Gazzetta n. 167 del 21 luglio 2003 (vai al sommario)
PRESIDENZA DEL CONSIGLIO DEI MINISTRI
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 11 aprile 2003
Norme di sicurezza per la tutela delle informazioni UE classificate, di attuazione della Decisione della Commissione delle ComunitA' europee del 29 novembre 2001.

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Vista la legge 24 ottobre 1977, n. 801, recante "Istituzione e ordinamento dei servizi per le informazioni e la sicurezza e disciplina del segreto di Stato", in particolare articoli 1, secondo comma, e 12;
Vista la Decisione della Commissione delle Comunita' europee n. 2001/844/CE, CECA, Euratom della Commissione europea del 29 novembre 2001, che modifica il regolamento interno della medesima Commissione, pubblicata nella Gazzetta Ufficiale delle Comunita' europee n. L 317 del 3 dicembre 2001, in particolare l'articolo 2, paragrafo 2, dell'Allegato, secondo cui gli Stati membri sono autorizzati a ricevere informazioni classificate UE a condizione che essi garantiscano che, nel trattare tali informazioni, siano rispettate nelle loro sedi di servizio disposizioni strettamente equivalenti a quelle menzionate nell'articolo 1 della medesima Decisione, in particolare da parte:
a) dei membri della Rappresentanza permanente d'Italia presso l'Unione europea, nonche' dei membri di delegazioni nazionali che partecipano alle riunioni della Commissione o dei suoi organi o che prendono parte ad altre attivita' della Commissione;
b) di altri membri delle amministrazioni nazionali che trattano informazioni classificate UE, i quali prestino servizio nel territorio dello Stato o all'estero.
Visto il decreto del Presidente del Consiglio dei Ministri del 21 settembre 1999;
Viste le direttive del Presidente del Consiglio dei Ministri/Autorita' nazionale per la sicurezza:
PCM-ANS l/R - Norme unificate per la tutela del segreto di Stato - Volume I - Sistema di Sicurezza - Edizione 1987 e successive modificazioni e integrazioni;
PCM-ANS 1/R - Norme unificate per la tutela del segreto di Stato - Volume II - Sicurezza delle comunicazioni ed organizzazioni e procedure del servizio cifra - Edizione 1994;
PCM-ANS 1/R - Norme unificate per la tutela del segreto di Stato - Volume III - Sicurezza Industriale - Edizione 1993;
PCM-ANS 1/R/A - Norme unificate per la tutela del segreto di Stato - Volume I - Direttiva per la protezione delle informazioni coperte dal segreto di Stato trattate in sistemi di elaborazione automatica e/o elettronica dei dati (EAD) - Edizione 1993;
PCM-ANS COMSEC 256 (B) - Norme relative all'installazione di apparati elettrici/elettronici che elaborano informazioni classificate - Edizione 1998;
Visto il decreto del Presidente del Consiglio dei Ministri 11 aprile 2002, n. 130, recante "Norme di sicurezza per la tutela delle informazioni UE classificate di attuazione della Decisione del Consiglio dell'Unione europea del 19 marzo 2001", in particolare l'Allegato 2 al medesimo; Ritenuta l'esigenza di dare, per gli aspetti interni, piena attuazione alla predetta Decisione della Commissione dell'Unione europea 2001/844/CE, CECA, Euratom;

A d o t t a

il seguente decreto:

Art. 1.
1. Per gli aspetti di rilevanza interna, piena e completa attuazione e' data alla Decisione 2001/844/CE, CECA, Euratom della Commissione delle Comunita' europee del 29 novembre 2001, che modifica il regolamento interno della Commissione, pubblicata nella Gazzetta Ufficiale delle Comunita' europee n. L 317 del 3 dicembre 2001, di cui all'Allegato 1.
2. Si applicano, ai fini dell'aggiornamento dell'organizzazione nazionale per la sicurezza per la tutela delle informazioni classificate, le disposizioni di cui all'Allegato 2 al decreto del Presidente del Consiglio dei Ministri 11 aprile 2002, n. 130.
3. L'Autorita' nazionale per la sicurezza prescrive le altre disposizioni di dettaglio per l'integrale attuazione delle norme di sicurezza contenute nella predetta Decisione, nell'ambito nazionale e nel rispetto della disciplina di protezione dei dati personali, eventualmente applicabile.
4. Il presente decreto e' pubblicato nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 11 aprile 2003

Il Presidente: Berlusconi
 
ALLEGATO 1

II (Atti per i quali la pubblicazione non e' una condizione di
applicabilita)

COMMISSIONE

DECISIONE DELLA COMMISSIONE
Del 29 novembre 2001
Che modifica il regolamento interno della Commissione
[notifica con il numero C(2001) 3031]

(2001/844/CE, CECA, Euratom)

LA COMMISSIONE DELLE COMUNITA' EUROPEE.

visto il trattato che istituisce la Comunita' europea, in particolare l'articolo 218, paragrafo 2.
visto il trattato che istituisce la Comunita' europea del carbone e dell'acciaio, in particolare l'articolo 16.
Visto il trattato che istituisce la Comunita' europea dell'energia atomica, in particolare l'articolo 131.
visto il trattato sull'Unione europea, in particolare l'articolo 28, paragrafo 1, e l'articolo 41, paragrafo 1.

DECIDE:

Articolo 1

Le disposizioni della Commissione in materia di sicurezza, il cui testo e' allegato alla presente decisione, sono aggiunte in allegato al regolamento interno della Commissione.

Articolo 2

La presente decisione entra in vigore il giorno della pubblicazione nella Gazzetta Ufficiale delle Comunita' europee.

Essa si applica a decorrere dal 1° dicembre 2001.

Fatto a Bruxelles, il 29 novembre 2001.
Per la Commissione
Il Presidente
Romano PRODI

DISPOSIZIONI DELLA COMMISSIONE

Considerando quanto segue:

(1) Per sviluppare le attivita' della Commissione in settori che
richiedono un certo grado di riservatezza, occorre porre in
essere un sistema di sicurezza globale riguardante la
Commissione, le altre istituzioni, organi, uffici e agenzie
istituiti in base al trattato CE o al trattato sull'Unione
europea, gli Stati membri, nonche' qualunque altro destinatario
di informazioni classificate UE, di seguito denominate
"informazioni classificate UE". (2) Per salvaguardare l'efficienza del sistema di sicurezza cosi'
istituito, la Commissione consentira' l'accesso alle informazioni
classificate UE soltanto a quegli organismi esterni che
dimostrino di aver preso tutte le misure necessarie per
conformarsi a disposizioni strettamente equivalenti alle presenti
disposizioni. (3) Le presenti disposizioni lasciano impregiudicati il regolamento
n. 3, del 31 luglio 1958, recante attuazione dell'articolo 24 del
trattato che istituisce la Comunita' europea dell'energia atomica
(1): il regolamento (CE) n. 1588/90 del Consiglio, dell'11 giugno
1990, relativo alla trasmissione all'Istituto statistico delle
Comunita' europee di dati statistici protetti dal segreto (2),
nonche' la decisione C (95) 1510 def. della Commissione, del 23
novembre 1995, sulla protezione dei sistemi informatici. (4) La Commissione fonda il proprio sistema di sicurezza sui principi
enunciati sulla decisione 2001/264/CE del Consiglio, del 19 marzo
2001, che adotta le norme di sicurezza del Consiglio (3), allo
scopo di assicurare il buon funzionamento del processo
decisionale dell'Unione. (5) La Commissione sottolinea l'importanza di associare, ove
opportuno, le altre istituzioni dell'Unione europea alle regole e
alle norme di riservatezza necessarie per tutelare gli interessi
dell'Unione e degli Stati membri. (6) La Commissione riconosce la necessita' di creare un proprio
concetto di sicurezza, prendendo in considerazione tutti gli
elementi della sicurezza ed il carattere peculiare della
Commissione in quanto istituzione. (7) Le presenti disposizioni lasciano impregiudicati l'articolo 255
del trattato e il regolamento (CE) n. 1049/2001 del Parlamento
europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso
del pubblico ai documenti del Parlamento europeo, del Consiglio e
della Commissione (4).

Articolo 1

Le disposizioni della Commissione in materia di sicurezza sono riportate nell'allegato.

Articolo 2

1. Il membro della Commissione preposto alla sicurezza prende le misure necessarie per garantire che, nel trattare informazioni classificate UE, i funzionari e gli altri agenti della Commissione, il personale distaccato presso la Commissione, il personale impiegato in tutte le sedi della Commissione rispettino le disposizioni di cui all'articolo 1.
2. Gli Stati membri, nonche' le altre istituzioni, organi, uffici ed agenzie istituiti dai trattati o in base ad essi sono autorizzati a ricevere informazioni classificate UE a condizione che essi garantiscano che, nel trattare nel trattare tali informazioni, siano rispettate nelle loro sedi di servizio disposizioni strettamente equivalenti a quelle menzionate all'articolo 1, in particolare da parte:

a) dei membri delle rappresentanze permanenti degli Stati membri
presso l'Unione europea, nonche' dei membri di delegazioni
nazionali che partecipano alle riunioni della Commissione o dei
suoi organi o che prendono parte ad altre attivita' della
Commissione; b) di altri membri delle amministrazioni nazionali degli Stati membri
che trattano informazioni classificate UE, i quali prestino
servizio nel territorio degli Stati membri o all'estero; c) di contraenti esterni e di personale distaccato che trattano
informazioni classificate UE.

Articolo 3

Gli Stati terzi, le organizzazioni internazionali ed altri organismi sono autorizzati a ricevere informazioni classificate UE a condizione che essi garantiscano che, nel trattare tali informazioni, siano rispettate disposizioni strettamente equivalenti a quelle menzionate all'articolo 1.

Articolo 4

Conformemente ai principi fondamentali e alle norme di sicurezza contenuti nella parte I dell'allegato, il membro della Commissione preposto alla sicurezza puo' adottare misure ai sensi della parte II dell'allegato.
Articolo 5
A decorrere dalla data della loroapplicazione, le presenti disposizioni sostituiscono:

a) la decisione C (94) 3282 della Commissione, del 30 novembre 1994,
relativa alle misure di sicurezza applicabili alle informazioni
classificate prodotte o trasmesse nel quadro delle attivita'
dell'Unione europea; b) la decisione C (1999) 423 della Commissione, del 25 febbraio 1999,
relativa alle modalita' secondo cui i funzionari e gli agenti
della Commissione europea possono essere autorizzati ad accedere a
informazioni classificate in possesso della Commissione.

Articolo 6

A decorrere dalla data di applicazione delle presenti disposizioni, tutte le informazioni classificate in possesso della Commissione fino a tale data, eccetto le informazioni classificate Euratom,

a) se sono state create dalla Commissione, si considerano
riclassificate per difetto "RISERVATO UE", a meno che l'autore
decida di conferire loro un'altra classificazione entro il 31
gennaio 2002, nel qual caso l'autore ne informa tutti i
destinatari del documento in questione; b) se sono state create da fonti esterne alla Commissione, conservano
la classificazione originaria e sono quindi trattate come
informazioni classificate UE di grado equivalente, a meno che
l'autore acconsenta a declassificarle o declassarle.

PARTE I: PRINCIPI FONDAMENTALI E NORME MINIME DI SICUREZZA

1. INTRODUZIONE

Con queste disposizioni si stabiliscono i principi fondamentali e le norme minime di sicurezza che devono essere debitamente rispettate dalla Commissionein tutte le sue sedi di servizio e da tutti i destinatari di informazioni classificate UE, perche' sia salvaguardata la sicurezza e ognuno abbia la garanzia che e' in
vigore un regime comune di protezione.

2. PRINCIPI GENERALI

La politica di sicurezza della Commissione forma parte integrante della sua politica generale di gestione interna e si basa pertanto sugli stessi principi informatori di quest'ultima.
Tra questi principi si annoverano la legalita', la trasparenza, la responsabilita' (o dovere di rendere conto delle proprie azioni) e la sussidiarieta' (o proporzionalita).
Per legalita' si intende la stretta adesione al quadro giuridico nell'espletamento delle funzioni legate alla sicurezza e la rigorosa ottemperanza alle prescrizioni legali. Questo concetto implica altresi' che le responsabilita' nel campo della sicurezza si fondino su adeguate disposizioni normative. Tra queste, trovano piena applicazione le disposizioni dello statuto del personale, segnatamente l'articolo 17 sull'obbligo di discrezione imposto al personale riguardo alle informazioni della Commissione e il titolo VI sulle misure disciplinari. Un'altra applicazione, infine, e' che le violazioni della sicurezza nell'ambito di responsabilita' della Commissione devono essere affrontate in maniera coerente con la politica della Commissione in materia disciplinare e con la sua politica di cooperazioni con gli Stati membri in campo penale e giudiziario.
Per trasparenza si intende chiarezza in tutte le norme e disposizioni sulla sicurezza, equilibrio nella ripartizione delle competenze tra i vari servizi e settori (sicurezza materiale, protezione delle informazioni, ecc.) e un'azione sistematica e strutturata di coscientizzazione alla tematica della sicurezza.
Per responsabilita' s'intende innanzi tutto una chiara definizione delle competenze in materia di sicurezza, da cui discende la necessita' di una regolare verifica del corretto esercizio di tali competenze.
Sussidiarieta', o proporzionalita', significa che la sicurezza deve essere organizzata al livello gerarchico piu' basso, il piu' possibile in connessione con le direzioni generali e con i servizi della Commissione. Inoltre, gli interventi nel campo della sicurezza devono essere limitati allo stretto indispensabile e, infine, le misure di sicurezza devono essere proporzionate agli interessi da tutelare e alle minacce, reali o potenziali contro tali interessi, i quali vanno comunque difesi con il minor danno possibile.

3. FONDAMENTI DELLA SICUREZZA

Un'efficace sicurezza si fonda sui seguenti elementi:

a) all'interno di ciascun Stato membro, un'organizzazione della sicurezza nazionale competente per:

1) la raccolta e la registrazione di informazioni in materia di
spionaggio, sabotaggio, terrorismo e altre attivita' sovversive; 2) l'informazione e la consulenza al proprio governo e, tramite
quest'ultimo, alla Commissione, circa il carattere delle minacce
che incombono sulla sicurezza e i relativi mezzi di protezione;

b) all'interno di ciascuno Stato membro e nell'ambito della Commissione, un'autorita' tecnica INFOSEC incaricata di collaborare con l'autorita' di sicurezza competente per fornire informazioni e consulenza circa le minacce tecniche alla sicurezza e i relativi mezzi di protezione;
c) una regolare collaborazione tra amministrazioni pubbliche e i servizi competenti delle istituzioni europee per stabilire e raccomandare opportunatamente:

1) quali persone, informazioni e risorse occorre proteggere; 2)norme comuni di protezione;

d) una stretta collaborazione tra l'Ufficio di sicurezza della Commissione e i servizi di sicurezza delle altre istituzioni europee, nonche' con l'Ufficio di sicurezza della NATO (NOS).

4. PRINCIPI DI SICUREZZA DELLE INFORMAZIONI

4.1 Obiettivi

La sicurezza delle informazioni persegue principalmente i seguenti obiettivi:

a) proteggere le informazioni classificate UE dallo spionaggio, da
manomissioni o dalla diffusione non autorizzata; b) proteggere le informazioni UE impiegate in sistemi e reti di
comunicazione e d'informazione da minacce contro la loro
riservatezza, integrita' e disponibilita'; c) proteggere le installazioni in cui si trovano le informazioni UE
dal sabotaggio e dal danneggiamento intenzionale premeditato; d) qualora sia impossibile evitarlo, valutare il danno arrecato,
limitarne le conseguenze e adottare le misure necessarie per
ripararlo.

4.2 Definizioni

Ai fini delle presenti disposizioni, si intende per:

a) "informazioni classificate UE" (ICUE): le informazioni e i
materiali la cui divulgazione non autorizzata potrebbe recare in
varia misura pregiudizio agli interessi dell'UE o a uno o piu'
Stati membri, sia che le informazioni suddette provengano
all'interno dell'UE ovvero dagli Stati membri, da Stati terzi o da
organizzazioni internazionali; b) "documento": qualsiasi lettera, nota, verbale, relazione ,
promemoria, segnale/messaggio, schizzo, fotografia, diapositiva,
pellicola, mappa, diagramma, piano, taccuino, stampo,
cartacarbone, nastro dattilografico o di stampante, nastro
magnetico, cassetta, dischetto di computer, CD ROM, o altro mezzo
materiale sul quale possono essere registrate informazioni; c) "materiale": qualsiasi "documento" secondo la definizione di cui
alla lettera b) e altresi' qualsiasi elemento di attrezzatura, sia
sotto forma di prodotto finito, sia in corso di lavorazione; d) "necessita' di sapere": la necessita' di un singolo dipendente di
accedere ad informazioni classificate UE per poter espletare una
funzione o eseguire una mansione; e) "autorizzazione": una decisione del presidente della Commissione
con cui si concede l'accesso individuale ad informazioni
classificate UE fino ad un determinato grado, sulla base
dell'esito positivo di un'indagine di sicurezza svolta da
un'autorita' nazionale competente a norma del diritto nazionale: f) "classificazione": il conferimento di un idoneo livello di
sicurezza ad informazioni la cui divulgazione non autorizzata
potrebbe recare in certa misura pregiudizio agli interessi della
Commissione o degli Stati membri; g) "declassamento": una riduzione del grado di classificazione; h) "declassificazione": la soppressione di qualsiasi menzione di
classificazione; i) "originatore": l'autore debitamente autorizzato di un documento
classificato. All'interno della Commissione, i capi dei servizi
possono autorizzare i loro subordinati ad "originare" ICUE; j) "servizi della Commissione": le direzioni generali e i vari
servizi della Commissione, compresi i gabinetti, in tutte le sedi
di servizio, inclusi, il Centro Comune di Ricerca, gli uffici di
rappresentanza dell'Unione e le delegazioni nei paesi terzi.

4.3. Classificazione

a) Per quanto riguarda la riservatezza, la selezione delle
informazioni e dei materiali da proteggere e la valutazione del
grado di protezione necessaria richiedono diligenza ed esperienza.
E' particolarmente importante che il grado di protezione
corrisponda al grado di sicurezza richiesto dalla singola
informazione e dal singolo materiale da proteggere. Perche' non vi
siano ostacoli al flusso delle informazioni, occorre prendere
provvedimenti per evitare sia la sovra-classificazione che la
sottoclassificazione. b) Il sistema di classificazione e' lo strumento per tradurre in
pratica questi principi; un sistema di classificazione analogo
dovrebbe essere adottato nella pianificazione e
nell'organizzazione della lotta contro lo spionaggio, il
sabotaggio, il terrorismo e le altre minacce, in modo da garantire
la massima protezione ai principali edifici in cui sono collocate
informazioni classificate e i punti piu' sensibili all'interno di
questi. c) La responsabilita' della classificazione delle informazioni spetta
unicamente all'originatore. d) Il grado di classificazione dipende unicamente dal contenuto delle
informazioni stesse. e) Se piu' elementi d'informazione sono uniti congiuntamente, il
grado di classificazione da conferire all'insieme sara' almeno
equivalente a quello con l'elemento con grado piu' elevato. Ad una
raccolta di informazioni puo' essere tuttavia conferito un grado
di classificazione piu' elevato di quello dei suoi elementi
costitutivi. f) Le classificazioni devono essere assegnate soltanto nella misura e
per la durata in cui sia necessario.

4.4 Finalita' delle misure di sicurezza

Le misure di sicurezza:

a) riguardano tutte le persone che hanno accesso alle informazioni
classificate, ai relativi supporti, agli edifici che contengono
tali informazioni e a importanti installazioni; b) sono destinate a individuare le persone che, per la loro
situazione, potrebbero mettere in pericolo la sicurezza di
informazioni classificate o di importanti installazioni che
contengono informazioni classificate e a provvedere alla loro
esclusione o allontanamento; c) impediscono alle persone non autorizzate di accedere alle
informazioni classificate o alle installazioni che le contengono; d) garantiscono che le informazioni classificate siano diffuse
soltanto in base al principio della necessita' di sapere, che e'
fondamentale per tutti gli aspetti della sicurezza; e) assicurano l'integrita' (ossia la prevenzione della corruzione,
dell'alterazione o della cancellazione non autorizzate) e la
disponibilita' (ossia che l'accesso non sia negato a coloro che
devono e sono autorizzati ad averlo) di tutte le informazioni
immagazzinate, elaborate o trasmesse sotto forma elettromagnetica.

5 ORGANIZZAZIONE DELLA SICUREZZA

5.1. Norme comuni minime

La Commissione garantisce che tutti i destinatari di ICUE, all'interno dell'istituzione e nei servizi soggetti alla sua competenza, compresi i contraenti, osservino norme minime comuni di sicurezza affinche' le informazioni classificate Uepossano essere trasmesse con la certezza che saranno trattate con la stessa diligenza. Dette norme minime includono criteri per il rilascio del nulla osta di sicurezza al personale e procedure per la protezione delle informazioni classificate UE.
La Commissione autorizza l'accesso alle ICUE ad organismi esterni solo a condizione che essi garantiscano che, nel trattare le ICUE, siano rispettate disposizioni strettamente equivalenti alle suddette norme minime.

5.2. Organizzazione

All'interno della Commissione, la sicurezza e' organizzata a due livelli:

a) a livello della Commissione nel suo insieme, esiste un ufficio di
sicurezza della Commissione, di cui fanno parte un'autorita' di
accreditamento in materia di sicurezza (SAA) - che funge anche da
autorita' Cripto (CrA) a da autorita' TEMPEST - ed un'autorita'
INFOSEC (IA), affiancato da uno o piu' uffici centrali di
registrazione per le ICUE con uno o piu' funzionari di controllo
(RCO); b) a livello dei singoli servizi della Commissione, la competenza in
materia di sicurezza e' ripartita tra uno o piu' responsabili
della sicurezza a livello locale (LSO), uno o piu' responsabili
della sicurezza informatica a livello centrale (CISO),
responsabili della sicurezza informatica a livello locale (LISO) e
uffici locali di registrazione per le ICUE con uno opiu'
funzionari di controllo; c) gli organi di sicurezza centrali impartiscono istruzioni operative
agli organi di sicurezza locali.

6. SICUREZZA DEL PERSONALE

6.1 Nulla osta di sicurezza del personale

Tutti coloro che devono accedere a informazioni classificate UE RISERVATISSIMO o di grado superiore devono aver debitamente ricevuto l'apposito nulla osta prima di essere autorizzate a tale accesso. Lo stesso nulla osta e' richiesto alle persone che si occupano del funzionamento tecnico o della manutenzione dei sistemi di comunicazione e di informazione contenenti informazioni classificate. Questo nulla osta deve servire a determinare se detti individui:

a) sono di indefettibile lealta'; b)dimostrano forza di carattere e discrezione tali che non vi siano
dubbi sulla loro integrita' nel trattamento delle informazioni
classificate; oppure c) possono essere sensibili a pressioni provenienti dall'esterno o
altre.

Nell'ambito delle procedure di nulla osta, sono sottoposti ad un esame particolarmente accurato coloro che:

d) devono ottenere accesso alle informazioni UE SEGRETISSIMO; e) occupano posizioni per le quali hanno regolare accesso a una
considerevole quantita' di informazioni UE SEGRETO. f) hanno per le loro mansioni accesso speciale a sistemi di
comunicazione o d'informazione protetti e percio' potrebbero avere
accesso non autorizzato a grandi quantita' di informazioni
classificate UE o danneggiare gravemente la missione con atti di
sabotaggio tecnico.

Nelle circostanze di cui alle lettere d), e) f) si deve impiegare nella massima misura possibile la tecnica delle indagini di fondo.
Le persone che non hanno una vera e propria "necessita' di sapere" e lavorano in circostanze nelle quali possono avere accesso a informazioni classificate UE (per esempio fattorini, agenti della sicurezza, personale addetto alla manutenzione o alle pulizie ecc.), devono prima di tutto ottenere un apposito nulla osta di sicurezza.

6.2 Registrazione dei nulla osta del personale

Tutti i servizi della Commissione che trattano informazioni classificate UE ovvero ospitano sistemi di comunicazione o d'informazione protetti tengono una traccia dei nulla osta concessi al personale addetto. Ciascun nulla osta deve essere verificato all'occorrenza, per accertare che sia adatto ai compiti svolti da quella persona; deve essere immediatamente riesaminato non appena nuove informazioni indichino che non e' nell'interesse della sicurezza mantenere quella persona a contatto con informazioni classificate. Il responsabile della sicurezza a livello locale presso il servizio interessato tiene una traccia dei nulla osta che rientrano nella sua sfera di competenza.

6.3 Istruzioni di sicurezza per il personale

Tutto il personale che ricopre incarichi in cui potrebbe avere accesso a informazioni classificate e' dettagliatamente istruito al momento di assumere l'incarico e a intervalli regolari circa le esigenze di sicurezza e le relative procedure. Detto personale e' tenuto a certificare per iscritto di aver letto e perfettamente capito le presenti norme di sicurezza.

6.4 Responsabilita' dei dirigenti

I dirigenti hanno il dovere il dovere di sapere quali dei loro subordinati lavorino a contatto con informazioni classificate o abbiano accesso a sistemi di comunicazione o d'informazione protetti e di registrare e riferire qualsiasi incidente o caso di palese vulnerabilita' che possa avere conseguenze sulla sicurezza.

6.5 Affidabilita' del personale in fatto di sicurezza

Sono istituite procedure per garantire che, allorche' si viene a conoscenza di informazioni negative riguardo a un individuo, si chiarisca se costui svolge un lavoro a contatto con informazioni classificate o ha accesso a sistemi di comunicazione o d'informazione protetti e l'ufficio di sicurezza ne sia informato. Se si stabilisce che rappresenta un pericolo per la sicurezza, detto individuo deve essere allontanato o rimosso da ogni incarico in cui potrebbe mettere a repentaglio la sicurezza.

7. SICUREZZA MATERIALE

7.1 Necessita' della protezione

Il grado di sicurezza materiale da applicare per garantire la protezione delle informazioni classificate UE deve essere proporzionato alla classificazione, al volume e alle minacce che incombono sulle informazioni e sul materiale custodito. Tutti i detentori di informazioni classificate UE devono seguire pratiche uniformi per quanto riguarda la classificazione delle informazioni in loro possesso e ottemperare a norme comuni di protezione per quel che riguarda la classificazione delle informazioni in loro possesso e ottemperare a norme comuni di protezione per quel che riguarda la custodia, la trasmissione e la diffusione di informazioni e di materiale soggetti a protezione.

7.2 Controlli

Prima di lasciare i luoghi in cui sono riposte informazioni classificate UE, non sottoposti a sorveglianza, le persone a cui detti luoghi sono affidati devono assicurarsi che le informazioni siano immagazzinate in modo sicuro e che tutti i dispositivi di sicurezza siano stati attivati (serrature, allarmi, ecc.). Al termine dell'orario di lavoro devono essere effettuati altri controlli indipendenti.

7.3 Sicurezza degli edifici

Gli edifici contenenti informazioni classificate UE o sistemi di comunicazione e d'informazione protetti devono essere tutelati contro l'accesso non autorizzato. Il tipo di protezione destinato alle informazioni classificate UE, per esempio sbarramento di finestre, serrature alle porte, guardie all'entrata, sistemi di controllo dell'accesso automatizzati, controlli di sicurezza e ispezioni, sistemi d'allarme, sistemi di individuazione delle intrusioni e cani da guardi dipendono:

a) dalla classificazione, dal volume e dall'ubicazione all'interno
dell'edificio delle informazioni e dei materiali da proteggere; b) dalla qualita' dei contenitori di sicurezza per queste
informazioni e materiali; c) dalle caratteristiche dell'edificio e dalla sua ubicazione.

Anche per i sistemi di comunicazione e d'informazione il tipo di protezione prescelto deve dipendere da una stima del valore di quanto e' in gioco e del danno potenziale che deriverebbe dal venir meno della sicurezza, dalle caratteristiche e dall'ubicazione dell'edificio nel quale e' custodito il sistema all'interno dell'edificio.

7.4 Piani d'emergenza

Occorre predisporre in anticipo piani dettagliati per la protezione delle informazioni classificate durante un'emergenza locale o nazionale.

8. SICUREZZA DELLE INFORMAZIONI

La sicurezza delle informazioni (INFOSEC) riguarda l'individuazione e l'applicazione di misure di sicurezza per proteggere le informazioni classificate UE elaborate, immagazzinate e trasmesse in sistemi elettronici di comunicazione e d'informazione o altri, contro il venir meno della riservatezza, dell'integrita' o della disponibilita', accidentale o intenzionale. Adeguate contromisure devono essere prese per prevenire l'accesso alle informazioni classificate UE da parte di utenti non autorizzati per impedire che a utenti autorizzati sia opposto il rifiuto di accedere alle informazioni classificate UE e per prevenire l'alterazione ovvero la modificazione o la cancellazione non autorizzate di informazioni classificate UE.

9. MISURE CONTRO IL SABOTAGGIO ED ALTRE FORME DI DANNO
INTENZIONALE PREMEDITATO

Le precauzioni materiali per la protezione di importanti installazioni in cui sono conservate informazioni classificate sono la migliore garanzia di sicurezza e di protezione contro il sabotaggio e il danno intenzionale premeditato, laddove il solo nulla osta del personale non basta. L'organismo nazionale competente e' invitato a comunicare le informazioni raccolte in materia di spionaggio, sabotaggio, terrorismo o altre attivita' sovversive.

10. COMUNICAZIONE DI INFORMAZIONI CLASSIFICATE A STATI TERZI
OD ORGANIZZAZIONI INTERNAZIONALI

Spetta alla Commissione decidere collegialmente se comunicare a uno Stato terzo o a un'organizzazione internazionale informazioni classificate UE. Se l'originatore delle informazioni che si vogliono comunicare non e' la Commissione, quest'ultima deve anzitutto ottenere il consenso dell'originatore. Se e' impossibile stabilire l'originatore, la Commissione ne assume la responsabilita'.
Le informazioni classificate che la Commissione riceve da Stati terzi, da organizzazioni internazionali o da altri terzi devono essere oggetto di protezione proporzionata alla loro classificazione ed equivalente alle norme stabilite dalle presenti disposizioni per le informazioni classificate UE o alle norme piu' severe richieste dai terzi che comunicano l'informazione. Possono essere predisposti controlli reciproci.
I principi di cui sopra devono essere applicati in conformita' delle disposizioni dettagliate della parte Ii, sezione 26, e delle appendici 3, 4 e 5.

PARTE II: L'ORGANIZZAZIONE DELLA SICUREZZA NELLA COMMISSIONE

11. IL MEMBRO DELLA COMMISSIONE COMPETENTE IN MATERIA DI SICUREZZA

Il membro della Commissione competente in materia di sicurezza:

a) attua la politica di sicurezza della Commissione; b) prende in esame i problemi di sicurezza sottopostigli dalla
Commissione o dai suoi organi competenti; c) esamina le questioni che comportano cambiamenti nella politica di
sicurezza della Commissione, in stretto legame con le autorita' di
sicurezza nazionali (o altre) degli Stati membri (in seguito
denominate "NSA").

In particolare. il membro della Commissione competente in materia di sicurezza ha tra le sue attribuzioni

a) il coordinanamento di tutte le questioni di sicurezza connesse
alle attivita' della Commissione: b) inviare alle autorita' designate dagli Stati membri le richieste
affinche' le NSA predispongano i nulla osta di sicurezza per il
personale impiegato alla Commissione in conformita' della sezione
20: c) ordinare indagini su qualsiasi fuga di infoniiazioni classificate
UE, che a prima vista sembri avere avuto luogo nell'ambito della
Commissione: d) chiedere alle autorita' di sicurezza interessate di avviare
indagini in caso di fuga di informazioni classificate UE che
sembri aver avuto luogo al di fuori della Commissione e coordinare
le inchieste quando sono coinvolte piu' autorita' di sicurezza: e) l'ispezione periodica dei dispositivi di sicurezza per la
protezione delle informazioni classificate UE: f) mantenere uno stretto legame con tutte le autorita' di sicurezza
interessate ai fini di un coordinamento globale della sicurezza: g) riesaminare costantemente la politica e le procedure di sicurezza
della Commissione e, se necessario. formulare le opponune
raccomandazioni. A questo riguardo. E membro della Commissione
competente in materia di sicurezza presenta alla Commissione il
piano di ispezione annuale elaborato dall'ufficio di sicurezza
della Commissione.

12. IL GRUPPO CONSULTIVO PER LA POLITICA Dl SICUREZZA

E' istituito un gruppo consultivo della Commissione per la politica di sicurezza. Esso e' presieduto dal membro della Commissione competente in materia di sicurezza o da chi ne fa le veci ed e' composto da rappresentanti delle NSA degli Stati membri. Possono essere invitati a parteciparvi anche rappresentanti di altre istituzioni europee, come pure rappresentanti degli organismi decentrati UE quando vi si discutono questioni che li riguardano.
Il gruppo consultivo della Commissione per la politica sicurezza si riunisce a richiesta del presidente o di uno dei suoi membri. Esso ha il compito di esaminare e valutare tutte le questioni relative alla sicurezza e, se del caso. di presentare raccomandazioni alla Commissione.

13. IL COMITATO DI SICUREZZA DELLA COMMISSIONE

E' istituito un comitato di sicurezza, presieduto dal Segretario generale e composto dai direttori generali del servizio giuridico, dell'amministrazione e del personale, delle reazioni esterne, della giustizia e affari interni e del centro comune di ricerca, nonche' dai capi del servizio di audit interno e dell'ufficio di sicurezza della Commissione. Possono essere invitati a parteciparvi anche altri funzionari della Commissione. Esso ha il compito di valutare le misure di sicurezza vigenti all'interno della Commissione e di rivolgere raccomandazioni in materia al membro della Commissione competente per la sicurezza.

14. L'UFFICIO Dl SICUREZZA DELLA COMMISSIONE

Per adempiere le responsabilita' di cui alla sezione 11, il membro della Commissione competente per la sicurezza dispone dell'ufficio di sicurezza della Commissione per il coordinamento, la supervisione e l'applicazione delle misure di sicurezza.
Il capo dell'ufficio di sicurezza della Commissione e' il consigliere principale del membro della Commissione competente in materia di sicurezza circa le questioni di sicurezza e funge da segretario del gruppo consultivo per la politica di sicurezza. Dirige l'aggiornamento della normativa in materia di sicurezza e coordina le misure di sicurezza con le autorita' competenti degli Stati membri e, se del caso, con le organizzazioni internazionali che hanno concluso con la Commissione accordi in materia di sicurezza. A questo scopo agisce come ufficiale di collegamento.
Il capo dell'ufficio di sicurezza della Commissione e' responsabile dell'accreditamento dei sistemi e delle reti di TI all'interno della Commissione. Il capo dell'ufficio di sicurezza della Commissione decide, d'intesa con le competenti NSA, circa l'accreditamento dei sistemi e delle reti di TI che coinvolgono la Commissione, da un lato, e qualsiasi altro destinatario di informazioni classificate UE, dall'altro.

15. ISPEZIONI DI SICUREZZA

L'ufficio di sicurezza della Commissione compie ispezioni periodiche dei dispositivi di sicurezza per la protezione delle informazioni classificate UE.
L'ufficio di sicurezza della Commissione puo' essere assistito, nell'esercizio di questa funzione, dai servizi di sicurezza di altre istituzioni dell'UE che custodiscono ICUE o dalle NSA degli Stati membri (1).
A richiesta di uno Stato membro, la rispettiva NSA puo' compiere un'ispezione di ICUE all'interno della Commissione, di comune accordo e in collaborazione con l'ufficio di sicurezza della Commissione.

16. CLASSIFICAZIONI INDICAZIONI DI SICUREZZA E CONTRASSEGNI

16.1. Gradi di classificazione (1)

Le informazioni sono classificate con i seguenti gradi (cfr. anche appendice 2):
UE SEGRETISSIMO: questa classificazione si applica soltanto a informazioni e materiali la cui divulgazione non autorizzata potrebbe arrecare danni di eccezionale gravita' agli interessi fondamentali dell'Unione europea o di uno o piu' Stati membri.
UE SEGRETO: questa classificazione si applica soltanto a informazioni e materiali la cui divulgazione non autorizzata potrebbe ledere gravemente gli interessi fondamentali dell'Unione europea o di uno o piu' Stati membri.
UE RISERVATISSIMO: questa classificazione si applica a informazioni e materiali la cui divulgazione non autorizzata potrebbe ledere gli interessi fondamentali dell'Unione europea o di uno o piu' Stati membri.
UE RISERVATO: questa classificazione si applica a informazioni e materiali la cui divulgazione non autorizzata potrebbe arrecare pregiudizio agli interessi dell'Unione europea o di uno o piu' Stati membri.
Non sono ammesse altre classificazioni.

16.2. Indicazioni di sicurezza

Possono essere utilizzate indicazioni di sicurezza convenzionali per porre limiti alla validita' di una classificazione (per il declassamento o la declassificazione automatica di informazioni classificate). Tali indicazioni possono essere: "FINO A..... (periodo/data)" o FINO A .... (evento).
Qualora risultino necessari una distribuzione limitata e un trattamento speciale oltre a quanto indicato dalla classificazione di sicurezza, si appongono indicazioni supplementari quali CRYPTO o qualunque altra indicazione di sicurezza riconosciuta a livello UE.
Le indicazioni di sicurezza possono essere utilizzate soltanto unitamente ad una classificazione.

16.3. Contrassegni

Un contrassegno puo' essere usato per specificare un settore che forma oggetto del documento o una distribuzione particolare sulla base del principio della necessita' di sapere, ovvero per indicare il termine di un embargo (nel caso di informazioni non classificate).
Un contrassegno non e' una classificazione e non deve essere unto al posto di questa.
Il contrassegno ESDP/PESD si appone su documenti e copie degli stessi concernenti la sicurezza e la difesa dell'Unione o di uno o piu' Stati membri o relativi alla gestione delle crisi militari o non militari.

16.4. Apposizione della classificazione

La classificazione si appone nel modo seguente:

a) su documenti UE RISERVATO con mezzi meccanici o elettronici; b) su documenti UE RISERVATISSIMO con mezzi meccanici o a mano o a
stampa su carta prestampigliata. registrata; c) su documenti UE SEGRETO e UE SEGRETISSIMO con mezzi meccanici e a
mano.

16.5. Apposizione delle indicazioni di sicurezza

Le indicazioni di sicurezza sono apposte immediatamente sotto la classificazione, con lo stesso mezzo usato per la classificazione.

17. GESTIONE DELLA CLASSIFICAZIONE

7.1. Considerazioni generali

Le informazioni sono classificate solo se necessario. La classificazione e' indicata chiaramente e correttamente ed e mantenuta solo per la durata in cui e' necessario proteggere l'informazione.
La responsabilita' della classificazione dell'informazione e di eventuali declassamenti o declassificazioni successivi spetta unicamente all'originatore.
Il funzionario o atro agente della Commissione classifica, declassa o declassifica un'informazione su istruzione del suo superiore gerarchico o d'intesa con il medesimo.
Le modalita' dettagliate per il trattamento dei documenti classificati sono state elaborate m modo da garantire che essi siano soggetti a una protezione commisurata alle informazioni che contengono.
Il numero di persone autorizzate ad emanare documenti UE SEGRETISSIMO e' limitato al minimo e il loro nominativo figura in un elenco compilato dall'ufficio di sicurezza della Commissione.

17.2. Attribuzione delle classificazioni

La classificazione di un documento e' determinata dal livello di sensibilita' del suo contenuto, secondo la definizione di cui alla sezione 16. E' importante che la classificazione sia attribuita correttamente e con moderazione, in particolare per quanto riguarda la classificazione UE SEGRETISSIMO.
L'originatore di un documento che deve essere classificato tiene presenti le disposizioni sopraelencate e limita la tendenza alla sovra o sottoclassificazione.
Nell'appendice 2 figura una guida pratica per la classificazione.
E' possibile che singole pagine, paragrafi, sezioni, annessi, appendici, allegati di un determinato documento e altro materiale accluso richiedano classificazioni differenti: in tal caso, all'insieme del documento viene attribuita la classificazione dell'elemento con grado piu' elevato.
Il grado di classificazione attribuito a una lettera o nota cui e' accluso altro materiale corrisponde a quello dell'elemento accluso con grado piu' elevato. L'originatore indica chiaramente il grado di classificazione da attribuire alla lettera o nota quando e' separata dal materiale accluso.
L'accesso del pubblico continua ad essere disciplinato dal regolamento (CE) n. 1049/2001.

17.3. Declassamento e declassificazione

I documenti classificati UE possono essere declassati o declassificati unicamente con il consenso dell'originatore e, se necessario, previa discussione con le altre parti interessate. Il declassamento o la declassificazione sono confermati per iscritto. L'originatore e' tenuto ad informare i destinatari del cambiamento di classificazione e questi ultimi sono a loro volta tenuti ad informarne i destinatari successivi ai quali hanno trasmesso l'originale o una copia del documento.
Nella misura del possibile, l'originatore indica sul documento classificato la data, un termine o un evento a partire dal quale e informazioni in esso contenute potranno essere declassate o declassificate. In caso contrario, esso verifica almeno ogni cinque anni che la classificazione iniziale del documento sia tuttora necessaria.

18. SICUREZZA MATERIALE

18.1. Considerazioni generali

Scopo principale delle misure di sicurezza materiale e' di evitare che le persone non autorizzate abbiano accesso alle informazioni e/o al materiale classificato UE, di prevenire il furto e la manomissione di attrezzature e altri beni, nonche' di impedire che il personale o altri agenti e visitatori vengano molestati o aggrediti.

18.2. Requisiti di sicurezza

Tutti i locali, zone, edifici, uffici, stanze, sistemi di comunicazione e d'informazione, ecc. in cui sono custoditi e/o trattati informazioni e materiale classificati UE sono protetti da adeguate misure di sicurezza materiale.
Per la decisione sul grado di protezione materiale necessario occorre tener conto di tutti i fattori pertinenti, quali:

a) il grado di classificazione dell'informazione e/o del materiale; b) la quantita' e la forma (ad esempio supporto cartaceo, mezzi di
archiviazione elettronica) delle informazioni detenute: c) la minaccia in loco rappresentata da servizi segreti che prendono
di mira l'UE, gli Stati membri e/o altre istituzioni o terzi in
possesso di informazioni classificate UE, nonche' segnatamente da
atti di sabotaggio, terrorismo e altri atti sovversivi e/o
criminali.

Le misure di sicurezza materiale applicate sono volte a:

a) impedire agli intrusi l'ingresso fraudolento o con la forza; b) dissuadere, impedire e scoprire azioni da parte di personale in
malafede; c) impedire l'accesso a informazioni classificate UE a coloro che non
hanno necessita' di sapere.

18.3. Misure di sicurezza materiale

18.3.1. Zone di sicurezza

Le zone in cui sono trattate e custodite le informazioni classificate UE RISERVATISSIMO o di grado superiore sono organizzate e strutturate in modo da corrispondere a uno dei seguenti parametri:

a) zona di sicurezza di categoria I: zona in cui sono trattate e
custodite informazioni UE RISERVATISSIMO o di grado superiore in
modo che l'ingresso in tale zona rappresenti, a tutti i fitti
pratici, l'accesso alle informazioni classificate. Per tale zona
occorre prevedere:

i) un perimetro chiaramente delimitato e protetto attraverso cui
controllare tutti gli ingressi e le uscite;

ii) un sistema di controllo all'entrata che consenta l'ingresso
solo alle persone in possesso di debito nulla osta di sicurezza
ed espressamente autorizzate ad entrare in tale zona;

iii) la specificazione della classificazione attribuita
all'informazione normalmente custodita nella zona in questione
ossia l'informazione cui si accede entrando in tale zona;

b) zona di sicurezza di categoria II: zona in cui sono trattate e
custodite informazioni UE RISERVATISSIMO o di grado superiore in
modo da proteggerle dall'accesso di persone non autorizzate
mediante controlli interni, ad esempio edifici in cui si trovano
gli uffici in cui vengono di solito trattate e custodite le
Informazioni UE RISERVATISSIMO o di grado superiore. Per tale zona
occorre prevedere:

i) un perimetro chiaramente delimitato e protetto attraverso cui
controllare tutti gli ingressi e le uscite;

ii) un sistema di Controllo all'entrata che consenta l'ingresso
senza scorta solo alle persone in possesso di debito nulla osta
di sicurezza ed espressamente autorizzate ad entrare in tale
zona. Per tutte le altre persone occorre prevedere scorte o
controlli equivalenti per evitare l'accesso non autorizzato alle
informazioni classificate UE e l'ingresso non controllato a zone
soggette a ispezioni tecniche di sicurezza.

Le zone non occupate da personale in servizio 24 ore al giorno sono ispezionate immediatamente dopo il normale orario di lavoro per garantire che le informazioni classificate UE siano correttamente protette.

18.3.2. Zona amministrativa

In prossimita' delle zone di sicurezza di categoria I e II o per accedere a tali zone, puo' essere creata una zona amministrativa con minor livello di sicurezza. Occorre prevedere un perimetro chiaramente delimitato per l'ispezione del personale e dei veicoli. Nella zona amministrativa possono essere trattate e custodite solo informazioni classificate UE RISERVATO o non classificate.

18.3.3. Controlli all'entrata all'uscita

L'ingresso alle zone di sicurezza delle categorie I e II e' controllato da un lasciapassare o da un sistema di riconoscimento personale che si applica all'insieme del personale che presta regolarmente servizio in queste zone. E' altresi' predisposto un sistema di controllo dei visitatori al fine di impedire l'accesso non autorizzato ad informazioni classificate UE. I sistemi di lasciapassare possono essere completati da altri di identificazione automatizzata, senza che cio' sostituisca totalmente le guardie di sicurezza. Una modifica nella valutazione del rischio puo' comportare un rafforzamento delle misure di controllo delle entrate e delle uscite, per esempio durante le visite di personalita'.

18.3.4. Ronde di controllo

Le ronde di controllo delle zone di sicurezza di categoria I e II vengono effettuate al di fuori del normale orario di lavoro per proteggere i beni dell'UE dal rischio di manomissioni danni o perdite. Le ronde sono effettuate secondo una frequenza determinata dalle circostanze locali ma, indicativamente ogni due ore.

18.3.5. Contenitori di sicurezza e camere blindate

Le informazioni classificate UE sono custodite in contenitori suddivisi in tre categorie:

- categoria A: contenitori approvati a livello nazionale per
custodire informazioni classificate UE SEGRETISSIMO nelle zone di
sicurezza delle categorie I e II, - categoria B: contenitori approvati a livello nazionale per
custodire informazioni classificate UE SEGRETO e UE RISERVATISSIMO
nelle zone di sicurezza delle categorie I e II, - categoria C: mobili da ufficio atti a custodire solo le
informazioni classificate UE RISERVATO.

Nelle camere blindate costruite in una zona di sicurezza della categoria I o II, e in tutte le zone di sicurezza della categoria I in cui le informazioni classificate UE RISERVATISSIMO o di grado superiore sono custodite in scaffali aperti o in cui si visualizzano prospetti, piantine, ecc., le pareti, il pavimento ed il soffitto, la o le porte provviste di serratura o serrature sono omologate dalla SAA per garantire che offrano una protezione equivalente alla categoria di contenitore di sicurezza approvato per custodire informazioni con lo stesso grado di classificazione.

18.3.6. Dispositivi di chiusura

I dispositivi di chiusura utilizzati per i contenitori di sicurezza e le camere blindate in cui sono custodire informazioni classificate UE devono soddisfare i seguenti requisiti:

- gruppo A: approvati a livello nazionale per contenitori della
categoria A, - gruppo B: approvati a livello nazionale per contenitori della
categoria B, - gruppo C: idonei solo per i mobili da ufficio della categoria C.

18.3.7. Controllo delle chiavi e delle combinazioni

Le chiavi del contenitori di sicurezza non possono essere asportate dagli edifici della Commissione. La combinazione dei contenitori di sicurezza deve essere conosciuta a memoria dalle persone che ne fanno uso. il responsabile della sicurezza a livello locale presso il servizio interessato ha la responsabilita' delle chiavi di riserva e di una traccia scritta di tutte le combinazioni, conservate in singoli plichi opachi sigillati, di cui far uso in caso di emergenza. Le chiavi, le chiavi di riserva e le combinazioni sono custodite in contenitori di sicurezza separati. Le chiavi e le combinazioni ricevono almeno la stessa protezione riservata al materiale cui danno accesso.
La combinazione dei contenitori di sicurezza e' portata a conoscenza del minor numero di persone possibile. Le combinazioni vengono sostituite:

a) al ricevimento di ogni nuovo contenitore; b) ad ogni cambiamento di personale; c) ad ogni manomissione effettiva o sospettata; d) ad intervalli possibilmente semestrali, e per lo meno ogni dodici
mesi.

18.3.8. Dispositivi per il rilevamento di intrusi

Quando le informazioni classificate UE sono protette da sistemi di allarme, televisione a circuito chiuso e altri dispositivi elettrici, si prevede un'erogazione di elettricita' di emergenza per garantire il funzionamento ininterrotto del sistema in caso di avaria del sistema centrale. E altresi' indispensabile che in caso di disfunzione o di manomissione di detti sistemi, venga attivato un allarme o un altro segnale affidabile per il servizio di sicurezza.

18.3.9. Attrezzatura approvata

L'ufficio di sicurezza della Commissione mantiene elenchi aggiornati, suddivisi per tipo e modello, dell'attrezzatura di sicurezza approvata per la protezione delle informazioni classificate in varie circostanze e condizioni specificate. Questi elenchi sono compilati sulla base, tra l'altro, delle informazioni fornite dalle NSA.

18.3.10. Protezione materiale delle fotocopiatrici e dei fax

Le fotocopiatrici e i fax sono protetti materialmente per quanto necessario a garantire che solo le persone autorizzate possano usarli e che tutti i documenti classificati da essi prodotti siano soggetti a opportuni controlli.

18.4. Protezione contro sguardi e ascolti indiscreti

18.4.1. Sguardi indiscreti

Per garantire che le informazioni classificate UE non siano visionate, anche accidentalmente, da persone non autorizzate, devono essere prese tutte le misure appropriate, sia di giorno che di notte.

18.4.2. Ascolti indiscreti

Gli uffici o le zone in cui si discutono regolarmente informazioni classificate UE SEGRETO o di grado superiore sono protetti dall'ascolto indiscreto attivo e passivo qualora il rischio lo giustifichi. La valutazione del rischio di tale eventualita' spetta all'ufficio di sicurezza della Commissione, eventualmente previa consultazione delle NSA.

18.4.3. Introduzione di apparecchi elettronici e di registrazione

E' vietato introdurre telefoni cellulari, computer portatili, registratori, apparecchi fotografici e altri dispositivi elettronici o di registrazione nelle zone di sicurezza o nelle zone tecnicamente sicure senza previa autorizzazione del capo dell'ufficio di sicurezza della Commissione.
Per decidere le misure di protezione che occorre prendere nei locali che possono essere soggetti ad ascolto indiscreto passivo (per esempio, isolamento dei muri, delle porte, del pavimento e del soffitto, misurazione delle emissioni compromettenti) e all'ascolto indiscreto attivo (per esempio, ricerca di microfoni), l'ufficio di sicurezza della Commissione puo' chiedere l'assistenza di esperti delle NSA.
Parimenti, su richiesta del capo dell'ufficio di sicurezza, quando le circostanze lo rendano necessario, specialisti della sicurezza tecnica delle NSA possono ispezionare il materiale per le telecomunicazioni e qualsiasi tipo di attrezzatura elettrica o elettronica da ufficio utilizzata durante le riunioni di livello UE SEGRETO e di grado superiore.

18.5. Zone tecnicamente sicure

Talune zone possono essere designate come zone tecnicamente sicure. Per queste zone e' previsto un controllo speciale all'ingresso. Quando non vengono occupate, tali zone sono chiuse a chiave mediante una procedura convenuta, e tutte le chiavi sono considerate chiavi di sicurezza. Queste zone sono soggette a regolari ispezioni materiali, cui si procedera' anche dopo ogni ingresso non autorizzato, effettivo o sospettato.
Si procede ad un inventario particolareggiato dell'attrezzatura e dei mobili per controllarne la movimentazione. In queste zone non possono essere introdotti mobili o altra attrezzatura che non siano stati precedentemente verificati con cura dal personale di sicurezza avente una formazione specifica per rilevare qualsiasi meccanismo di ascolto. Come regola generale, nelle zone tecnicamente sicure e' vietato installare linee di comunicazione, salvo previa autorizzazione da parte dell'autorita' competente.

19. REGOLE GENERALI RELATIVE AL PRINCIPIO DELLA NECESSITA'
DI SAPERE E AL NULLA OSTA DI SICUREZZA

19.1. Considerazioni generali

L'accesso alle ICUE e' consentito solo alle persone che hanno necessita' di sapere per lo svolgimento delle loro funzioni o missioni. L'accesso alle informazioni UE SEGRETISSIMO, UE SEGRETO e UE RISERVATISSIMO e' autorizzato solo per le persone in possesso dell'apposito nulla osta di sicurezza.
La responsabilita' di determinare la necessita' di sapere spetta al capo del servizio presso il quale l'interessato deve lavorare.
Spetta a ciascun servizio fare richiesta di nulla osta per il proprio personale.
Tale procedura si conclude con il rilascio di un "nulla osta di sicurezza" in cui e' specificato il grado di classificazione delle informazioni cui la persona abilitata ha accesso e la data di scadenza di tale nulla osta.
Un nulla osta di sicurezza per un determinato grado di classificazione puo' conferire al titolare il diritto di accesso ad informazioni classificate di grado inferiore.
Le persone che non sono funzionari o altri agenti delle istituzioni dell'UE, quali ad esempio contraenti, esperti o consulenti con cui possa essere necessario discutere informazioni classificate UE, o ai quali tali informazioni debbano essere mostrate, devono possedere un nulla osta di sicurezza per le informazioni classificate UE ed essere istruite quanto alla loro responsabilita' in materia di sicurezza.
L'accesso del pubblico continua ad essere disciplinato dal regolamento (CE) n. 1049/2001.

19.2. Regole particolari sull'accesso alle informazioni UE SEGRETISSIMO

La persona che deve accedere ad informazioni UE SEGRETISSIMO vi e' autorizzata solo previa indagine.
La persona che deve accedere ad informazioni UE SEGRETISSIMO e' designata dal membro della Commissione competente in materia di sicurezza e il suo nominativo e' inserito nell'apposito registro UE SEGRETISSIMO. Tale registro ecompilato e tenuto dall'ufficio di sicurezza della Commissione.
Prima di accedere alle informazioni UE SEGRETISSIMO, la persona in questione deve firmare un certificato in cui dichiara di essere stata istruita sulle procedure della Commissione in materia di sicurezza e di essere pienamente consapevole della responsabilita' che le incombe quanto alla protezione delle informazioni UE SEGRETISSIMO nonche' delle conseguenze previste dalle norme UE e dalle norme legislative o amministrative nazionali qualora informazioni classificate vengano divulgate a persone non autorizzate, intenzionalmente o per negligenza.
Per le persone che hanno accesso a informazioni UE SEGRETISSIMO nel corso di riunioni, ecc., il funzionario di controllo competente del servizio o dell'organismo presso il quale dette persone sono assunte notifica all'organizzatore della riunione che le persone in questione sono debitamente autorizzate a parteciparvi.
Il nominativo della persona che cessi di svolgere funzioni per le quali e' richiesto l'accesso ad informazioni UE SEGRETISSIMO e' rimosso dall'elenco UE SEGRETISSIMO. Inoltre, la sua attenzione e' nuovamente richiamata sulla responsabilita' particolare che le incombe quanto alla protezione delle informazioni UE SEGRETISSIMO. Essa e' anche tenuta a firmare una dichiarazione in cui si impegna a non utilizzare o divulgare le informazioni UE SEGRETISSIMO in suo possesso.

19.3. Regole particolari sull'accesso alle informazioni UE SEGRETO e UE RISERVATISSIMO

La persona che deve accedere ad informazioni UE SEGRETO e UE RISERVATISSIMO vi e' autorizzata solo previa indagine.
La persona che deve accedere ad informazioni UE SEGRETO e UE RISERVATISSIMO deve essere a conoscenza delle pertinenti norme di sicurezza ed essere consapevole delle conseguenze di un atto di negligenza.
Per le persone che hanno accesso ad informazioni UE SEGRETO e UE RISERVATISSIMO nel corso di riunioni, ecc., il funzionario di controllo competente del servizio o dell'organismo presso il quale dette persone sono assunte notifica all'organizzatore della riunione che le persone in questione sono debitamente autorizzate a parteciparvi.
19.4. Regole particolari sull'accesso alle informazioni UE RISERVATO
La persona che ha accesso ad informazioni UE RISERVATO viene messa a conoscenza delle presenti norme di sicurezza e delle conseguenze di un atto di negligenza.

19.5. Trasferimenti

Quando un membro del personale e' trasferito da un posto che comporta il trattamento di materiale classificato UE l'ufficio di registrazione provvede al corretto trasferimento di detto materiale dal funzionario uscente al funzionario entrante.
Quando un membro del personale e' trasferito ad un altro posto che comporta il trattamento di materiale classificato UE il responsabile della sicurezza a livello locale provvede ad impartirgli le debite istruzioni.

19.6. Istruzioni particolari

La persona che deve trattare informazioni classificate UE deve essere messa a conoscenza, all'atto dell'assunzione e successivamente con periodicita', di quanto segue:

a) i pericoli per la sicurezza derivanti da conversazioni indiscrete; b) le precauzioni da prendere nei rapporti con la stampa e con
rappresentanti di particolari gruppi d'interessi; c) la minaccia rappresentata dalle attivita' di servizi segreti che
prendono di mira l'UE e gli Stati membri per quanto riguarda le
informazioni e le attivita' classificate UE; d) l'obbligo di riferire immediatamente alle competenti autorita' di
sicurezza in merito a qualsiasi approccio o manovra che possa
destare sospetti su un'eventuale attivita' di spionaggio o a
qualsiasi circostanza inabituale in fatto di sicurezza.

Tutti coloro che sono abitualmente esposti a frequenti contatti con rappresentanti di paesi i cui servizi segreti prendono di mira l'UE e gli Stati membri per quanto riguarda le informazioni e le attivita' classificate UE vengono istruiti sulle tecniche notoriamente impiegate dai vari servizi segreti.
Non esistono norme di sicurezza della Commissione per quanto riguarda i viaggi personali verso qualsiasi destinazione effettuati da personale abilitato all'accesso a informazioni classificate UE. L'ufficio di sicurezza della Commissione, tuttavia, informa i funzionari e altri agenti di cui e' responsabile in merito alle disposizioni in materia di viaggio cui possono essere soggetti.

20. PROCEDURA PER IL RILASCIO DEL NULLA OSTA DI SICUREZZA
AI FUNZIONARI E ALTRI AGENTI DELLA COMMISSIONE

a) Hanno accesso alle informazioni classificate in possesso della
Commissione soltanto i funzionari e gli altri agenti della
Commissione o le persone che lavorano in seno alla Commissione
che, a motivo delle loro funzioni e per esigenze di servizio,
abbiano bisogno di prenderne visione o di effettuarne il
trattamento. b) Per poter accedere alle informazioni classificate UE SEGRETISSIMO,
UE SEGRETO e UE RISERVATISSIMO, le persone di cui alla lettera a)
devono essere state autorizzate a tal fine secondo la procedura di
cui alle lettere c) e d) della presente sezione. c) Il nulla osta di sicurezza e' rilasciato soltanto alle persone che
sono state oggetto di un'indagine di sicurezza da parte delle
autorita' nazionali competenti degli Stati membri (NSA) secondo la
procedura di cui alle lettere da i) a n). d) Il capo dell'ufficio di sicurezza della Commissione e' competente
per il rilascio del nulla osta di sicurezza di cui alle lettere
a), b) e c). e) Il capo dell'ufficio di sicurezza della Commissione rilascia tale
nulla osta previo parere delle autorita' nazionali competenti
degli Stati membri sulla base dell'indagine di sicurezza condotta
conformemente alle lettere da i) a n). f) L'ufficio di sicurezza della Commissione tiene un elenco
aggiornato di tutti i posti sensibili, comunicati dai rispettivi
servizi della Commissione, e di tutte le persone cui e' stato
rilasciato un nulla osta di sicurezza (temporaneo). g) Il nulla osta di sicurezza, che e' valido per un periodo di cinque
anni, non puo' avere durata superiore a quella delle funzioni che
ne hanno giustificato il rilascio. Esso puo' essere rinnovato
secondo la procedura di cui alla lettera e). h) Il nulla osta di sicurezza e' revocato dal capo dell'ufficio di
sicurezza della Commissione ove questi ritenga che ve ne sia
fondato motivo. La decisione di revoca e' notificata alla persona
interessata, che puo' chiedere di essere ascoltata dal capo
dell'ufficio di sicurezza della Commissione, nonche' all'autorita'
nazionale competente. i) L'indagine di sicurezza e' effettuata, con la collaborazione della
persona interessata e su richiesta del capo dell'ufficio di
sicurezza della Commissione, dalle autorita' nazionali competenti
dello Stato membro di cui l'interessato e' cittadino. Se la
persona interessata non ha la cittadinanza di uno Stato membro
dell'UE, il capo dell'ufficio di sicurezza della Commissione
chiede che a svolgere l'indagine di sicurezza sia lo Stato membro
dell'UE in cui l'interessato ha eletto domicilio o risiede
abitualmente. j) Ai fini dell'indagine la persona interessata e' tenuta a compilare
un modulo informativo individuale. k) Nella richiesta il capo dell'ufficio di sicurezza della
Commissione specifica il tipo e il grado di classificazione delle
informazioni a cui la persona interessata dovra' accedere, per
consentire alle autorita' nazionali competenti di svolgere
l'indagine ed esprimere un parere relativamente al grado di
abilitazione da rilasciare alla persona in questione. l) Sia lo svolgimento che i risultati della procedura d'indagine sono
soggetti alle pertinenti disposizioni legislative e amministrative
vigenti nello Stato membro interessato, comprese quelle relative
agli eventuali mezzi di impugnazione. m) Se le autorita' nazionali competenti degli Stati membri esprimono
parere positivo, il capo dell'ufficio di sicurezza della
Commissione puo' rilasciare il nulla osta alla persona
interessata. n) Se le autorita' nazionali competenti esprimono parere negativo, la
persona interessata e' informata di tale parere e puo' chiedere di
essere ascoltata dal capo dell'ufficio di sicurezza della
Commissione. Il capo dell'ufficio di sicurezza della Commissione
puo', se lo ritiene necessario, rivolgersi alle autorita'
nazionali competenti per chiedere i chiarimenti complementari che
siano in grado di fornire. In caso di riconferma del parere
negativo, il nulla osta non puo' essere rilasciato. o) Ogni persona che abbia ottenuto il nulla osta a norma delle
lettere d) ed e) riceve, al momento del rilascio del medesimo e
successivamente ad intervalli regolari, le necessarie istruzioni
concernenti la protezione delle informazioni classificate e le
modalita' per garantirla. Essa firma una dichiarazione in cui
conferma di avere ricevuto tali istruzioni e di impegnarsi a
rispettarle. p) Il capo dell'ufficio di sicurezza della Commissione adotta le
misure necessarie per attuare le disposizioni della presente
sezione, in particolare per quanto riguarda le norme in materia di
accesso all'elenco delle persone abilitate. q) In via eccezionale e per esigenze di servizio, il capo
dell'ufficio di sicurezza della Commissione, previa notificazione
delle autorita' nazionali competenti e in mancanza di reazioni da
parte di queste ultime entro il termine di un mese, puo'
rilasciare un nulla osta a titolo temporaneo per un periodo non
superiore a sei mesi, in attesa dell'esito dell'indagine di cui
alla lettera i). r) I nulla osta provvisori e temporanei rilasciati non danno accesso
alle informazioni UE SEGRETISSIMO: tale accesso elimitato ai
funzionari che siano stati effettivamente sottoposti a un'indagine
di sicurezza con esito positivo, ai sensi della lettera i). In
attesa dell'esito dell'indagine, i funzionari per i quali e' stato
richiesto un nulla osta di sicurezza al grado UE SEGRETISSIMO
possono essere abilitati in via temporanea e provvisoria ad
accedere a informazioni classificate fino al grado UE SEGRETO
incluso.

21. ELABORAZIONE, DISTRIBUZIONE, TRASMISSIONE, SICUREZZA DEL
PERSONALE DEI CORRIERI, COPIE, TRADUZIONI ED ESTRATTI
DI DOCUMENTI CLASSIFICATI UE

21.1. Elaborazione

1. Le classificazioni UE sono apposte secondo le disposizioni della sezione 16; le classificazioni UE RISERVATISSIMO e di grado superiore figurano sulla parte superiore e inferiore di ogni pagina, al centro; ogni pagina e' numerata. Ciascun documento classificato UE reca un numero di riferimento e una data. Nei documenti UE SEGRETISSIMO e UE SEGRETO il numero di riferimento figura su ciascuna pagina. Qualora i documenti siano distribuiti in piu' esemplari, ognuno di essi reca un numero di copia che figura sulla prima pagina, a fianco del numero totale di pagine. Tutti gli allegati e il materiale accluso sono elencati sulla prima pagina dei documenti classificati UE RISERVATISSIMO o di grado superiore.
2. I documenti classificati UE RISERVATISSIMO o di grado superiore sono dattiloscritti, tradotti, archiviati, fotocopiati, riprodotti su supporto magnetico o microfilm soltanto da persone che hanno ricevuto il nulla osta di sicurezza per l'accesso alle informazioni classificate UE per un grado almeno pari alla classificazione di sicurezza del documento in questione.
3. Le disposizioni che disciplinano la produzione informatica di documenti classificati sono riportate nella sezione 25.

21.2. Distribuzione

1. Le informazioni classificate UE sono distribuite solo alle persone aventi necessita' di sapere e che hanno ricevuto l'apposito nulla osta di sicurezza. La distribuzione iniziale e' specificata dall'originatore.
2. I documenti UE SEGRETISSIMO sono distribuiti tramite gli uffici di registrazione UE SEGRETISSIMO (cfr. punto 22.2). Per i messaggi UE SEGRETISSIMO l'ufficio di registrazione competente puo' autorizzare il responsabile del centro di comunicazioni a produrre il numero di copie specificato nell'elenco dei destinatari.
3. I documenti classificati UE SEGRETO o di grado inferiore possono essere ridistribuiti dal destinatario iniziale ad altri destinatari in base alla necessita' di sapere. Le autorita' d'origine tuttavia indicano chiaramente ogni limitazione che desiderano imporre. In presenza di tali limitazioni i destinatari possono ridistribuire i documenti solo con l'autorizzazione dell'autorita' d'origine.
4. Ogni documento classificato UE RISERVATISSIMO e di grado superiore viene registrato, all'entrata e all'uscita dalla DG o dal servizio, dall'ufficio di registrazione locale. I dettagli da annotare (riferimenti, data e, se del caso, numero della copia) sono tali da consentire l'identificazione dei documenti e sono iscritti in un repertorio o registrati su un supporto informatico appositamente protetto (cfr. punto 22.1).

21.3. Trasmissione di documenti classificati UE

21.3.1. Plico, ricevuta

1. I documenti classificati UE RISERVATISSIMO o di grado superiore sono trasmessi in buste doppie, resistenti, opache. La busta interna reca la pertinente classificazione di sicurezza UE e, ove possibile, i dati completi della funzione. del titolo e dell'indirizzo del destinatario.
2. Solo il funzionario di controllo dell'ufficio di registrazione (cfr. punto 22.1), o il suo sostituto, puo' aprire la busta interna e accusare ricevuta dei documenti che contiene, a meno che essa sia indirizzata ad una persona determinata. In tal caso il competente ufficio di registrazione (cfr. punto 22.1) registra l'entrata della busta e soltanto la persona cui essa e' indirizzata puo' aprire la busta interna e accusare ricevuta dei documenti in essa contenuti.
3. Nella busta interna viene inserito un modulo di ricevuta, che non viene classificato, indicante il numero di riferimento, la data e il numero di copia del documento ma in nessun caso l'oggetto del contenuto.
4. La busta interna e' inserita in una busta esterna recante un numero di plico ai fini della ricevuta. In nessun caso la busta esterna reca la classificazione di sicurezza.
5. Per i documenti classificati UE RISERVATISSIMO o di grado superiore, viene consegnata al messo una ricevuta con il numero di plico.

21.3.2. Trasmissione all'interno di un edificio o di un gruppo di edifici

All'interno di un determinato edificio o gruppo di edifici, i documenti classificati possono essere trasportati in una busta sigillata recante unicamente il nome del destinatario, purche' il trasporto sia effettuato direttamente da una persona abilitata al grado di classificazione dei documenti.

21.3.3. Trasmissione all'interno di un paese

1. All'interno di un paese i documenti UE SEGRETISSIMO devono essere inviati solo per mezzo di un servizio ufficiale di messaggeria o tramite persone autorizzate ad accedere ad informazioni UE SEGRETISSIMO.
2. Per il ricorso a un servizio di messaggeria in caso di trasmissione di un documento UE SEGRETISSIMO al di fuori di un edificio o di un gruppo di edifici, devono essere rispettate le disposizioni relative al plico e alla ricezione di cui al presente capitolo. L'organico dei servizi di messaggeria dev'essere tale da garantire che i plichi contenenti documenti UE SEGRETISSIMO siano in ogni momento sotto la supervisione diretta di un funzionario responsabile.
3. In via eccezionale i documenti UE SEGRETISSIMO possono essere trasportati da funzionari, non appartenenti a un servizio di messaggeria, al di fuori di un edificio o gruppo di edifici per la loro utilizzazione in loco nel corso di riunioni o discussioni, purche':

a) il latore sia abilitato ad accedere a documenti UE SEGRETISSIMO; b) il modo di trasporto sia conforme alle norme nazionali che
disciplinano la trasmissione di documenti nazionali
"segretissimi"; c) in nessuna circostanza i documenti UE SEGRETISSIMO siano lasciati
incustoditi; d) si prendano disposizioni affinche' l'elenco dei documenti
trasportati in tal modo sia iscritto presso l'ufficio di
registrazione UE SEGRETISSIMO che detiene i documenti e in un
apposito repertorio e sia ricontrollato all'atto della riconsegna.

4. All'interno di un paese, i documenti UE SEGRETO e UE RISERVATISSIMO possono essere spediti sia per posta, se tale tipo di trasmissione i consentita in base alle norme nazionali ed e' conforme a dette norme, o tramite servizio di messaggeria oppure affidandoli a persone abilitate all'accesso alle informazioni classificate UE.
5. L'ufficio di sicurezza della Commissione elabora istruzioni per il personale che trasporta documenti classificati UE in base alle presenti norme. Il latore e' tenuto a leggere e firmare tali istruzioni, le quali stabiliscono, in particolare che in nessun caso i documenti:

a) siano lasciati dal latore, a meno che siano custoditi in modo
sicuro ai sensi delle disposizioni della sezione 18; b) siano lasciati incustoditi su mezzi di trasporto pubblico o
all'interno di veicoli privati, o in luoghi quali ristoranti o
alberghi. Essi non possono essere depositati nella cassaforte
degli alberghi o restare incustoditi nelle camere; c) siano letti in luoghi pubblici quali aeromobili treni.

21.3.4. Trasmissione da uno Stato all'altro

1. Il materiale classificato UE RISERVATISSIMO o di grado superiore e' trasferito mediante valigia diplomatica corriere militare.
2. Tuttavia il trasporto personale di materiale classificato UE SEGRETO e UE RISERVATISSIMO e' consentito se le modalita' di trasporto sono tali da garantire che detto materiale non possa cadere nelle mani di persone non autorizzate.
3. lI membro della Commissione competente in materia di sicurezza puo' autorizzare il trasporto personale quando la valigia diplomatica e il corriere militare non siano disponibili o quando il ricorso a tali mezzi di trasporto comporti un ritardo che sarebbe dannoso per le operazioni dell'UE, nonche' quando il materiale sia richiesto urgentemente dal destinatario designato. L'ufficio di sicurezza della Commissione prepara istruzioni per il trasporto personale internazionale di materiale classificato fino al grado di UE SEGRETO incluso, effettuato da persone che non siano corrieri diplomatici o militari. Ai sensi di tali istruzioni:

a) il latore deve avere il pertinente nulla osta di sicurezza; b) il materiale trasportato e' registrato nel competente servizio o
ufficio di registrazione; c) i plichi o le valigie contenenti materiale UE recano un sigillo
ufficiale onde evitare o scoraggiare un'ispezione doganale,
nonche' etichette con l'identificazione e istruzioni per chi
ritrova il materiale; d) il latore e' munito di un certificato di corriere e/o di un ordine
di missione, riconosciuto da tutti gli Stati dell'UE che lo
autorizza a trasportare il plico specificato; e) in caso di viaggio via terra non viene attraversato alcun paese
terzo, ne' la sua frontiera, a meno che lo Stato di spedizione non
abbia ottenuto una garanzia speciale da parte del paese in
questione; f) l'organizzazione del viaggio del latore per quanto concerne
destinazioni, itinerari e mezzi di trasporto conforme alle norme
dell'UE o alle norme nazionali in materia qualora queste siano
piu' rigorose; g) il materiale deve sempre essere detenuto dal latore a meno che sia
custodito ai sensi delle disposizioni relative alla conservazione
in luogo sicuro di cui alla sezione 18; h) il materiale non deve essere lasciato incustodito in veicoli
pubblici o privati o in luoghi quali ristoranti o alberghi. Esso
non deve essere depositato nella cassaforte degli alberghi o
restare incustodito nelle camere; i) se il materiale trasportato contiene documenti, questi non devono
essere letti in luoghi pubblici (ad esempio aerei, treni, ecc.).

4. La persona addetta al trasporto del materiale classificato deve leggere e firmare un documento recante istruzioni di sicurezza in cui figurino almeno le istruzioni di cui sopra e le procedure da seguire in caso di emergenza o qualora il plico contenente il materiale classificato sia richiesto per accertamenti dai servizi doganali o di sicurezza degli aeroporti.

21.3.5. Trasmissione di documenti classificati UE RISERVATO

Non sono previste disposizioni speciali per il trasporto di documenti UE RISERVATO, eccetto per quanto riguarda la garanzia che non cadano nelle mani di persone non autorizzate.

21.4. Sicurezza del personale dei corrieri

Tutto il personale dei servizi di corriere e di messaggeria addetto al trasporto di documenti UE SEGRETO e UE RISERVATISSIMO deve essere in possesso del pertinente nulla osta di sicurezza.

21.5. Trasmissione elettronica e altri mezzi di trasmissione tecnica

1. Le misure di sicurezza delle comunicazioni sono destinate a garantire la trasmissione sicura delle informazioni classificate UE. Le norme particolareggiate applicabili alla trasmissione ditali informazioni classificate UE figurano nella sezione 25.
2. Le informazioni classificate UE RISERVATISSIMO e UE SEGRETO possono transitare solo attraverso centri e reti di comunicazione e/o terminali e sistemi accreditati.

21.6. Esemplari supplementari, traduzioni ed estratti di documenti classificati UE

1. Solo l'originatore puo' autorizzare la tiratura o la traduzione di documenti UE SEGRETISSIMO.
2. Se persone che non hanno il nulla osta di sicurezza del grado UE SEGRETISSIMO richiedono informazioni le quali, sebbene contenute in un documento UE SEGRETISSIMO, non hanno tale grado di classificazione, il responsabile dell'ufficio di registrazione UE SEGRETISSIMO (cfr. punto 22.2) puo' essere autorizzato a produrre il numero necessario di estratti dal documento in questione. Contemporaneamente egli prende le disposizioni necessarie affinche' a tali estratti venga attribuita la pertinente classificazione di sicurezza.
3. I documenti classificati UE SEGRETO o di grado inferiore possono essere riprodotti e tradotti dal destinatario nell'ambito delle presenti disposizioni e purche' sia rigorosamente rispettato il principio della necessita' di sapere. Le misure di sicurezza applicabili al documento originale si applicano anche alle riproduzioni e/o traduzioni del medesimo.

22. UFFICI DI REGISTRAZIONE DELLE INFORMAZIONI CLASSIFICATE UE,
RASSEGNE, CONTROLLI, ARCHIVIAZIONE E DISTRUZIONE DELLE INFORMAZIONI
CLASSIFICATE UE

22.1. Uffici locali di registrazione ICUE (Informazioni classificate UE)

1. In ogni servizio della Commissione uno o, se necessario, piu' uffici locali di registrazione ICUE sono responsabili della registrazione, riproduzione, spedizione, archiviazione e distruzione dei documenti classificati UE SEGRETO e UE RISERVATISSIMO.
2. Qualora un servizio non disponga di un ufficio locale di registrazione ICUE tale ruolo viene svolto dall'ufficio locale del Segretariato generale.
3. Gli uffici locali di registrazione ICUE riferiscono al capo servizio da cui ricevono le istruzioni. A capo degli uffici e' il funzionario di controllo dell'ufficio di registrazione (RCO).
4. Gli uffici di registrazione sono soggetti alla supervisione del responsabile locale della sicurezza per quanto attiene all'applicazione delle disposizioni sul trattamento dei documenti ICUE e al rispetto delle pertinenti misure di sicurezza.
5. I funzionari destinati agli uffici locali di registrazione ICUE devono essere abilitati ad accedere a tali documementi conformemente alla sezione 20.
6. Sotto la direzione del capo servizio competente, gli uffici locali di registrazione ICUE devono:

a) gestire le operazioni relative alla registrazione, riproduzione,
traduzione, trasmissione, spedizione e distruzione di tali
informazioni; b) aggiornare elenco dei dati relativi alle informazioni
classificate; c) interrogare periodicamente gli originatori sulla necessita' di
mantenere la classificazione delle informazioni;

7. Gli uffici locali di registrazione ICUE tengono un registro con i seguenti dati:

a) data di elaborazione delle informazioni classificate; b) grado di classificazione; c) data di scadenza della classificazione; d) nome e servizio dell'originatore; e) destinatario o destinatari con numero di serie; f) oggetto; g) numero; h) numero di esemplari distribuiti; i) preparazione di inventari delle informazioni classificate
sottoposte al servizio; j) registro della declassificazione o declassamento delle
informazioni classificate.

8. Le norme generali di cui alla sezione 21 si applicano agli uffici locali di registrazione ICUE della Commissione, salvo altrimenti previsto da norme specifiche della presente sezione.

22.2. L'ufficio di registrazione UE SEGRETISSIMO

22.2.1. Considerazioni generali

1. Un ufficio centrale di registrazione UE SEGRETISSIMO assicura che i documenti UE SEGRETISSIMO siano registrati, trattati e diffusi conformemente alle presenti norme di sicurezza. A capo dell'ufficio di registrazione UE SEGRETISSIMO e' il funzionario di controllo dell'ufficio di registrazione UE SEGRETISSIMO.
2. L'ufficio centrale di registrazione UE SEGRETISSIMO e' la principale autorita' della Commissione preposta alla ricezione e all'invio e il referente di altre istituzioni della UE, degli Stati membri, delle organizzazioni internazionali e dei paesi terzi con cui la Commissione ha concluso accordi sulle procedure di sicurezza per lo scambio di informazioni classificate.
3. Se necessario sono istituite sottosezioni degli uffici di registrazione per la gestione interna dei documenti UE SEGRETISSIMO: tali sottosezioni dispongono di dati aggiornati relativi alla circolazione di ciascun documento di loro competenza.
4. Le sottosezioni degli uffici di registrazione UE SEGRETISSIMO sono istituite secondo le modalita' di cui alla sezione 22.2.3 per far fronte a esigenze di lungo termine e sono aggregate a un ufficio centrale di registrazione UE SEGRETISSIMO. Qualora debbano essere consultati solo in via temporanea o occasionale, i documenti UE SEGRETISSIMO possono essere rilasciati senza istituire una sottosezione UE SEGRETISSIMO, purche' vengano stabilite norme atte a garantire che essi rimangano sotto il controllo del competente ufficio di registrazione UE SEGRETISSIMO e che siano osservate tutte le misure di sicurezza materiali e relative al personale.
5. Le sottosezioni degli uffici di registrazione non possono trasmettere documenti UE SEGRETISSIMO direttamente ad altre sottosezioni dello stesso ufficio centrale di registrazione UE SEGRETISSIMO senza l'esplicito accordo di quest'ultimo.
6. Tutti gli scambi di documenti UE SEGRETISSIMO fra sottosezioni non aggregate allo stesso ufficio centrale dl registrazione avvengono tramite gli uffici centrali di registrazione UE SEGRETISSIMO.

22.2.2. L'ufficio centrale di registrazione UE SEGRETISSIMO

In qualita' di funzionario di controllo, il capo di un ufficio centrale di registraziotte UE SEGRETISSIMO e' responsabile:

a) della trasmissione di documenti UE SEGRETISSIMO conformemente alle
disposizioni di cui alla sezione 21.3; b) della compilazione di un elenco di tutte le sottosezioni
dell'ufficio di registrazione UE SEGRETISSIMO che dipendono dal
suo ufficio, corredato dei nomi e delle firme dei funzionari di
controllo designati e dei loro supplenti autorizzati; c) della conservazione delle ricevute dei registri per tutti i
documenti UE SEGRETISSIMO distribuiti dall'ufficio centrale di
registrazione; d) della registrazione di tutti i documenti UE SEGRETISSIMO custoditi
e distribuiti; e) dell'aggiornamento costante di un elenco di tutti gli uffici
centrali di registrazione UE SEGRETISSIMO con cui e' normalmente
in contatto, corredato dei nomi e delle firme dei rispettivi
funzionari di controllo designati e dei loro supplenti
autorizzati; f) della protezione materiale di tutti i documenti UE SEGRETISSIMO
custoditi presso l'ufficio di registrazione conformemente alle
disposizioni di cui alla sezione 18.

22.2.3. Sottosezioni dell'ufficio di registrazione UE SEGRETISSIMO

In qualita' di funzionario di controllo, il capo di una sottosezione dell'ufficio di registrazione UE SEGRETISSIMO e' responsabile:

a) della trasmissione di documenti UE SEGRETISSIMO conformemente alle
disposizioni di cui alla sezione 21.3; b) dell'aggiornamento costante di un elenco di tutte le persone
autorizzate ad accedere alle informazioni UE SEGRETISSIMO di sua
competenza; c) della distribuzione di documenti UE SEGRETISSIMO secondo le
istruzioni dell'originatore o in base al principio della
necessita' di sapere dopo avere accertato che il destinatario sia
fornito del necessario nullaosta di sicurezza; d) dell'aggiornamento costante di un registro di tutti i documenti UE
SEGRETISSIMO custoditi o circolanti sotto il suo controllo o
passati ad altri uffici di registrazione UE SEGRETISSIMO e
conservazione delle relative ricevute; e) dell'aggiornamento costante dell'elenco degli uffici centrali di
registrazione UE SEGRETISSIMO con cui e' autorizzato a scambiare
documenti UE SEGRETISSIMO, corredato dei nomi e delle firme dei
rispettivi funzionari di controllo e dei loro supplenti
autorizzati; f) della protezione materiale di tutti i documenti UE SEGRETISSIMO
custoditi presso la sottosezione dell'ufficio di registrazione
conformemente alle disposizioni di cui alla sezione 18.

22.3. Inventari, rassegne e controlli dei documenti classificati UE

1. Ogni anno ogni ufficio di registrazione UE SEGRETISSIMO, di cui
alla presente sezione, effettua un inventario particolareggiato
dei documenti UE SEGRETISSIMO. Un documento si considera
inventariato quando l'ufficio lo detiene materialmente ovvero e'
in possesso della ricevuta dell'ufficio di registrazione UE
SEGRETISSIMO in cui il documento e' stato trasferito o del
certificato di distruzione del documento stesso o di istruzioni
relative al suo declassamento o alla sua declassificazione. I
risultati degli inventari annuali sono trasmessi al membro della
Commissione responsabile per le questioni della sicurezza entro,
al piu' tardi, il 1° aprile di ogni anno. 2. Le sottosezioni degli uffici di registrazione UE SEGRETISSIMO
trasmettono i risultati dell'inventario annuale all'ufficio
centrale di registrazione da cui dipendono in data stabilita da
detto ufficio. 3. I documenti classificati UE di grado inferiore a UE SEGRETISSIMO
sono soggetti a controlli interni in conformita' delle istruzioni
del membro della Commissione responsabile per le questioni della
sicurezza. 4. Tali operazioni mirano ad ottenere il parere dei detentori dei
documenti quanto:

a) alla possibilita' di declassare o declassificare determinati
docuntenti; b) ai documenti da distruggere.

22.4. Archiviazione delle informazioni classificare UE

1. Le ICUE sono archiviate nel rispetto delle pertinenti disposizioni di cui alla sezione 18.
2. Al fine di ridurre al minimo i problemi di archiviazione, i funzionari di controllo di tutti gli uffici di registrazione sono autorizzati a far microfilmare i documenti UE SEGRETISSIMO, UE SEGRETO e UE RISERVATISSIMO o a farli riprodurre su supporto magnetico o ottico a fini di archiviazione, purche':

a) il processo di trasferimento su microfilm/di archiviazione sta
effettuato da personale con nulla osta valido per il
corrispondente grado di classificazione; b) il microfilm/mezzo di archiviazione goda della stessa sicurezza
dei documenti originali; c) il trasferimento su microfilm/l'archiviazione di ogni documento UE
SEGRETISSIMO sia comunicato all'originatore; d) i rotoli di pellicola, o gli altri tipi di supporto, contengano
solo documenti del medesimo grado di classificazione UE
SEGRETISSIMO, UE SEGRETO o UE RISERVATISSIMO; e) il trasferimento su microfilm/l'archiviazione di un documento UE
SEGRETISSIMO o UE SEGRETO sia chiaramente indicato nel registro
usato per l'inventario annuale; f) i documenti originali che sono stati trasferiti su microfilm o
archiviati in altro modo siano distrutti, conformemente alle
disposizioni di cui alla sezione 22.5.

3. Queste norme si applicano altresi' a qualsiasi altra forma di archiviazione autorizzata, quali i mezzi elettromagnetici e i dischi ottici.

22.5. Distruzione di documenti classificati UE

1. Per evitare l'accumulazione superflua di documenti classificati UE, gli esemplari che il capo dell'istituzone che li detiene considera superati o in soprannumero sono distrutti non appena possibile, nel seguente modo:

a) i documenti UE SEGRETISSIMO sono distrutti soltanto dall'ufficio
centrale di registrazione che ne e' responsabile. Ogni documento
distrutto viene elencato in un certificato di distruzione, firmato
dal funzionario di controllo UE SEGRETISSIMO e dal funzionario che
assiste alla distruzione il quale deve avere il nulla osta di
sicurezza di grado UE SEGRETISSIMO. A tal fine nel repertorio
viene inserita una nota. b) L'ufficio di registrazione tiene i certificati di distruzione,
unitamente alle schede di distribuzione, per un periodo di dieci
anni e ne invia copie all'originatore o al pertinente ufficio
centrale di registrazione solo su richiesta esplicita. c) I documenti UE SEGRETISSIMO, inclusi quelli classificati e poi
scartati nella fase di preparazione di documenti UE SEGRETISSIMO,
quali copie rovinate, bozze di lavoro, note dattiloscritte, floppy
disk devono essere distrutti sotto la sorveglianza di un
funzionario di controllo dell'ufficio di registrazione UE
SEGRETISSIMO mediante incenerimento o devono essere ridotti in
pasta, sminuzzati o altrimenti ridotti in una forma
irriconoscibile e non ricostituibile.

2. I documenti UE SEGRETO sono distrutti dall'ufficio di registrazione che ne e' responsabile, sotto la sorveglianza di una persona con nulla osta di sicurezza, utilizzando uno dei processi di cui al paragrafo 1, lettera c). I documenti UE SEGRETO distrutti sono elencati in un certificato di distruzione firmato, detenuto dall'ufficio di registrazione, unitamente alle schede di distribuzione, per almeno tre anni.
3. I documenti UE RISERVATISSIMO sono distrutti dall'ufficio di registrazione che ne e' responsabile, sotto la sorveglianza di una persona con nulla osta di sicurezza, utilizzando uno dei processi di cui al paragrafo 1, lettera c). La loro distruzione e' registrata conformemente alle istruzioni del membro della Commissione responsabile per le questioni della sicurezza.
4. I documenti UE RISERVATO sono distrutti dall'ufficio di registrazione che ne e' responsabile o dall'utente, conformemente alle istruzioni del membro della Commissione responsabile per le questioni della sicurezza.

22.6. Distruzione in situazioni di emergenza

1. I servizi della Commissione predispongono piani, in base alle condizioni vigenti in loco, per la protezione del materiale classificato UE in situazioni di crisi, compresa, se necessaria, la distruzione di emergenza e piani di evacuazione. Essi emanano le istruzioni che ritengono necessarie per impedire che informazioni classificate UE cadano nelle mani di persone non autorizzate.
2. Le disposizioni per la protezione e/o la distruzione di materiale UE SEGRETO e UE RISERVATISSIMO in situazioni di crisi non devono compromettere in alcun modo la protezione o la distruzione di materiale UE SEGRETISSIMO, ivi compresa l'attrezzatura di cifratura, il cui trattamento e' prioritario rispetto a tutte le altre funzioni.
3. Le misure da adottare per la protezione e la distruzione dell'attrezzatura di cifratura in situazioni di emergenza sotto contenute in istruzioni ad hoc.
4 Le eruzioni devono essere contenute in una busta sigillata ed essere disponibili in loco. Devono essere disponibili mezzi/strumenti per la distruzione.

23. MISURE DI SICUREZZA DA APPLICARE IN OCCASIONE DI RIUNIONI
SPECIFICHE TENUTE FUORI DEI LOCALI DELLA COMMISSIONE E CONCERNENTI
INFORMAZIONI CLASSIFICATE UE

23.1. Considerazioni generali

Quando riunioni della Commissione o altre riunioni importanti si tengono fuori dei locali della Commissione ed ove le particolari esigenze di sicurezza connesse con l'elevata sensibilita' delle questioni o delle informazioni discusse lo giustifichino, sono adottate le misure di sicurezza descritte in appresso. Tali misure riguardano unicamente la protezione delle informazioni classificate UE; potrebbe essere necessario prevedere altre misure di sicurezza.

23.2. Responsabilita'

23.2.1. Il servizio di sicurezza della Commissione
Il servizio di sicurezza della Commissione coopera con le autorita' competenti dello Stato membro sul cui territorio si svolge la riunione (Stato membro ospitante) per garantire la sicurezza delle riunioni della Commissione o di altre riunioni importanti nonche' della sicurezza fisica dei principali delegati e del loro seguito. Per quanto riguarda la salvaguardia della sicurezza esso provvede in particolare:

a) all'elaborazione di piani atti a contrastare le minacce alla
sicurezza e far fronte agli incidenti connessi con la sicurezza,
mediante misure intese in particolare a garantire che i documenti
classificati UE siano custoditi negli uffici in condizioni di
sicurezza; b) all'adozione di misure intese a fornire una possibilita' di
accesso al sistema di comunicazioni della Commissione per la
ricezione e la trasmissione di messaggi classificati UE. Lo Stato
membro ospitante deve fornire inoltre, su richiesta, l'accesso a
sistemi telefonici protetti.

Il servizio di sicurezza della Commissione funge da consulente in materia di sicurezza per la preparazione della riunione e invia in loco un suo rappresentante onde fornire, se necessario, assistenza e consulenza al responsabile della sicurezza della riunione (MSO) e alle delegazioni.
Ogni delegazione che prende parte ad una riunione deve designare un funzionario preposto alla sicurezza, incaricato di discutere con la rispettiva delegazione le questioni attinenti alla sicurezza e di mantenere i contatti con il responsabile della sicurezza della riunione e, se necessario, con il rappresentante del servizio di sicurezza della Commissione.

23.2.2. Responsabile della sicurezza della riunione (MSO)
Dovrebbe essere designato un responsabile della sicurezza della riunione competente per la preparazione generale e il controllo delle misure generiche di sicurezza interna, nonche' per il coordinamento con le altre autorita' di sicurezza interessate. Le misure adottate dal responsabile della sicurezza sono, di norma, del seguente tipo:

a) misure di protezione presso la sede della riunione onde
scongiurare incidenti che potrebbero compromettere la sicurezza
delle informazioni classificate UE eventualmente utilizzate nel
corso della riunione; b) controllo del personale cui e' consentito l'accesso alla sede
della riunione, alle aree riservate alle delegazioni ed alle sale
delle conferenze e controllo di tutte le apparecchiature; c) costante coordinamento con le autorita' competenti dello Stato
membro ospitante e con il servizio di sicurezza della Commissione; d) inserimento nel dossier della riunione di istruzioni relative alla
sicurezza, tenendo in debito conto quanto prescritto dalle
presenti norme di sicurezza, e qualsiasi altra istruzione relativa
alla sicurezza ritenuta necessaria.

23.3. Misure di sicurezza

23.3.1. Zone di sicurezza

Sono istituite le seguenti zone di sicurezza:

a) una zona di sicurezza di categoria II, comprendente la sala di
redazione, gli uffici della Commissione e le apparecchiature di
riproduzione, nonche' gli uffici delle delegazioni a seconda dei
casi; b) una zona di sicurezza di categoria I, costituita dalla sala della
conferenza e dalle cabine degli interpreti e dei tecnici audio; c) zone amministrative comprendenti l'area stampa e le aree della
sede della riunione utilizzate a fini amministrativi di
ristorazione e di alloggio, nonche' la zona immediatamente
adiacente al centro stampa ed alla sede della riunione.

23.3.2. Lasciapassare

Il responsabile della sicurezza della riunione rilascia appositi badge secondo le richieste delle delegazioni ed in base alle loro esigenze operando, se necessario, una distinzione per l'accesso alle diverse zone di sicurezza.
Le istruzioni di sicurezza relative alla riunione prevedono che all'interno della sede della riunione tutti gli interessati portino sempre in modo ben visibile i loro badge affinche' il personale addetto alla sicurezza possa provvedere ai necessari controlli.
Oltre che ai partecipanti forniti di badge, l'accesso alla sede della riunione e' consentito al minor numero possibile di persone. Il responsabile della sicurezza della riunione consente alle delegazioni nazionali di ricevere visitatori nel corso della riunione solo dietro richiesta delle stesse delegazioni. Ai visitatori viene rilasciato un apposito badge, previa compilazione di un lasciapassare recante il nome del visitatore e della persona visitata. I visitatori sono sempre accompagnati da una guardia di sicurezza o dalla persona visitata. L'accompagnatore porta il lasciapassare del visitatore e lo riconsegna, assieme al badge del visitatore, al personale di sicurezza quando il visitatore lascia la sede della riunione.

23.3.3. Controllo degli apparecchi fotografici e degli apparecchi di registrazione audiovisiva

Nella zona di sicurezza di categoria I e' vietato introdurre apparecchi fotografici e di registrazione, ad eccezione delle apparecchiature dei fotografi e dei tecnici audio debitamente autorizzati dal responsabile della sicurezza della riunione.

23.3.4. Controllo di valigie, computer portatili e plichi

I detentori di lasciapassare cui e' consentito l'accesso ad una zona di sicurezza possono di norma introdurvi senza controlli le loro valigie ed i loro computer portatili (solo autoalimentati). I plichi per le delegazioni vengono loro consegnati dopo essere stati ispezionati dal funzionario della delegazione addetto alla sicurezza, controllati mediante apparecchiature speciali o aperti dal personale addetto alla sicurezza per verificarne il contenuto. Se il responsabile della sicurezza della riunione lo ritiene necessario, si possono prevedere misure piu' rigorose per il controllo di valigie e plichi.

23.3.5. Sicurezza tecnica

Un'apposita squadra puo' garantire la sicurezza tecnica della sala di riunione e provvedere inoltre alla sorveglianza elettronica durante la riunione.

23.3.6. Documenti delle delegazioni

Le delegazioni sono responsabili dei documenti classificati UE che portano con se' alle riunioni. Sono inoltre responsabili della verifica e della sicurezza di detti documenti durante la loro utilizzazione nei locali ad esse assegnati. Per il trasporto di documenti classificati nella e dalla sede della riunione puo' essere chiesto l'aiuto degli Stati membri ospitanti.

23.3.7. Custodia dei documenti in luogo sicuro

Se la Commissione o le delegazioni non sono in grado di custodire i loro documenti classificati secondo le norme approvate, possono affidarli in busta sigillata, dietro ricevuta, al responsabile della sicurezza della riunione, che li custodisce in conformita' di dette norme.

23.3.8. Ispezione degli uffici
Il responsabile della sicurezza della riunione provvede a che gli uffici della Commissione e delle delegazioni siano ispezionati al termine di ogni giornata lavorativa per verificare che tutti i documenti classificati UE siano al sicuro. In caso contrario adotta i provvedimenti necessari.

23.3.9. Eliminazione dei rifiuti classificati

Tutti i rifiuti sono trattati come rifiuti classificati UE per la cui eliminazione vengono forniti alla Commissione e alle delegazioni cestini o pacchi della spazzatura. Prima di lasciare i locali ad essi assegnati, la Commissione e le delegazioni portano i loro rifiuti al responsabile della sicurezza della riunione, che provvede alla loro distruzione secondo le disposizioni del caso.
Al termine della riunione tutti i documenti detenuti dalla Commissione e dalle delegazioni e divenuti superflui sotto trattati alla stregua di rifiuti. Prima di revocare le misure di sicurezza adottate per la riunione, viene effettuata un'accurata ispezione dei locali assegnati alla Commissione ed alle delegazioni. I documenti per i quali era stata firmata una ricevuta sono distrutti, ove possibile, come prescritto alla sezione 22.5.

24. VIOLAZIONE DELLA SICUREZZA E MANOMISSIONE DI
INFORMAZIONI CLASSIFICATE UE

24.1. Definizioni

Una violazione della sicurezza e' la conseguenza di atti o omissioni contrari a una disposizione della Commissione in materia di sicurezza, che potrebbero mettere a repentaglio o compromettere informazioni classificate UE.
Le informazioni classificate UE sono compromesse quando esse, o parte di esse, giungono in possesso di persone non autorizzate, vale a dire sprovviste dell'appropriato nullaosta di sicurezza o che non abbiano la necessita' di conoscerle, o quando e' probabile che si sia verificata tale circostanza.
Le informazioni classificate UE possono essere compromesse per disattenzione o negligenza, a seguito di indiscrezioni o come conseguenza delle attivita' di servizi che prendono di mira l'UE o gli Stati membri, per quanto riguarda le loro informazioni ed attivita' classificate UE, ovvero di organizzazioni sovversive.

24.2. Relazioni sulle violazioni della sicurezza

Tutte le persone che trattano informazioni classificate UE devono ricevere informazioni dettagliate sulle loro responsabilita' in questo ambito e devono riferire immediatamente qualsiasi violazione della sicurezza di cui vengano a conoscenza.
Ove il responsabile locale della sicurezza o il responsabile della sicurezza della riunione riscontri o sia informato di una violazione della sicurezza relativa ad informazioni classificate UE o della perdita o della scomparsa di materiale classificato UE, adotta tempestivamente provvedimenti miranti a:

a) conservare le prove; b) accertare i fatti; c) valutare e limitare per quanto possibile i danni; d) impedire che i fatti si ripetano; e) informare le autorita' competenti delle conseguenze della
violazione della sicurezza.

A tale scopo vengono fornite le seguenti informazioni:

i) descrizione delle informazioni in questione, loro
classificazione, numero di riferimento e numero di esemplare,
data, originatore, oggetto e finalita' del documento;

ii) breve descrizione delle circostanze in cui si e' verificata la
violazione della sicurezza, con indicazione della data e del
periodo nel quale le informazioni sono state soggette al
rischio di manomissione;

iii) se l'originatore sia stato o meno informato.

Non appena informata di una possibile violazione della sicurezza, ciascuna autorita' di sicurezza riferisce immediatamente i fatti al servizio di sicurezza della Commissione.
I casi riguardanti informazioni UE RISERVATO devono essere riferiti solo quando presentino aspetti inconsueti.
Il membro della Commissione responsabile per le questioni della sicurezza, informato di una violazione della sicurezza:

a) ne da' notifica all'autorita' d'origine dell'informazione
classificata in questione; b) chiede alle autorita' competenti in materia di sicurezza di
avviare le indagini; c) coordina le indagini qualora sia interessata piu' di un'autorita'
competente in materia di sicurezza; d) fa stilare una relazione sulle circostanze della violazione, con
l'indicazione della data o del periodo nel quale essa potrebbe
essersi verificata ed e' stata riscontrata, ed una descrizione
particolareggiata del contenuto e del grado di classificazione del
materiale implicato. La relazione prende in considerazione anche i
danni arrecati agli interessi dell'UE o di uno o piu' Stati membri
e le misure adottate per impedire che i fatti si ripetano.

L'autorita' d'origine informa i destinatari ed impartisce le istruzioni del caso.

24.3. Procedimenti giudiziari
Chiunque sia responsabile della compromissione di informazioni classificate UE e' passibile di sanzioni disciplinari in conformita' delle norme e dei regolamenti pertinenti, in particolare del titolo VI dello statuto. Tali sanzioni non pregiudicano eventuali ulteriori procedimenti giudiziari.

25. PROTEZIONE DELLE INFORMAZIONI CLASSIFICATE UE TRATTATE IN
SISTEMI INFORMATICI E SISTEMI DI COMUNICAZIONE

25.1. Introduzione

25.1.1. Considerazioni generali

La strategia e le prescrizioni in materia di sicurezza si applicano a tutti i sistemi e a tutte le reti di comunicazioni e di informazioni (di seguito denominati sistemi) che trattano informazioni classificate di grado UE RISERVATISSIMO o grado superiore. Esse sono applicate in complemento alla decisione C (95) 1510 def. della Commissione, del 23 novembre 1995, sulla protezione dei sistemi informatici.
I sistemi che trattano informazioni UE RISERVATO richiedono anche misure di sicurezza atte a proteggere la riservatezza delle informazioni. Tutti i sistemi richiedono misure di sicurezza atte a proteggere l'integrita' e la disponibilita' dei sistemi stessi e delle informazioni in essi contenute.
La politica applicata dalla Commissione in materia di sicurezza informatica e' caratterizzata dai seguenti elementi:

- essa costituisce pane integrante della sicurezza in generale ed
integra tutti gli elementi di sicurezza dell'informazione,
sicurezza del personale e sicurezza materiale, - le responsabilita' sono ripartite tra i proprietari dei sistemi
tecnici, i proprietari delle informazioni classificate UE
archiviate o trattate in sistemi tecnici, gli specialisti nel campo
della sicurezza informatica e gli utenti, - vengono descritti i principi e i requisiti io materia di sicurezza
di ciascun sistema TI, - tali principi e requisiti sono approvati da un'autorita' designata. - si tiene conto delle minacce e vulnerabilita' specifiche al settore
informatico.

25.1.2. Minacce ai sistemi e loro vulnerabilita'

Si intende per minaccia la possibilita' di una compromissione accidentale o deliberata della sicurezza. Nel caso dei sistemi, cio' implica la perdita di una o piu' delle caratteristiche di riservatezza, integrita' e disponibilita'. La vulnerabilita' puo' essere definita come insufficienza o mancanza di controlli che rende piu' agevole o consente l'attuazione di una minaccia contro un bene o un bersaglio specifico.
Le informazioni classificate UE e non classificate trattate dai sistemi in forma compressa ai fini della rapidita' di reperimento, comunicazione e utilizzo sono soggette a molteplici rischi, fra cui l'accesso alle informazioni da parte di utenti non abilitati o, viceversa, l'impossibilita' di accesso per gli utenti abilitati. Altri rischi sono costituiti dalla divulgazione non autorizzata e dalla contaminazione, modifica o soppressione delle informazioni. Le apparecchiature in questione, complesse ed a volte fragili, sono inoltre costose e spesso difficili da riparare o da sostituire in tempi brevi.

25.1.3. Obiettivo principale delle misure di sicurezza

Obiettivo principale delle misure di sicurezza previste nella presente sezione e' offrire protezione contro la divulgazione non autorizzata di informazioni classificate UE (perdita di riservatezza) e contro la perdita di integrita' e di disponibilita' delle informazioni. Per conseguire l'adeguata protezione di sicurezza di un sistema che tratta informazioni classificate UE, l'ufficio di sicurezza della Commissione deve specificare le opportune norme di sicurezza convenzionale, unitamente alle pertinenti procedure e tecniche di sicurezza speciali, progettate appositamente per ciascun sistema.

25.1.4. Dichiarazione relativa ai requisiti di sicurezza specifici del sistema (SSRS)

Per tutti i sistemi che trattano informazioni classificate UE RISERVATISSIMO o di grado superiore, il proprietario dei sistemi tecnici (TSO, cfr. sezione 25.3.4) e il proprietario delle informazioni (cfr. sezione 25.3.5) sono invitati a rilasciare una dichiarazione relativa ai requisiti di sicurezza specifici del sistema (SSRS), avvalendosi, ove necessario, dell'apporto e dell'assistenza del gruppo di progetto e dell'ufficio di sicurezza della Commissione (in qualita' di autorita' INFOSEC - IA, cfr. sezione 25.3.3), e con l'approvazione dell'autorita' di accreditamento in materia di sicurezza (SAA, cfr. sezione 25.3.2).
Una SSRS e' anche richiesta qualora la disponibilita' e l'integrita' delle informazioni classificate UE RISERVATO o non classificate siano ritenute essenziali dalla SAA.
La SSRS e' formulata nelle primissime fasi dell'avvio del progetto e viene sviluppata ed ampliata con l'evoluzione del progetto, svolgendo differenti funzioni nelle diverse fasi del ciclo di vita del progetto e del sistema.

25.1.5. Funzionamento in condizioni di sicurezza

Tutti i sistemi che trattano informazioni classificate UE RISERVATISSIMO o di grado superiore sotto accreditati per funzionare in uno o, ove sia giustificato dai requisiti durante diversi periodi, piu' di uno dei seguenti modi di funzionamento in condizioni di sicurezza, o nel loro equivalente nazionale:

a) esclusivo;
b) predominante;
c) multilivello.

25.2. Definizioni

Per "accreditamento" si intende l'autorizzazione e l'approvazione di un sistema per trattare informazioni classificate UE nel suo ambiente operativo.

Nota:

Tale accreditamento deve essere effettuato dono che tutte le pertinenti procedure di sicurezza sono state attuate e una volta raggiunto un sufficiente livello di protezione delle risorse del sistema. L'accreditamento avviene di norma sulla base della SSRS e include:

a) una dichiarazione relativa all'obiettivo dell'accreditamento per
il sistema, in particolare su quali gradi di classificazione delle
informazioni saranno trattati e su quali modi di funzionamento in
condizioni di sicurezza sono proposti per il sistema o la rete; b) un esame sulla gestione del rischio atto a identificare le minacce
e le vulnerabilita' nonche' le misure per contrastarle; c) le procedure operative di sicurezza (SecOP) con una descrizione
dettagliata delle operazioni proposte (ad esempio modi, servizi da
fornire) e comprendenti una descrizione delle caratteristiche di
sicurezza del sistema su cui si basa l'accreditamento; d) il piano per l'attuazione e la manutenzione delle caratteristiche
di sicurezza; e) il piano per il collaudo, la valutazione e la certificazione
iniziali e successivi della sicurezza del sistema o della rete; f) la certificazione, ove richiesta, unitamente ad altri elementi di
accreditamento.

Per "responsabile della sicurezza informatica a livello centrale" (CISO) si intende il funzionario che, nell'ambito di un servizio informatico centrale, coordina e sorveglia le misure di sicurezza per i sistemi a organizzazione centralizzata.
Per "certificazione" si intende il rilascio di una dichiarazione ufficiale, sulla base di un esame indipendente concernente il modo in cui e' stata eseguita una valutazione e i risultati che ha prodotto, che indica in quale misura un sistema soddisfa il requisito di sicurezza o un prodotto per la sicurezza informatica offre le presunte prestazioni predefinite in materia di sicurezza.
Per "sicurezza delle comunicazioni" (COMSEC) si intende l'applicazione di misure di sicurezza alle telecomunicazioni al fine di negare alle persone non autorizzate informazioni preziose desumibili dal possesso e dall'analisi di tali comunicazioni o di assicurare l'autenticita' di tali telecomunicazioni.

Nota:

Tali misure includono la sicurezza della crittografia, della trasmissione e dell'emissione nonche' la sicurezza delle procedure, dei materiali, del personale, del documento e del computer.
Per "sicurezza informatica" (COMPUSEC) si intende l'applicazione a un sistema informatico di caratteristiche di sicurezza per l'hardware, il firmware e il software atte a proteggere le informazioni contro la divulgazione non autorizzata, la manipolazione, la modifica/soppressione, o a impedire tali atti, o a impedire l'interruzione di servizio.
Per "prodotto per la sicurezza informatica" si intende un elemento generico per la sicurezza informatica, destinato ad essere incorporato in un sistema TI ai fini di potenziare, o di offrire, la riservatezza, l'integrita' e la disponibilita' delle informazioni trattate.
Per "funzionamento esclusivo in condizioni di sicurezza" si intende un modo di funzionamento in cui TUTTE le persone che hanno accesso al sistema sono in possesso di un nullaosta di sicurezza per il grado piu' elevato di classificazione delle informazioni trattate nel sistema e con necessita' di sapere comune rispetto a TUTTE le informazioni trattate nel sistema.

Per "svalutazione" si intende l'esame tecnico dettagliato, da parte di un'autorita' competente, degli aspetti di sicurezza di un sistema di un prodotto per la sicurezza della crittografia o del computer.

Per "proprietario delle informazioni" (IO) si intende l'autorita' (capo servizio) responsabile della creazione, del trattamento e dell'utilizzazione delle informazioni, inclusa la facolta' di decidere chi puo' avere accesso a queste ultime.
Per "sicurezza dell'informazione" (INFOSEC) si intende l'applicazione di misure di sicurezza atte a proteggere le informazioni elaborate archiviate o trasmesse da sistemi di comunicazione, di informazione o da altri sistemi elettronici contro la perdita di riservatezza, integrita' o disponibilita', accidentale o intenzionale, nonche' a impedire la perdita di integrita' e di disponibilita' dei sistemi stessi.
Le misure INFOSEC comprendono la sicurezza del computer, della trasmissione, dell'emissione e della crittografia nonche' l'individuazione, la documentazione e la neutralizzazione di minacce nei confronti dell'informazione e dei sistemi stessi.
Per "area TI" si intende un'area che contiene uno o piu' computer, le loro locali periferiche e unita' di archiviazione, le unita' di controllo e l'attrezzatura specializzate per le reti e le comunicazioni.

Nota:

La definizione non include un'area separata in cui sono situati i dispositivi periferici o i terminali/postazioni remoti anche qualora detti dispositivi siano connessi all'attrezzatura collocata nell'area TI.
Per "rete TI" si intende l'organizzazione, geograficamente diffusa, di sistemi TI interconnessi per lo scambio di dati, comprendente i componenti dei sistemi TI interconnessi e la loro interfaccia con le reti dati o le reti di comunicazione di sostegno.

Le "caratteristiche di sicurezza di una rete TI" includono le caratteristiche di sicurezza del sistema TI dei singoli sistemi che compongono la rete unitamente ai componenti e agli elementi aggiuntivi associati con la rete in quanto tale (per esempio le comunicazioni di rete, i meccanismi e le procedure per l'identificazione e l'etichettatura di sicurezza, i controlli di accesso, i programmi e gli audit trail) necessari per fornire un livello di proiezione accettabile delle informazioni classificate.
Per "sistema TI" si intende un insieme di attrezzature, metodi e procedure e, se necessario, di personale, organizzato in modo da compiere funzioni di trattamento delle informazioni.

Le "caratteristiche di sicurezza di un sistema TI" comprendono tutte le funzioni e le caratteristiche hardware/firmware/software, le procedure operative, le procedure di responsabilita', i controlli di accesso, l'area TI, l'area di terminali/postazioni remoti; i vincoli della gestione, la struttura e i dispositivi materiali, i controlli del personale e delle comunicazioni necessari per fornire un livello accettabile di protezione delle informazioni classificate da trattare nel sistema TI.
Per "responsabile della sicurezza informatica a livello locale" (LISO) si intende il funzionario che, nell'ambito di un servizio della Commissione, coordina e sorveglia le misure di sicurezza relative ai settore di sua competenza.
Per "funzionamento multilivello in condizioni di sicurezza" si intende un modo di funzionamento in cui NON TUTTE le persone che hanno accesso al sistema sono in possesso di un nullaosta di sicurezza al grado piu' elevato di classificazione delle informazioni trattate nel sistema, e NON TUTTE le persone con accesso al sistema hanno una necessita' di sapere comune rispetto alle informazioni trattate nel sistema.

Per "area di terminali/postazioni remoti" si intende un'area contenente alcune attrezzature informatiche, i suoi dispositivi locali periferici o terminali/postazioni e qualsiasi attrezzatura di comunicazione associata, separata dall'area TI.
Per "procedure operative di sicurezza" si intendono le procedure elaborate dal proprietario dei sistemi tecnici che definiscono i principi da adottare in materia di sicurezza, le procedure operative da seguire e le responsabilita' del personale.
Per "funzionamento predominante in condizioni di sicurezza" si intende un modo di funzionamento in cui TUTTE le persone che hanno accesso al sistema sono in possesso di un nullaosta di sicurezza al grado piu' elevato di classificazione delle informazioni trattate nel sistema, ma NON TUTTE le persone con accesso al sistema hanno una necessita' di sapere comune rispetto alle informazioni trattate nel sistema.

La "dichiarazione relativa ai requisiti di sicurezza specifici del sistema" (SSRS) e' una dichiarazione completa ed esplicita relativa ai principi di sicurezza da osservare e ai requisiti particolareggiati di sicurezza da rispettare. E' basata sulla politica della Commissione in materia di sicurezza e di valutazione del rischio, oppure imposta da parametri che disciplinano l'ambiente operativo, il grado piu' basso di nullaosta di sicurezza del personale, il grado piu' alto di classificazione delle informazioni trattate, il modo di funzionamento in condizioni di sicurezza o le esigenze degli utenti. La SSRS forma parte integrante della documentazione sul progetto sottoposta alle pertinenti autorita' ai fini dell'approvazione tecnica, finanziaria e di sicurezza. Nella sua forma definitiva, la SSRS costituisce un elenco completo di quanto e' necessario per garantire la sicurezza del sistema.
Per "proprietario dei sistemi tecnici" (TSO) si intende l'autorita' responsabile della creazione, della manutenzione, del funzionamento e della chiusura di un sistema.
Per "contromisure dell'effetto tempesta" si intendono misure di sicurezza destinate a proteggere l'attrezzatura e le infrastrutture di comunicazione contro il rischio di compromissione delle informazioni classificate dovuta a emissioni elettromagnetiche non intenzionali e alla conduttivita'.

25.3. Responsabilita' in materia di sicurezza

25.3.1. Considerazioni generali

Tra le responsabilita' consultive del gruppo consultivo della Commissione per le politiche della sicurezza, di cui alla sezione 12, rientrano le questioni inerenti all'INFOSEC. Il suddetto gruppo organizza le proprie attivita' in modo da fornire una consulenza qualificata in materia.
Spetta all'ufficio di sicurezza della Commissione emanare disposizioni INFOSEC dettagliate, sulla base di quanto disposto al presente capitolo.
In caso di problemi concernenti la sicurezza (incidenti, violazioni, ecc.) l'ufficio di sicurezza della Commissione prende misure immediate.
L'ufficio di sicurezza della Commissione dispone di un'unita' INFOSEC.

25.3.2. L'autorita' di accreditamento in materia di sicurezza (SAA)

Il capo dell'ufficio di sicurezza della Commissione e' l'autorita' di accreditamento in materia di sicurezza (SAA) per la Commissione. La SAA e' responsabile nell'ambito generale della sicurezza e negli ambiti specifici dell'INFOSEC (sicurezza delle comunicazioni, sicurezza Crypto e sicurezza Tempest).
La SAA e' responsabile di accertare la conformita' dei sistemi con la politica della Commissione in materia di sicurezza. Tra i suoi compiti rientra il rilascio dell'approvazione di un sistema per il trattamento delle informazioni classificate UE ad un determinato grado di classificazione nel suo ambiente operativo.
La competenza della SAA della Commissione si estende a tutti i sistemi in funzione all'interno dei locali della Commissione. Quando diversi componenti di un sistema rientrano nella competenza della SAA della Commissione e di altre SAA, tutte le parti interessate nominano un comitato comune di accreditamento posto sotto il coordinamento della SAA della Commissione.

25.3.3. L'autorita' INFOSEC (IA)

Il capo dell'unita' INFOSEC dell'ufficio di sicurezza della Commissione e' l'autorita' INFOSEC per la Commissione. L'autorita' INFOSEC e' responsabile delle seguenti attivita':

- fornire consulenza e assistenza tecnica alla SAA, - assistere lo sviluppo della SSRS, - riesaminare la SSRS per accertarne la coerenza con le presenti
norme di sicurezza e i documenti relativi alla politica e
all'architettura INFOSEC, - partecipare alle commissioni/ai comitati di accreditamento ove
necessario nonche' fornire alla SAA raccomandazioni INFOSEC
sull'accreditamento, - fornire supporto alle attivita' di formazione e di informazione
INFOSEC, - fornire consulenza tecnica nelle indagini sugli incidenti connessi
con l'INFOSEC, - definire orientamenti tecnici strategici onde garantire che sia
utilizzato unicamente software autorizzato.

25.3.4. Il proprietario dei sistemi tecnici (TSO)

La responsabilita' dell'attuazione dei controlli e del funzionamento dei dispositivi di sicurezza di un sistema spetta al proprietario di quel sistema, il "proprietario dei sistemi tecnici" (TSO). Per i sistemi gestiti a livello centrale e' nominato un responsabile della sicurezza informatica a livello centrale (CISO). Ciascun servizio nomina, se necessario, un "responsabile della sicurezza, informatica a livello locale" (LISO). Le responsabilita' di un TSO includono la creazione delle "procedure operative di sicurezza" (SecOP) e permangono lungo tutto il ciclo di vita di un sistema, dalla fase di concezione del progetto alla sua disattivazione finale.
Il TSO specifica le nonne e le procedure di sicurezza che il fornitore del sistema e' tenuto a rispettare.
Se necessario, il TSO puo' delegare una parte delle sue responsabilita' a un responsabile della sicurezza informatica a livello locale. Le varie mansioni INFOSEC possono essere svolte da una sola persona.

25.3.5. Il proprietario delle informazioni (IO)

Il proprietario delle informazioni (IO) e' responsabile delle informazioni classificate UE (e delle altre informazioni) che devono essere introdotte, elaborate e prodotte in sistemi tecnici. Egli definisce i requisiti relativi all'accesso a tali informazioni nei sistemi. Questa responsabilita' puo' essere delegata a un gestore delle informazioni o a un gestore di basi di dati nel settore di sua competenza.

25.3.6. Utenti

Tutti gli utenti sono tenuti a garantire che le loro azioni non compromettano la sicurezza dei sistema che utilizzano.

25.3.7. Formazione INFOSEC

La formazione e l'informazione INFOSEC e' disponibile per tutto il personale che ne ha bisogno.

25.4. Misure di sicurezza non tecniche

25.4.1. Sicurezza del personale

Gli utenti del sistema devono essere in possesso di nulla osta di sicurezza ed avere necessita' di sapere, in funzione della classificazione e del contenuto delle informazioni trattate dal loro specifico sistema. L'accesso a determinate attrezzature o a informazioni inerenti alla sicurezza dei sistemi richiede uno speciale nulla osta di sicurezza rilasciato in base alle procedure della Commissione.
La SAA designa tutti i posti sensibili e specifica il grado del nulla osta e la sorveglianza necessaria da parte delle persone che li ricoprono.
I sistemi sono specificati e progettati in modo da facilitare l'attribuzione dei compiti e delle responsabilita' al personale onde evitare che una sola persona abbia la conoscenza o il controllo totali dei punti nevralgici per la sicurezza del sistema.
Le aree TI e quelle di terminali/postazioni remoti in cui la sicurezza del sistema puo' essere modificata non sono occupate da un solo funzionario/altro dipendente abilitato.
I dispositivi di sicurezza di un sistema possono essere modificati solo da almeno due persone autorizzate che operano congiuntamente.

25.4.2. Sicurezza materiale

Le aree TI e le aree di terminali/postazioni remoti (quali definite nella sezione 25.2) in cui sono trattate informazioni classificate UE RISERVATISSIMO o di grado superiore con strumenti TI, o in cui e' possibile un accesso a tali informazioni, sono classificate secondo il caso come aree di sicurezza di categoria UE I o II.

25.4.3. Controllo dell'accesso a un sistema

Tutte le informazioni e il materiale che consentono il controllo dell'accesso a un sistema sono protette da disposizioni commisurate al grado di classificazione e alla designazione di categoria piu' elevati delle informazioni cui danno accesso.
Le informazioni e il materiale per il controllo dell'accesso che non sono piu' utilizzati a questo scopo vengono distrutte conformemente alla sezione 25.5.4.

25.5. Misure tecniche di sicurezza

25.5.1. Sicurezza delle informazioni

L'originatore delle informazioni e' tenuto a identificare e classificare tutti i documenti contenenti informazioni, siano essi su supporto cartaceo o informatico. Ciascuna pagina delle copie cartacee viene contrassegnata, in testa e in calce, con la pertinente classificazione. I documenti, che siano su supporto cartaceo o informatico, hanno la classificazione piu' elevata tra quelle attribuite all'informazione utilizzata per produrli. Il modo di funzionamento di un sistema puo' anche avere un impatto sulla classificazione dei documenti prodotti da tale sistema.
I servizi della Commissione e coloro che, al loro interno, sono in possesso di informazioni sono tenuti a valutare i problemi inerenti al raggruppamento di singoli elementi informativi, e alle deduzioni che si possono trarre dagli elementi connessi, nonche' a determinare se una classificazione di grado piu' elevato sia pertinente per la totalita' delle informazioni cosi' raggruppate.
Il fatto che l'informazione possa essere formulata come un codice abbreviato, un codice di trasmissione o qualsiasi altra forma di rappresentazione binaria non conferisce alcuna protezione della sicurezza e non deve, pertanto, incidere sulla classificazione dell'informazione.
Quando l'informazione e' trasferita da un sistema ad un altro, l'informazione e' protetta durante il trasferimento e nel sistema riceverne in modo commisurato alla classificazione e alla categoria originarie dell'informazione.
Tutti i mezzi di archiviazione informatica sono trattati in modo commisurato alla classificazione piu' elevata dell'informazione archiviata o del contrassegno apposto sul mezzo, e opportunamente protetti in ogni momento.
I mezzi di archiviazione informatica riutilizzabili usati per registrare informazioni classificate UE mantengono la classificazione piu' elevata per la quale sono stati usati finche' le informazioni in questione non vengono declassate o declassificate e il mezzo di archiviazione riclassificato di conseguenza, oppure il mezzo declassificato o distrutto con una procedura approvata dalla SAA (cfr. sezione 25.5.4).

25.5.2. Controllo e responsabilita' delle informazioni

I log automatici (audit trail) o manuali sono tenuti quale traccia dell'accesso alle informazioni classificate UE SEGRETO o di grado superiore. Queste tracce sono conservate conformemente alle presenti norme di sicurezza.
I prodotti classificati UE detenuti nella zona TI possono essere trattati come un elemento classificato e non necessitano di registrazione, purche' il materiale sia identificato, contrassegnato con la sua classificazione e controllato in modo appropriato.
Allorche' un sistema che tratta informazioni classificate UE genera dati che vengono trasmessi da un'area TI all'area di terminali/postazioni remoti, vengono istituite procedure, approvate dalla SAA, per controllare e registrare i dati trasmessi. Per le classificazioni di grado UE SEGRETO o superiore tali procedure includono specifiche istruzioni per la responsabilita' delle informazioni.

25.5.3. Trattamento e controllo dei supporti informatici rimovibili

Tutti i supporti informatici rimovibili classificati UE RISERVATISSIMO o di grado superiore sono trattati come materiale classificato cui si applicano le norme generali. I contrassegni di identificazione e classificazione devono essere adattati alle specifiche caratteristiche fisiche dei supporti, in modo da renderli chiaramente riconoscibili.
Spetta agli utenti assicurare che le informazioni classificate UE siano archiviate su supporti provvisti dell'appropriato contrassegno di classificazione e adeguatamente protetti. Sono stabilite procedure atte ad assicurare che, per tutti i gradi di classificazione UE, l'archiviazione delle informazioni su supporti informatici avvenga in conformita' delle presenti norme di sicurezza.

25.5.4. Declassificazione e distruzione di supporti informatici

I supporti informatici utilizzati per la registrazione di informazioni classificate UE possono essere declassati o declassificati a condizione che siano applicate procedure approvate dalla SAA.
I supporti informatici che hanno contenuto informazioni UE SEGRETISSIMO o informazioni di una categoria speciale non sono declassificati ne' riutilizzati.
I supporti informatici che non possono essere declassificati o riutilizzati sono distrutti secondo una procedura approvata dalla- SAA.

25.5.5. Sicurezza delle comunicazioni

Il capo dell'ufficio di sicurezza della Commissione e' l'autorita' Crypto.
Quando informazioni classificate UE sono trasmesse per via elettromagnetica, si applicano misure speciali atte a proteggere la riservatezza, l'integrita' e la disponibilita' della trasmissione, La SAA stabilisce i requisiti relativi alla protezione delle trasmissioni dalla detenzione e dalle intercettazioni. Le informazioni trasmesse all'interno di un sistema di comunicazioni sono protette tenendo conto dei requisiti di riservatezza, integrita' e disponibilita'.
I metodi crittografici, e i prodotti connessi, che si rendano necessari per la protezione della riservatezza, dell'integrita' e della disponibilita' sono specificamente approvati a tal fine dalla SAA in qualita' di autorita' Crypto.
Durante la trasmissione, la riservatezza delle informazioni classificate UE SEGRETO o di grado superiore e' protetta mediante metodi o prodotti crittografici approvati dal membro della Commissione responsabile per le questioni della sicurezza previa consultazione del gruppo consultivo della Commissione per le politiche della sicurezza. Durante la trasmissione, la riservatezza delle informazioni classificate UE RISERVATISSIMO o UE RISERVATO e' protetta mediante metodi o prodotti crittografici approvati dall'autorita' Crypto della Commissione previa consultazione del gruppo consultivo della Commissione per le politiche della sicurezza.
Specifiche istruzioni di sicurezza approvate dall'ufficio di sicurezza della Commissione previa consultazione del gruppo consultivo della Commissione per le politiche della sicurezza contengono norme particolareggiate applicabili alla trasmissione di informazioni classificate UE.
In circostanze operative eccezionali le informazioni classificate UE RISERVATO, UE RISERVATISSIMO e UE SEGRETO possono essere trasmesse sotto forma di testo in chiaro, previa esplicita autorizzazione per ogni singolo caso e opportuna registrazione ad opera del proprietario delle informazioni. Le circostanze eccezionali di cui sopra si verificano:

a) in situazioni di crisi, conflitti o guerre imminenti o gia' in
corso e b) quando la rapidita' di consegna e' della massima importanza e non
sono disponibili strumenti di cifratura, nonche' quando si ritiene
che le informazioni trasmesse non possano essere sfruttate con
rapidita' tale da influire negativamente sulle operazioni.

Un sistema deve essere in grado di negare con certezza ad una o tutte le sue postazioni o ai suoi terminali remoti l'accesso ad informazioni classificate UE, se necessario disconnettendoli materialmente o mediante speciali caratteristiche del software approvate dalla SAA.

25.5.6. Misure di sicurezza concernenti l'installazione e le radiazioni

Le specifiche relative all'installazione iniziale dei sistemi e a qualsiasi successiva modifica di rilievo prevedono che l'installazione sia effettuata da installatori provvisti di nulla osta di sicurezza sotto la costante sorveglianza di personale tecnico qualificato abilitato all'accesso ad informazioni aventi un grado di classificazione UE equivalente al grado piu' alto delle informazioni che il sistema dovra' archiviare o trattare.
I sistemi che trattano informazioni classificate UE RISERVATISSIMO o di grado superiore sono protetti in modo tale che la loro sicurezza non possa essere minacciata da radiazioni o da una conduttivita' compromettenti, il cui studio e la cui prevenzione sono designati dal termine "TEMPEST".
Le contromisure dell'"effetto tempesta" sono esaminate e approvate dall'autorita' Tempest (cfr. sezione 25.3.2).

25.6. Sicurezza durante il trattamento

25.6.1. Procedure operative di sicurezza (SecOP)

Le procedure operative di sicurezza (SecOP) definiscono i principi da adottare in materia di sicurezza, le procedure operative da seguire e le responsabilita' del personale. Le SecOP sono elaborate sotto la responsabilita' del proprietario dei sistemi tecnici (TSO).

25.6.2. protezione del software/gestione della configurazione

Il livello di protezione dei programmi applicativi e' determinato in base ad una valutazione della classificazione di sicurezza dei programmi stessi piuttosto che delle informazioni che devono trattare. Le versioni dei software in uso devono essere verificate ad intervalli regolari per assicurarne l'integrita' ed il corretto funzionamento.
Versioni nuove o modificate dei software vengono utilizzate per il trattamento di informazioni classificate UE solo dopo essere state verificate dal TSO.

25.6.3, Controlli contro la presenza di software "maligni"/virus informatici

Controlli contro la presenza di software "maligni"/virus informatici sono effettuati periodicamente secondo quanto prescritto dalla SAA.
Prima di essere immessi in un sistema, tutti i supporti informatici introdotti nella Commissione devono essere controllati al fine di rilevare l'eventuale presenza di software "maligni" o virus informatici.

25.6.4 Manutenzione

Nei contratti e nelle procedure concernenti la manutenzione periodica e su richiesta dei sistemi per cui sia stata stilata una SSRS sono specificati i requisiti e le disposizioni applicabili al personale addetto alla manutenzione ed alle relative apparecchiature che entrano in una zona TI.
Tali requisiti e tali procedure sono chiaramente indicati, rispettivamente, nella SSRS e nelle SecOP. Le operazioni di manutenzione di competenza del contraente che richiedono procedure di telediagnostica sono consentite solo in circostanze eccezionali, sotto rigoroso controllo ed esclusivamente previa approvazione della SAA.

25.7. Fornitura

25.7.1 Considerazioni generali

Qualsiasi prodotto relativo alla sicurezza da utilizzare con il sistema oggetto della fornitura, deve gia' essere stato valutato e certificato oppure essere in fase di valutazione e certificazione da parte di un apposito organismo di uno degli Stati membri dell'UE, secondo criteri riconosciuti a livello internazionale (quali i criteri comuni per la valutazione della sicurezza delle tecnologie dell'informazione: cfr. ISO 15408). Procedure specifiche sono richieste per ottenere l'approvazione della CCAC.
Per decidere se noleggiare piuttosto che acquistare un'attrezzatura, specie supporti informatici, occorre tener presente che, una volta utilizzata per le informazioni classificate UE, tale attrezzatura non potra' essere resa disponibile al di fuori di un ambiente adeguatamente protetto senza prima essere declassificata con il consenso della SAA e che non sempre detto consenso sara' possibile.

25.7.2. Accreditamento

Tutti i sistemi che necessitano in via preventiva, per il trattamento di informazioni classificate UE, di una dichiarazione relativa ai requisiti di sicurezza specifici del sistema, sono accreditati dalla SAA sulla scorta delle informazioni fornite nella suddetta dichiarazione, delle SecOP e di qualsiasi altra documentazione pertinente. I sottosistemi e i terminali/postazioni remoti sono accreditati in quanto pane di tutti i sistemi a cui sono collegati. Quando un sistema serve sia la Commissione che altre organizzazioni, la Commissione e le competenti autorita' incaricate della sicurezza approvano l'accreditamento di comune accordo.
Il processo di accreditamento puo' essere espletato secondo un'apposita strategia adeguata ad un determinato sistema, definita dalla SAA.

25.7.3. Valutazione e certificazione

Prima di essere accreditati, in taluni casi, gli elementi di sicurezza di un sistema nel suo insieme - hardware, firmware e software - sono valutati e certificati idonei alla salvaguardia delle informazioni al grado di classificazione desiderato.
I requisiti per la valutazione e certificazione sono inclusi nella progettazione del sistema e chiaramente definiti nella SSRS.
I processi di valutazione e certificazione sono espletati secondo linee direttrici approvate da personale tecnicamente qualificato e adeguatamente abilitato che opera a nome del TSO.
I gruppi a cio' preposti possono essere inviati da un'autorita' nazionale di valutazione o certificazione designata oppure da suoi rappresentanti designati, ad esempio un appaltatore competente e abilitato.
I processi di valutazione e certificazione richiesti possono essere di livello inferiore (ed includere, ad esempio, solo gli aspetti dell'integrazione) qualora i sistemi siano basati su prodotti per la sicurezza dei computer valutati e certificati in ambito nazionale.

25.7.4. Verifica sistematica degli dementi di sicurezza per la proroga dell'accreditamento

Il TSO stabilisce procedure di controllo sistematico atte a garantire che tutti gli elementi di sicurezza del sistema siano ancora efficaci.
I tipi di cambiamenti che renderebbero necessario un riaccreditamento o che richiedono l'approvazione preventiva della SAA sono chiaramente individuati ed enunciati nella SSRS. Dopo qualsiasi modifica, riparazione o disfunzione che possa avere ripercussioni sugli elementi di sicurezza del sistema, il TSO provvede a far effettuare una verifica per assicurare il corretto funzionamento dei suddetti elementi. La proroga dell'accreditamento del sistema dipende normalmente da un risultato soddisfacente delle verifiche.
Tutti i sistemi dotati di elementi di sicurezza sono periodicamente ispezionati o riesaminati dalla SAA. Per i sistemi che trattano informazioni classificate UE SEGRETISSIMO, le ispezioni hanno luogo almeno una volta l'anno.

25.8. Utilizzo temporaneo o occasionale

25.8.1. Sicurezza dei microcomputer/personal computer

I microcomputer/personal computer (PC) muniti di disco fisso (o altri mezzi di archiviazione permanente), funzionanti sia autonomamente sia in rete, e i dispositivi informatici portatili (quali PC portatili e notebook elettronici) provvisti di disco rigido fisso sono considerati mezzi di archiviazione delle informazioni alla stessa stregua dei dischetti o altri supporti informatici rimovibili.
A tali attrezzature e' attribuito il livello di protezione, in termini di accesso, gestione, archiviazione e trasporto, corrispondente al piu' alto grado di classificazione delle informazioni archiviate o elaborate (finche' passeranno poi ad un livello di protezione inferiore o subiranno una declassificazione conformemente a procedure approvate).

25.8.2. Uso di attrezzatura informatica privata per i lavori ufficiali della Commissione

Per il trattamento delle informazioni classificate UE e' vietato utilizzare supporti informatici, software e hardware (quale PC e dispositivi informatici portatili) che siano dotati di memoria, di proprieta' privata e rimovibili.
Hardware, software e supporti vari di proprieta' privata non possono essere introdotti in nessuna zona di categoria I o II dove sono trattate informazioni classificate UE senza l'autorizzazione scritta del capo dell'ufficio di sicurezza della Commissione. Tale autorizzazione puo' essere concessa solo in casi eccezionali per motivi tecnici.

25.8.3. Uso di attrezzatura informatica appartenente a un appaltatore o fornita dagli Stati membri per i lavori ufficiali della Commissione

Il capo dell'ufficio di sicurezza della Commissione puo' permettere l'utilizzo di attrezzatura IT e software detenuti da un appaltatore per i lavori ufficiali della Commissione. Puo' essere altresi' autorizzato l'utilizzo di attrezzatura e software forniti dagli Stati membri; in tal caso, detta attrezzatura e' posta sotto controllo e iscritta nell'apposito inventario della Commissione. Nell'uno o nell'altro caso, se l'attrezzatura serve al trattamento di informazioni classificate UE, si consulta la SAA competente ai fini di un'adeguata presa in considerazione e applicazione degli elementi INFOSEC applicabili al suo utilizzo.

26. COMUNICAZIONE DI INFORMAZIONI CLASSIFICATE UE A STATI TERZI
O ORGANIZZAZIONI INTERNAZIONALI

26.1.1. Principi che regolano la comunicazione di informazioni classificate UE

La comunicazione di informazioni classificate UE a Stati terzi o organizzazioni internazionali e' decisa collegialmente dalla Commissione in base:

- alla natura e al contenuto delle informazioni stesse,
- alla necessita' di sapere dei destinatari,
- all'entita' dei vantaggi per l'UE.
All'originatore dell'informazione classificata UE e' chiesto il consenso alla comunicazione.
Siffatte decisioni sono prese caso per caso, a seconda:

- del livello di cooperazione auspicato con gli Stati terzi o le
organizzazioni internazionali interessati, - della loro affidabilita' - dipendente dal livello di sicurezza che
sarebbe attribuito alle informazioni classificate UE affidate a
detti Stati o organizzazioni nonche' dalla conformita' delle norme
di sicurezza ivi applicabili a quelle applicate nell'UE a al
riguardo la Commissione si avvale del parere tecnico del gruppo
consultivo della Commissione per le politiche della sicurezza.

L'accettazione di informazioni classificate UE da parte di Stati terzi o organizzazioni internazionali implica la garanzia che saranno utilizzate esclusivamente agli scopi per cui sono state comunicate o scambiate e che sara' loro assicurata la protezione richiesta dalla Commissione.

26.1.2. Livelli

Una volta decisa la comunicazione o lo scambio di informazioni classificate con un determinato Stato o organizzazione internazionale, la Commissione decide il livello di cooperazione possibile, che dipendera' soprattutto dalla politica seguita in materia di sicurezza e dalla normativa applicata da tale Stato o organizzazione.
I livelli di cooperazione sono tre:

Primo livello

Cooperazione con Stati terzi o organizzazioni internazionali la cui politica e normativa in materia di sicurezza sono molto affini a quelle dell'UE.

Secondo livello

Cooperazione con Stati terzi o organizzazioni internazionali la cui politica e normativa in materia di sicurezza sono notevolmente diverse da quelle dell'UE.

Terzo livello

Cooperazione di carattere occasionale con Stati terzi o organizzazioni internazionali di cui non si possono valutare la politica e la normativa in materia di sicurezza.
Il livello di cooperazione determina le procedure e le norme di sicurezza da seguire, descritte dettagliatamente nelle appendici 3, 4 e 5.

26.1.3. Accordi in materia di sicurezza

Constatata la necessita' permanente o a lungo termine di uno scambio di informazioni classificate tra la Commissione e Stati terzi o altre organizzazioni internazionali, la Commissione procede alla stesura di "accordi sulle procedure di sicurezza per lo scambio di informazioni classificate" con essi, dove sono definite le finalita' della cooperazione e le disposizioni reciproche sulla protezione delle informazioni scambiate.
Nel caso di una cooperazione occasionale di terzo livello, per definizione limitata nel tempo e nelle finalita', un semplice memorandum d'intesa in cui siano definiti la natura delle informazioni classificate da scambiare e gli obblighi reciproci ad esse relativi puo' sostituirsi agli "accordi sulle procedure di sicurezza per lo scambio di informazioni classificate" purche' il grado di classificazione non sia piu' elevato di UE RISERVATO.
Prima di essere presentati alla Commissione per una decisione, i progetti di accordi sulle procedure di sicurezza o di memorandum d'intesa sono approvati dal gruppo consultivo della Commissione per le politiche della sicurezza.
Le NSA degli Stati membri forniscono al membro della Commissione responsabile per le questioni della sicurezza tutta l'assistenza necessaria a garantire che le informazioni da divulgare siano utilizzate e protette conformemente ai suddetti accordi sulle procedure di sicurezza o ai memorandum d'intesa.

Appendice 3

Linee direttrici per la comunicazione di informazioni classificate UE a Stati terzi o organizzazioni internazionali: livello 1 cooperazione

PROCEDURE

1. La facolta' di decidere la trasmissione di informazioni classificate UE a paesi che non sono membri sull'Unione europea o ad altre organizzazioni internazionali la cui politica in materia di sicurezza e la relativa normativa sono paragonabili a quelle dell'UE spetta alla Commissione in quanto Collegio.
2. In attesa che venga concluso un accordo sulla sicurezza, il membro della Commissione responsabile per le questioni della sicurezza e' competente per l'esame delle richieste di trasmissione di informazioni classificate UE.
3. Il membro della Commissione a cio' preposto deve:

- chiedere il parere degli originatori delle informazioni
classificate UE da trasmettere, - stabilire i necessari contatti con gli organismi preposti alla
sicurezza degli Stati o organizzazioni internazionali che ne sono i
destinatari, per verificare l'idoneita' della loro politica e
normativa in materia di sicurezza a garantire che le informazioni
classificate comunicare siano protette conformemente alle presenti
norme di sicurezza, - chiedere il parere del gruppo consultivo della Commissione per le
politiche della sicurezza quanto alla fiducia che puo' essere
riposta negli Stati o organismi internazionali che ne sono
destinatari.

4. Il membro della Commissione responsabile per le questioni della sicurezza deve inoltrare alla Commissione la richiesta e il parere formulato dal gruppo consultivo della Commissione per le politiche della sicurezza.

NORME DI SICUREZZA CHE DEVONO ESSERE APPLICATE DAI DESTINATARI

5. Il membro della Commissione responsabile per le questioni della sicurezza notifica agli Stati o alle organizzazioni internazionali destinatari la decisione della Commissione di autorizzare la comunicazione di informazioni classificate UE.
6. La decisione prende effetto soltanto previa garanzia scritta da parte dei destinatari che:

- l'informazione sara' utilizzata ai soli scopi concordati, - sara' protetta conformemente alle presenti norme di sicurezza e in
particolare alle disposizioni speciali riportate qui di seguito.

7. Personale

a) Il numero di funzionari aventi accesso alle informazioni
classificate UE e' rigorosamente limitato, secondo il principio
della necessita' di sapere, alle persone le cui funzioni lo
richiedano. b) Tutti i funzionari o cittadini autorizzati ad accedere alle
informazioni classificate UE RISERVATISSIMO o di grado superiore
sono in possesso di un attestato per un determinato grado di
protezione o dell'equivalente nulla osta di sicurezza l'uno e
l'altro emessi dal proprio governo nazionale.

8. Trasmissione di documenti

a) Le procedure pratiche per la trasmissione di documenti sono decise
mediante accordo. In attesa della conclusione di tale accordo si
applicano le disposizioni della sezione 21. Laccordo dovra'
fornire in particolare indicazioni precise sulle sezioni
dell'Ufficio di registrazione a cui devono essere inoltrate le
informazioni classificate UE. b) Se l'autorizzazione della Commissione riguarda la comunicazione di
informazioni classificate anche di grado UE SEGRETISSIMO, lo Stato
o l'organizzazione internazionale che ne sono destinatari
istituiscono un ufficio centrale di registrazione UE,
eventualmente suddiviso in sottosezioni. Tali sottosezioni devono
applicare disposizioni rigorosamente equivalenti a quelle della
sezione 22 delle presenti disposizioni in materia di sicurezza.

9. Registrazione

Non appena riceve un documento classificate UE RISERVATISSIMO o di grado superiore, l'ufficio di registrazione lo annota in un registro speciale dell'organizzazione, suddiviso in colonne per la data di ricezione, dettagli del documento (data, numero di riferimento e di copia), la classificazione, il titolo, il nome o la qualifica del ricevente, la data di ritorno della ricevuta e la data di rinvio del documento all'originatore UE o dell'avvenuta distruzione.

10. Distruzione

a) I documenti classificati UE vengono distrutti secondo le
istruzioni riportate nella sezione 2 delle presenti disposizioni
in materia di sicurezza. L'avvenuta distruzione di documenti
classificati UE SEGRETO e UE SECRETISSIMO e' attestata con
certificati inviati in copia all'ufficio di registrazione UE che
li aveva trasmessi. b) I documenti classificati UE sono inclusi nei programmi di
distruzione d'emergenza predisposti per i documenti classificati
degli organismi destinatari.





(1) GU n. 17 del 6.10.1958, pag. 406/58. (2) GU L 151 del 15.6.1990, pag. 1. (3) GU L 101 dell'11.4.2001, pag. 1. (4) Gu L 145 del 31.5.2001, pag. 43.

(1) Fatti salvi la convenzione di Vienna del 1961 sulle relazioni diplomatiche e Il protocollo sul privilegi e le immunita' delle Comunita' europee dell'8 aprile 1965.

(1) Nell'appendice 1 e' riportata una tabella comparativa delle classificazioni di sicurezza UE, NATO, UEO e degli Stati membri.

Note:

(1) lI fatto che vi sia una necessita' di sapere comune indica che le caratteristiche del computer non devono necessariamente offrire una separazione delle informazioni all'interno del sistema. (2) Le altre caratteristiche di sicurezza (ad esempio relative al materiale, al personale o alle procedure) sono conformi ai requisiti per il grado piu' elevato di classificazione e per tutte le designazioni di categoria delle informazioni trattate nel sistema.

Note:

(1) La valutazione accerta la presenza della funzionalita' di sicurezza richiesta e l'assenza di effetti secondari compromettenti derivanti da tale funzionalita' e valuta l'inalterabilita' di tale funzionalita'. (2) La valutazione determina se e quanto sono soddisfatti i requisiti di sicurezza di un sistema, o le presunte prestazioni di sicurezza di un prodotto per la sicurezza del computer, e stabilisce il livello di attendibilita' del sistema o della funzione di fiducia del prodotto per la sicurezza del computer o della crittografia.

Note:

(1) Una rete TI puo' usare i servizi di una o piu' reti di comunicazione interconnesse per lo scambio di dati; varie reti TI possono usare i servizi di una rete di comunicazioni comune. (2) Una rete TI e' denominata "locale" se collega vari computer nel medesimo sito.

Note:

(1) Si tratta di un insieme di strutture, configurate per trattare informazioni all'interno del sistema. (2) Tali sistemi possono essere a sostegno di applicazioni di consultazione, comando, controllo e comunicazione, di applicazioni scientifiche o amministrative, incluso il trattamento testi. (3) Un sistema e' generalmente definito in base agli elementi posti sotto il controllo di un unico TSO. (4) Un sistema TI puo' contenere sottosistemi alcuni dei quali sono essi stessi sistemi TI.

Note:

(1) Questo modo di funzionamento consente attualmente il trattamento di informazioni di diversi gradi di classificazione e con diverse designazioni di categoria. (2) Il fatto che non tutte le persone siano in possesso di un nullaosta di sicurezza del grado piu' elevato, associato ad una mancanza di necessita' di sapere comune, indica che le caratteristiche di sicurezza del computer devono offrire un accesso selettivo alle informazioni nel sistema e la loro separazione.

Note:

(1) La mancanza di una necessita' di sapere comune indica che le caratteristiche di sicurezza del computer devono offrire un accesso selettivo alle informazioni nei sistema e la separazione delle medesime. (2) Le altre caratteristiche di sicurezza (ad esempio relative al materiale, al personale o alle procedure) sono conformi ai requisiti per il grado piu' elevato di classificazione e per tutte le designazioni di categoria delle informazioni trattate nel sistema. (3) Tutte le informazioni trattate o messe a disposizione nel sistema in base a questo modo di funzionamento, unitamente all'output che ne deriva, sono protette come se rientrassero potenzialmente nella designazione di categoria e nel grado piu' elevato di classificazione delle informazioni trattate fino a prova contraria, a meno che sussista un livello di fiducia accettabile nei confronti della funzione di etichettatura gia' presente.



 
11. Protezione dei documenti

Non sara' tralasciata alcuna misura che possa impedire l'accesso di persone non autorizzate alle informazioni classificate UE.

12. Copie, traduzioni ed estratti

E' vietato fotocopiare o tradurre un documento classificato UE RISERVATISSIMO o UE SEGRETO, oppure estrarne brani senza l'autorizzazione del responsabile della sicurezza, che registrera' e controllera' copie, traduzioni o estratti apponendovi, se necessario, una stampigliatura.
La riproduzione o traduzione di un documento classificato UE SEGRETISSIMO puo' essere autorizzata soltanto dall'autorita' d'origine, che precisera' il numero di copie autorizzate: se non e' possibile risalire a tale autorita', la richiesta e' deferita al servizio di sicurezza della Commissione.

13. Violazioni della sicurezza

In caso di violazione, presunta o reale, delle norme di sicurezza per un documento classificato UE, si dovrebbe immediatamente procedere, fatta salva la conclusione di un accordo in materia di sicurezza, a:

a) effettuare un'indagine per accertare le circostanze di detta
violazione; b) informare il servizio di sicurezza della Commissione, l'autorita'
nazionale competente in materia di sicurezza e l'autorita'
d'origine o dichiarare esplicitamente, se del caso, che
quest'ultima non e' stata informata; c) adottare misure concrete per limitare al minimo gli effetti della
violazione; d) riesaminare e applicare le misure atte ad impedire nuovi episodi
di questo tipo; e) porre in atto tutte le misure raccomandate dal servizio di
sicurezza della Commissione per impedire il verificarsi di nuovi
episodi.

14. Ispezioni

Il servizio di sicurezza della Commissione sara' autorizzato, con il consenso degli Stati o delle organizzazioni internazionali interessati, ad effettuare una valutazione dell'efficacia delle misure prese a protezione delle informazioni classificate UE che sono state comunicate a terzi.

15. Relazioni

Patta salva la conclusione di accordi in materia di sicurezza, gli Stati o le organizzazioni internazionali dovrebbero, fintanto che detengono informazioni classificate UE, presentare una relazione annuale a conferma del rispetto delle presenti disposizioni in materia di sicurezza, entro una data specificata al momento in cui e' stata autorizzata la comunicazione dell'informazione.

Appendice 4

Linee direttrici per la comunicazione di informazioni classificate UE a Stati terzi o organizzazioni internazionali: livello 2 cooperazione

PROCEDURE

1. La facolta' di comunicare informazioni classificate UE a Stati terzi o organizzazioni internazionali la cui politica e normativa di sicurezza sono molto diverse da quelle dell'UE spetta all'originatore. La facolta' di decidere la trasmissione di informazioni classificate UE all'interno della Commissione spetta alla Commissione in quanto Collegio.
2. In linea di principio, e' limitata alle informazioni classificate fino al grado UE SEGRETO compreso; ne sono escluse le informazioni classificate protette da speciali contrassegni di sicurezza.
3. In attesa che venga concluso un accordo sulla sicurezza, il membro della Commissione responsabile per le questioni della sicurezza e' competente per l'esame delle richieste di trasmissione di informazioni classificate UE.
4. Il membro della Commissione a cio' preposto deve:

- chiedere il parere degli originatori delle informazioni
classificate UE da trasmettere, - stabilire i necessari contatti con gli organismi preposti alla
sicurezza degli Stati o organizzazioni internazionali destinatari
per avere informazioni sulla loro politica e la loro normativa in
materia di sicurezza e in particolare per compilare una tabella in
cui sono messe a confronto le classificazioni applicate nell'UE e
quelle dello Stato o dell'organizzazione interessata, - organizzare una riunione del gruppo consultivo della Commissione
per le politiche della sicurezza o, se necessario con la procedura
di approvazione tacita, indagare presso le autorita' nazionali
competenti in materia di sicurezza per ottenere il parere gruppo
consultivo della Commissione per le politiche della sicurezza.

5. Il parere del gruppo consultivo della Commissione per le politiche della sicurezza deve riguardare:

- la fiducia che si puo' riporre negli Stati o organizzazioni
internazionali destinatari allo scopo di valutare i rischi di
sicurezza che corrono l'UE o gli Stati membri, - la valutazione della capacita' dei destinatari di proteggere le
informazioni classificate e comunicate dall'UE. - le proposte circa le procedure pratiche per il trattamento delle
informazioni classificate UE (fornendo versioni parziali di un
testo, per esempio) e dei documenti trasmessi (mantenendo o
cancellando le diciture di classificazione UE, contrassegni
specifici ecc.), - il declassamento o la declassificazione prima che le informazioni
siano comunicate agli Stati o organizzazioni internazionali
destinatari.

6. lI membro della Commissione responsabile per le questioni della sicurezza deve inoltrare alla Commissione la richiesta e il parere formulato dal gruppo consultivo della Commissione per le politiche della sicurezza.

NORME DI SICUREZZA CHE DEVONO ESSERE APPLICATE DAI DESTINATARI

7. Il membro della Commissione responsabile per le questioni della sicurezza notifica agli Stati o alle organizzazioni internazionali destinatari la decisione della Commissione di autorizzare la comunicazione di informazioni classificate UE e le restrizioni relative a quest'ultime.
8. La decisione prende effetto soltanto previa garanzia scritta da parte dei destinatari che:

- l'informazione sara' utilizzata ai soli scopi concordati,
- sara' protetta conformemente alle disposizioni della Commissione.

9. Si applicano le norme di protezione di seguito esposte a meno che la Commissione, sentito il parere tecnico del Gruppo consultivo della Commissione per le politiche della sicurezza, decida di adottare una particolare procedura per il trattamento dei documenti classificati UE (cancellando la menzione della classificazione UE, contrassegni specifici ecc.).

10. Personale

a) Il numero dei funzionari aventi accesso alle informazioni
classificate UE e' rigorosamente ristretto, secondo il principio
della necessita' di sapere, alle persone le cui funzioni lo
richiedono. b) Tutti i funzionari o i cittadini autorizzati ad accedere alle
informazioni classificate comunicate dalla Commissione devono
avere un nulla osta di sicurezza o un'autorizzazione nazionale per
accedere a un determinato livello equivalente, a quello dell'UE,
secondo la definizione di cui alla tabella comparativa. c) I nulla osta di sicurezza o autorizzazioni nazionali sono inviati
per informazione al presidente.

11. Trasmissione di documenti

Le procedure pratiche per la trasmissione di documenti sono decise mediante accordo. In attesa della conclusione di tale accordo si applicano le disposizioni della sezione 21. L'accordo dovra' specificare in particolare gli uffici di registrazione ai quali devono essere inoltrate le informazioni classificate UE e gli indirizzi esatti ai quali devono essere inoltrati i documenti nonche' il corriere o i servizi postali usati per la trasmissione delle informazioni classificate UE.

12. Registrazione al momento dell'arrivo

La NSA dello Stato destinatario o il suo equivalente, che riceve le informazioni classificate inviate dalla Commissione a nome del proprio governo, ovvero l'ufficio di sicurezza dell'organizzazione internazionale destinataria, istituisce uno speciale registro per annotare le informazioni classificate UE all'atto del ricevimento. Il registro contiene colonne con l'indicazione della data, dettagli del documento (data, sigla e numero di esemplari), classificazione, titolo, nome o titolo del destinatario, data del ritorno della ricevuta e la data del rinvio del documento all'UE o quella della distruzione del documento.

13. Rinvio dei documenti

Il destinatario che invia un documento classificato alla Commissione, procede come indicato al precedente paragrafo "Trasmissione di documenti".

14. Protezione

a) documenti che non sono in uso, sono custoditi in un contenitore di
sicurezza omologato per la custodia di materiali dello stesso
grado di classificazione, classificati a livello nazionale. Il
contenitore non reca indicazioni del contenuto che e' accessibile
soltanto a persone autorizzate a trattare informazioni
classificate UE. Per quanto riguarda le serrature a combinazione,
questa e' nota soltanto ai funzionari dello Stato o
dell'organizzazione che sono autorizzati ad accedere alle
informazioni classificate UE custodite nel contenitore ed e'
sostituita ogni sei mesi o quando un funzionario viene trasferito,
oppure se a uno dei funzionari che conoscono la combinazione viene
ritirato il nulla osta di sicurezza o se vi e' un rischio di
violazione. b) I documenti classificati UE sono tolti dal contenitore di
sicurezza solo dai funzionari che hanno ricevuto il nulla osta per
l'accesso ai documenti classificati UE e hanno necessita' di
sapere. Essi sono responsabili della custodia sicura dei documenti
finche' ne sono in possesso e in particolare garantiscono che
nessuna persona non autorizzata abbia accesso ai documenti.
Assicurano anche che i documenti siano custoditi in un contenitore
di sicurezza quando hanno finito di consultarli e al di fuori
dell'orario di lavoro. c) Non e' permesso fare fotocopie di un documento classificato UE
RISERVATISSIMO o di grado superiore ne' trarne estratti senza
l'autorizzazione del Servizio di sicurezza della Commissione. d) E' necessario che la procedura per una rapida e totale distruzione
dei documenti in caso di emergenza sia definita e confermata in
collaborazione con il servizio di sicurezza della Commissione.

15. Sicurezza materiale

a) Quando non sono usati, i contenitori di sicurezza adibiti alla
custodia dei documenti classificati UE devono essere chiusi a
chiave in permanenza. b) Il personale addetto alla manutenzione o alle pulizie che deve
entrare o lavorare in una stanza in cui sono situati i contenitori
di sicurezza deve essere scortato continuamente da un membro del
servizio di sicurezza dello Stato o dell'organizzazione o dal
funzionario che e' direttamente responsabile per la supervisione
della sicurezza della stanza stessa. c) Al di fuori dell'orario di lavoro normale (la notte, nei fine
settimana e nei giorni festivi, i contenitori di sicurezza che
custodiscono documenti classificati UE sono protetti da una
guardia o da un sistema d'allarme automatico.

16. Violazioni della sicurezza

Se si e' verificata o si sospetta che si sia verificata una violazione della sicurezza relativamente a un documento classificato UE occorre immediatamente provvedere a:

a) inviare subito una relazione al servizio di sicurezza della
Commissione o alla NSA dello Stato membro che ha preso
l'iniziativa di inviare documenti (con copia al servizio di
sicurezza della Commissione); b) condurre un'inchiesta al termine della quale e' presentata al
servizio di sicurezza una relazione completa [cfr. a) supra]. Sono
poi adottate le misure necessarie per porre rimedio alla
situazione.

17. Ispezioni

Il servizio di sicurezza della Commissione sara' autorizzato, con il consenso degli Stati o delle organizzazioni internazionali interessati, ad effettuare una valutazione dell'efficacia delle misure prese a protezione delle informazioni classificate UE che sono state comunicate a terzi.

18. Relazioni

Fatta salva la conclusione di accordi in materia di sicurezza, gli Stati o le organizzazioni internazionali dovrebbero, fintanto che detengono informazioni classificate UE, presentare una relazione annuale a conferma del rispetto delle presenti disposizioni in materia di sicurezza, entro una data specificata al momento in cui e' stata autorizzata la comunicazione dell'informazione.

Appendice 5

Linee direttrici per la comunicazione di informazioni classificate UE a Stati terzi o organizzazioni internazionali: livello 3 cooperazione

PROCEDURE

1. Occasionalmente in circostanze particolari, e' possibile che la Commissione intenda cooperare con Stati o organizzazioni che non possono dare le garanzie richieste dalle presenti disposizioni in materia di sicurezza ma che tale cooperazione richieda la comunicazione di informazioni classificate UE.
2. La facolta' di comunicare informazioni classificate UE a Stati terzi o organizzazioni internazionali la cui politica e normativa di sicurezza sono molto diverse da quelle dell'UE spetta all'originatore. La facolta' di decidere la trasmissione di informazioni classificate UE all'interno della Commissione spetta alla Commissione in quanto Collegio.
In linea di principio, e' limitata alle informazioni classificate fino al grado UE SEGRETO compreso; ne sono escluse le informazioni classificate protette da speciali contrassegni di sicurezza.
3. La Commissione valuta se comunicare le informazioni classificate, considera la necessita' di sapere dei destinatari e decide quali informazioni classificate possano essere comunicate.
4. Se la Commissione e' favorevole, il membro della Commissione responsabile per le questioni della sicurezza:

- chiedere il parere degli originatori delle informazioni
classificate UE da trasmettere, - organizzare una riunione del gruppo consultivo della Commissione
per le politiche della sicurezza o, se necessario con la procedura
di approvazione tacita, indagare presso le autorita' nazionali
competenti in materia di sicurezza per ottenere il parere gruppo
consultivo della Commissione per le politiche della sicurezza.

5. Il parere del gruppo consultivo della Commissione per le politiche della sicurezza deve riguardare:

a) una valutazione dei rischi di sicurezza corsi dall'UE o dagli
Stati membri; b) il grado di classificazione delle informazioni che possono essere
comunicate; c) il declassamento o la declassificazione prima di comunicare le
informazioni; d) le procedure per il trattamento dei documenti da divulgare (vedi
il paragrafo successivo); e) sui metodi di trasmissione (servizi postali, sistemi di
telecomunicazioni pubblici o protetti, valigia diplomatica,
corrieri autorizzati, ecc.).

6. I documenti comunicati a Stati o organizzazioni che rientrano in questa appendice sono predisposti, in linea di massima, senza un riferimento alla fonte o a una classificazione UE. Il gruppo consultivo della Commissione per le politiche della sicurezza puo' raccomandare:

- l'uso di un contrassegno o codice specifico, - l'uso di un sistema di classificazione specifico che rapporta la
sensibilita' delle informazioni alle necessarie misure di controllo
dei metodi usati dal destinatario per trasmettere i documenti.

7. Il presidente alla Commissione, affinche' quest'ultima prenda una decisione, il parere formulato dal gruppo consultivo della Commissione per le politiche della sicurezza.
8. Dopo che la Commissione ha appronto la comunicazione di informazioni classificate UE e le procedure pratiche di attuazione il servizio di sicurezza della Commissione stabilisce i necessari contatti con l'organismo preposto alla sicurezza e dello Stato o organizzazione interessati per facilitare l'applicazione delle misure di sicurezza prospettate.
9. Il membro della Commissione responsabile per le questioni della sicurezza informa gli Stati membri sulla natura e la classificazione delle informazioni, elencando le organizzazioni e gli Stati ai quali queste possono essere comunicate, secondo quanto deciso dalla Commissione.
10. Il servizio di sicurezza della Commissione prende le misure necessarie per facilitare la valutazione di qualsiasi possibile danno e la revisione delle procedure.
In caso di mutamento delle condizioni di cooperazione, la Commissione deve procedere a un riesame della materia.

NORME DI SICUREZZA CHE DEVONO ESSERE APPLICATE DAI DESTINATARI

11. Il membro della Commissione responsabile per le questioni della sicurezza notifica agli Stati o alle organizzazioni internazionali destinatari la decisione della Commissione di autorizzare la comunicazione di informazioni classificate UE unitamente alle norme di protezione dettagliate proposte dal gruppo consultivo della Commissione per le politiche della sicurezza e approvata dalla Commissione stessa.
12. La decisione entra in vigore soltanto quando i destinatari danno assicurazione scritta:

- di non destinare le informazioni a un uso diverso dalla
cooperazione decisa dalla Commissione, - di dare alle informazioni la protezione richiesta dalla
Commissione.

13. Trasmissione di documenti

a) Le procedure pratiche per la trasmissione di documenti sono
concordate tra il servizio sicurezza della Commissione e gli
organi preposti alla sicurezza degli Stati e organizzazioni
internazionali destinatari. In particolare devono essere
specificati gli indirizzi esatti per l'invio dei documenti. b) I documenti classificati UE RISERVATISSIMO e gradi superiori sono
trasmessi in doppia busta. La busta interna reca lo specifico
timbro o codice convenuto e la menzione della classificazione
particolare che e' stata approvata per il documento. A ciascun
documento classificato e' acclusa una ricevuta. La ricevuta, di
per se' non classificata, cita soltanto i dettagli del documento
(sigla, data, numero di esemplari) e la lingua, ma non il titolo. c) La busta interna e' posta in un'altra busta che reca il numero del
plico per consentire il rilascio di una ricevuta. La busta esterna
non reca alcuna classificazione di sicurezza. d) Ai corrieri e' sempre fornita una ricevuta con il numero del
plico.

14. Registrazione al momento dell'arrivo

La NSA dello Stato destinatario o il suo equivalente, che riceve le informazioni classificate inviate dalla Commissione per conto del suo governo, ovvero l'ufficio di sicurezza dell'organizzazione internazionale destinataria, istituisce uno speciale registro per annotare le informazioni classificate UE all'atto del ricevimento. Il registro e' suddiviso in colonne che riportano l'indicazione della data, i dettagli del documento (data, sigla e numero di esemplari), la classificazione, il titolo, il nome o titolo del destinatario, la data del ritorno della ricevuta e la data del rinvio del documento all'UE o quella della distruzione del documento.
15. Utilizzazione e protezione delle informazioni classificate scambiate

a) Le informazioni a livello UE SEGRETO sono trattate da funzionari
specificamente designati che sono autorizzati ad avere accesso
alle informazioni aventi tale classificazione. Sono custodite in
armadi di sicurezza di buona qualita' che possono essere aperti
soltanto da persone autorizzate ad avere accesso alle informazioni
che contengono. I luoghi in cui detti armadi sono situati sono
sorvegliati costantemente; un sistema di verifica garantisce che
possono entrarvi soltanto le persone debitamente autorizzate. Le
informazioni di livello UE SEGRETO sono inviate per valigia
diplomatica, servizi postali e servizi di telecomunicazioni
protetti. Un documento UE SEGRETO puo' essere copiato soltanto con
l'accordo scritto dell'autorita' d'origine. Tutte le copie sono
registrate e controllate. Per tutte le operazioni relative a
documenti UE SEGRETO sono rilasciate ricevute. b) Le informazioni di livello UE RISERVATISSIMO sono trattate da
funzionari debitamente designati e autorizzati a conoscere
l'argomento. I documenti sono custoditi in armadi di sicurezza
chiusi a chiave in luoghi controllati. Le informazioni di livello UE RISERVATISSIMO sono inviate per valigia
diplomatica, servizi postali militari e telecomunicazioni
protette. L'organismo destinatario puo' farne copie, annotando il
relativo numero e la distribuzione in appositi registri. c) Le informazioni di livello UE RISERVATO sono trattate in luoghi
non accessibili a personale non autorizzato e custodite in
contenitori chiusi a chiave. I documenti possono essere inviati
tramite i servizi postali pubblici come plico raccomandato in
doppia busta; in casi di emergenza durante le operazioni, tramite
sistemi di telecomunicazioni pubblici non protetti. I destinatari
possono fotocopiarli. d) Le informazioni non classificate non richiedono speciali misure di
protezione e possono essere inviate per posta e tramite i sistemi
pubblici di telecomunicazioni. I destinatari possono copiarle.

16. Distruzione

I documenti che non servono piu' devono essere distrutti. Nel caso di documenti UE RISERVATO E UE RISERVATISSIMO, viene inserita una nota nei registri speciali. Nel caso di documenti del livello UE SEGRETO, sono rilasciati certificati di distruzione firmati da due testimoni della distruzione.

17. Violazioni della sicurezza

Se informazioni di livello UE RISERVATISSIMO o UE SEGRETO sono compromesse o se vi e' un sospetto in tal senso, la NSA dello Stato o il capo del servizio di sicurezza dell'organizzazione conduce un'inchiesta per appurare le circostanze della violazione e notifica i risultati dell'inchiesta al servizio di sicurezza della Commissione. Si adottano quindi i provvedimenti atti a migliorare le procedure o i metodi di custodia inadeguati che possano essere all'origine della violazione.
Appendice 6

ELENCO DELLE ABBREVIAZIONI

CCAC Commissione consultiva per gli acquisti e i contratti

CrA Autorita' Crypto

CISO Responsabile della sicurezza informatica a livello centrale

COMPUSEC Sicurezza informatica

COMSEC Sicurezza delle comunicazioni

CSO Ufficio di sicurezza della Commissione

ESDP Politica europea di sicurezza e di difesa

ICUE Informazioni classificate UE

IA Autorita' INFOSEC

INFOSEC Sicurezza dell'informazione

IO Proprietario delle informazioni

ISO Organizzazione internazionale di normalizzazione

TI Tecnologie dell'informazione

LISO Responsabile della sicurezza informatica a livello locale

LSO Responsabile della sicurezza a livello locale

MSO Responsabile della sicurezza della riunione

NSA Autorita' nazionali di sicurezza

PC Personal Computer

RCO Funzionario di controllo dell'ufficio di registrazione

SAA Autorita' di accreditamento in materia di sicurezza

SecOPS Procedure operative di sicurezza

SSRS Dichiarazione relativa ai requisiti di sicurezza specifici
del sistema

TA Autorita' Tempest

TSO Proprietario dei sistemi tecnici
 
Gazzetta Ufficiale Serie Generale per iPhone