazione del viaggio del latore per quanto concerne destinazioni, percorsi e mezzi di trasporto e' conforme alle norme dell'UE o alle norme nazionali in materia qualora queste siano piu' rigorose; g) il materiale deve sempre essere detenuto dal latore a meno che sia custodito ai sensi delle disposizioni relative alla conservazione in luogo sicuro di cui alla sezione IV; h) il materiale non deve essere lasciato incustodito in veicoli pubblici o privati o in luoghi quali ristoranti o alberghi. Esso non deve essere depositato nella cassaforte degli alberghi o restare incustodito nelle camere; i) se il materiale trasportato contiene documenti questi non devono essere letti in luoghi pubblici (ad esempio aerei, treni, ecc.). La persona addetta al trasporto dei documenti classificati deve leggere e firmare un documento del servizio di sicurezza in cui figurino almeno le istruzioni di cui sopra e le procedure da seguire in caso di emergenza o qualora il plico contenente il materiale classificato sia richiesto per accertamenti dai servizi doganali o di sicurezza degli aeroporti. TRASMISSIONE DI DOCUMENTI RESTREINT UE (UE riservato) 21. Non sono previste disposizioni speciali per il trasporto di documenti RESTREINT UE (UE riservato) eccetto per quanto riguarda la garanzia che non cadano nelle mani di persone non autorizzate. SICUREZZA DEL PERSONALE DEI CORRIERI 22. Tutto il personale del servizio di corriere e di messaggeria assunto per trasportare documenti SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo) deve essere in possesso del pertinente nulla osta di sicurezza. Capitolo III Trasmissione elettrica e altri mezzi di trasmissione tecnica 23. Le misure di sicurezza delle comunicazioni sono destinate a garantire la trasmissione sicura delle informazioni classificate UE. Le norme particolareggiate applicabili alla trasmissione di tali informazioni classificate UE figurano nella sezione XI. 24. Le informazioni classificate CONFIDENTIEL UE (UE riservatissimo) e SECRET UE (UE segreto) possono transitare solo attraverso centri e reti di comunicazione e/o terminali e sistemi accreditati. Capitolo IV Esemplari supplementari, traduzioni ed estratti di documenti classificati UE 25. Solo l'originatore puo' autorizzare la tiratura o la traduzione di documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo). 26. Se persone che non hanno il nulla osta di sicurezza del grado TRES SECRET UE/EU TOP SECRET (UE segretissimo) richiedono informazioni le quali, sebbene contenute in un documento TRES SECRET UE/EU TOP SECRET (UE segretissimo) non hanno tale grado di classificazione, il capo dell'ufficio di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) puo' essere autorizzato a produrre il numero necessario di estratti dal documento in questione. Contemporaneamente egli adotta le misure necessarie affinche' a tali estratti venga attribuita la pertinente classificazione di sicurezza. 27. I documenti classificati SECRET UE (UE segreto) o di grado inferiore possono essere riprodotti e tradotti dal destinatario nell'ambito delle norme nazionali in materia di sicurezza e purche' sia rigorosamente rispettato il principio della necessita' di sapere. Le misure di sicurezza applicabili al documento originale si applicano anche alle riproduzioni e/o traduzioni del medesimo. Gli organismi decentrati dell'UE applicano le presenti norme di sicurezza. Capitolo V Rassegne e controlli, archiviazione e distruzione dei documenti classificati UE RASSEGNE E CONTROLLI 28. Ogni anno l'ufficio di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo), di cui alla sezione VIII, effettua una rassegna particolareggiata dei documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) conformemente alle disposizioni previste alla sezione VIII, paragrafi da 9 a 11. I documenti classificati UE di grado inferiore a TRES SECRET UE/EU TOP SECRET (UE segretissimo) sono soggetti a controlli interni in funzione di orientamenti nazionali e, per l'SGC o gli organismi decentrati dell'UE, in base a istruzioni del Segretario generale/Alto rappresentante. Tali operazioni mirano ad ottenere il parere dei detentori dei documenti quanto: a) alla possibilita' di declassare o declassificare determinati documenti; b) ai documenti da distruggere. ARCHIVIAZIONE DELLE INFORMAZIONI CLASSIFICATE UE 29. Al fine di ridurre al minimo i problemi di archiviazione, i funzionari di controllo di tutti gli uffici di registrazione sono autorizzati a far microfilmare i documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo), SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo) o a farli riprodurre su supporto magnetico o ottico a fini di archiviazione, purche': a) il processo di trasferimento su microfilm/di archiviazione sia effettuato da personale con nulla osta valido per il corrispondente grado di classificazione; b) il microfilm/mezzo di archiviazione goda della stessa sicurezza dei documenti originali; c) il trasferimento su microfilm/l'archiviazione di ogni documento TRES SECRET UE/EU TOP SECRET (UE segretissimo) sia comunicato all'originatore; d) i rotoli di pellicola, o gli altri tipi di supporto, contengano solo documenti del medesimo grado di classificazione TRES SECRET UE/EU TOP SECRET (UE segretissimo), SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo); e) il trasferimento su microfilm/l'archiviazione di un documento TRES SECRET UE/EU TOP SECRET (UE segretissimo) o SECRET UE (UE segreto) sia chiaramente indicato nel registro usato per l'inventario annuale; f) i documenti originali che sono stati trasferiti su microfilm o archiviati in altro modo siano distrutti, conformemente alle disposizioni di cui ai paragrafi da 31 a 36. 30. Queste norme si applicano altresi' a qualsiasi altra forma di archiviazione autorizzata dalle NSA, quali i mezzi elettromagnetici e i dischi ottici. DISTRUZIONE PERIODICA DEI DOCUMENTI CLASSIFICATI UE 31. Per evitare l'accumulazione superflua di documenti classificati UE, gli esemplari che il capo dell'istituzione che li detiene considera superati o in soprannumero sono distrutti non appena possibile, nel seguente modo: a) i documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) sono distrutti soltanto dall'ufficio centrale di registrazione che ne e' responsabile. Ogni documento distrutto viene elencato in un certificato di distruzione, firmato dal funzionario di controllo TRES SECRET UE/EU TOP SECRET (UE segretissimo) e dal funzionario che assiste alla distruzione il quale deve avere il nulla osta di sicurezza di grado TRES SECRET UE/EU TOP SECRET (UE segretissimo). A tal fine nel repertorio viene inserita una nota. b) L'ufficio di registrazione tiene i certificati di distruzione, unitamente alle schede di distribuzione, per un periodo di dieci anni e ne invia copie all'originatore o al pertinente ufficio centrale di registrazione solo su richiesta esplicita. c) I documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) inclusi quelli classificati e poi scartati nella fase di preparazione quali copie rovinate, bozze di lavoro, note dattiloscritte e copie su carta carbone sono, sotto la sorveglianza di un funzionario TRES SECRET UE/EU TOP SECRET (UE segretissimo) distrutti mediante incenerimento, ridotti in pasta, sminuzzati o altrimenti ridotti in una forma irriconoscibile e non ricostituibile. 32. I documenti SECRET UE (UE segreto) sono distrutti dall'ufficio di registrazione che ne e' responsabile, sotto la sorveglianza di una persona con nulla osta di sicurezza, utilizzando uno dei processi di cui al paragrafo 31, lettera c). I documenti SECRET UE (UE segreto) distrutti sono elencati in un certificato di distruzione firmato, detenuto dall'ufficio di registrazione, unitamente alle schede di distribuzione, per almeno tre anni. 33. I documenti CONFIDENTIEL UE (UE riservatissimo) sono distrutti dall'ufficio di registrazione che ne e' responsabile, sotto la sorveglianza di una persona con nulla osta di sicurezza, utilizzando uno dei processi di cui al paragrafo 31, lettera c). La loro distruzione e' registrata conformemente alle norme nazionali e, per l'SGC e gli organismi decentrati dell'UE, in base a istruzioni del Segretario generale/Alto rappresentante. 34. I documenti RESTREINT UE (UE riservato) sono distrutti dall'ufficio di registrazione che ne e' responsabile o dall'utente, conformemente alle norme nazionali e, per l'SGC e gli organismi decentrati dell'UE, in base a istruzioni del Segretario generale/Alto rappresentante. DISTRUZIONE IN SITUAZIONI DI EMERGENZA 35. L'SGC, gli Stati membri e gli organismi decentrati dell'UE predispongono piani, in base alle condizioni vigenti in loco, per la protezione del materiale classificato UE in situazioni di crisi, compresa, se necessaria, la distruzione di emergenza e piani di evacuazione; essi emanano, nell'ambito delle rispettive organizzazioni, le istruzioni che ritengono necessarie per impedire che informazioni classificate dell'UE cadano nelle mani di persone non autorizzate. 36. Le disposizioni per la protezione e/o la distruzione di materiale SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo) in situazioni di crisi non compromette in alcun modo la protezione o la distruzione di materiale TRES SECRET UE/EU TOP SECRET (UE segretissimo), ivi compresa l'attrezzatura di cifratura, il cui trattamento e' prioritario rispetto a tutte le altre funzioni. Le misure da adottare per la protezione e la distruzione dell'attrezzatura di cifratura in situazioni di emergenza sono contenute in istruzioni ad hoc. Capitolo VI Norme specifiche applicabili ai documenti destinati al Consiglio 37. Nell'ambito dell'SGC un "Ufficio per le informazioni classificate" controlla le informazioni classificate SECRET UE (UE segreto) e CONFIDENTIEL UE (UE riservatissimo) contenute nei documenti destinati al Consiglio. Sotto l'autorita' del Direttore generale del personale e dell'amministrazione, tale ufficio: a) gestisce le operazioni relative alla registrazione, riproduzione, traduzione, trasmissione, spedizione e distruzione di tali informazioni; b) aggiorna l'elenco dei dati relativi alle informazioni classificate; c) periodicamente interroga gli emittenti sulla necessita' di mantenere la classificazione delle informazioni; d) stabilisce, di concerto con il servizio di sicurezza, le modalita' pratiche per la classificazione e la declassificazione delle informazioni. 38. L'Ufficio per le informazioni classificate tiene un registro con i seguenti dati: a) data di elaborazione delle informazioni classificate; b) grado di classificazione; c) data di scadenza della classificazione; d) nome e servizio dell'originatore; e) destinatario o destinatari con numero di serie; f) oggetto; g) numero; h) numero di esemplari distribuiti; i) preparazione di inventari delle informazioni classificate sottoposte al Consiglio; j) registro della declassificazione o declassamento delle informazioni classificate. 39. Le norme generali previste nei capitoli da I a V della presente sezione si applicano all'Ufficio per le informazioni classificate dell'SGC, salvo altrimenti previsto da norme specifiche nel presente capitolo. SEZIONE VIII UFFICI DI REGISTRAZIONE TRES SECRET UE/EU TOP SECRET (UE segretissimo) 1. Scopo degli uffici di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) e' quello di assicurare che i documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) siano registrati, trattati e diffusi conformemente alle norme di sicurezza. Il capo dell'ufficio di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) in ciascuno Stato membro, presso l'SGC e, se del caso, presso gli organismi decentrati delle UE, e' il funzionario di controllo TRES SECRET UE/EU TOP SECRET (UE segretissimo). 2. Negli Stati membri, presso l'SGC e gli organismi decentrati dell'UE in cui siano stati istituiti siffatti registri e, se del caso, presso altre istituzioni dell'UE ed organizzazioni internazionali e nei paesi terzi con cui il Consiglio ha concluso accordi sulle procedure di sicurezza per lo scambio di informazioni classificate gli uffici centrali di registrazione sono la principale autorita' preposta alla ricezione e all'invio. 3. Se necessario sono istituite sottosezioni degli uffici di registrazione per la gestione interna dei documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo); tali sottosezioni dispongono di dati aggiornati relativi alla circolazione di ciascun documento di loro competenza. 4. Le sottosezioni degli uffici di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) sono istituite secondo quanto specificato nella sezione I per far fronte ad esigenze a lungo termine e sono aggregate ad un ufficio centrale di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo). Qualora debbano essere consultati solo in via temporanea o occasionale, i documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) possono essere rilasciati senza istituire una sottosezione TRES SECRET UE/EU TOP SECRET (UE segretissimo), purche' vengano stabilite norme atte a garantire che essi rimangano sotto il controllo del competente ufficio di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) e che siano osservate tutte le misure di sicurezza materiali e relative al personale. 5. Le sottosezioni degli uffici di registrazione non possono trasmettere documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) direttamente ad altre sottosezioni dello stesso ufficio centrale di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) senza l'esplicito accordo di quest'ultimo. 6. Tutti gli scambi di documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) fra sottosezioni non aggregate ad uno stesso ufficio centrale di registrazione avvengono tramite gli uffici centrali di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo). UFFICI CENTRALI DI REGISTRAZIONE TRES SECRET UE/EU TOP SECRET (UE segretissimo) 7. In qualita' di funzionario di controllo, il capo di un ufficio centrale di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) e' responsabile di quanto segue: a) trasmissione di documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) conformemente alle norme di cui alla sezione VII; b) compilazione di un elenco di tutte le sottosezioni dell'ufficio di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) che dipendono dal suo ufficio, corredato dei nomi e delle firme dei funzionari di controllo designati e dei loro supplenti autorizzati; c) conservazione delle ricevute dei registri per tutti i documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) distribuiti dall'ufficio centrale di registrazione; d) registrazione di tutti i documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) custoditi e distribuiti; e) aggiornamento costante di un elenco di tutti gli uffici centrali di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) con cui e' normalmente in contatto, corredato dei nomi e delle firme dei rispettivi funzionari di controllo designati e dei loro supplenti autorizzati; f) protezione materiale di tutti i documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) custoditi presso l'ufficio di registrazione conformemente alle norme di cui alla sezione IV. SOTTOSEZIONI DEGLI UFFICI DI REGISTRAZIONE TRES SECRET UE/EU TOP SECRET (UE segretissimo) 8. In qualita' di funzionario di controllo, il capo di una sottosezione dell'ufficio di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) e' responsabile di quanto segue: a) trasmissione di documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) conformemente alle norme di cui alla sezione VII ed ai paragrafi 5 e 6 della sezione VIII; b) aggiornamento costante di un elenco di tutte le persone autorizzate ad accedere alle informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo) di sua competenza; c) distribuzione di documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) secondo le istruzioni dell'originatore o in base al principio della necessita' di sapere dopo avere accertato che il destinatario sia fornito del necessario nullaosta di sicurezza; d) aggiornamento costante di un registro di tutti i documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) custodito o circolanti sotto il suo controllo o passati ad altri uffici di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) e conservazione delle relative ricevute; e) aggiornamento costante dell'elenco degli uffici centrali di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) con cui e' autorizzato a scambiare documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo), corredato dei nomi e delle firme dei rispettivi funzionari di controllo e dei loro supplenti autorizzati; f) protezione materiale di tutti i documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) custoditi presso la sottosezione dell'ufficio di registrazione conformemente alle norme di cui alla sezione IV. INVENTARI 9. Ogni dodici mesi ciascun ufficio di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) effettua un inventario dettagliato di tutti i documenti TRES SECRET UE/EU TOP SECRET (UE segretissimo) di cui e' responsabile. Un documento si considera inventariato quando l'ufficio lo detiene materialmente ovvero e' in possesso della ricevuta dell'ufficio di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) in cui il documento e' stato trasferito o del certificato di distruzione del documento stesso o di istruzioni relative al suo declassamento o alla sua declassificazione. 10. Le sottosezioni degli uffici di registrazione trasmettono i risultati dell'inventario annuale all'ufficio centrale di registrazione da cui dipendono in data stabilita da detto ufficio. 11. Le NSA e le istituzioni UE, le organizzazioni internazionali e gli organismi decentrati dell'UE in cui sia stato istituito un ufficio centrale di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) trasmettono i risultati degli inventari annuali effettuati presso gli uffici centrali di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) al Segretario generale/Alto rappresentante entro il 1 aprile di ciascun anno. SEZIONE IX MISURE DI SICUREZZA DA APPLICARE IN OCCASIONE DI RIUNIONI SPECIFICHE TENUTE FUORI DEI LOCALI DEL CONSIGLIO E CONCERNENTI QUESTIONI ALTAMENTE SENSIBILI CONSIDERAZIONI GENERALI 1. Quando riunioni del Consiglio europeo, sessioni del Consiglio, riunioni ministeriali o altre riunioni importanti hanno luogo fuori dei locali del Consiglio a Bruxelles o Lussemburgo ed ove le particolari esigenze di sicurezza connesse con l'elevata sensibilita' delle questioni o delle informazioni discusse lo giustifichino, sono adottate le misure di sicurezza descritte in appresso. Tali misure riguardano unicamente la protezione delle informazioni classificate UE: potrebbe essere necessario prevedere altre misure di sicurezza. RESPONSABILITA' Stati membri ospitanti 2. Lo Stato membro sul cui territorio si svolge la riunione (Stato membro ospitante) e' responsabile, in collaborazione con il Servizio di sicurezza dell'SGC, della sicurezza delle riunioni del Consiglio europeo, delle sessioni del Consiglio, delle riunioni ministeriali o di altre riunioni importanti, nonche' della sicurezza fisica dei principali delegati e del loro seguito. Per quanto riguarda la salvaguardia della sicurezza, esso provvede in particolare: a) all'elaborazione di piani atti a contrastare le minacce alla sicurezza e far fronte agli incidenti connessi con la sicurezza, mediante misure intese in particolare a garantire che i documenti classificati UE siano custoditi negli uffici in condizioni di sicurezza; b) all'adozione di misure intese a fornire una possibilita' di accesso al sistema di comunicazioni del Consiglio per la ricezione e la trasmissione di messaggi classificati UE. Lo Stato membro ospitante fornisce inoltre, su richiesta, l'accesso a sistemi telefonici protetti. Stati membri 3. Le autorita' degli Stati membri prendono i provvedimenti necessari al fine di: a) certificare in modo appropriato il nullaosta di sicurezza dei rispettivi delegati nazionali, se necessario mediante segnalazione o via fax, direttamente al responsabile della sicurezza della riunione o tramite il Servizio di sicurezza dell'SGC; b) informare di eventuali specifiche minacce le autorita' dello Stato membro ospitante e, se del caso, il Servizio di sicurezza dell'SGC affinche' possano essere adottate misure appropriate. Responsabile della sicurezza della riunione 4. Dovrebbe essere designato un responsabile della sicurezza competente per la preparazione generale e controllo delle misure generiche di sicurezza interna, nonche' per il coordinamento con le altre autorita' di sicurezza interessate. Le misure adottate dal responsabile della sicurezza sono, di norma, del seguente tipo: a) i) misure di protezione presso la sede della riunione onde scongiurare incidenti che potrebbero compromettere la sicurezza delle informazioni classificate UE eventualmente utilizzate nel corso della riunione; i) controllo del personale cui e' consentito l'accesso alla sede della riunione, alle aree riservate alle delegazioni ed alle sale delle conferenze e controllo di tutte le apparecchiature; ii) costante coordinamento con le autorita' competenti dello Stato membro ospitante e con il Servizio di sicurezza dell'SGC. b) inserimento nel dossier della riunione di istruzioni relative alla sicurezza, tenendo in debito conto quanto prescritto dalle presenti norme di sicurezza, e qualsiasi altra istruzione relativa alla sicurezza ritenuta necessaria. Servizio di sicurezza dell'SGC 5. Il Servizio di sicurezza dell'SGC funge da consulente in materia di sicurezza per la preparazione della riunione ed invia in loco un suo rappresentante onde fornire, se necessario, assistenza e consulenza al responsabile della sicurezza della riunione ed alle delegazioni. 6. Ogni delegazione che prende parte ad una riunione designa un funzionario preposto alla sicurezza, incaricato di discutere con la rispettiva delegazione le questioni attinenti alla sicurezza e di mantenere i contatti con il responsabile della sicurezza della riunione e, se necessario, con il rappresentante del Servizio di sicurezza del Consiglio. MISURE DI SICUREZZA Zone di sicurezza 7. Sono istituite le seguenti zone di sicurezza: a) una zona di sicurezza di categoria II, comprendente la sala di redazione, gli uffici dell'SGC e le apparecchiature di riproduzione, nonche' gli uffici delle delegazioni a seconda dei casi; b) una zona di sicurezza di categoria I, costituita dalla sala della conferenza e dalle cabine degli interpreti e dei tecnici audio; c) zone amministrative, comprendenti l'area stampa e le aree della sede della riunione utilizzate a fini amministrativi, di ristorazione e di alloggio, nonche' la zona immediatamente adiacente al centro stampa ed alla sede della riunione. Lasciapassare 8. Il responsabile della sicurezza della riunione rilascia appositi badge secondo le richieste delle delegazioni ed in base alle loro esigenze operando, se necessario, una distinzione per l'accesso alle diverse zone di sicurezza. 9. Le istruzioni di sicurezza relative alla riunione prevedono che all'interno della sede della riunione tutti gli interessati portino sempre in modo ben visibile i loro badge, affinche' il personale addetto alla sicurezza possa provvedere ai necessari controlli. 10. Oltre che ai partecipanti forniti di badge, l'accesso alla sede della riunione e' consentito al minor numero possibile di persone. Le delegazioni nazionali che desiderino ricevere visitatori nel corso della riunione informano il responsabile della sicurezza della riunione. Ai visitatori viene rilasciato un apposito badge, previa compilazione di lasciapassare recante il nome del visitatore e della persona visitata. I visitatori sono sempre accompagnati da una guardia di sicurezza o dalla persona visitata. L'accompagnatore porta il lasciapassare del visitatore e lo riconsegna, assieme al badge del visitatore, al personale di sicurezza quando il visitatore lascia la sede della riunione. Controllo degli apparecchi fotografici e degli apparecchi di registrazione audiovisiva 11. Nella zona di sicurezza di categoria I e' vietato introdurre apparecchi fotografici e di registrazione, ad eccezione delle apparecchiature dei fotografi e dei tecnici audio debitamente autorizzati dal responsabile della sicurezza della riunione. Controllo di valigie, computer portatili e plichi 12. I detentori di lasciapassare cui e' consentito l'accesso ad una zona di sicurezza possono di norma introdurvi senza controlli le loro valigie ed i loro computer portatili (solo autoalimentati). I plichi per le delegazioni vengono loro consegnati dopo essere stati ispezionati dal funzionario della delegazione addetto alla sicurezza, controllati mediante apparecchiature speciali o aperti dal personale addetto alla sicurezza per verificarne il contenuto. Se il responsabile della sicurezza della riunione lo ritiene necessario, si possono prevedere misure piu' rigorose per il controllo di valigie e plichi. Sicurezza tecnica 13. Un'apposita squadra puo' garantire la sicurezza tecnica della sala di riunione e provvedere inoltre alla sorveglianza elettronica durante la riunione. Documenti delle delegazioni 14. Le delegazioni sono responsabili dei documenti classificati UE che portano con se' alle riunioni. Sono inoltre responsabili della verifica e della sicurezza di detti documenti durante la loro utilizzazione nei locali ad esse assegnati. Per il trasporto di documenti classificati nella e dalla sede della riunione puo' essere chiesto l'aiuto degli Stati membri ospitanti. Custodia dei documenti in luogo sicuro 15. Se l'SGC, la Commissione o le delegazioni non sono in grado di custodire i loro documenti classificati secondo le norme approvate, possono affidarli in busta sigillata, dietro ricevuta, al responsabile della sicurezza della riunione, che li custodisce in conformita' di dette norme. Ispezione degli uffici 16. Il responsabile della sicurezza della riunione provvede a che gli uffici dell'SGC e delle delegazioni siano ispezionati al termine di ogni giornata lavorativa per verificare che tutti i documenti classificati UE siano al sicuro; in caso contrario, adotta i provvedimenti necessari. Eliminazione dei rifiuti classificati 17. Tutti i rifiuti sono trattati come rifiuti classificati UE, per la cui eliminazione vengono forniti all'SGC e alle delegazioni cestini o pacchi della spazzatura. Prima di lasciare i locali ad essi assegnati, l'SGC e le delegazioni portano i loro rifiuti al responsabile della sicurezza della riunione, che provvede alla loro distruzione secondo le norme. 18. Al termine della riunione tutti i documenti detenuti dall'SGC e dalle delegazioni e divenuti superflui sono trattati alla stregua di rifiuti. Prima di revocare le misure di sicurezza adottate per la riunione, viene effettuata un'accurata ispezione dei locali assegnati all'SGE ed alle delegazioni. I documenti per i quali era stata firmata una ricevuta sono distrutti, ove possibile, come prescritto alla sezione VII. SEZIONE X VIOLAZIONE DELLA SICUREZZA E COMPROMISSIONE DI INFORMAZIONI CLASSIFICATE UE 1. Una violazione della sicurezza e' la conseguenza di atti o omissioni contrari ad una norma nazionale o del Consiglio in materia di sicurezza, che potrebbero mettere a repentaglio o compromettere informazioni classificate UE. 2. Le informazioni classificate UE sono compromesse quando esse, o parte di esse, giungono in possesso di persone non autorizzate, vale a dire sprovviste dell'appropriato nullaosta di sicurezza o che non abbiano la necessita' di conoscerle, o quando e' probabile che si sia verificata tale circostanza. 3. Le informazioni classificate UE possono essere compromesse per disattenzione o negligenza, a seguito di indiscrezioni o come conseguenza delle attivita' di servizi che prendono di mira l'UE o gli Stati membri, per quanto riguarda le loro informazioni ed attivita' classificate UE, ovvero di organizzazioni sovversive. 4. E' importante che tutti coloro che devono trattare informazioni classificate UE ricevano informazioni dettagliate sulle procedure di sicurezza, sui pericoli insiti nelle conversazioni indiscrete e sulle relazioni che devono intrattenere con la stampa. Essi devono essere consapevoli dell'importanza di riferire immediatamente alle autorita' di sicurezza dello Stato membro, dell'istituzione o dell'organismo per cui lavorano qualsiasi violazione della sicurezza di cui vengano a conoscenza. 5. Ove un'autorita' competente in materia di sicurezza riscontri o sia informata di una violazione della sicurezza relativa ad informazioni classificate UE o della perdita o della scomparsa di materiale classificato UE, adotta tempestivamente provvedimenti miranti a: a) accertare i fatti; b) valutare e limitare per quanto possibile i danni; c) impedire che i fatti si ripetano; d) informare le autorita' competenti delle conseguenze della violazione della sicurezza. A tale scopo vengono fornite le seguenti informazioni: i) descrizione delle informazioni in questione, loro classificazione, numero di riferimento e numero di esemplare, data, originatore, oggetto e finalita' del documento; ii) breve descrizione delle circostanze in cui si e' verificata la violazione della sicurezza, con indicazione della data e del periodo nel quale le informazioni sono state soggette al rischio di compromissione; iii) se l'originatore sia stato o meno informato. 6. Non appena informata di una possibile violazione della sicurezza, ciascuna autorita' di sicurezza riferisce immediatamente il fatto attenendosi alla seguente procedura: la sottosezione dell'ufficio di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo) riferisce in merito al Servizio di sicurezza dell'SGC tramite il rispettivo ufficio centrale di registrazione TRES SECRET UE/EU TOP SECRET (UE segretissimo); qualora la compromissione di informazioni classificate UE sia avvenuta nel territorio di uno Stato membro, essa viene comunicata al Servizio di sicurezza di dell'SGC come specificato al paragrafo 5 tramite il responsabile della NSA. 7. I casi riguardanti informazioni RESTREINT UE (UE riservato) devono essere riferiti solo quando presentino aspetti inconsueti. 8. Il Segretario generale/Alto rappresentante, informato di una violazione della sicurezza: a) ne da' notifica all'autorita' d'origine dell'informazione classificata in questione; b) chiede alle autorita' competenti in materia di sicurezza di avviare le indagini; c) coordina le indagini qualora sia interessata piu' di un'autorita' competente in materia di sicurezza; d) fa stilare una relazione sulle circostanze della violazione, con l'indicazione della data o del periodo nel quale essa potrebbe essersi verificata ed e' stata riscontrata, ed una descrizione particolareggiata del contenuto e del grado di classificazione del materiale impiegato. La relazione prende in considerazione anche i danni arrecati agli interessi dell'UE o di uno o piu' Stati membri e le misure adottate per impedire che i fatti si ripetano. 9. L'autorita' d'origine informa i destinatari ed impartisce le istruzioni del caso. 10. Chiunque sia responsabile della compromissione di informazioni classificate UE e' passibile di sanzioni disciplinari in conformita' delle norme e dei regolamenti pertinenti. Tali sanzioni non pregiudicano eventuali procedimenti giudiziari. SEZIONE XI PROTEZIONE DELLE INFORMAZIONI E DEI SISTEMI DI COMUNICAZIONE Capitolo I Introduzione CONSIDERAZIONI GENERALI 1. La strategia e le prescrizioni in materia di sicurezza di cui alla presente sezione si applicano a tutti i sistemi e a tutte le reti di comunicazioni e di informazioni (in seguito SISTEMI) che trattano informazioni classificate di grado CONFIDENTIEL UE (UE riservatissimo) o grado superiore. 2. I SISTEMI che trattano informazioni RESTREINT UE (UE riservato) richiedono anche misure di sicurezza atte a proteggere la riservatezza delle informazioni. Tutti i SISTEMI richiedono misure di sicurezza atte a proteggere l'integrita' e la disponibilita' dei sistemi stessi e delle informazioni in essi contenute. Le misure di sicurezza da applicare a detti sistemi sono stabilite dall'autorita' di accreditamento in materia di sicurezza (SAA) competente in funzione della valutazione del rischio e sono coerenti con la strategia definita dalle presenti norme di sicurezza. 3. Le misure di protezione dei sistemi di sensori con SISTEMI TI informatici incorporati sono stabilite e specificate nel contesto generale dei sistemi di cui fanno parte avvalendosi, nei limiti del possibile, delle pertinenti disposizioni della presente sezione. MINACCE AI SISTEMI E LORO VULNERABILITA' 4. In linea generale si intende per minaccia la possibilita' di una compromissione accidentale o deliberata della sicurezza. Nel caso dei SISTEMI, cio' implica la perdita di una o piu' delle caratteristiche di riservatezza, integrita' e disponibilita'. La vulnerabilita' puo' essere definita come insufficienza o mancanza di controlli che rende piu' agevole o consente l'attuazione di una minaccia contro un bene o un bersaglio specifico. La vulnerabilita' puo' derivare da un'omissione o puo' essere connessa con controlli non abbastanza rigorosi, completi o coerenti; puo' essere di natura tecnica, procedurale o funzionale. 5. Le informazioni classificate UE e non classificate trattate dai SISTEMI in forma compressa ai fini della rapidita' di reperimento, comunicazione ed utilizzo sono soggette a molteplici rischi, fra cui l'accesso alle informazioni da parte di utenti non abilitati o, viceversa, l'impossibilita' di accesso per gli utenti abilitati. Altri rischi sono costituiti dalla divulgazione non autorizzata e dalla contaminazione, modifica o soppressione delle informazioni. Le apparecchiature in questione, complesse ed a volta fragili, sono inoltre costose e spesso difficili da riparare o da sostituire in tempi brevi. I SISTEMI costituiscono pertanto bersagli appetibili per operazioni di raccolta di informazione e di sabotaggio, soprattutto se le misure di sicurezza sono considerate inadeguate. MISURE DI SICUREZZA 6. Obiettivo principale delle misure di sicurezza previste nella presente sezione e' offrire protezione contro la divulgazione non autorizzata di informazioni (perdita di riservatezza) e contro la perdita di integrita' e di disponibilita' delle informazioni. Per conseguire l'adeguata protezione di sicurezza di un SISTEMA che tratta informazioni classificate UE occorre specificare le opportune norme di sicurezza convenzionale, unitamente alle pertinenti procedure e tecniche di sicurezza speciali, progettate appositamente per ciascun SISTEMA. 7. Per creare un ambiente sicuro in cui il SISTEMA operi e' istituita ed applicata una serie equilibrata di misure di sicurezza. Il campo di applicazione di tali misure riguarda gli elementi materiali, il personale, le procedure non tecniche, i computer e le procedure operative di comunicazione. 8. Le misure di sicurezza dei computer (caratteristiche di sicurezza dell'hardware e del software) sono concepite in applicazione del principio della necessita' di sapere e sono atte a prevenire o a individuare la divulgazione non autorizzata di informazioni. Il grado di affidabilita' delle misure di sicurezza dei computer e' determinato durante la procedura di definizione dei requisiti di sicurezza. Il processo di accreditamento serve a dimostrare che sussiste un adeguato livello di certezza quanto all'affidabilita' delle misure di sicurezza dei computer. DICHIARAZIONE RELATIVA AI REQUISITI DI SICUREZZA SPECIFICI DEL SISTEMA (SSRS) 9. Per tutti i SISTEMI che trattano informazioni classificate CONFIDENTIEL UE (UE riservatissimo) o di grado superiore, l'autorita' operativa del sistema TI (ITSOA) e' invitata a rilasciare una dichiarazione relativa ai requisiti di sicurezza specifici del SISTEMA (SSRS), avvalendosi, ove necessario, dell'apporto e dell'assistenza del gruppo di progetto e dell'autorita' INFOSEC, e con l'approvazione della SAA. Una SSRS e' anche richiesta qualora la disponibilita' e l'integrita' delle informazioni classificate RESTREINT UE (UE riservate) o non classificate siano ritenute essenziali dalla SAA. 10. La SSRS e' formulata nelle primissime fasi dell'avvio del progetto e viene sviluppata e ampliata con l'evoluzione del progetto, svolgendo differenti funzioni nelle diverse fasi del ciclo di vita del progetto e del SISTEMA. 11. La SSRS costituisce l'accordo che vincola l'autorita' operativa del sistema TI e la SAA, in base al quale il SISTEMA deve essere accreditato. 12. La SSRS e' una dichiarazione completa ed esplicita relativa ai principi di sicurezza da osservare e ai requisiti particolareggiati di sicurezza da rispettare. E' basato sulla politica del Consiglio in materia di sicurezza e di valutazione del rischio, oppure imposta da parametri che disciplinano l'ambiente operativo, il grado piu' basso di nullaosta di sicurezza del personale, il grado piu' alto di classificazione delle informazioni trattate, il modo di funzionamento in condizioni di sicurezza o le esigenze degli utenti. La SSRS forma parte integrante della documentazione sul progetto sottoposta alle pertinenti autorita' ai fini dell'approvazione tecnica, finanziaria e di sicurezza. Nella sua forma definitiva la SSRS costituisce un elenco completo di quanto e' necessario per garantire la sicurezza del SISTEMA. FUNZIONAMENTO IN CONDIZIONI DI SICUREZZA 13. Tutti i SISTEMI che trattano informazioni classificate CONFIDENTIEL UE (UE riservatissimo) o di grado superiore sono accreditati per funzionare in uno o, ove sia giustificato dai requisiti durante diversi periodi, piu' di uno dei seguenti modi in condizioni di sicurezza, o equivalente nazionale: a) esclusivo; b) predominante; c) multilivello. Capitolo II Definizioni CONTRASSEGNI SUPPLEMENTARI 14. Qualora risultino necessari una distribuzione limitata e un trattamento speciale oltre a quanto indicato dalla classificazione di sicurezza, si applicano contrassegni supplementari quali CRYPTO o qualunque altra indicazione di trattamento speciale riconosciuta a livello di UE. 15. Per FUNZIONAMENTO "ESCLUSIVO" IN CONDIZIONI DI SICUREZZA si intende un modo di funzionamento in cui TUTTE le persone che hanno accesso al SISTEMA sono in possesso di un nullaosta di sicurezza per il grado piu' elevato di classificazione delle informazioni trattate nel SISTEMA e con necessita' di sapere comune rispetto a TUTTE le informazioni trattate nel SISTEMA. Note: 1. Necessita' di sapere comune 2. Le altre caratteristiche di sicurezza (ad esempio relative al materiale, al personale o alle procedure) sono conformi ai requisiti per il grado piu' elevato di classificazione e per tutte le designazioni di categoria delle informazioni trattate nel SISTEMA. 16. Per FUNZIONAMENTO "PREDOMINANTE" IN CONDIZIONI DI SICUREZZA si intende un modo di funzionamento in cui TUTTE le persone che hanno accesso al SISTEMA sono in possesso di un nullaosta di sicurezza al grado piu' elevato di classificazione delle informazioni trattate nel SISTEMA, ma NON TUTTE le persone con accesso al SISTEMA hanno una necessita' di sapere comune rispetto alle informazioni trattate nel SISTEMA. Note: 1. La mancanza di una necessita' di sapere comune indica che le caratteristiche di sicurezza del computer devono offrire un accesso selettivo alle informazioni nel SISTEMA e la separazione delle medesime. 2. Le altre caratteristiche di sicurezza (ad esempio relative al materiale, al personale o alle procedure) sono conformi ai requisiti per il grado piu' elevato di classificazione e per tutte le designazioni di categoria delle informazioni trattate nel SISTEMA. 3. Tutte le informazioni trattate o messe a disposizione nel SISTEMA in base a questo modo di funzionamento, unitamente all'output che ne deriva, sono protette come se rientrassero potenzialmente nella designazione di categoria e nel grado piu' elevato di classificazione delle informazioni trattate fino a prova contraria, a meno che sussista un livello di fiducia accettabile nei confronti della funzione di etichettatura gia' presente. 17. Per FUNZIONAMENTO "MULTILIVELLO" IN CONDIZIONI DI SICUREZZA si intende un modo di funzionamento in cui NON TUTTE le persone che hanno accesso al SISTEMA sono in possesso di un nullaosta di sicurezza al grado piu' elevato di classificazione delle informazioni trattate nel SISTEMA, e NON TUTTE le persone con accesso al SISTEMA hanno una necessita' di sapere comune rispetto alle informazioni trattate nel SISTEMA. Note: 1. Questo modo di funzionamento consente attualmente il trattamento di informazioni di diversi gradi di classificazione e con diverse designazioni di categoria. 2. Il fatto che non tutte le persone siano in possesso di un nullaosta di sicurezza del grado piu' elevato, associato ad una mancanza di necessita' di sapere comune, indica che le caratteristiche di sicurezza del computer devono offrire un accesso selettivo alle informazioni nel SISTEMA e la loro separazione. 18. Per INFOSEC si intende l'applicazione di misure di sicurezza atte a proteggere le informazioni elaborate, archiviate o trasmesse da sistemi di comunicazione, di informazione o da altri sistemi elettronici contro la perdita di riservatezza, integrita' o disponibilita', accidentale o intenzionale, nonche' a impedire la perdita di integrita' e di disponibilita' dei sistemi stessi. Le misure INFOSEC comprendono la sicurezza del computer, della trasmissione, dell'emissione e della crittografia nonche' l'individuazione, la documentazione e la neutralizzazione di minacce nei confronti dell'informazione e dei SISTEMI. 19. Per SICUREZZA INFORMATICA (COMPUSEC) si intende l'applicazione a un sistema informatico di caratteristiche di sicurezza per l'hardware, il firmware e il software atte a proteggere le informazioni contro la divulgazione non autorizzata, la manipolazione, la modifica/soppressione, o a impedire tali atti, o a impedire l'interruzione di servizio. 20. Per PRODOTTO PER LA SICUREZZA INFORMATICA si intende un elemento generico per la sicurezza informatica, destinato ad essere incorporato in un sistema TI ai fini di potenziare, o di offrire, la riservatezza, l'integrita' e la disponibilita' delle informazioni trattate. 21. Per SICUREZZA DELLE COMUNICAZIONI (COMSEC) si intende l'applicazione di misure di sicurezza alle telecomunicazioni al fine di negare alle persone non autorizzate informazioni preziose desumibili dal possesso e dall'analisi di tali comunicazioni o di assicurare l'autenticita' di tali telecomunicazioni. Note: Tali misure includono la sicurezza della crittografia, della trasmissione e dell'emissione nonche' la sicurezza delle procedure, dei materiali, del personale, del documento e del computer. 22. Per VALUTAZIONE si intende l'esame tecnico dettagliato, da parte di un'autorita' competente, degli aspetti di sicurezza di un SISTEMA o di un prodotto per la sicurezza della crittografia o del computer. Note: 1. La valutazione accerta la presenza della funzionalita' di sicurezza richiesta e l'assenza di effetti secondari compromettenti derivanti da tale funzionalita' e valuta l'inalterabilita' di tale funzionalita'. 2. La valutazione determina se e quanto sono soddisfatti i requisiti di sicurezza di un SISTEMA, o le presunte prestazioni di sicurezza di un prodotto per la sicurezza del computer, e stabilisce il livello di attendibilita' del SISTEMA o della funzione di fiducia del prodotto per la sicurezza del computer o della crittografia. 23. Per CERTIFICAZIONE si intende il rilascio di una dichiarazione ufficiale, sulla base di un esame indipendente concernente il modo in cui e' stata eseguita una valutazione e i risultati che ha prodotto, che indica in quale misura un SISTEMA soddisfa il requisito di sicurezza o un prodotto per la sicurezza informatica offre le presunte prestazioni predefinite in materia di sicurezza. 24. Per ACCREDITAMENTO si intende l'autorizzazione e l'approvazione di un SISTEMA per trattare informazioni classificate UE nel suo ambiente operativo. Note: Tale accreditamento deve essere effettuato dopo che tutte le pertinenti procedure di sicurezza sono state attuate e una volta raggiunto un sufficiente livello di protezione delle risorse del sistema. L'accreditamento avviene di norma sulla base della SSRS e include: a) una dichiarazione relativa all'obiettivo dell'accreditamento per il sistema, in particolare su quali gradi di classificazione delle informazioni saranno trattati e su quali modi di funzionamento in condizioni di sicurezza sono proposti per il sistema o la rete; b) un esame sulla gestione del rischio atto a identificare le minacce e le vulnerabilita' nonche' le misure per contrastarle; c) le procedure operative di sicurezza (SecOP) con una descrizione dettagliata delle operazioni proposte (ad esempio modi, servizi da fornire) e comprendenti una descrizione delle caratteristiche di sicurezza del SISTEMA su cui si basa l'accreditamento; d) il piano per l'attuazione e la manutenzione delle caratteristiche di sicurezza; e) il piano per il collaudo, la valutazione e la certificazione iniziali e successivi della sicurezza del sistema o della rete; f) la certificazione, ove richiesta, unitamente ad altri elementi di accreditamento. 25. Per SISTEMA TI si intende un insieme di attrezzature, metodi e procedure e, se necessario, di personale, organizzato in modo da compiere finzioni di trattamento delle informazioni. Note: 1. Si tratta di un insieme di strutture, configurate per trattare informazioni all'interno del sistema. 2. Tali sistemi possono essere a sostegno di applicazioni di consultazione, comando, controllo e comunicazione, di applicazioni scientifiche o amministrative, incluso il trattamento testi. 3. Un sistema e' generalmente definito in base agli elementi posti sotto il controllo di un'unica ITSOA. 4. Un sistema TI puo' contenere sottosistemi alcuni dei quali sono essi stessi sistemi TI. 26. Le CARATTERISTICHE DI SICUREZZA DI UN SISTEMA TI comprendono tutte le funzioni e le caratteristiche hardware/firmware/software, le procedure operative, le procedure di responsabilita', i controlli di accesso, l'area TI, l'area di terminali/postazioni remoti, i vincoli della gestione, la struttura e i dispositivi materiali, i controlli del personale e delle comunicazioni necessari per fornire un livello accettabile di protezione delle informazioni classificate da trattare nel sistema TI. 27. Per RETE TI si intende l'organizzazione, geograficamente diffusa, di sistemi TI interconnessi per lo scambio di dati, comprendente i componenti dei sistemi TI interconnessi e la loro interfaccia con le reti dati o le reti di comunicazione di sostegno. Note: 1. Una rete TI puo' usare i servizi di una o piu' reti di comunicazione interconnesse per lo scambio di dati; varie reti TI possono usare i servizi di una rete di comunicazioni comune. 2. Una rete TI e' denominata "locale" se collega vari computer nel medesimo sito. 28. Le CARATTERISTICHE DI SICUREZZA Dl UNA RETE TI includono le caratteristiche di sicurezza del sistema TI dei singoli sistemi che compongono la rete unitamente ai componenti e agli elementi aggiuntivi associati con la rete in quanto tale (per esempio le comunicazioni di rete, i meccanismi e le procedure per l'identificazione e l'etichettatura di sicurezza, i controlli di accesso, i programmi e gli audit trail) necessari per fornire un livello di protezione accettabile delle informazioni classificate. 29. Per AREA TI si intende un'area che contiene uno o piu' computer, le loro locali periferiche e unita' di archiviazione, le unita' di controllo e l'attrezzatura specializzate per le reti e le comunicazioni. Note: La definizione non include un'area separata in cui sono situati i dispositivi periferici o i terminali/postazioni remoti anche qualora detti dispositivi siano connessi all'attrezzatura collocata nell'area TI. 30. Per AREA DI TERMINALI/POSTAZIONI REMOTI si intende un'area contenente alcune attrezzature informatiche, i suoi dispositivi locali periferici o terminali/postazioni e qualsiasi attrezzatura di comunicazione associata, separata dall'area TI. 31. Per CONTROMISURE DELL'EFFETTO TEMPESTA si intendono misure di sicurezza destinate a proteggere l'attrezzatura e le infrastrutture di comunicazione contro il rischio di compromissione delle informazioni classificate dovuta a emissioni elettromagnetiche non intenzionali. Capitolo III Responsabilita' in materia di sicurezza DISPOSIZIONI GENERALI 32. Tra le responsabilita' del Comitato per la sicurezza, di cui alla sezione I, punto 4, rientrano le questioni inerenti all'INFOSEC. Il Comitato per la sicurezza organizza le sue attivita' in modo da fornire una consulenza qualificata in materia. 33. In caso di problemi concernenti la sicurezza (incidenti, violazioni, ecc.) l'autorita' nazionale pertinente e/o il servizio di sicurezza dell'SGC prendono misure immediate. Tutti i problemi sono sottoposti al servizio di sicurezza dell'SGC. 34. Il Segretario generale/Alto rappresentante o, ove opportuno, il Capo di un organismo decentrato dell'UE, istituisce un ufficio INFOSEC preposto a fornire orientamenti all'autorita' di sicurezza circa l'attuazione e il controllo delle specifiche caratteristiche di sicurezza progettate come parti di SISTEMI. AUTORITA' DI ACCREDITAMENTO IN MATERIA Dl SICUREZZA (SAA) 35. La SAA puo' essere: - una NSA, - l'autorita' designata dal Segretario generale/Alto rappresentante, - l'autorita' competente in materia di sicurezza di un organismo decentrato dell'UE, - i rappresentanti delegati/nominati di una delle suddette autorita', in funzione del SISTEMA da accreditare. 36. La SAA e' responsabile di accertare la conformita' dei SISTEMI con la politica del Consiglio in materia di sicurezza. Tra i suoi compiti rientra il rilascio dell'approvazione di un SISTEMA per il trattamento delle informazioni classificate UE ad un determinato grado di classificazione nel suo ambiente operativo. Per quanto riguarda l'SGC, e se del caso gli organismi decentrati dell'UE, la SAA e' responsabile della sicurezza per conto del Segretario generale/Alto rappresentante o dei capi degli organismi decentrati. La competenza della SAA dell'SGC si estende a tutti i SISTEMI in funzione all'interno dei locali dell'SGC. I SISTEMI e i componenti di SISTEMI in funzione presso uno Stato membro restano sotto la giurisdizione di detto Stato membro. Quando diversi componenti di un SISTEMA rientrano nella competenza della SAA dell'SGC e di altre SAA, tutte le parti nominano un comitato comune di accreditamento posto sotto il coordinamento della SAA dell'SGC. AUTORITA' INFOSEC (IA) 37. L'autorita' INFOSEC e' competente per le attivita' dell'ufficio INFOSEC. Per quanto riguarda l'SGC, e se del caso gli organismi decentrati dell'UE, l'autorita' INPOSEC e' responsabile delle seguenti attivita': - fornire consulenza e assistenza tecnica alla SAA, - assistere lo sviluppo della SSRS, - riesaminare la SSRS per accertarne la coerenza con le presenti norme di sicurezza e i documenti relativi alla politica e all'architettura INFOSEC, - partecipare alle commissioni/comitati di accreditamento ove necessario nonche' fornire alla SAA raccomandazioni INFOSEC sull'accreditamento, - fornire supporto alle attivita' di formazione e di informazione INFOSEC, - fornire consulenza tecnica nelle indagini sugli incidenti connessi con l'INFOSEC, - definire orientamenti tecnici strategici onde garantire che sia utilizzato unicamente software autorizzato. AUTORITA' OPERATIVA DEL SISTEMA TI (ITSOA) 38. L'autorita' INFOSEC delega quanto prima possibile la responsabilita' dell'attuazione e della gestione dei controlli e delle caratteristiche specifiche di sicurezza del SISTEMA all'ITSOA. Tale responsabilita' permane lungo tutto il ciclo di vita del SISTEMA, a partire dalla fase di concezione del progetto fino alla sua disattivazione finale. 39. L'ITSOA e' responsabile di tutte le misure di sicurezza progettate come parte del SISTEMA globale. Le responsabilita' includono la preparazione delle SecOP. L'ITSOA specifica le norme e le procedure di sicurezza che il fornitore del SISTEMA e' tenuto a rispettare. 40. L'ITSOA puo' delegare parte delle sue responsabilita', se del caso, per esempio al responsabile della sicurezza INFOSEC e al responsabile della sicurezza del sito INFOSEC. Le varie mansioni INFOSEC possono essere svolte da una sola persona. UTENTI 41. Tutti gli utenti sono tenuti a garantire che le loro azioni non compromettano la sicurezza del SISTEMA che utilizzano. FORMAZIONE INFOSEC 42. La formazione e l'informazione INFOSEC e' disponibile a vari livelli e per vari membri del personale, a seconda dei casi, dell'SGC, degli organismi decentrati dell'UE o dei dipartimenti dei governi degli Stati membri. Capitolo IV Misure di sicurezza non tecniche SICUREZZA DEL PERSONALE 43. Gli utenti del SISTEMA devono essere in possesso di nulla osta di sicurezza ed avere necessita' di sapere, in funzione della classificazione e del contenuto delle informazioni trattate dal loro specifico SISTEMA. L'accesso a determinate attrezzature o a informazioni inerenti alla sicurezza dei SISTEMI richiede uno speciale nulla osta di sicurezza rilasciato in base alle procedure del Consiglio. 44. La SAA designa tutti i posti sensibili e specifica il grado del nulla osta e la sorveglianza necessaria da parte delle persone che li ricoprono. 45. I SISTEMI sono specificati e progettati in modo da facilitare l'attribuzione dei compiti e delle responsabilita' al personale onde evitare che una sola persona abbia la conoscenza o il controllo totali dei punti nevralgici per la sicurezza del sistema. Per l'alterazione o la manomissione intenzionale del sistema o della rete sarebbe cosi' necessaria la collusione di due o piu' persone. SICUREZZA MATERIALE 46. Le aree TI e le aree di terminali/postazioni remoti (quali definite ai punti 29 e 30) in cui sono trattate informazioni classificate CONFIDENTIEL UE (UE riservatissimo) o di grado superiore con strumenti TI, o in cui e' possibile un accesso a tali informazioni, sono classificate come aree di sicurezza di categoria UE I o II o della categoria nazionale equivalente, ove opportuno. 47. Le aree TI e quelle di terminali/postazioni remoti in cui la sicurezza del SISTEMA puo' essere modificata non sono occupate da un solo funzionario/altro agente abilitato. CONTROLLO DELL'ACCESSO A UN SISTEMA 48. Tutte le informazioni e il materiale che consentono il controllo dell'accesso a un SISTEMA sono protette da disposizioni commisurate al grado di classificazione e alla designazione di categoria piu' elevati delle informazioni cui danno accesso. 49. Le informazioni e il materiale per il controllo dell'accesso che non sono piu' utilizzati a questo scopo vengono distrutte conformemente ai punti da 61 a 63. Capitolo V Misure tecniche di sicurezza SICUREZZA DELLE INFORMAZIONI 50. L'originatore delle informazioni e' tenuto a identificare e classificare tutti i documenti contenenti informazioni, siano essi su supporto cartaceo o informatico. Ciascuna pagina delle copie cartacee viene contrassegnata, in testa e in calce, con la pertinente classificazione. I documenti, che siano su supporto cartaceo o informatico, hanno la classificazione piu' elevata tra quelle attribuite all'informazione utilizzata per produrli. Il modo di funzionamento di un SISTEMA puo' anche avere un impatto sulla classificazione dei documenti prodotti da tale sistema. 51. Un'organizzazione e coloro che, al suo interno, sono in possesso di informazioni sono tenuti a valutare i problemi inerenti al raggruppamento di singoli elementi informativi, e alle deduzioni che si possono trarre dagli elementi connessi, nonche' a determinare se una classificazione di grado piu' elevato sia pertinente per la totalita' delle informazioni cosi' raggruppate. 52. Il fatto che l'informazione possa essere formulata come un codice abbreviato, un codice di trasmissione o qualsiasi altra forma di rappresentazione binaria non conferisce alcuna protezione della sicurezza e non deve, pertanto, incidere sulla classificazione dell'informazione. 53. Quando l'informazione e' trasferita da un SISTEMA ad un altro, l'informazione e' protetta durante il trasferimento e nel SISTEMA ricevente in modo commisurato alla classificazione e alla categoria originarie dell'informazione. 54. Tutti i mezzi di archiviazione informatica sono trattati in modo commisurato alla classificazione piu' elevata dell'informazione archiviata o del contrassegno apposto sul mezzo, e opportunamente protetti in ogni momento. 55. I mezzi di archiviazione informatica riutilizzabili usati per registrare informazioni classificate UE mantengono la classificazione piu' elevata per la quale sono stati usati finche' le informazioni in questione non vengono declassate o declassificate e il mezzo di archiviazione riclassificato di conseguenza, oppure il mezzo declassificato o distrutto con una procedura dell'SGC o una procedura nazionale approvata (cfr. punti da 61 a 63). CONTROLLO E RESPONSABILITA' DELLE INFORMAZIONI 56. I log automatici (audit trail) o manuali sono tenuti quale traccia dell'accesso alle informazioni classificate SECRET UE (UE segreto) o di grado superiore. Queste tracce sono conservate conformemente alle presenti norme di sicurezza. 57. I prodotti classificati UE detenuti nella zona TI possono essere trattati come un elemento classificato e non necessitano di registrazione, purche' il materiale sia identificato, contrassegnato con la sua classificazione e controllato in modo appropriato. 58. Allorche' un SISTEMA che tratta informazioni classificate UE genera dati che vengono trasmessi da un'area TI all'area di terminali/postazioni remoti, vengono istituite procedure, approvate dalla SAA, per controllare i dati trasmessi. Per le classificazioni di grado SECRET UE (UE segreto) o superiore tali procedure includono specifiche istruzioni per la responsabilita' delle informazioni. TRATTAMENTO E CONTROLLO DEI SUPPORTI INFORMATICI RIMOVIBILI 59. Tutti i supporti informatici rimovibili classificati CONFIDENTIEL UE (UE riservatissimo) o di grado superiore sono trattati come materiale classificato cui si applicano le norme generali. I contrassegni di identificazione e classificazione devono essere adattati alle specifiche caratteristiche fisiche dei supporti, in modo da renderli chiaramente riconoscibili. 60. Spetta agli utenti assicurare che le informazioni classificate UE siano archiviate su supporti provvisti dell'appropriato contrassegno di classificazione e adeguatamente protetti. Sono stabilite procedure atte ad assicurare che, per tutti i gradi di classificazione UE, l'archiviazione delle informazioni su supporti informatici avvenga in conformita' delle presenti norme di sicurezza. DECLASSIFICAZIONE E DISTRUZIONE DI SUPPORTI INFORMATICI 61. I supporti informatici utilizzati per la registrazione di informazioni classificate UE possono essere declassati o declassificati a condizione che siano applicate procedure approvate dall'SGC o nazionali. 62. I supporti informatici che hanno contenuto informazioni TRES SECRET UE/EU TOP SECRET (UE segretissimo) o informazioni di una categoria speciale non sono declassificati ne' riutilizzati. 63. I supporti informatici che non possono essere declassificati o riutilizzati sono distrutti secondo una procedura approvata dall'SGC o nazionale. SICUREZZA DELLE COMUNICAZIONI 64. Quando informazioni classificate UE sono trasmesse per via elettromagnetica, si applicano misure speciali atte a proteggere la riservatezza, l'integrita' e la disponibilita' della trasmissione. La SAA stabilisce i requisiti relativi alla protezione delle trasmissioni dalla detenzione e dalle intercettazioni. Le informazioni trasmesse all'interno di un sistema di comunicazioni sono protette tenendo conto dei requisiti di riservatezza, integrita' e disponibilita'. 65. I metodi crittografici, e i prodotti connessi, che si rendano necessari per la protezione della riservatezza, dell'integrita' e della disponibilita' sono specificamente approvati a tal fine dalla SAA. 66. Durante la trasmissione la riservatezza delle informazioni classificate SECRET UE (UE segreto) o di grado superiore e' protetta mediante metodi o prodotti crittografici approvati dal Consiglio su raccomandazione del Comitato per la sicurezza del Consiglio. Durante la trasmissione la riservatezza delle informazioni classificate CONFIDENTIEL UE (UE riservatissimo) o RESTREINT EU (UE riservato) e' protetta mediante metodi o prodotti crittografici approvati dal Segretario generale/Alto rappresentante su raccomandazione del Comitato per la sicurezza del Consiglio o da uno Stato membro. 67. Specifiche istruzioni di sicurezza approvate dal Consiglio su raccomandazione del Comitato per la sicurezza del Consiglio contengono norme particolareggiate applicabili alla trasmissione di informazioni classificate EU. 68. In circostanze operative eccezionali le informazioni classificate RESTRENT EU (UE riservato), CONFIDENTIEL UE (UE riservatissimo) e SECRET EU (UE segreto) possono essere trasmesse sotto forma di testo in chiaro, previa esplicita autorizzazione per ogni singolo caso. Le circostanze eccezionali di cui sopra si verificano: a. in situazioni di crisi, conflitti o guerre imminenti o gia' in corso e b. quando la rapidita' di consegna e' della massima importanza e non sono disponibili strumenti di cifratura, nonche' quando si ritiene che le informazioni trasmesse non possano essere sfruttate con rapidita' tale da influire negativamente sulle operazioni. 69. Un SISTEMA deve essere in grado di negare con certezza ad una o tutte le sue postazioni o ai suoi terminali remoti l'accesso ad informazioni classificate UE, se necessario disconnettendoli materialmente o mediante speciali caratteristiche del software approvate dalla SAA. MISURE DI SICUREZZA CONCERNENTI L'INSTALLAZIONE E LE RADIAZIONI 70. Le specifiche relative all'installazione iniziale dei SISTEMI e a qualsiasi successiva modifica di rilievo prevedono che l'installazione sia effettuata da installatori provvisti di nulla osta di sicurezza sotto la costante sorveglianza di personale tecnico qualificato abilitato all'accesso ad informazioni aventi un grado di classificazione UE equivalente al grado piu' alto delle informazioni che il sistema dovra' archiviare o trattare. 71. Tutte le apparecchiature sono installate conformemente alle vigenti norme di sicurezza del Consiglio. 72. I SISTEMI che trattano informazioni classificate CONFIDENTIEL UE (CE riservatissimo) o di grado superiore sono protetti in modo tale che la loro sicurezza non possa essere minacciata da radiazioni compromettenti, il cui studio e la cui prevenzione sono designati dal termine "TEMPEST". 73. Le contromisure dell'effetto TEMPESTA relative alle installazioni del SGC e degli organismi decentrati dell'UE sono studiate ed approvate da un'autorita' TEMPEST designata dall'autorita' di sicurezza dell'SGC. L'autorita' competente per l'approvazione delle installazioni nazionali che trattano informazioni classificate UE e' l'autorita' nazionale di approvazione TEMPEST riconosciuta. Capitolo VI Sicurezza durante il trattamento PROCEDURE OPERATIVE DI SICUREZZA 74. Le SecOP definiscono i principi da adottare in materia di sicurezza, le procedure operative da seguire e le responsabilita' del personale. Le SecOP sono elaborate sotto la responsabilita' dell'ITSOA. PROTEZIONE DEL SOFTWARE/GESTIONE DELLA CONFIGURAZIONE 75. Il livello di protezione dei programmi applicativi e' determinato in base ad una valutazione della classificazione di sicurezza dei programmi stessi piuttosto che delle informazioni che devono trattare. Le versioni dei software in uso devono essere verificate ad intervalli regolari per assicurarne l'integrita' ed il corretto funzionamento. 76. Versioni nuove o modificate dei software vengono utilizzate per il trattamento di informazioni classificate UE solo dopo essere state verificate dall'ITSOA. CONTROLLI CONTRO LA PRESENZA DI SOFTWARE MALIZIOSI/VIRUS INFORMATICI 77. Controlli contro la presenza di software maliziosi/virus informatici sono effettuati periodicamente secondo quanto prescritto dalla SAA. 78. Prima di essere immessi in un SISTEMA, tutti i supporti informatici introdotti nell'SGC o negli organismi decentrati dell'UE ovvero negli Stati membri devono essere controllati al fine di rilevare l'eventuale presenza di software maliziosi o virus informatici. MANUTENZIONE 79. Nei contratti e nelle procedure concernenti la manutenzione periodica e su richiesta dei SISTEMI per cui sia stata stilata una SSRS sono specificati i requisiti e le disposizioni applicabili al personale addetto alla manutenzione ed alle relative apparecchiature che entrano in una zona TI. 80. Tali requisiti e tali procedure sono chiaramente indicati, rispettivamente, nella SSRS e nelle SecOP. Le operazioni di manutenzione di competenza del contraente che richiedono procedure di telediagnostica sono consentite solo in circostanze eccezionali, sotto rigoroso controllo ed esclusivamente previa approvazione della SAA. Capitolo VII Fornitura 81. Qualsiasi prodotto relativo alla sicurezza da utilizzare con il SISTEMA oggetto della fornitura, deve gia' essere stato valutato e certificato oppure essere in fase di valutazione e certificazione da parte di un apposito organismo, secondo criteri riconosciuti a livello internazionale (quali i criteri comuni per la valutazione della sicurezza delle tecnologie dell'informazione: cfr. ISO 15408) 82. Per decidere se noleggiare piuttosto che acquistare un'attrezzatura, specie supporti informatici, occorre tener presente che, una volta utilizzata per le informazioni classificate UE, tale attrezzatura non potra' essere resa disponibile al di fuori di un ambiente adeguatamente protetto senza prima essere declassificata con il consenso della SAA e che non sempre dello consenso sara' possibile. ACCREDITAMENTO 83. Tutti i SISTEMI che necessitano in via preventiva, per il trattamento di informazioni classificate UE, di una dichiarazione relativa ai requisiti di sicurezza specifici del sistema, sono accreditati dalla SAA sulla scorta delle informazioni fornite nella suddetta dichiarazione, delle SecOP e di qualsiasi altra documentazione pertinente. I sottosistemi e i terminali/postazioni remoti sono accreditati in quanto parte di tutti i SISTEMI a cui sono collegati. Quando un SISTEMA serve sia il Consiglio che altre organizzazioni, l'SGC e le competenti autorita' incaricate della sicurezza approvano l'accreditamento di comune accordo. 84. Il processo di accreditamento puo' essere espletato secondo un'apposita strategia adeguata ad un determinato SISTEMA, definita dalla SAA. VALUTAZIONE E CERTIFICAZIONE 85. Prima di essere accreditati, in taluni casi, gli elementi di sicurezza di un SISTEMA nel suo insieme hardware, firmware e software sono valutati e certificati idonei alla salvaguardia delle informazioni al grado di classificazione desiderato. 86. I requisiti per la valutazione e certificazione sono inclusi nella progettazione del sistema e chiaramente definiti nella SSRS. 87. I processi di valutazione e certificazione sono espletati secondo linee direttrici approvate da personale tecnicamente qualificato e adeguatamente abilitato che opera a nome dell'ITSOA. 88. I gruppi a cio' preposti possono essere inviati da un'autorita' nazionale di valutazione o certificazione designata oppure da suoi rappresentanti designati, ad esempio un appaltatore competente e abilitato. 89. I processi di valutazione e certificazione richiesti possono essere di livello inferiore (ed includere, ad esempio, solo gli aspetti dell'integrazione) qualora i SISTEMI siano basati su prodotti per la sicurezza dei computer valutati e certificati in ambito nazionale. VERIFICA SISTEMATICA DEGLI ELEMENTI DI SICUREZZA PER LA PROROGA DELL'ACCREDITAMENTO 90. L'ITSOA stabilisce procedure di controllo sistematico atte a garantire che tutti gli elementi di sicurezza del SISTEMA siano ancora efficaci. 91. I tipi di cambiamenti che renderebbero necessario un riaccreditamento o che richiedono l'approvazione preventiva della SAA sono chiaramente individuati ed enunciati nella SSRS. Dopo qualsiasi modifica, riparazione o disfunzione che possa avere ripercussioni sugli elementi di sicurezza del SISTEMA, ITSOA provvede a far effettuare una verifica per assicurare il corretto funzionamento dei suddetti elementi. La proroga dell'accreditamento del SISTEMA dipende normalmente da un risultato soddisfacente delle verifiche. 92. Tutti i SISTEMI dotati di elementi di sicurezza sono periodicamente ispezionati o riesaminati dalla SAA. Per i SISTEMI che trattano informazioni classificate EU TRES SECRET/EU TOP SECRET (UE segretissimo) o recanti indicazioni complementari, le ispezioni hanno luogo almeno una volta l'anno. Capitolo VIII Utilizzo temporaneo o occasionale SICUREZZA DEI MICROCOMPUTER/PERSONAL COMPUTER 93. I microcomputer/personal computer (PC) muniti di disco fisso (o altri mezzi di archiviazione permanente), funzionanti sia autonomamente sia in rete, e i dispositivi informatici portatili (quali PC portatili e notebook elettronici) provvisti di disco rigido fisso sono considerati mezzi di archiviazione delle informazioni alla stessa stregua dei dischetti o altri supporti informatici rimovibili. 94. A tali attrezzature e' attribuito il livello di protezione, in termini di accesso, gestione, archiviazione e trasporto, corrispondente al piu' alto grado di classificazione delle informazioni archiviate o elaborate (finche' passeranno poi ad un livello di protezione inferiore o subiranno una declassificazione conformemente a procedure approvate). UTILIZZO DI ATTREZZATURA INFORMATICA PRIVATA PER I LAVORI UFFICIALI DEL CONSIGLIO 95. Per il trattamento delle informazioni classificate UE e' vietato utilizzare supporti informatici, software e hardware (quale PC e dispositivi informatici portatili) che siano dotati di memoria, di proprieta' privata e rimovibili. 96. Hardware, software e supporti vari di proprieta' privata non possono essere introdotti in nessuna zona di categoria I o II dove sono trattate informazioni classificate UE senza il permesso del Capo del servizio di sicurezza dell'SGC, di un Ministero nazionale o del rispettivo organismo decentrato dell'UE. UTILIZZO DI ATTREZZATURA INFORMATICA APPARTENENTE A UN APPALTATORE O FORNITA DAGLI STATI MEMBRI PER I LAVORI UFFICIALI DEL CONSIGLIO 97. Il Capo del servizio di sicurezza dell'SGC, di un Ministero nazionale o della rispettiva agenzia decentrata dell'UE puo' permettere l'utilizzo di attrezzatura IT e software detenuti da un appaltatore per i lavori ufficiali del Consiglio. Puo' essere altresi' autorizzato l'utilizzo, da parte di funzionari dell'SGC o di un organismo decentrato dell'UE, di attrezzatura e software forniti dagli Stati membri: in tal caso detta attrezzatura e' posta sotto controllo e iscritta nell'apposito inventario dell'SGC. Nell'uno o nell'altro caso, se l'attrezzatura serve al trattamento di informazioni classificate UE, si consulta la SAA competente ai fini di un'adeguata presa in considerazione e applicazione degli elementi INFOSEC applicabili al suo utilizzo. SEZIONE XII COMUNICAZIONE DI INFORMAZIONI CLASSIFICATE UE A STATI TERZI O ORGANIZZAZIONI INTERNAZIONALI PRINCIPI CHE REGOLANO LA COMUNICAZIONE DI INFORMAZIONI CLASSIFICATE UE 1. La comunicazione di informazioni classificate UE a Stati terzi o organizzazioni internazionali e' decisa dal Consiglio in base: - alla natura e al contenuto delle informazioni stesse, - alla necessita' di sapere dei destinatari, - all'entita' dei vantaggi per l'UE. Allo Stato membro di origine dell'informazione classificata UE e' chiesto il consenso alla comunicazione. 2. Siffatte decisioni sono prese caso per caso, a seconda: - del livello di cooperazione auspicato con gli Stati terzi o le organizzazioni internazionali interessati, - della loro affidabilita' - dipendente dal livello di sicurezza che sarebbe attribuito alle informazioni classificate UE affidate a detti Stati o organizzazioni nonche' dalla conformita' delle norme di sicurezza ivi applicabili a quelle applicate nell'UE; a tale riguardo il Consiglio si avvale del parere tecnico del Comitato per la sicurezza del Consiglio. 3. L'accettazione di informazioni classificate UE da parte di Stati terzi o organizzazioni internazionali implica la garanzia che saranno utilizzate esclusivamente agli scopi per cui sono state comunicate o scambiate e che sara' loro assicurata la protezione richiesta dal Consiglio. LIVELLI 4. Una volta decisa la comunicazione o lo scambio di informazioni classificate con un determinato Stato o organizzazione internazionale, il Consiglio decide il livello di cooperazione possibile, che dipendera' soprattutto dalla politica seguita in materia di sicurezza e dalla normativa applicata da tale Stato o organizzazione. 5. I livelli di cooperazione sono tre: primo livello cooperazione con Stati terzi o organizzazioni internazionali la cui politica e normativa in materia di sicurezza sono molto affini a quelle dell'UE; secondo livello cooperazione con Stati terzi o organizzazioni internazionali la cui politica e normativa in materia di sicurezza sono notevolmente diverse da quelle dell'UE; terzo livello cooperazione di carattere occasionale con Stati terzi o organizzazioni internazionali di cui non si possono valutare la politica e la normativa in materia di sicurezza. 6. Il livello di cooperazione determina le norme di sicurezza, riformulate nei singoli casi alla luce del parere tecnico del Comitato per la sicurezza del Consiglio, che si chiedera' ai beneficiari di applicare alla protezione delle informazioni classificate trasmesse loro. Dette procedure e norme di sicurezza sono descritte dettagliatamente nelle appendici 4, 5 e 6. ACCORDI 7. Constatata la necessita' permanente o a lungo termine di uno scambio di informazioni classificate tra l'UE e Stati terzi o altre organizzazioni internazionali, il Consiglio procede alla stesura di "accordi sulle procedure di sicurezza per lo scambio di informazioni classificate" con essi, dove sono definite le finalita' della cooperazione e le disposizioni reciproche sulla protezione delle informazioni scambiate. 8. Nel caso di una cooperazione occasionale di terzo livello, per definizione limitata nel tempo e nelle finalita', un semplice memorandum d'intesa in cui siano definiti la natura delle informazioni classificate da scambiare e gli obblighi reciproci ad esse relativi puo' sostituirsi agli "accordi sulle procedure di sicurezza per lo scambio di informazioni classificate" purche' il grado di classificazione non sia piu' elevato di RESTREINT UE (UE riservato). 9. Prima di essere presentati al Consiglio per una decisione, i progetti di accordi sulle procedure di sicurezza o di memorandum d'intesa sono approvati dal Comitato per la sicurezza. 10. Le NSA forniscono al Segretario generale/Alto rappresentante tutta l'assistenza necessaria a garantire che le informazioni da divulgare siano utilizzate e protette conformemente ai suddetti accordi o memorandum d'intesa. Appendice 1 Elenco delle autorita' nazionali di sicurezza BELGIO Ministere des Affaires Etrangeres, du Commerce Exterieur et de la Cooperation au Developpement Direction de la securite' A 01 Rue des Petits Carmes, 15 B1000 Bruxelles Telefono: 322501 85 14 Telefax: 322501 80 58 Telex: 21376 Indirizzo telegrafico: Direction de Securite' A01 MINAFET DANIMARCA Politiets Efterretningstjeneste Borups Alle 266 DK2400 Copenhagen NV Telefono: 45 33 14 88 88 Telefax: 45 38 19 07 05 Forsvarsminisieriet Forsvarets Efterretningstjeneste Kastellet 30 DK2100 Copenhagen O. Telefono: 45 33 32 55 66 Telefax: 45 33 93 13 20 GERMANIA Bundesministerium des Innern Referat IS 4 AltMoabit 101D D10559 Berlin Telefono: 493039 81 15 28 Telefax: 493039 81 16 10 GRECIA Cemijü Episekeßo EhmijÞy eltmay (CEEHA) Tpgqerßa RsqasixsiiÞm PkgqouoqÞm (TRP B' JkÛdoy) Cqaueßo Aruükeiay RSC 1020 Vokaqcüy (AhÞma) Ekkada SgkÝuxma: 00 301655 22 03 (Þqey cqaueßot) 00 30165522 05 (eijorisesqüxqo) Uan: 00 301642 6940 Hellenic National Defence General Staff (HNDGS) Intelligence Branch/Security (NT. BR./SEC.) STG 1020, Holargos Athens Greece Telefono: 00 301655 22 03 (office hours) 00 301655 22 05 (24 hours) Telefax: 00 301642 69 40 SPAGNA Autoridad Nacional de Seguridad Oficina Nacional de Seguridad Avenida Padre Huidobro s/n Carretera Nacional Radial VI, km 8,500 E28023 Madrid Telefono: 3491372 57 07 Telefax: 3491372 58 08 Email: nsasp@areatec.com FRANCIA Secretariat general de la Defense Nationale Service de Securite' de Defense (SGDN/SSD) 51 Boulevard de la TourMaubourg F75700 Paris 07 SP Telefono: 330144 18 81 80 Telefax: 330144 18 82 00 Telex: SEGEDEFNAT 200019 Indirizzo telegrafico: SEGEDEFNAT PARIS IRLANDA National Security Authority Department of Foreign Affairs 80 St. Stephens Green Dublin 2 Telefono: 3531478 08 22 Telefax: 3531478 14 84 ITALIA Presidenza del Consiglio dei ministri Autorita' nazionale per la sicurezza Ufficio centrale per la sicurezza Via della Pineta Sacchetti, 216 I00168 Roma Telefono: 3906627 47 75 Telefax: 3906614 33 97 Telex: 623876 AQUILA 1 Indirizzo telegrafico: ess: PCMANSUCSIROMA LUSSEMBURGO Autorite' Nationale de Securite' Ministere d'Etat Boite Postale 2379 L1023 Luxembourg Telefono: 352478 22 10 centralino 352478 22 35 diretto Telefax: 352478 22 43 352478 22 71 Telex: 3481 SERET LU Indirizzo telegrafico: MIN D'ETAT ANS PAESI BASSI Ministerie van Binnenlandse Zaken Postbus 20010 NL2500 EA Den Haag Telefono: 3170320 44 00 Telefax: 3170320 07 33 Telex: 32166 SYTH NL Ministerie van Defensie Militaire Inlichtingendienst (MID) Postbus 20701 NL2500 ES Den Haag Telefono: 3170318 70 60 Telefax: 3170318 79 51 AUSTRIA Bundesininisterium fur auswärtige Angelegenheiten Abteilung I.9 Ballhausplatz 2 A1014 Wien Telefono: 431531 15 34 64 Telefax: 431531 8 52 19 PORTOGALLO Presidencia do conselho de Ministros Autoridade Nacional de Segurança Avenida Ilha da Madeira, 1 P1449004 Lisboa Telefono: 35121301 55 10 35121301 00 01, estensione 20 45 37 Telefax: 35121302 03 50 FINLANDIA Alivaltiosihteeri (Hallinto)/Understatssekreteraren (Administration) Ulkoasiainministeriö/Utrikesministeriet Laivastokatu/Maringatan 22 PL/PB 176 FIN00161 Helsinki/Helsingfors Telefono: 358913 41 53 38 Telefax: 358913 41 53 03 SVEZIA Utrikesdepartementet SSSB S103 39 Stockholm Telefono: 468405 54 44 Telefax: 468723 11 76 REGNO UNITO The Secretary (for DIR/5) PO Box 5656 London EC1A 1 AH Telefono: 442072 70 87 51 Telefax: 442076 30 14 28 Indirizzo telegrafico: UK Delegation to Security Policy Dept FCO, "marked in Box 5656 for DIR/5". ----> Vedere Tabelle da pag. 53 a pag. 57 del S.O. <---- Appendice 4 Linee direttrici per la comunicazione di informazioni classificate UE a stati terzi o organizzazioni internazionali Cooperazione di primo livello PROCEDURE 1. La facolta' di decidere la comunicazione di informazioni classificate UE a paesi non firmatari del trattato sull'Unione europea o ad altre organizzazioni internazionali la cui politica in materia di sicurezza e la relativa normativa sono paragonabili a quelle dell'UE spetta al Consiglio. 2. Il Consiglio puo' delegare la decisione: in tal caso la delega specifica la natura delle informazioni che possono essere comunicate e il loro grado di classificazione, di norma non superiore a CONFIDENTIEL UE (UE RISERVATISSIMO). 3. A condizione che sia stato concluso un accordo in materia di sicurezza, le richieste di comunicazione di informazioni classificate UE sono rivolte al Segretario generale/Alto rappresentante, dagli organismi preposti alla sicurezza degli Stati od organizzazioni internazionali interessati che precisano le finalita' nonche' la natura delle informazioni classificate richieste. Le richieste possono essere altresi' presentate da uno Stato membro o da un organismo decentrato dell'UE che ritenga auspicabile la comunicazione di informazioni classificate UE: anch'essi ne dichiarano le finalita' e i vantaggi per l'UE, specificando la natura e il grado di classificazione delle informazioni richieste. 4. La richiesta viene esaminata dall'SGC il quale: - chiede il parere dello Stato membro o, se del caso, dell'organismo decentrato dell'UE che ha emanato l'informazione richiesta; - stabilisce i necessari contatti con gli organismi preposti alla sicurezza degli Stati od organizzazioni internazionali che ne sono i destinatari, per verificare l'idoneita' della loro politica e normativa in materia di sicurezza a garantire che le informazioni classificate comunicate siano protette conformemente alle presenti norme di sicurezza; - chiede il parere tecnico delle autorita' nazionali competenti in materia di sicurezza degli Stati membri in merito alla fiducia che puo' essere riposta negli Stati o organismi internazionali che ne sono destinatari. 5. L'SGC inoltra la richiesta e la raccomandazione del servizio di sicurezza al Consiglio, affinche' prenda una decisione. NORME DI SICUREZZA CHE DEVONO ESSERE APPLICATE DAI DESTINATARI 6. Il Segretario generale/Alto rappresentante notifica agli Stati od organizzazioni internazionali destinatari la decisione del Consiglio di autorizzare la comunicazione di informazioni classificate UE, inviando le presenti norme di sicurezza in quante copie sono considerate necessarie. In caso di richiesta presentata da uno Stato membro, e' quest'ultimo a notificare l'autorizzazione al destinatario. La decisione prende effetto soltanto previa garanzia scritta da parte dei destinatari che: - l'informazione sara' utilizzata ai soli scopi concordati; - la sua protezione sara' conforme alle presenti norme di sicurezza e in particolare alle disposizioni speciali riportate qui di seguito.   7. Personale a) Il numero di funzionari aventi accesso alle informazioni classificate UE e' rigorosamente limitato, secondo il principio della necessita' di sapere, alle persone le cui funzioni lo richiedono. b) Tutti i funzionari o cittadini autorizzati ad accedere alle informazioni classificate CONFIDENTIEL UE (UE RISERVATISSIMO) o di grado superiore sono in possesso di un attestato per un determinato grado di protezione o dell'equivalente nulla osta di sicurezza l'uno e l'altro emessi dal proprio governo nazionale. 8. Trasmissione di documenti a) Le procedure pratiche per la trasmissione di documenti sono concordate in base alle disposizioni della sezione VII delle norme di sicurezza del Consiglio e forniscono indicazioni precise soprattutto sulle sezioni dell'Ufficio di registrazione a cui devono essere inoltrate le informazioni classificate UE. b) Se l'autorizzazione del Consiglio riguarda la comunicazione di informazioni classificate anche di grado EU TRES SECRET UE/EU TOP SECRET (UE SEGRETISSIMO), lo Stato o l'organizzazione internazionale che ne sono destinatari istituiscono un ufficio centrale di registrazione UE, eventualmente suddiviso in sezioni. Ad essi si applicano le disposizioni della sezione VIII delle presenti norme di sicurezza. 9. Registrazione Non appena riceve un documento classificato UE CONFIDENTIEL (UE RISERVATISSIMO) o di grado superiore, l'ufficio di registrazione lo annota in un registro speciale dell'organizzazione, suddiviso in colonne per la data di ricezione, dettagli del documento (data, numero di riferimento e di copia), la classificazione, il titolo, il nome o la qualifica del ricevente, la data di ritorno della ricevuta e la data di rinvio del documento all'originatore UE o dell'avvenuta distruzione. 10. Distruzione a) I documenti classificati UE vengono distrutti secondo le istruzioni riportate nella sezione VI delle presenti norme di sicurezza: l'avvenuta distruzione di documenti classificati SECRET UE (UE SEGRETO) e EU TRES SECRET UE/EU TOP SECRET (UE SEGRETISSIMO) e' attestata con certificati inviati in copia all'ufficio di registrazione UE che li aveva trasmessi. b) I documenti classificati UE sono inclusi nei programmi di distruzione d'emergenza predisposti per i documenti classificati degli organismi destinatari. 11. Protezione dei documenti Non sara' tralasciata alcuna misura che possa impedire l'accesso di persone non autorizzate alle informazioni classificate UE. 12. Copie, traduzioni ed estratti E' vietato fotocopiare o tradurre un documento classificato CONFIDENTIEL UE (UE RISERVATISSIMO) o SECRET UE (UE SEGRETO), oppure estrarne brani senza l'autorizzazione del responsabile della sicurezza, che registrera' e controllera' copie, traduzioni o estratti apponendovi, se necessario, una stampigliatura. La riproduzione o traduzione di un documento classificato TRES SECRET UE/EU TOP SECRET (UE SEGRETISSIMO) puo' essere autorizzata soltanto dall'autorita' d'origine, che precisera' il numero di copie autorizzate; se non e' possibile risalire a tale autorita', la richiesta e' deferita al servizio di sicurezza dell'SGC. 13. Violazione delle norme di sicurezza In caso di violazione, presunta o reale, delle norme di sicurezza per un documento classificato UE, si dovrebbe immediatamente procedere, fatta salva la conclusione di un accordo in materia di sicurezza, a: a) effettuare un'indagine per accertare le circostanze di detta violazione; b) informare il servizio di sicurezza dell'SGC, l'autorita' nazionale competente in materia di sicurezza e l'autorita' d'origine o dichiarare chiaramente, se del caso, che quest'ultima non e' stata informata; c) prendere misure concrete per limitare al minimo gli effetti della violazione; d) riesaminare e applicare le misure atte ad impedire nuovi episodi; e) porre in atto tutte le misure raccomandate dal servizio di sicurezza dell'SGC per impedire nuovi episodi. 14. Ispezioni Il servizio di sicurezza dell'SGC sara' autorizzato, con il consenso degli Stati od organizzazioni internazionali interessati, ad effettuare una valutazione dell'efficacia delle misure prese a protezione delle informazioni classificate UE che sono state comunicate a terzi. 15. Relazioni Fatta salva la conclusione di accordi in materia di sicurezza, gli Stati o le organizzazioni internazionali dovrebbero, fintanto che detengono informazioni classificate UE, presentare una relazione annuale a conferma del rispetto delle presenti norme di sicurezza, entro una data specificata al momento in cui e' stata autorizzata la comunicazione dell'informazione. Appendice 5 Linee direttrici per la comunicazione d'informazioni classificate UE a stati terzi o organizzazioni internazionali Cooperazione di secondo livello PROCEDURE La facolta' di comunicare informazioni classificate UE a Stati terzi o organizzazioni internazionali la cui politica e normativa di sicurezza sono molto diverse da quelle dell'UE spetta al Consiglio. In linea di principio, e' limitata alle informazioni classificate fino al grado SECRET UE (UE SEGRETO) compreso; ne sono escluse le informazioni nazionali che sono di competenza specifica degli Stati membri e le categorie di informazioni classificate UE protette da speciali contrassegni. 2. Il Consiglio puo' delegare la decisione: nel delegarla, entro i limiti definiti nel paragrafo 1, specifica la natura delle informazioni che possono essere comunicate e il loro grado di classificazione, che non e' superiore a RESTREINT UE (UE RISERVATO). 3. A condizione che sia stato concluso un accordo in materia di sicurezza, le richieste di comunicazione di informazioni classificate UE sono rivolte al Segretario generale/Alto rappresentante dagli organismi preposti alla sicurezza degli Stati o organizzazioni internazionali interessati, che precisano le finalita' nonche' la natura e il grado di classificazione delle informazioni richieste. Le richieste possono essere altresi' presentate da uno Stato membro o da un organismo decentrato dell'UE che ritenga auspicabile la comunicazione di informazioni classificate UE: anch'essi ne dichiarano le finalita' e i vantaggi per l'UE, specificando la natura e il grado di classificazione delle informazioni richieste. 4. La richiesta viene esaminata dall'SGC il quale - chiede il parere dello Stato membro o, se del caso, dell'organismo decentrato UE che ha emanato le informazioni da comunicare; - prende i primi contatti con gli organismi preposti alla sicurezza degli Stati o organizzazioni internazionali destinatari per avere informazioni sulla loro politica e la loro normativa in fatto di sicurezza e in particolare per compilare una tabella in cui sono messe a confronto le classificazioni applicate nell'UE e quelle dello Stato o dell'organizzazione interessata; - organizza una riunione del Comitato per la sicurezza del Consiglio o, se necessario con la procedura di approvazione tacita, indaga presso le autorita' degli Stati membri per ottenere il parere tecnico del Comitato per la sicurezza. 5. Il parere tecnico del Comitato per la sicurezza del Consiglio verte su quanto segue: - la fiducia che si puo' riporre negli Stati o organizzazioni internazionali destinatari allo scopo di valutare i rischi di sicurezza che corrono l'UE o gli Stati membri; - una valutazione della capacita' dei destinatari di proteggere le informazioni classificate e comunicate dall'UE; - proposte circa le procedure pratiche per il trattamento delle informazioni classificate UE (fornendo versioni parziali di un testo, per esempio) e dei documenti trasmessi (mantenendo o cancellando le diciture di classificazione UE, contrassegni specifici ecc.)(1); - il declassamento o la declassificazione da parte dell'autorita' d'origine prima che le informazioni siano comunicate agli Stati o organizzazioni internazionali destinatari. (1) Cio' comporta che l'autorita' d'origine applichi la procedura definita nel paragrafo 9, sezione III, a tutte le copie diffuse all'interno dell'UE. 6. Il Segretario generale/Alto rappresentante invia al Consiglio, per ottenerne una decisione, la richiesta e il parere tecnico del Comitato per la sicurezza del Consiglio, ottenuto dal Servizio di sicurezza dell'SGC. NORME DI SICUREZZA CHE I DESTINATARI DEVONO APPLICARE 7. Il Segretario generale/Alto rappresentante porta a conoscenza degli Stati o organizzazioni internazionali destinatari la decisione del Consiglio di autorizzare la comunicazione di informazioni classificate insieme con una tabella in cui sono comparate le classificazioni applicate all'interno dell'UE e quelle degli Stati o organizzazioni interessati. In caso di richiesta presentata da uno Stato membro, e' quest'ultimo a notificare l'autorizzazione al destinatario. La decisione prende effetto soltanto previa garanzia scritta da parte dei destinatari che: - l'informazione sara' utilizzata ai soli scopi concordati; - la sua protezione sara' conforme alle norme stabilite dal Consiglio. 8. Vengono fissate le norme di protezione sotto esposte a meno che il Consiglio, ottenuto il parere tecnico del Comitato per la sicurezza del Consiglio, decida di adottare una particolare procedura per il trattamento dei documenti classificati UE (cancellando la menzione della classificazione UE, contrassegni specifici ecc.). In tal caso le norme sono adattate. 9. Personale a) Il numero dei funzionari aventi accesso alle informazioni classificate UE e' rigorosamente ristretto, secondo il principio della necessita' di sapere, alle persone le cui funzioni lo richiedono. b) Tutti i funzionari o i cittadini autorizzati ad accedere alle informazioni classificate comunicate dall'UE devono avere un nulla osta di sicurezza o un'autorizzazione nazionale per accedere, nel caso di informazioni classificate nazionali, a un determinato livello equivalente a quello dell'UE, secondo la definizione della tabella comparativa. c) I nulla osta di sicurezza o autorizzazioni nazionali sono inviati per informazione al Segretario generale/Alto rappresentante. 10. Trasmissione di documenti a) Le procedure pratiche per la trasmissione di documenti sono concordate tra il Servizio di sicurezza dell'SGC e gli organismi preposti alla sicurezza degli Stati o organizzazioni internazionali destinatari in base alle norme stabilite nella sezione VII delle presenti norme. Vi sono specificati in particolare gli indirizzi esatti ai quali i documenti devono essere inoltrati nonche' il corriere o i servizi postali usati per la trasmissione delle informazioni classificate UE. b) I documenti classificati CONFIDENTIEL UE (UE RISERVATISSIMO) e gradi superiori sono trasmessi in doppia busta. La busta interna e' contrassegnata "UE" e reca la classificazione di sicurezza. A ciascun documento classificato e' acclusa una ricevuta. La ricevuta, di per se' non classificata, cita soltanto i dettagli del documento (sigla, data, numero di esemplari) e la lingua, ma non il titolo. c) La busta interna e' posta in un'altra busta che reca il numero del plico per scopi di ricevimento. La busta esterna non reca alcuna classificazione di sicurezza. d) Ai corrieri e' sempre fornita una ricevuta con il numero del plico. 11. Registrazione al momento dell'arrivo La NSA dello Stato destinatario o il suo equivalente, che riceve le informazioni classificate inviate dall'UE a nome del proprio governo, ovvero l'ufficio di sicurezza dell'organizzazione internazionale destinataria, istituisce uno speciale registro per annotare le informazioni classificate UE all'atto del ricevimento. Il registro contiene colonne con l'indicazione della data, dettagli del documento (data, sigla e numero di esemplari), classificazione, titolo, nome o titolo del destinatario, data del ritorno della ricevuta e la data del rinvio del documento all'UE o quella della distruzione del documento. 12. Rinvio dei documenti Il destinatario che rinvia un documento classificato al Consiglio o allo Stato membro che glielo ha inviato, procede come indicato al paragrafo 10. 13. Protezione a) I documenti che non sono in uso, sono custoditi in un contenitore di sicurezza omologato per la custodia di materiali dello stesso grado di classificazione, classificati a livello nazionale. Il contenitore non reca indicazioni del contenuto, e' accessibile soltanto a persone autorizzate a trattare informazioni classificate UE. Per quanto riguarda le serrature a combinazione, questa e' nota soltanto ai funzionari dello Stato o dell'organizzazione che sono autorizzati ad accedere alle informazioni classificate UE custodite nel contenitore ed e' sostituita ogni sei mesi o quando un funzionario viene trasferito, oppure se a uno dei funzionari che conoscono la combinazione viene ritirato il nulla osta di sicurezza o se vi e' un rischio di' violazione. b) I documenti classificati UE sono tolti dal contenitore di sicurezza solo dai funzionari che hanno ricevuto il nulla osta per l'accesso ai documenti classificati UE e hanno necessita' di sapere. Essi sono responsabili della custodia sicura dei documenti finche' ne sono in possesso e in particolare garantiscono che nessuna persona non autorizzata abbia accesso ai documenti. Assicurano anche che i documenti siano custoditi in un contenitore di sicurezza quando hanno finito di consultarli e al di fuori dell'orario di lavoro. c) Non e' permesso fare fotocopie di un documento classificato CONFIDENTIEL UE (UE RISERVATISSIMO) o di grado superiore ne' trarne estratti senza l'autorizzazione del Servizio di sicurezza dell'SGC. d) E' necessario che la procedura per una rapida e totale distruzione dei documenti in caso di emergenza sia definita e confermata in collaborazione con il Servizio di sicurezza dell'SGC. 14. Sicurezza materiale a) Quando non sono usati, i contenitori di sicurezza adibiti alla custodia dei documenti classificati UE devono essere chiusi a chiave in permanenza. b) Il personale addetto alla manutenzione o alle pulizie che deve entrare o lavorare in una stanza in cui sono situati i contenitori di sicurezza deve essere scortato continuamente da un membro del servizio di sicurezza dello Stato o dell'organizzazione o dal funzionario che e' direttamente responsabile per la supervisione della sicurezza della stanza stessa. c) Al di fuori dell'orario di lavoro normale (la notte, nei fine settimana e nei giorni festivi) i contenitori di sicurezza che custodiscono documenti classificati UE sono protetti da una guardia o da un sistema d'allarme automatico. 15. Violazioni della sicurezza Se si e' verificata o si sospetta che si sia verificata una violazione della sicurezza relativamente a un documento classificato UE occorre immediatamente provvedere a: a) inviare subito una relazione al Servizio di sicurezza dell'SGC o alla NSA dello Stato membro che ha preso l'iniziativa di inviare documenti (con copia al Servizio di sicurezza dell'SGC); b) condurre un'inchiesta al termine della quale e' presentata al servizio di sicurezza una relazione completa. Sono poi adottate le misure necessarie per porre rimedio alla situazione. 16. Ispezioni Il Servizio di sicurezza dell'SGC puo', con l'accordo degli Stati o organizzazioni internazionali interessati, valutare l'efficacia delle misure per la protezione delle informazioni classificate UE che sono state comunicate. 17. Relazioni Gli Stati o le organizzazioni presentano, fintanto che detengono informazioni classificate UE, una relazione annuale a conferma del rispetto delle presenti norme di sicurezza, entro una data specificata al momento in cui e' stata autorizzata la comunicazione dell'informazione. Appendice 6 Linee direttrici per la comunicazione di informazioni classificate UE a Stati terzi o organizzazioni internazionali Cooperazione di terzo livello PROCEDURE 1. Di quando in quando, in circostanze particolari, e' possibile che il Consiglio intenda cooperare con Stati o organizzazioni che non possono dare le garanzie richieste dalle presenti norme di sicurezza ma che tale cooperazione richieda la comunicazione di informazioni classificate UE. Le informazioni comunicate non comprendono informazioni nazionali, specificamente riservate agli Stati membri. 2. In tali circostanze particolari, le richieste di cooperazione con l'UE da parte di Stati terzi o di organizzazioni internazionali, ovvero proposte dagli Stati membri o, eventualmente, da organismi decentrati UE, sono esaminate sotto il profilo dei contenuti dal Consiglio, il quale, se e' necessario, chiede il parere dello Stato membro o dell'organismo decentrato che e' all'origine delle informazioni. Il Consiglio valuta se comunicare le informazioni classificate, considera la necessita' di sapere dei destinatari e decide quali informazioni classificate possano essere comunicate. 3. Se il Consiglio e' favorevole, spetta al Segretario generale/Alto rappresentante convocare il Comitato per la sicurezza del Consiglio o contattare le autorita' di sicurezza nazionali degli Stati membri, eventualmente con la procedura di approvazione tacita, per ottenere il parere tecnico del Comitato per la sicurezza. 4. Il parere tecnico del Comitato per la sicurezza del Consiglio verte: a) su una valutazione dei rischi di sicurezza corsi dall'UE o dagli Stati membri; b) sulla classificazione delle informazioni che possono essere comunicate, eventualmente in base alla loro natura; c) sul declassamento o sulla declassificazione delle informazioni da parte dell'autorita' d'origine prima che esse siano comunicate ai paesi o alle organizzazioni internazionali interessati (1); (1) Cio' comporta che l'autorita' d'origine applichi la procedura definita al paragrafo 9, sezione III, a tutte le copie diffuse all'interno del UE. d) sulle procedure per il trattamento dei documenti da divulgare (vedi paragrafo 5 infra); e) sui metodi di trasmissione (servizi postali, sistemi di telecomunicazioni pubblici o protetti, valigia diplomatica, corrieri autorizzati, ecc.). 5. I documenti comunicati a Stati o organizzazioni che rientrano in questa appendice sono predisposti, in linea di massima, senza un riferimento alla fonte o a una classificazione UE. Il Comitato per la sicurezza del Consiglio puo' raccomandare: - l'uso di un contrassegno o codice specifico: - l'uso di un sistema di classificazione specifico che rapporta la sensibilita' delle informazioni alle necessarie misure di controllo dei metodi usati dal destinatario per trasmettere i documenti (vedi esempi nel paragrafo 14). 6. Il Servizio di sicurezza dell'SGC sottopone al Consiglio il parere tecnico del Comitato per la sicurezza aggiungendo, se necessario, le proposte deleghe di potere necessarie nella fattispecie, in particolare in caso di urgenza. 7. Dopo che il Consiglio ha approvato la comunicazione di informazioni classificate UE e le procedure pratiche di attuazione, il Servizio di sicurezza dell'SGC stabilisce i necessari contatti con l'organismo preposto alla sicurezza dello Stato o organizzazione interessati per facilitare l'applicazione delle misure di sicurezza prospettate. 8. Il Servizio di sicurezza dell'SGC distribuisce una tabella di riferimento a tutti gli Stati membri e eventualmente agli organismi decentrati UE interessati nella quale e' sintetizzata la natura e la classificazione delle informazioni e sono elencate le organizzazioni e gli Stati ai quali queste possono essere comunicate, secondo quanto deciso dal Consiglio. 9. La NSA nazionale preposta alla sicurezza dello Stato membro all'origine della comunicazione o il Servizio di sicurezza dell'SGC prendono le misure necessarie per facilitare la valutazione di qualsiasi possibile danno e la revisione delle procedure. 10. Si torna a far riferimento al Consiglio tutte le volte che le condizioni di cooperazione subiscono un cambiamento. NORME DI SICUREZZA CHE DEVONO ESSERE APPLICATE DAI DESTINATARI 11. Il Segretario generale/Alto rappresentante porta a conoscenza degli Stati o delle organizzazioni internazionali destinatari la decisione del Consiglio di autorizzare la comunicazione di informazioni classificate UE insieme con le norme di protezione dettagliate proposte dal Comitato per la sicurezza del Consiglio e approvata dal Consiglio stesso. Se la richiesta e' stata fatta da uno Stato membro, questo lo notifica al destinatario della comunicazione autorizzata. La decisione entra in vigore soltanto quando i destinatari danno assicurazione scritta: - di non destinare le informazioni ad un uso che non sia la cooperazione decisa dal Consiglio; di dare alle informazioni la protezione richiesta dal Consiglio. 12. Trasmissione di documenti a) Le procedure pratiche per la trasmissione di documenti sono concordate tra il Servizio sicurezza dell'SGC e gli organi preposti alla sicurezza degli Stati e organizzazioni internazionali destinatari. Sono specificati in particolare gli indirizzi esatti ai quali i documenti devono essere inviati. b) I documenti classificati CONFIDENTIEL UE (UE RISERVATISSIMO) e gradi superiori sono trasmessi in doppia busta. La busta interna reca lo specifico timbro o codice convenuto e la menzione della classificazione particolare che e' stata approvata per il documento. Per ciascun documento classificato e' acclusa una ricevuta. La ricevuta, di per se' non classificata, cita soltanto i dettagli del documento (sigla, data, numero di esemplari) e la lingua, ma non il titolo. c) La busta interna e' posta in un'altra busta che reca il numero del plico per scopi di ricevimento. La busta esterna non reca alcuna classificazione di sicurezza. d) Ai corrieri e' sempre fornita una ricevuta con il numero del plico. 13. Registrazione al momento dell'arrivo La NSA nazionale preposta alla sicurezza dello Stato destinatario o il suo equivalente, che riceve le informazioni classificate inviate dall'UE a nome del proprio governo, ovvero l'ufficio di sicurezza dell'organizzazione internazionale destinataria, istituisce uno speciale registro per annotare le informazioni classificate UE all'atto del ricevimento. Il registro contiene colonne con l'indicazione della data, dettagli del documento (data, sigla e numero di esemplari), classificazione, titolo, nome o titolo del destinatario, data del ritorno della ricevuta e la data del rinvio del documento all'UE o quella della distruzione del documento. 14. Utilizzazione e protezione delle informazioni classificate scambiate a) Le informazioni a livello SECRET UE (UE SEGRETO) sono trattate da funzionari specificamente designati che sono autorizzati ad avere accesso alle informazioni con questa classificazione. Sono custodite in armadi di sicurezza di buona qualita' che possono essere aperti soltanto da persone autorizzate ad avere accesso alle informazioni che contengono. I luoghi in cui detti armadi sono situati sono sorvegliati costantemente; un sistema di verifica garantisce che possono entrarvi soltanto le persone debitamente autorizzate. Le informazioni di livello SECRET UE (UE SEGRETO) sono inviate per valigia diplomatica, servizi postali e servizi di telecomunicazioni protetti. Un documento SECRET UE (UE SEGRETO) puo' essere copiato soltanto con l'accordo scritto dell'autorita' d'origine. Tutte le copie sono registrate e controllate. Per tutte le operazioni relative a documenti SECRET UE (UE SEGRETO) sono rilasciate ricevute. b) Le informazioni di livello CONFIDENTIEL UE (UE RISERVATISSIMO) sono trattate da funzionari debitamente designati autorizzati a conoscere l'argomento. I documenti sono custoditi in armadi di sicurezza chiusi a chiave in luoghi controllati. Le informazioni di livello CONFIDENTIEL UE (UE RISERVATISSIMO) sono inviate per valigia diplomatica, servizi postali militari e telecomunicazioni protette. L'organismo ricevente puo' farne delle copie) il relativo numero e la distribuzione sono annotati in speciali registri. c) Le informazioni di livello RESTREINT UE (UE RISERVATO) sono trattate in luoghi non accessibili a personale non autorizzato e custodite in contenitori chiusi a chiave. I documenti possono essere inviati tramite i servizi postali pubblici come plico raccomandato in doppia busta; in casi di emergenza durante le operazioni, tramite sistemi di telecomunicazioni pubblici non protetti. I destinatari possono copiarli. d) Le informazioni non classificate non richiedono speciali misure di protezione e possono essere inviate per posta e tramite i sistemi pubblici di telecomunicazioni. I destinatari possono copiarle. 15. Distruzione I documenti che non servono piu' devono essere distrutti. Nel caso di documenti del livello EU RESTREINT UE (UE RISERVATO) e CONFIDENTIEL UE (UE RISERVATISSIMO), viene inserita una nota in un registro speciale. Nel caso di documenti del livello SECRET UE (UE SEGRETO), sono rilasciati certificati di distruzione firmati da due testimoni della distruzione. 16. Violazioni della sicurezza Se informazioni di livello CONFIDENTIEL UE (UE RISERVATISSIMO) o SECRET UE (UE SEGRETO) sono compromesse o se vi e' un sospetto in tal senso, la NSA dello Stato o il capo del servizio di sicurezza dell'organizzazione conduce un'inchiesta per appurare le circostanze della violazione. Se i risultati dell'inchiesta sono positivi, questi sono notificati all'autorita' di origine. Si provvede a rimediare alle procedure o ai metodi di custodia inadeguati che possano essere all'origine della violazione. Il Segretario generale/Alto rappresentante del Consiglio o la NSA dello Stato membro che ha comunicato le informazioni compromesse puo' chiedere al destinatario dettagli dell'indagine.   ALLEGATO 2 AGGIORNAMENTO DELL'ORGANIZZAZIONE NAZIONALE PER LA SICUREZZA AI FINI DELLA TUTELA DELLE INFORMAZIONI UE CLASSIFICATE PARTE I AMBITO DI APPLICAZIONE E DEFINIZIONI AMBITO DI APPLICAZIONE 1. Le norme, di rilevanza interna, contenute nella alla Decisione 2001/264/CE del Consiglio dell'Unione europea del 19 marzo 2001, che adotta le norme di sicurezza del Consiglio, si applicano alla pubblica amministrazione e ogni altra persona giuridica, ente, associazione od organismo che, per fini istituzionali o contrattuali, hanno necessita' di conoscere, trattare e custodire informazioni, documenti e materiali UE classificati. DEFINIZIONI 2. Si intende per: a) "Organizzazione nazionale per la sicurezza", il complesso degli uffici e di qualunque unita' amministrativa, organizzativa, produttiva o di servizio, della pubblica amministrazione e di ogni altra persona giuridica, ente, associazione od organismo, legittimati alla conoscenza, trattazione e gestione delle informazioni, dei documenti e dei materiali classificati, finalizzato ad assicurare modalita' di gestione uniformi e sicure e protezione ininterrotta alle informazioni, ai documenti e ai materiali classificati; b) "Autorita' nazionale per la sicurezza" - in seguito ANS - il Presidente del Consiglio dei ministri ovvero l'Organo dallo stesso delegato per l'esercizio dei compiti e delle funzioni in materia di tutela delle informazioni, dei documenti e dei materiali classificati; c) "Ufficio centrale per la sicurezza" - in seguito UCSI - l'Ufficio della segreteria Generale del Comitato esecutivo per i servizi di informazione e di sicurezza (CESIS) di cui l'ANS si avvale direttamente per l'esercizio dei compiti e delle funzioni in materia di tutela delle informazioni, dei documenti e dei materiali classificati; d) "Ufficio centrale di registrazione UE-SEGRETISSIMO" - in seguito ufficio centrale di registrazione - l'unita' amministrativa, istituita presso l'ANS-UCSI, responsabile della ricezione e trasmissione, dall'estero e per l'estero, dei documenti e materiali UE-SEGRETISSIMO, nonche' della distribuzione e controllo, nel territorio nazionale, dei medesimi; e) "Organo centrale di sicurezza", l'organo di vertice istituito presso ciascun ministero, Forza armata e qualunque altro ente, associazione od organismo a cui la legge, il regolamento o altre disposizioni amministrative attribuiscono la responsabilita' di direzione, coordinamento e controllo, nei confronti dell'intera organizzazione di sicurezza tecnicamente dipendente, in materia di sicurezza e tutela delle informazioni, dei documenti e dei materiali classificati, sotto qualunque forma espressi e gestiti; f) "Organo di sicurezza UE", l'unita' amministrativa: Segreteria Speciale UE/SS, Segreteria UE/S, Punto di Controllo UE/SS o Punto di Controllo UE/S, preposta alla tutela delle informazioni, dei documenti e dei materiali UE classificati; g) "Funzionario o ufficiale alla sicurezza", il dirigente, funzionario o ufficiale al quale la massima autorita' dell'ente o comando di appartenenza attribuisce la responsabilita' di coordinamento e controllo di tutte le attivita' che concernono la tutela delle informazioni, dei documenti e dei materiali UE classificati; h) "Funzionario o ufficiale COMSEC", il dirigente, funzionario o ufficiale al quale la massima autorita' dell'ente o comando o, in via eccezionale, il funzionario o ufficiale alla sicurezza e, per ogni altra persona giuridica, ente, associazione od organismo, il rappresentante legale, attribuisce la responsabilita' della corretta applicazione delle norme COMSEC relative alla tutela delle informazioni UE classificate; i) "Custode del materiale crittografico", il responsabile della trattazione e della custodia del materiale COMSEC e crittografico per la tutela delle informazioni UE classificate; l) "Incaricato alla sicurezza EAD", il responsabile del coordinamento, dell'integrazione e della corretta applicazione di tutti gli aspetti della sicurezza fisica, personale, delle informazioni, delle procedure e tecnica dei sistemi EAD dell'ente, comando e ogni altra persona giuridica, ente, associazione od organismo, concernenti la protezione e la tutela delle informazioni UE classificate; m) "Gestione delle informazioni UE classificate", l'originazione, la ricezione, la registrazione, la trattazione, la riproduzione, la preparazione dei plichi, la spedizione, la contabilizzazione, la diramazione, la conservazione, la custodia, l'archiviazione, il trasporto, la distruzione autorizzata e la protezione fisica e logica delle informazioni, dei documenti e dei materiali UE classificati; n) "Qualifica UE", la sigla UE che, premessa ad un'informazione, documento o materiale dell'Unione europea recante un livello o grado di segretezza, determina che quell'informazione concerne la sicurezza dell'Unione europea e degli Stati membri e dev'essere gestita in conformita' alle disposizioni contenute nella Decisione del Consiglio dell'UE del 19 marzo 2001 ed alle altre disposizioni emanate dall'ANS; o) "Nulla osta di sicurezza" - in seguito NOS - l'abilitazione di sicurezza necessaria per l'accesso delle persone fisiche alla conoscenza delle informazioni, dei documenti e dei materiali UE classificati, a seconda del livello o grado concesso, RISERVATISSIMO, SEGRETO e SEGRETISSIMO. PARTE II ORGANIZZAZIONE NAZIONALE PER LA SICUREZZA ARTICOLAZIONE DELL'ORGANIZZAZIONE NAZIONALE PER LA SICUREZZA. 3. L'organizzazione nazionale per la sicurezza si articola in: a) Autorita' nazionale per la sicurezza; b) Ufficio centrale per la sicurezza; c) organi centrali di sicurezza; d) organi di sicurezza. AUTORITA' NAZIONALE PER LA SICUREZZA. 4. L'Autorita' nazionale per la sicurezza esercita le funzioni concernenti la tutela di tutte le informazioni, documenti e materiali classificati, inclusi quelli qualificati UE, e sovrintende a tutte le attivita' ad esse relative. Per quanto concerne le informazioni UE classificate l'ANS e' responsabile, in particolare, per: a) il mantenimento della sicurezza delle informazioni UE classificate custodite da qualunque soggetto sottoposto alla giurisdizione italiana, sia esso pubblico o privato, in Italia o all'estero; b) autorizzare il funzionario di controllo dell'ufficio centrale di registrazione, istituito presso l'Ufficio centrale per la sicurezza, per la costituzione e assegnazione dei registri UE-SEGRETISSIMO; c) l'ispezione periodica, diretta o delegata, agli organi centrali e periferici di sicurezza, in Italia e all'estero, finalizzate a verificare l'idoneita' dei dispositivi di sicurezza per la protezione dei siti dove sono conservate e gestite informazioni UE classificate, nonche' l'esatta applicazione delle procedure inerenti alla gestione delle medesime; d) garantire che tutti i cittadini italiani e gli stranieri, impiegati presso enti pubblici e privati nazionali in Italia e all'estero, prima di avere accesso ad informazioni classificate UE-SEGRETISSIMO, UE-SEGRETO e UE-RISERVATISSIMO siano stati debitamente abilitati mediante il rilascio di appropriato nulla osta di sicurezza; e) verificare che presso tutti gli enti pubblici e privati autorizzati alla gestione di informazioni UE classificate sia stato emanato il regolamento interno di sicurezza (RIS) per la tutela delle informazioni UE classificate - o aggiornato quello esistente - nonche' i piani di sicurezza finalizzati ad evitare che, in casi di emergenze locali o nazionali, informazioni UE classificate possano finire in mani di soggetti non autorizzati; f) sovrintendere e coordinare, in tutti i settori di competenza, l'attuazione delle disposizioni per la sicurezza e la tutela delle informazioni UE classificate. UFFICIO CENTRALE PER LA SICUREZZA. 5. Su disposizione dell'ANS: a) coordina l'attivita' degli organi centrali di sicurezza e controlla l'esatta applicazione delle norme che presiedono alla sicurezza e alla tutela delle informazioni UE classificate; b) assicura la registrazione, presso l'ufficio centrate di registrazione istituito nel suo ambito, dei documenti e materiali classificati UE-SEGRETISSIMO inviati all'Italia dall'Unione europea o dagli Stati membri, e viceversa, secondo le disposizioni contenute nella Decisione del Consiglio dell'UE del 19 marzo 2001 e le altre disposizioni di dettaglio emanate dall'ANS; c) tiene aggiornata la situazione dei documenti UE-SEGRETISSIMO ricevuti dall'Unione europea o Stati membri e da esso inoltrati agli organi centrali di sicurezza nazionali, nonche' di quelli pervenuti agli stessi organi centrali di sicurezza ed, eventualmente, agli altri organi di sicurezza nazionali, direttamente dall'Unione europea o dagli Stati membri; d) esercita le attribuzioni di competenza in materia di abilitazioni di sicurezza UE; e) controlla e verifica, a livello centrale e periferico, mediante attivita' ispettiva diretta e delegata, ordinaria e straordinaria, l'attuazione delle disposizioni in materia di protezione e tutela delle informazioni, dei documenti e dei materiali UE classificati; f) partecipa, presso le istituzioni comunitarie ed enti nazionali, all'elaborazione di progetti normativi aventi ad oggetto la protezione e la tutela delle informazioni UE classificate; g) e' organo nazionale di coordinamento e collegamento - ai fini della protezione e della tutela delle informazioni UE classificate - con: i) le istituzioni comunitarie; ii) le Autorita' nazionali per la sicurezza dei Paesi membri dell'Unione europea; iii) organismi decentrati dell'Unione europea. ORGANI CENTRALI DI SICUREZZA. 6. Sono organi centrali di sicurezza quelli a cui la legge, il regolamento o altre disposizioni amministrative attribuiscono, in ciascun ministero, forza armata, ente autonomo, associazione od organismo, la responsabilita' di vertice in ordine alla direzione, coordinamento e controllo in materia di sicurezza e tutela delle informazioni classificate, sotto qualunque forma espresse e gestite. In particolare, gli organi centrali di sicurezza: a) coordinano e controllano, presso tutti gli organi di sicurezza tecnicamente dipendenti, sia a livello centrale sia a quello periferico, l'esatta applicazione di tutte le disposizioni inerenti alla protezione e alla tutela delle informazioni UE classificate; b) tengono aggiornato l'elenco del personale del proprio ente abilitato all'accesso alle informazioni classificate UE RISERVATISSIMO e superiore, custodendone, nei termini previsti, i relativi certificati; c) assolvono, nei limiti previsti dalle vigenti disposizioni, le attribuzioni in materia di rilascio, rinnovo, diniego, sospensione, declassifica, dequalifica e revoca dei nulla osta di sicurezza (NOS) per l'accesso alle informazioni classificate UE-RISERVATISSIMO e superiore; d) inoltrano all'ANS-UCSI proposte intese ad istituire, modificare o estinguere, nell'ambito dell'amministrazione centrale e periferica del proprio ente, organi di sicurezza UE. ORGANI DI SICUREZZA. 7. Gli organi di sicurezza sono unita' amministrative istituite per la gestione delle informazioni UE classificate, in via esclusiva o in concorso con altre categorie di informazioni classificate (nazionali, della NATO, dell'UEO, di altre organizzazioni internazionali e relativi ad altri accordi di sicurezza, bilaterali o multilaterali, stipulati dall'Italia con altri Paesi). In quest'ultimo caso ai gia' costituiti organi di sicurezza puo' essere rilasciata, quando necessaria, autorizzazione per la gestione anche delle informazioni UE classificate. a) Gli organi di sicurezza istituiti esclusivamente per la gestione delle informazioni UE classificate si distinguono in: i) Segreterie Speciali UE/SS; ii) Segreterie UE/S; iii) Punti di Controllo UE/SS; Punti di Controllo UE/S. b) Quando i seguenti organi di sicurezza: i) Segreterie Speciali COSMIC-FOCAL; ii) Segreterie NATO-UEO; iii) Punti di Controllo COSMIC-FOCAL; iv) Punti di Controllo NATO-UEO, gia' istituiti per la gestione di altre categorie di informazioni classificate (nazionali, della NATO, dell'UEO, di altre organizzazioni internazionali e relativi ad altri accordi di sicurezza, bilaterali o multilaterali, stipulati dall'Italia con altri Paesi) vengono autorizzati dall'ANS a gestire anche informazioni UE classificate, la loro denominazione e' aggiornata come segue: v) Segreterie Speciali COSMIC-FOCAL-UE/SS; vi) Segreterie NATO-UEO-UE/S; vii) Punti di Controllo COSMIC-FOCAL-UE/SS; viii) Punti di Controllo NATO-UEO-UE/S. c) Tutti gli organi di sicurezza autorizzati, in via esclusiva o non, alla gestione di informazioni UE classificate, assumono anche la denominazione di organi di sicurezza UE. SEGRETERIE SPECIALI UE/SS O COSMIC-FOCAL-UE/SS. 8. Le Segreterie Speciali UE/SS o COSMIC-FOCAL-UE/SS sono organi di sicurezza istituiti nell'ambito degli organi centrali di sicurezza e di taluni enti centrali e periferici per la gestione anche dei documenti UE classificati fino alla massima classifica di segretezza UE-SEGRETISSIMO. Le suddette Segreterie Speciali, ai soli fini della tutela delle informazioni classificate UE-SEGRETISSIMO, sono anche denominate "sottosezioni dell'ufficio centrale di registrazione UE-SEGRETISSIMO" istituito presso l'ANS-UCSI. Le Segreterie Speciali UE/SS o COSMIC-FOCAL-UE/SS, ai fini della tutela delle informazioni UE classificate, hanno il compito di: a) promuovere, nell'ambito del proprio ente, la conoscenza delle norme legislative e delle disposizioni amministrative concernenti la tutela delle informazioni UE classificate; b) istruire il personale del proprio ente sulle responsabilita' connesse alla conoscenza e gestione delle informazioni UE classificate. Tale compito deve essere assolto con frequenza almeno annuale dal funzionario o ufficiale alla sicurezza dell'ente o, per sua delega, dal funzionario o ufficiale di controllo della Segreteria Speciale UE; c) tenere aggiornata la lista di accesso delle persone del proprio ente autorizzate all'accesso alle informazioni classificate UE-SEGRETISSIMO, secondo le designazioni stabilite dal Capo dell'ente o comando o, per sua delega, dal funzionario o ufficiale alla sicurezza, sulla base del principio della "necessita' di conoscere"; d) controllare e gestire i documenti UE classificati originati e ricevuti; tenere aggiornata la situazione di tutti i documenti classificati di cui sono responsabili, con particolare riguardo a quelli classificati UE-SEGRETISSIMO e UE-SEGRETO; e) tenere aggiornato il registro dei NOS del personale del proprio ente; f) attuare le disposizioni di competenza relative alle richieste, per il personale del proprio ente o comando, per il rilascio e il rinnovo dei NOS per l'accesso alle informazioni classificate UE-RISERVATISSIMO o di grado superiore: g) proporre al proprio organo centrale di sicurezza il ritiro dei NOS relativi al personale del proprio ente o comando che non ha piu' necessita' di accedere alle informazioni classificate UE-RISERVATISSIMO o di grado superiore; h) segnalare al proprio organo centrale di sicurezza ogni controindicazione, sotto il profilo dell'affidabilita' ai fini della salvaguardia delle informazioni UE classificate, che si rilevi a carico del personale del proprio ente o comando per il quale sia stato rilasciato il NOS UE; i) effettuare le ispezioni di sicurezza agli organi di sicurezza UE tecnicamente dipendenti; l) segnalare all'ANS-UCSI i nominativi delle persone del proprio ente o comando designate ad attribuire alle informazioni, documenti e materiali, le classifiche di segretezza UE-SEGRETISSIMO e UE-SEGRETO; m) ricevere, registrare, custodire e, ove previsto, inoltrare ai Punti di Controllo UE/SS tecnicamente dipendenti i documenti UE-SEGRETISSIMO ricevuti dall'ufficio centrale di registrazione UE-SEGRETISSIMO dell'ANS-UCSI o direttamente da altri enti nazionali, dall'Unione europea o dai Paesi membri; n) segnalare all'ANS-UCSI gli estremi dei documenti UE-SEGRETISSIMO ricevuti non per il suo tramite; o) inoltrare all'ANS-UCSI, per il tramite del proprio organo centrale di sicurezza, proposte intese ad istituire o ad abolire, nell'ambito del proprio ente o comando, organi di sicurezza UE; p) comunicare all'ANS-UCSI e al proprio organo centrale di sicurezza, i nominativi dei funzionari o ufficiali di controllo, e relativi sostituti, degli organi di sicurezza UE tecnicamente dipendenti; q) segnalare con tempestivita' all'ANS-UCSI, o all'organo centrale di sicurezza interessato o all'organismo comunitario o internazionale competente il livello del NOS UE relativo al personale del proprio ente o comando designato a partecipare a conferenze o riunioni UE classificate; r) effettuare annualmente l'inventario e il controllo dei documenti classificati UE-SECRETISSIMO in carico e trasmettere all'ANS-UCSI, ufficio centrale di registrazione UE-SEGRETISSIMO, i verbali di distruzione relativi a tali documenti, unitamente al registro d'inventario, per la parifica. SEGRETERIE UE/S O NATO-UEO-UE/S 9. Le Segreterie UE/S o NATO-UEO-UE/S sono organi di sicurezza istituiti per la gestione dei documenti UE classificati fino al livello UE-SEGRETO. Le Segreterie UE/S o NATO-UEO-UE/S hanno il compito di: a) promuovere, nell'ambito del proprio ente o comando, la conoscenza delle norme legislative e delle disposizioni amministrative concernenti la tutela delle informazioni UE classificate; b) istruire il personale del proprio ente, per il quale e' stato rilasciato il NOS UE, sulle responsabilita' connesse alla conoscenza e gestione delle informazioni UE classificate. Tale compito e' assolto, con frequenza almeno annuale, dal funzionario o ufficiale alla sicurezza dell'ente o, per sua delega, dal funzionario o ufficiale di controllo della Segreteria UE/S; c) tenere aggiornata la lista di accesso delle persone del proprio ente autorizzate all'accesso alle informazioni UE-SEGRETO secondo le designazioni stabilite dal Capo dell'ente o, per sua delega, dal funzionario o ufficiale alla sicurezza sulla base del principio della "necessita' di conoscere"; d) controllare e gestire i documenti UE classificati originati e ricevuti; e) tenere aggiornata la situazione dei documenti UE classificati di cui sono responsabili, con particolare riguardo a quelli classificati UE-SEGRETO; f) tenere aggiornato il registro dei NOS UE del personale del proprio ente o comando; g) attuare le disposizioni di competenza relative alle richieste per il rilascio e il rinnovo dei NOS UE per il personale del proprio ente o comando; h) proporre al proprio organo centrale di sicurezza il ritiro dei NOS UE relativi al personale del proprio ente o comando che non ha piu' necessita' di accedere alle informazioni UE classificate; i) segnalare al proprio organo centrale di sicurezza ogni controindicazione, sotto il profilo dell'affidabilita' ai fini della salvaguardia delle informazioni UE classificate, che si rilevi a carico del personale del proprio ente o comando per il quale sia stato rilasciato il NOS UE; l) effettuare, mediante il funzionario o ufficiale alla sicurezza o, per sua delega, il funzionario o ufficiale di controllo, le ispezioni di sicurezza agli organi di sicurezza UE tecnicamente dipendenti; m) ricevere, registrare, custodire e, ove previsto, inoltrare ad altri Punti di Controllo UE/S tecnicamente dipendenti i documenti UE classificati ricevuti; n) inoltrare all'ANS-UCSI, per il tramite del proprio organo centrale di sicurezza, proposte intese ad istituire o ad abolire, nell'ambito del proprio ente o comando, dipendenti Punti di Controllo UE/S; o) comunicare all'ANS-UCSI e al proprio organo centrale di sicurezza, i nominativi dei funzionari o ufficiali di controllo, e relativi sostituti, dei Punti di Controllo UE/S tecnicamente dipendenti; p) segnalare con tempestivita' all'ANS-UCSI o all'organo centrale di sicurezza interessato o all'organismo comunitario o internazionale competente, il livello del NOS UE del personale del proprio ente designato a partecipare a conferenze o riunioni UE classificate, in Italia o all'estero. PUNTI DI CONTROLLO UE/SS O COSMIC-FOCAL-UE/SS 10. I Punti di Controllo UE/SS o COSMIC-FOCAL-UE/SS sono organi di sicurezza istituiti nell'ambito degli enti e comandi, centrali e periferici, per la gestione dei documenti UE classificati fino al livello UE-SEGRETISSIMO. Essi dipendono, in linea tecnica, dalla Segreteria Speciale UE/SS o COSMIC-FOCAL-UE/SS istituita nell'ambito dell'organo centrale di sicurezza. I suddetti Punti di Controllo, ai soli fini della tutela delle informazioni classificate UE-SEGRETISSIMO, sono anche altrimenti detti "sottosezioni dell'ufficio centrale di registrazione UE-SEGRETISSIMO" istituito presso l'ANS-UCSI. I Punti di Controllo UE/SS o COSMIC-FOCAL-VE/SS hanno il compito di: a) promuovere, nell'ambito del proprio ente, la conoscenza delle norme legislative e delle disposizioni amministrative concernenti la tutela delle informazioni UE classificate; b) istruire il personale del proprio ente, per il quale e' stato rilasciato il NOS UE, sulle responsabilita' connesse alla conoscenza e gestione delle informazioni UE classificate. Tale compito e' assolto, con frequenza almeno annuale, dal funzionario o ufficiale alla sicurezza dell'ente o, per sua delega, dal funzionario o ufficiale di controllo dell'organo di sicurezza; c) tenere aggiornata la lista di accesso relativa alle persone del proprio ente autorizzate a conoscere informazioni classificate UE-SEGRETISSIMO e UE-SEGRETO, secondo le designazioni stabilite dal Capo dell'ente o, per sua delega, dal funzionario o ufficiale alla sicurezza, sulla base del principio della "necessita' di conoscere"; d) controllare e gestire i documenti UE classificati originati e ricevuti; e) tenere aggiornata la situazione di tutti i documenti classificati di cui sono responsabili, con particolare riguardo a quelli classificati UE-SEGRETISSIMO e UE-SEGRETO; f) effettuare annualmente l'inventario e il controllo dei documenti UE-SEGRETISSIMO" in carico, e trasmettere all'ANS-UCSI i verbali di distruzione relativi a tali documenti, unitamente al registro d'inventario, per la parifica; g) tenere aggiornato il registro dei NOS UE del personale del proprio ente; h) attuare le disposizioni di competenza relative alle richieste per il rilascio e il rinnovo dei NOS UE per il personale del proprio ente; i) proporre al proprio organo centrale di sicurezza il ritiro dei NOS UE relativi al personale del proprio ente che non ha piu' necessita' di accedere alle informazioni UE classificate; l) segnalare alla Segreteria Speciale UE da cui dipendono in linea tecnica ogni controindicazione, sotto il profilo dell'affidabilita' ai fini della salvaguardia delle informazioni UE classificate, che si rilevi a carico del personale del proprio ente per il quale sia stato rilasciato il NOS UE; m) effettuare le ispezioni agli organi di sicurezza UE tecnicamente dipendenti; n) segnalare all'ANS-UCSI i nominativi delle persone del proprio ente designate ad attribuire alle informazioni documenti e materiali la classifica UE-SEGRETISSIMO; o) registrare e custodire i documenti UE-SEGRETISSIMO ricevuti per il tramite dell'ANS-UCSI o direttamente da altri enti nazionali, dall'Unione europea o dagli Stati membri; p) segnalare all'ANS-UCSI gli estremi dei documenti UE-SEGRETISSIMO ricevuti non per il suo tramite; q) segnalare con tempestivita' all'organo di sicurezza nazionale interessato o all'organismo comunitario o internazionale competente il livello del NOS UE relativo al personale del proprio ente designato a partecipare, in Italia o all'estero, a conferenze o riunioni UE classificate; r) effettuare annualmente l'inventario e il controllo di tutti i documenti UE-SEGRETISSIMO in carico e trasmettere all'ANS-UCSI tutti i verbali di distruzione relativi a tali documenti, unitamente al registro d'inventario, per la parifica. I Punti di Controllo UE/SS, salvo che non venga diversamente disposto dalla Segreteria Speciale UE da cui dipendono in linea tecnica, possono ricevere e spedire i documenti UE-SEGRETISSIMO solo per il tramite di quest'ultima. Tutti gli altri documenti UE classificati possono essere ricevuti e spediti anche senza il tramite della predetta Segreteria Speciale UE. I Punti di Controllo UE/SS possono, in caso di emergenza o quando lo esigono particolari motivi, inviare ad altri Punti di Controllo UE/SS o Segreterie Speciali UE/SS di altri enti, senza il tramite della Segreteria Speciale UE da cui essi dipendono in linea tecnica, i documenti UE-SEGRETISSIMO. PUNTI DI CONTROLLO UE/S O NATO-UEO-UE/S. 11. Punti di Controllo UE/S o NATO-UEO-UE/S sono organi di sicurezza istituiti nell'ambito degli enti e comandi, centrali e periferici, per la gestione dei documenti UE classificati fino al livello UE-SEGRETO. Essi dipendono, in linea tecnica, dalla Segreteria Speciale UE/SS (o COSMIC-FOCAL-UE/SS), o dal Punto di Controllo UE/SS (o COSMIC-FOCAL-UE/SS), o dalla Segreteria UE-S (o NATO-UEO-UE/S), sovraordinati. I Punti di Controllo UE/S o NATO-UEO-UE/S hanno il compito di: a) promuovere, nell'ambito del proprio ente o comando, la conoscenza delle norme legislative e delle disposizioni amministrative concernenti la tutela delle informazioni UE classificate; b) istruire il personale del proprio ente o comando, per il quale e' stato rilasciato il NOS UE, sulle responsabilita' connesse alla conoscenza e gestione delle informazioni UE classificate. Tale compito e' assolto, con frequenza almeno annuale, dal funzionario o ufficiale alla sicurezza dell'ente o, per sua delega, dal funzionario o ufficiale di controllo dell'organo di sicurezza; c) tenere aggiornata la lista di accesso relativa alle persone del proprio ente o comando autorizzate a conoscere informazioni nazionali classificate UE-SEGRETO" secondo le designazioni stabilite dal Capo dell'ente o dal funzionario o ufficiale alla sicurezza, o dal responsabile dell'unita' amministrativa direttamente interessato, sulla base del principio della "necessita' di conoscere"; d) controllare e gestire i documenti UE classificati originati e ricevuti; e) tenere aggiornata la situazione di tutti i documenti UE classificati di cui sono responsabili, con particolare riguardo a quelli classificati UE-SEGRETO; f) effettuare annualmente l'inventario e il controllo interni di tutti i documenti UE classificati di cui si ha la responsabilita'; g) tenere aggiornato il registro dei NOS UE relativi al personale del proprio ente o comando; h) attuare le disposizioni di competenza relative alle richieste per il rilascio e il rinnovo dei NOS UE del personale del proprio ente; i) proporre al proprio organo centrale di sicurezza il ritiro dei NOS UE relativi al personale del proprio ente o comando che non ha piu' necessita' di accedere alle informazioni UE classificate; l) segnalare al proprio organo centrale di sicurezza ogni controindicazione, sotto il profilo dell'affidabilita' ai fini della salvaguardia delle informazioni UE classificate, che si rilevi a carico del personale del proprio ente o comando per il quale sia stato rilasciato il NOS UE: m) Segnalare con tempestivita' all'organo di sicurezza nazionale interessato o all'organismo comunitario o internazionale competente il livello del NOS UE relativo al personale del proprio ente o comando designato a partecipare, in Italia o all'estero, a conferenze o riunioni UE classificate.