IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Vista la legge 24 ottobre 1977, n. 801, recante "Istituzione e
ordinamento dei servizi per le informazioni e la sicurezza e
disciplina del segreto di Stato", in particolare articoli 1, secondo
comma, e 12;
Vista la Decisione della Commissione delle Comunita' europee n.
2001/844/CE, CECA, Euratom della Commissione europea del 29 novembre
2001, che modifica il regolamento interno della medesima Commissione,
pubblicata nella Gazzetta Ufficiale delle Comunita' europee n. L 317
del 3 dicembre 2001, in particolare l'articolo 2, paragrafo 2,
dell'Allegato, secondo cui gli Stati membri sono autorizzati a
ricevere informazioni classificate UE a condizione che essi
garantiscano che, nel trattare tali informazioni, siano rispettate
nelle loro sedi di servizio disposizioni strettamente equivalenti a
quelle menzionate nell'articolo 1 della medesima Decisione, in
particolare da parte:
a) dei membri della Rappresentanza permanente d'Italia presso
l'Unione europea, nonche' dei membri di delegazioni nazionali che
partecipano alle riunioni della Commissione o dei suoi organi o che
prendono parte ad altre attivita' della Commissione;
b) di altri membri delle amministrazioni nazionali che trattano
informazioni classificate UE, i quali prestino servizio nel
territorio dello Stato o all'estero.
Visto il decreto del Presidente del Consiglio dei Ministri del 21
settembre 1999;
Viste le direttive del Presidente del Consiglio dei
Ministri/Autorita' nazionale per la sicurezza:
PCM-ANS l/R - Norme unificate per la tutela del segreto di Stato -
Volume I - Sistema di Sicurezza - Edizione 1987 e successive
modificazioni e integrazioni;
PCM-ANS 1/R - Norme unificate per la tutela del segreto di Stato -
Volume II - Sicurezza delle comunicazioni ed organizzazioni e
procedure del servizio cifra - Edizione 1994;
PCM-ANS 1/R - Norme unificate per la tutela del segreto di Stato -
Volume III - Sicurezza Industriale - Edizione 1993;
PCM-ANS 1/R/A - Norme unificate per la tutela del segreto di Stato
- Volume I - Direttiva per la protezione delle informazioni coperte
dal segreto di Stato trattate in sistemi di elaborazione automatica
e/o elettronica dei dati (EAD) - Edizione 1993;
PCM-ANS COMSEC 256 (B) - Norme relative all'installazione di
apparati elettrici/elettronici che elaborano informazioni
classificate - Edizione 1998;
Visto il decreto del Presidente del Consiglio dei Ministri 11
aprile 2002, n. 130, recante "Norme di sicurezza per la tutela delle
informazioni UE classificate di attuazione della Decisione del
Consiglio dell'Unione europea del 19 marzo 2001", in particolare
l'Allegato 2 al medesimo; Ritenuta l'esigenza di dare, per gli
aspetti interni, piena attuazione alla predetta Decisione della
Commissione dell'Unione europea 2001/844/CE, CECA, Euratom;
A d o t t a
il seguente decreto:
Art. 1.
1. Per gli aspetti di rilevanza interna, piena e completa
attuazione e' data alla Decisione 2001/844/CE, CECA, Euratom della
Commissione delle Comunita' europee del 29 novembre 2001, che
modifica il regolamento interno della Commissione, pubblicata nella
Gazzetta Ufficiale delle Comunita' europee n. L 317 del 3 dicembre
2001, di cui all'Allegato 1.
2. Si applicano, ai fini dell'aggiornamento dell'organizzazione
nazionale per la sicurezza per la tutela delle informazioni
classificate, le disposizioni di cui all'Allegato 2 al decreto del
Presidente del Consiglio dei Ministri 11 aprile 2002, n. 130.
3. L'Autorita' nazionale per la sicurezza prescrive le altre
disposizioni di dettaglio per l'integrale attuazione delle norme di
sicurezza contenute nella predetta Decisione, nell'ambito nazionale e
nel rispetto della disciplina di protezione dei dati personali,
eventualmente applicabile.
4. Il presente decreto e' pubblicato nella Gazzetta Ufficiale
della Repubblica italiana.
Roma, 11 aprile 2003
Il Presidente: Berlusconi
ALLEGATO 1
II
(Atti per i quali la pubblicazione non e' una condizione di
applicabilita)
COMMISSIONE
DECISIONE DELLA COMMISSIONE
Del 29 novembre 2001
Che modifica il regolamento interno della Commissione
[notifica con il numero C(2001) 3031]
(2001/844/CE, CECA, Euratom)
LA COMMISSIONE DELLE COMUNITA' EUROPEE.
visto il trattato che istituisce la Comunita' europea, in
particolare l'articolo 218, paragrafo 2.
visto il trattato che istituisce la Comunita' europea del carbone
e dell'acciaio, in particolare l'articolo 16.
Visto il trattato che istituisce la Comunita' europea dell'energia
atomica, in particolare l'articolo 131.
visto il trattato sull'Unione europea, in particolare l'articolo
28, paragrafo 1, e l'articolo 41, paragrafo 1.
DECIDE:
Articolo 1
Le disposizioni della Commissione in materia di sicurezza, il cui
testo e' allegato alla presente decisione, sono aggiunte in allegato
al regolamento interno della Commissione.
Articolo 2
La presente decisione entra in vigore il giorno della
pubblicazione nella Gazzetta Ufficiale delle Comunita' europee.
Essa si applica a decorrere dal 1° dicembre 2001.
Fatto a Bruxelles, il 29 novembre 2001.
Per la Commissione
Il Presidente
Romano PRODI
DISPOSIZIONI DELLA COMMISSIONE
Considerando quanto segue:
(1) Per sviluppare le attivita' della Commissione in settori che
richiedono un certo grado di riservatezza, occorre porre in
essere un sistema di sicurezza globale riguardante la
Commissione, le altre istituzioni, organi, uffici e agenzie
istituiti in base al trattato CE o al trattato sull'Unione
europea, gli Stati membri, nonche' qualunque altro destinatario
di informazioni classificate UE, di seguito denominate
"informazioni classificate UE".
(2) Per salvaguardare l'efficienza del sistema di sicurezza cosi'
istituito, la Commissione consentira' l'accesso alle informazioni
classificate UE soltanto a quegli organismi esterni che
dimostrino di aver preso tutte le misure necessarie per
conformarsi a disposizioni strettamente equivalenti alle presenti
disposizioni.
(3) Le presenti disposizioni lasciano impregiudicati il regolamento
n. 3, del 31 luglio 1958, recante attuazione dell'articolo 24 del
trattato che istituisce la Comunita' europea dell'energia atomica
(1): il regolamento (CE) n. 1588/90 del Consiglio, dell'11 giugno
1990, relativo alla trasmissione all'Istituto statistico delle
Comunita' europee di dati statistici protetti dal segreto (2),
nonche' la decisione C (95) 1510 def. della Commissione, del 23
novembre 1995, sulla protezione dei sistemi informatici.
(4) La Commissione fonda il proprio sistema di sicurezza sui principi
enunciati sulla decisione 2001/264/CE del Consiglio, del 19 marzo
2001, che adotta le norme di sicurezza del Consiglio (3), allo
scopo di assicurare il buon funzionamento del processo
decisionale dell'Unione.
(5) La Commissione sottolinea l'importanza di associare, ove
opportuno, le altre istituzioni dell'Unione europea alle regole e
alle norme di riservatezza necessarie per tutelare gli interessi
dell'Unione e degli Stati membri.
(6) La Commissione riconosce la necessita' di creare un proprio
concetto di sicurezza, prendendo in considerazione tutti gli
elementi della sicurezza ed il carattere peculiare della
Commissione in quanto istituzione.
(7) Le presenti disposizioni lasciano impregiudicati l'articolo 255
del trattato e il regolamento (CE) n. 1049/2001 del Parlamento
europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso
del pubblico ai documenti del Parlamento europeo, del Consiglio e
della Commissione (4).
Articolo 1
Le disposizioni della Commissione in materia di sicurezza sono
riportate nell'allegato.
Articolo 2
1. Il membro della Commissione preposto alla sicurezza prende le
misure necessarie per garantire che, nel trattare informazioni
classificate UE, i funzionari e gli altri agenti della Commissione,
il personale distaccato presso la Commissione, il personale impiegato
in tutte le sedi della Commissione rispettino le disposizioni di cui
all'articolo 1.
2. Gli Stati membri, nonche' le altre istituzioni, organi, uffici
ed agenzie istituiti dai trattati o in base ad essi sono autorizzati
a ricevere informazioni classificate UE a condizione che essi
garantiscano che, nel trattare nel trattare tali informazioni, siano
rispettate nelle loro sedi di servizio disposizioni strettamente
equivalenti a quelle menzionate all'articolo 1, in particolare da
parte:
a) dei membri delle rappresentanze permanenti degli Stati membri
presso l'Unione europea, nonche' dei membri di delegazioni
nazionali che partecipano alle riunioni della Commissione o dei
suoi organi o che prendono parte ad altre attivita' della
Commissione;
b) di altri membri delle amministrazioni nazionali degli Stati membri
che trattano informazioni classificate UE, i quali prestino
servizio nel territorio degli Stati membri o all'estero;
c) di contraenti esterni e di personale distaccato che trattano
informazioni classificate UE.
Articolo 3
Gli Stati terzi, le organizzazioni internazionali ed altri
organismi sono autorizzati a ricevere informazioni classificate UE a
condizione che essi garantiscano che, nel trattare tali informazioni,
siano rispettate disposizioni strettamente equivalenti a quelle
menzionate all'articolo 1.
Articolo 4
Conformemente ai principi fondamentali e alle norme di sicurezza
contenuti nella parte I dell'allegato, il membro della Commissione
preposto alla sicurezza puo' adottare misure ai sensi della parte II
dell'allegato.
Articolo 5
A decorrere dalla data della loroapplicazione, le presenti
disposizioni sostituiscono:
a) la decisione C (94) 3282 della Commissione, del 30 novembre 1994,
relativa alle misure di sicurezza applicabili alle informazioni
classificate prodotte o trasmesse nel quadro delle attivita'
dell'Unione europea;
b) la decisione C (1999) 423 della Commissione, del 25 febbraio 1999,
relativa alle modalita' secondo cui i funzionari e gli agenti
della Commissione europea possono essere autorizzati ad accedere a
informazioni classificate in possesso della Commissione.
Articolo 6
A decorrere dalla data di applicazione delle presenti
disposizioni, tutte le informazioni classificate in possesso della
Commissione fino a tale data, eccetto le informazioni classificate
Euratom,
a) se sono state create dalla Commissione, si considerano
riclassificate per difetto "RISERVATO UE", a meno che l'autore
decida di conferire loro un'altra classificazione entro il 31
gennaio 2002, nel qual caso l'autore ne informa tutti i
destinatari del documento in questione;
b) se sono state create da fonti esterne alla Commissione, conservano
la classificazione originaria e sono quindi trattate come
informazioni classificate UE di grado equivalente, a meno che
l'autore acconsenta a declassificarle o declassarle.
PARTE I: PRINCIPI FONDAMENTALI E NORME MINIME DI SICUREZZA
1. INTRODUZIONE
Con queste disposizioni si stabiliscono i principi fondamentali e le
norme minime di sicurezza che devono essere debitamente rispettate
dalla Commissionein tutte le sue sedi di servizio e da tutti i
destinatari di informazioni classificate UE, perche' sia
salvaguardata la sicurezza e ognuno abbia la garanzia che e' in
vigore un regime comune di protezione.
2. PRINCIPI GENERALI
La politica di sicurezza della Commissione forma parte integrante
della sua politica generale di gestione interna e si basa pertanto
sugli stessi principi informatori di quest'ultima.
Tra questi principi si annoverano la legalita', la trasparenza, la
responsabilita' (o dovere di rendere conto delle proprie azioni) e la
sussidiarieta' (o proporzionalita).
Per legalita' si intende la stretta adesione al quadro giuridico
nell'espletamento delle funzioni legate alla sicurezza e la rigorosa
ottemperanza alle prescrizioni legali. Questo concetto implica
altresi' che le responsabilita' nel campo della sicurezza si fondino
su adeguate disposizioni normative. Tra queste, trovano piena
applicazione le disposizioni dello statuto del personale,
segnatamente l'articolo 17 sull'obbligo di discrezione imposto al
personale riguardo alle informazioni della Commissione e il titolo VI
sulle misure disciplinari. Un'altra applicazione, infine, e' che le
violazioni della sicurezza nell'ambito di responsabilita' della
Commissione devono essere affrontate in maniera coerente con la
politica della Commissione in materia disciplinare e con la sua
politica di cooperazioni con gli Stati membri in campo penale e
giudiziario.
Per trasparenza si intende chiarezza in tutte le norme e
disposizioni sulla sicurezza, equilibrio nella ripartizione delle
competenze tra i vari servizi e settori (sicurezza materiale,
protezione delle informazioni, ecc.) e un'azione sistematica e
strutturata di coscientizzazione alla tematica della sicurezza.
Per responsabilita' s'intende innanzi tutto una chiara definizione
delle competenze in materia di sicurezza, da cui discende la
necessita' di una regolare verifica del corretto esercizio di tali
competenze.
Sussidiarieta', o proporzionalita', significa che la sicurezza
deve essere organizzata al livello gerarchico piu' basso, il piu'
possibile in connessione con le direzioni generali e con i servizi
della Commissione. Inoltre, gli interventi nel campo della sicurezza
devono essere limitati allo stretto indispensabile e, infine, le
misure di sicurezza devono essere proporzionate agli interessi da
tutelare e alle minacce, reali o potenziali contro tali interessi, i
quali vanno comunque difesi con il minor danno possibile.
3. FONDAMENTI DELLA SICUREZZA
Un'efficace sicurezza si fonda sui seguenti elementi:
a) all'interno di ciascun Stato membro, un'organizzazione della
sicurezza nazionale competente per:
1) la raccolta e la registrazione di informazioni in materia di
spionaggio, sabotaggio, terrorismo e altre attivita' sovversive;
2) l'informazione e la consulenza al proprio governo e, tramite
quest'ultimo, alla Commissione, circa il carattere delle minacce
che incombono sulla sicurezza e i relativi mezzi di protezione;
b) all'interno di ciascuno Stato membro e nell'ambito della
Commissione, un'autorita' tecnica INFOSEC incaricata di collaborare
con l'autorita' di sicurezza competente per fornire informazioni e
consulenza circa le minacce tecniche alla sicurezza e i relativi
mezzi di protezione;
c) una regolare collaborazione tra amministrazioni pubbliche e i
servizi competenti delle istituzioni europee per stabilire e
raccomandare opportunatamente:
1) quali persone, informazioni e risorse occorre proteggere;
2)norme comuni di protezione;
d) una stretta collaborazione tra l'Ufficio di sicurezza della
Commissione e i servizi di sicurezza delle altre istituzioni europee,
nonche' con l'Ufficio di sicurezza della NATO (NOS).
4. PRINCIPI DI SICUREZZA DELLE INFORMAZIONI
4.1 Obiettivi
La sicurezza delle informazioni persegue principalmente i seguenti
obiettivi:
a) proteggere le informazioni classificate UE dallo spionaggio, da
manomissioni o dalla diffusione non autorizzata;
b) proteggere le informazioni UE impiegate in sistemi e reti di
comunicazione e d'informazione da minacce contro la loro
riservatezza, integrita' e disponibilita';
c) proteggere le installazioni in cui si trovano le informazioni UE
dal sabotaggio e dal danneggiamento intenzionale premeditato;
d) qualora sia impossibile evitarlo, valutare il danno arrecato,
limitarne le conseguenze e adottare le misure necessarie per
ripararlo.
4.2 Definizioni
Ai fini delle presenti disposizioni, si intende per:
a) "informazioni classificate UE" (ICUE): le informazioni e i
materiali la cui divulgazione non autorizzata potrebbe recare in
varia misura pregiudizio agli interessi dell'UE o a uno o piu'
Stati membri, sia che le informazioni suddette provengano
all'interno dell'UE ovvero dagli Stati membri, da Stati terzi o da
organizzazioni internazionali;
b) "documento": qualsiasi lettera, nota, verbale, relazione ,
promemoria, segnale/messaggio, schizzo, fotografia, diapositiva,
pellicola, mappa, diagramma, piano, taccuino, stampo,
cartacarbone, nastro dattilografico o di stampante, nastro
magnetico, cassetta, dischetto di computer, CD ROM, o altro mezzo
materiale sul quale possono essere registrate informazioni;
c) "materiale": qualsiasi "documento" secondo la definizione
di cui
alla lettera b) e altresi' qualsiasi elemento di attrezzatura, sia
sotto forma di prodotto finito, sia in corso di lavorazione;
d) "necessita' di sapere": la necessita' di un singolo dipendente
di
accedere ad informazioni classificate UE per poter espletare una
funzione o eseguire una mansione;
e) "autorizzazione": una decisione del presidente della Commissione
con cui si concede l'accesso individuale ad informazioni
classificate UE fino ad un determinato grado, sulla base
dell'esito positivo di un'indagine di sicurezza svolta da
un'autorita' nazionale competente a norma del diritto nazionale:
f) "classificazione": il conferimento di un idoneo livello di
sicurezza ad informazioni la cui divulgazione non autorizzata
potrebbe recare in certa misura pregiudizio agli interessi della
Commissione o degli Stati membri;
g) "declassamento": una riduzione del grado di classificazione;
h) "declassificazione": la soppressione di qualsiasi menzione di
classificazione;
i) "originatore": l'autore debitamente autorizzato di un documento
classificato. All'interno della Commissione, i capi dei servizi
possono autorizzare i loro subordinati ad "originare" ICUE;
j) "servizi della Commissione": le direzioni generali e i vari
servizi della Commissione, compresi i gabinetti, in tutte le sedi
di servizio, inclusi, il Centro Comune di Ricerca, gli uffici di
rappresentanza dell'Unione e le delegazioni nei paesi terzi.
4.3. Classificazione
a) Per quanto riguarda la riservatezza, la selezione delle
informazioni e dei materiali da proteggere e la valutazione del
grado di protezione necessaria richiedono diligenza ed esperienza.
E' particolarmente importante che il grado di protezione
corrisponda al grado di sicurezza richiesto dalla singola
informazione e dal singolo materiale da proteggere. Perche' non vi
siano ostacoli al flusso delle informazioni, occorre prendere
provvedimenti per evitare sia la sovra-classificazione che la
sottoclassificazione.
b) Il sistema di classificazione e' lo strumento per tradurre in
pratica questi principi; un sistema di classificazione analogo
dovrebbe essere adottato nella pianificazione e
nell'organizzazione della lotta contro lo spionaggio, il
sabotaggio, il terrorismo e le altre minacce, in modo da garantire
la massima protezione ai principali edifici in cui sono collocate
informazioni classificate e i punti piu' sensibili all'interno di
questi.
c) La responsabilita' della classificazione delle informazioni spetta
unicamente all'originatore.
d) Il grado di classificazione dipende unicamente dal contenuto delle
informazioni stesse.
e) Se piu' elementi d'informazione sono uniti congiuntamente, il
grado di classificazione da conferire all'insieme sara' almeno
equivalente a quello con l'elemento con grado piu' elevato. Ad una
raccolta di informazioni puo' essere tuttavia conferito un grado
di classificazione piu' elevato di quello dei suoi elementi
costitutivi.
f) Le classificazioni devono essere assegnate soltanto nella misura e
per la durata in cui sia necessario.
4.4 Finalita' delle misure di sicurezza
Le misure di sicurezza:
a) riguardano tutte le persone che hanno accesso alle informazioni
classificate, ai relativi supporti, agli edifici che contengono
tali informazioni e a importanti installazioni;
b) sono destinate a individuare le persone che, per la loro
situazione, potrebbero mettere in pericolo la sicurezza di
informazioni classificate o di importanti installazioni che
contengono informazioni classificate e a provvedere alla loro
esclusione o allontanamento;
c) impediscono alle persone non autorizzate di accedere alle
informazioni classificate o alle installazioni che le contengono;
d) garantiscono che le informazioni classificate siano diffuse
soltanto in base al principio della necessita' di sapere, che e'
fondamentale per tutti gli aspetti della sicurezza;
e) assicurano l'integrita' (ossia la prevenzione della corruzione,
dell'alterazione o della cancellazione non autorizzate) e la
disponibilita' (ossia che l'accesso non sia negato a coloro che
devono e sono autorizzati ad averlo) di tutte le informazioni
immagazzinate, elaborate o trasmesse sotto forma elettromagnetica.
5 ORGANIZZAZIONE DELLA SICUREZZA
5.1. Norme comuni minime
La Commissione garantisce che tutti i destinatari di ICUE,
all'interno dell'istituzione e nei servizi soggetti alla sua
competenza, compresi i contraenti, osservino norme minime comuni di
sicurezza affinche' le informazioni classificate Uepossano essere
trasmesse con la certezza che saranno trattate con la stessa
diligenza. Dette norme minime includono criteri per il rilascio del
nulla osta di sicurezza al personale e procedure per la protezione
delle informazioni classificate UE.
La Commissione autorizza l'accesso alle ICUE ad organismi esterni
solo a condizione che essi garantiscano che, nel trattare le ICUE,
siano rispettate disposizioni strettamente equivalenti alle suddette
norme minime.
5.2. Organizzazione
All'interno della Commissione, la sicurezza e' organizzata a due
livelli:
a) a livello della Commissione nel suo insieme, esiste un ufficio di
sicurezza della Commissione, di cui fanno parte un'autorita' di
accreditamento in materia di sicurezza (SAA) - che funge anche da
autorita' Cripto (CrA) a da autorita' TEMPEST - ed un'autorita'
INFOSEC (IA), affiancato da uno o piu' uffici centrali di
registrazione per le ICUE con uno o piu' funzionari di controllo
(RCO);
b) a livello dei singoli servizi della Commissione, la competenza in
materia di sicurezza e' ripartita tra uno o piu' responsabili
della sicurezza a livello locale (LSO), uno o piu' responsabili
della sicurezza informatica a livello centrale (CISO),
responsabili della sicurezza informatica a livello locale (LISO) e
uffici locali di registrazione per le ICUE con uno opiu'
funzionari di controllo;
c) gli organi di sicurezza centrali impartiscono istruzioni operative
agli organi di sicurezza locali.
6. SICUREZZA DEL PERSONALE
6.1 Nulla osta di sicurezza del personale
Tutti coloro che devono accedere a informazioni classificate UE
RISERVATISSIMO o di grado superiore devono aver debitamente ricevuto
l'apposito nulla osta prima di essere autorizzate a tale accesso. Lo
stesso nulla osta e' richiesto alle persone che si occupano del
funzionamento tecnico o della manutenzione dei sistemi di
comunicazione e di informazione contenenti informazioni classificate.
Questo nulla osta deve servire a determinare se detti individui:
a) sono di indefettibile lealta';
b)dimostrano forza di carattere e discrezione tali che non vi siano
dubbi sulla loro integrita' nel trattamento delle informazioni
classificate; oppure
c) possono essere sensibili a pressioni provenienti dall'esterno o
altre.
Nell'ambito delle procedure di nulla osta, sono sottoposti ad un
esame particolarmente accurato coloro che:
d) devono ottenere accesso alle informazioni UE SEGRETISSIMO;
e) occupano posizioni per le quali hanno regolare accesso a una
considerevole quantita' di informazioni UE SEGRETO.
f) hanno per le loro mansioni accesso speciale a sistemi di
comunicazione o d'informazione protetti e percio' potrebbero avere
accesso non autorizzato a grandi quantita' di informazioni
classificate UE o danneggiare gravemente la missione con atti di
sabotaggio tecnico.
Nelle circostanze di cui alle lettere d), e) f) si deve impiegare
nella massima misura possibile la tecnica delle indagini di fondo.
Le persone che non hanno una vera e propria "necessita' di sapere"
e lavorano in circostanze nelle quali possono avere accesso a
informazioni classificate UE (per esempio fattorini, agenti della
sicurezza, personale addetto alla manutenzione o alle pulizie ecc.),
devono prima di tutto ottenere un apposito nulla osta di sicurezza.
6.2 Registrazione dei nulla osta del personale
Tutti i servizi della Commissione che trattano informazioni
classificate UE ovvero ospitano sistemi di comunicazione o
d'informazione protetti tengono una traccia dei nulla osta concessi
al personale addetto. Ciascun nulla osta deve essere verificato
all'occorrenza, per accertare che sia adatto ai compiti svolti da
quella persona; deve essere immediatamente riesaminato non appena
nuove informazioni indichino che non e' nell'interesse della
sicurezza mantenere quella persona a contatto con informazioni
classificate. Il responsabile della sicurezza a livello locale presso
il servizio interessato tiene una traccia dei nulla osta che
rientrano nella sua sfera di competenza.
6.3 Istruzioni di sicurezza per il personale
Tutto il personale che ricopre incarichi in cui potrebbe avere
accesso a informazioni classificate e' dettagliatamente istruito al
momento di assumere l'incarico e a intervalli regolari circa le
esigenze di sicurezza e le relative procedure. Detto personale e'
tenuto a certificare per iscritto di aver letto e perfettamente
capito le presenti norme di sicurezza.
6.4 Responsabilita' dei dirigenti
I dirigenti hanno il dovere il dovere di sapere quali dei loro
subordinati lavorino a contatto con informazioni classificate o
abbiano accesso a sistemi di comunicazione o d'informazione protetti
e di registrare e riferire qualsiasi incidente o caso di palese
vulnerabilita' che possa avere conseguenze sulla sicurezza.
6.5 Affidabilita' del personale in fatto di sicurezza
Sono istituite procedure per garantire che, allorche' si viene a
conoscenza di informazioni negative riguardo a un individuo, si
chiarisca se costui svolge un lavoro a contatto con informazioni
classificate o ha accesso a sistemi di comunicazione o d'informazione
protetti e l'ufficio di sicurezza ne sia informato. Se si stabilisce
che rappresenta un pericolo per la sicurezza, detto individuo deve
essere allontanato o rimosso da ogni incarico in cui potrebbe mettere
a repentaglio la sicurezza.
7. SICUREZZA MATERIALE
7.1 Necessita' della protezione
Il grado di sicurezza materiale da applicare per garantire la
protezione delle informazioni classificate UE deve essere
proporzionato alla classificazione, al volume e alle minacce che
incombono sulle informazioni e sul materiale custodito. Tutti i
detentori di informazioni classificate UE devono seguire pratiche
uniformi per quanto riguarda la classificazione delle informazioni in
loro possesso e ottemperare a norme comuni di protezione per quel che
riguarda la classificazione delle informazioni in loro possesso e
ottemperare a norme comuni di protezione per quel che riguarda la
custodia, la trasmissione e la diffusione di informazioni e di
materiale soggetti a protezione.
7.2 Controlli
Prima di lasciare i luoghi in cui sono riposte informazioni
classificate UE, non sottoposti a sorveglianza, le persone a cui
detti luoghi sono affidati devono assicurarsi che le informazioni
siano immagazzinate in modo sicuro e che tutti i dispositivi di
sicurezza siano stati attivati (serrature, allarmi, ecc.). Al termine
dell'orario di lavoro devono essere effettuati altri controlli
indipendenti.
7.3 Sicurezza degli edifici
Gli edifici contenenti informazioni classificate UE o sistemi di
comunicazione e d'informazione protetti devono essere tutelati contro
l'accesso non autorizzato. Il tipo di protezione destinato alle
informazioni classificate UE, per esempio sbarramento di finestre,
serrature alle porte, guardie all'entrata, sistemi di controllo
dell'accesso automatizzati, controlli di sicurezza e ispezioni,
sistemi d'allarme, sistemi di individuazione delle intrusioni e cani
da guardi dipendono:
a) dalla classificazione, dal volume e dall'ubicazione all'interno
dell'edificio delle informazioni e dei materiali da proteggere;
b) dalla qualita' dei contenitori di sicurezza per queste
informazioni e materiali;
c) dalle caratteristiche dell'edificio e dalla sua ubicazione.
Anche per i sistemi di comunicazione e d'informazione il tipo di
protezione prescelto deve dipendere da una stima del valore di quanto
e' in gioco e del danno potenziale che deriverebbe dal venir meno
della sicurezza, dalle caratteristiche e dall'ubicazione
dell'edificio nel quale e' custodito il sistema all'interno
dell'edificio.
7.4 Piani d'emergenza
Occorre predisporre in anticipo piani dettagliati per la
protezione delle informazioni classificate durante un'emergenza
locale o nazionale.
8. SICUREZZA DELLE INFORMAZIONI
La sicurezza delle informazioni (INFOSEC) riguarda
l'individuazione e l'applicazione di misure di sicurezza per
proteggere le informazioni classificate UE elaborate, immagazzinate e
trasmesse in sistemi elettronici di comunicazione e d'informazione o
altri, contro il venir meno della riservatezza, dell'integrita' o
della disponibilita', accidentale o intenzionale. Adeguate
contromisure devono essere prese per prevenire l'accesso alle
informazioni classificate UE da parte di utenti non autorizzati per
impedire che a utenti autorizzati sia opposto il rifiuto di accedere
alle informazioni classificate UE e per prevenire l'alterazione
ovvero la modificazione o la cancellazione non autorizzate di
informazioni classificate UE.
9. MISURE CONTRO IL SABOTAGGIO ED ALTRE FORME DI DANNO
INTENZIONALE PREMEDITATO
Le precauzioni materiali per la protezione di importanti
installazioni in cui sono conservate informazioni classificate sono
la migliore garanzia di sicurezza e di protezione contro il
sabotaggio e il danno intenzionale premeditato, laddove il solo nulla
osta del personale non basta. L'organismo nazionale competente e'
invitato a comunicare le informazioni raccolte in materia di
spionaggio, sabotaggio, terrorismo o altre attivita' sovversive.
10. COMUNICAZIONE DI INFORMAZIONI CLASSIFICATE A STATI TERZI
OD ORGANIZZAZIONI INTERNAZIONALI
Spetta alla Commissione decidere collegialmente se comunicare a
uno Stato terzo o a un'organizzazione internazionale informazioni
classificate UE. Se l'originatore delle informazioni che si vogliono
comunicare non e' la Commissione, quest'ultima deve anzitutto
ottenere il consenso dell'originatore. Se e' impossibile stabilire
l'originatore, la Commissione ne assume la responsabilita'.
Le informazioni classificate che la Commissione riceve da Stati
terzi, da organizzazioni internazionali o da altri terzi devono
essere oggetto di protezione proporzionata alla loro classificazione
ed equivalente alle norme stabilite dalle presenti disposizioni per
le informazioni classificate UE o alle norme piu' severe richieste
dai terzi che comunicano l'informazione. Possono essere predisposti
controlli reciproci.
I principi di cui sopra devono essere applicati in conformita'
delle disposizioni dettagliate della parte Ii, sezione 26, e delle
appendici 3, 4 e 5.
PARTE II: L'ORGANIZZAZIONE DELLA SICUREZZA NELLA COMMISSIONE
11. IL MEMBRO DELLA COMMISSIONE COMPETENTE IN MATERIA DI SICUREZZA
Il membro della Commissione competente in materia di sicurezza:
a) attua la politica di sicurezza della Commissione;
b) prende in esame i problemi di sicurezza sottopostigli dalla
Commissione o dai suoi organi competenti;
c) esamina le questioni che comportano cambiamenti nella politica di
sicurezza della Commissione, in stretto legame con le autorita' di
sicurezza nazionali (o altre) degli Stati membri (in seguito
denominate "NSA").
In particolare. il membro della Commissione competente in materia di
sicurezza ha tra le sue attribuzioni
a) il coordinanamento di tutte le questioni di sicurezza connesse
alle attivita' della Commissione:
b) inviare alle autorita' designate dagli Stati membri le richieste
affinche' le NSA predispongano i nulla osta di sicurezza per il
personale impiegato alla Commissione in conformita' della sezione
20:
c) ordinare indagini su qualsiasi fuga di infoniiazioni classificate
UE, che a prima vista sembri avere avuto luogo nell'ambito della
Commissione:
d) chiedere alle autorita' di sicurezza interessate di avviare
indagini in caso di fuga di informazioni classificate UE che
sembri aver avuto luogo al di fuori della Commissione e coordinare
le inchieste quando sono coinvolte piu' autorita' di sicurezza:
e) l'ispezione periodica dei dispositivi di sicurezza per la
protezione delle informazioni classificate UE:
f) mantenere uno stretto legame con tutte le autorita' di sicurezza
interessate ai fini di un coordinamento globale della sicurezza:
g) riesaminare costantemente la politica e le procedure di sicurezza
della Commissione e, se necessario. formulare le opponune
raccomandazioni. A questo riguardo. E membro della Commissione
competente in materia di sicurezza presenta alla Commissione il
piano di ispezione annuale elaborato dall'ufficio di sicurezza
della Commissione.
12. IL GRUPPO CONSULTIVO PER LA POLITICA Dl SICUREZZA
E' istituito un gruppo consultivo della Commissione per la
politica di sicurezza. Esso e' presieduto dal membro della
Commissione competente in materia di sicurezza o da chi ne fa le veci
ed e' composto da rappresentanti delle NSA degli Stati membri.
Possono essere invitati a parteciparvi anche rappresentanti di altre
istituzioni europee, come pure rappresentanti degli organismi
decentrati UE quando vi si discutono questioni che li riguardano.
Il gruppo consultivo della Commissione per la politica sicurezza
si riunisce a richiesta del presidente o di uno dei suoi membri. Esso
ha il compito di esaminare e valutare tutte le questioni relative
alla sicurezza e, se del caso. di presentare raccomandazioni alla
Commissione.
13. IL COMITATO DI SICUREZZA DELLA COMMISSIONE
E' istituito un comitato di sicurezza, presieduto dal Segretario
generale e composto dai direttori generali del servizio giuridico,
dell'amministrazione e del personale, delle reazioni esterne, della
giustizia e affari interni e del centro comune di ricerca, nonche'
dai capi del servizio di audit interno e dell'ufficio di sicurezza
della Commissione. Possono essere invitati a parteciparvi anche altri
funzionari della Commissione. Esso ha il compito di valutare le
misure di sicurezza vigenti all'interno della Commissione e di
rivolgere raccomandazioni in materia al membro della Commissione
competente per la sicurezza.
14. L'UFFICIO Dl SICUREZZA DELLA COMMISSIONE
Per adempiere le responsabilita' di cui alla sezione 11, il membro
della Commissione competente per la sicurezza dispone dell'ufficio di
sicurezza della Commissione per il coordinamento, la supervisione e
l'applicazione delle misure di sicurezza.
Il capo dell'ufficio di sicurezza della Commissione e' il
consigliere principale del membro della Commissione competente in
materia di sicurezza circa le questioni di sicurezza e funge da
segretario del gruppo consultivo per la politica di sicurezza. Dirige
l'aggiornamento della normativa in materia di sicurezza e coordina le
misure di sicurezza con le autorita' competenti degli Stati membri e,
se del caso, con le organizzazioni internazionali che hanno concluso
con la Commissione accordi in materia di sicurezza. A questo scopo
agisce come ufficiale di collegamento.
Il capo dell'ufficio di sicurezza della Commissione e'
responsabile dell'accreditamento dei sistemi e delle reti di TI
all'interno della Commissione. Il capo dell'ufficio di sicurezza
della Commissione decide, d'intesa con le competenti NSA, circa
l'accreditamento dei sistemi e delle reti di TI che coinvolgono la
Commissione, da un lato, e qualsiasi altro destinatario di
informazioni classificate UE, dall'altro.
15. ISPEZIONI DI SICUREZZA
L'ufficio di sicurezza della Commissione compie ispezioni
periodiche dei dispositivi di sicurezza per la protezione delle
informazioni classificate UE.
L'ufficio di sicurezza della Commissione puo' essere assistito,
nell'esercizio di questa funzione, dai servizi di sicurezza di altre
istituzioni dell'UE che custodiscono ICUE o dalle NSA degli Stati
membri (1).
A richiesta di uno Stato membro, la rispettiva NSA puo' compiere
un'ispezione di ICUE all'interno della Commissione, di comune accordo
e in collaborazione con l'ufficio di sicurezza della Commissione.
16. CLASSIFICAZIONI INDICAZIONI DI SICUREZZA E CONTRASSEGNI
16.1. Gradi di classificazione (1)
Le informazioni sono classificate con i seguenti gradi (cfr. anche
appendice 2):
UE SEGRETISSIMO: questa classificazione si applica soltanto a
informazioni e materiali la cui divulgazione non autorizzata potrebbe
arrecare danni di eccezionale gravita' agli interessi fondamentali
dell'Unione europea o di uno o piu' Stati membri.
UE SEGRETO: questa classificazione si applica soltanto a
informazioni e materiali la cui divulgazione non autorizzata potrebbe
ledere gravemente gli interessi fondamentali dell'Unione europea o di
uno o piu' Stati membri.
UE RISERVATISSIMO: questa classificazione si applica a
informazioni e materiali la cui divulgazione non autorizzata potrebbe
ledere gli interessi fondamentali dell'Unione europea o di uno o piu'
Stati membri.
UE RISERVATO: questa classificazione si applica a informazioni e
materiali la cui divulgazione non autorizzata potrebbe arrecare
pregiudizio agli interessi dell'Unione europea o di uno o piu' Stati
membri.
Non sono ammesse altre classificazioni.
16.2. Indicazioni di sicurezza
Possono essere utilizzate indicazioni di sicurezza convenzionali
per porre limiti alla validita' di una classificazione (per il
declassamento o la declassificazione automatica di informazioni
classificate). Tali indicazioni possono essere: "FINO A.....
(periodo/data)" o FINO A .... (evento).
Qualora risultino necessari una distribuzione limitata e un
trattamento speciale oltre a quanto indicato dalla classificazione di
sicurezza, si appongono indicazioni supplementari quali CRYPTO o
qualunque altra indicazione di sicurezza riconosciuta a livello UE.
Le indicazioni di sicurezza possono essere utilizzate soltanto
unitamente ad una classificazione.
16.3. Contrassegni
Un contrassegno puo' essere usato per specificare un settore che
forma oggetto del documento o una distribuzione particolare sulla
base del principio della necessita' di sapere, ovvero per indicare il
termine di un embargo (nel caso di informazioni non classificate).
Un contrassegno non e' una classificazione e non deve essere unto
al posto di questa.
Il contrassegno ESDP/PESD si appone su documenti e copie degli
stessi concernenti la sicurezza e la difesa dell'Unione o di uno o
piu' Stati membri o relativi alla gestione delle crisi militari o non
militari.
16.4. Apposizione della classificazione
La classificazione si appone nel modo seguente:
a) su documenti UE RISERVATO con mezzi meccanici o elettronici;
b) su documenti UE RISERVATISSIMO con mezzi meccanici o a mano o a
stampa su carta prestampigliata. registrata;
c) su documenti UE SEGRETO e UE SEGRETISSIMO con mezzi meccanici e a
mano.
16.5. Apposizione delle indicazioni di sicurezza
Le indicazioni di sicurezza sono apposte immediatamente sotto la
classificazione, con lo stesso mezzo usato per la classificazione.
17. GESTIONE DELLA CLASSIFICAZIONE
7.1. Considerazioni generali
Le informazioni sono classificate solo se necessario. La
classificazione e' indicata chiaramente e correttamente ed e
mantenuta solo per la durata in cui e' necessario proteggere
l'informazione.
La responsabilita' della classificazione dell'informazione e di
eventuali declassamenti o declassificazioni successivi spetta
unicamente all'originatore.
Il funzionario o atro agente della Commissione classifica,
declassa o declassifica un'informazione su istruzione del suo
superiore gerarchico o d'intesa con il medesimo.
Le modalita' dettagliate per il trattamento dei documenti
classificati sono state elaborate m modo da garantire che essi siano
soggetti a una protezione commisurata alle informazioni che
contengono.
Il numero di persone autorizzate ad emanare documenti UE
SEGRETISSIMO e' limitato al minimo e il loro nominativo figura in un
elenco compilato dall'ufficio di sicurezza della Commissione.
17.2. Attribuzione delle classificazioni
La classificazione di un documento e' determinata dal livello di
sensibilita' del suo contenuto, secondo la definizione di cui alla
sezione 16. E' importante che la classificazione sia attribuita
correttamente e con moderazione, in particolare per quanto riguarda
la classificazione UE SEGRETISSIMO.
L'originatore di un documento che deve essere classificato tiene
presenti le disposizioni sopraelencate e limita la tendenza alla
sovra o sottoclassificazione.
Nell'appendice 2 figura una guida pratica per la classificazione.
E' possibile che singole pagine, paragrafi, sezioni, annessi,
appendici, allegati di un determinato documento e altro materiale
accluso richiedano classificazioni differenti: in tal caso,
all'insieme del documento viene attribuita la classificazione
dell'elemento con grado piu' elevato.
Il grado di classificazione attribuito a una lettera o nota cui e'
accluso altro materiale corrisponde a quello dell'elemento accluso
con grado piu' elevato. L'originatore indica chiaramente il grado di
classificazione da attribuire alla lettera o nota quando e' separata
dal materiale accluso.
L'accesso del pubblico continua ad essere disciplinato dal
regolamento (CE) n. 1049/2001.
17.3. Declassamento e declassificazione
I documenti classificati UE possono essere declassati o
declassificati unicamente con il consenso dell'originatore e, se
necessario, previa discussione con le altre parti interessate. Il
declassamento o la declassificazione sono confermati per iscritto.
L'originatore e' tenuto ad informare i destinatari del cambiamento di
classificazione e questi ultimi sono a loro volta tenuti ad
informarne i destinatari successivi ai quali hanno trasmesso
l'originale o una copia del documento.
Nella misura del possibile, l'originatore indica sul documento
classificato la data, un termine o un evento a partire dal quale e
informazioni in esso contenute potranno essere declassate o
declassificate. In caso contrario, esso verifica almeno ogni cinque
anni che la classificazione iniziale del documento sia tuttora
necessaria.
18. SICUREZZA MATERIALE
18.1. Considerazioni generali
Scopo principale delle misure di sicurezza materiale e' di evitare
che le persone non autorizzate abbiano accesso alle informazioni e/o
al materiale classificato UE, di prevenire il furto e la manomissione
di attrezzature e altri beni, nonche' di impedire che il personale o
altri agenti e visitatori vengano molestati o aggrediti.
18.2. Requisiti di sicurezza
Tutti i locali, zone, edifici, uffici, stanze, sistemi di
comunicazione e d'informazione, ecc. in cui sono custoditi e/o
trattati informazioni e materiale classificati UE sono protetti da
adeguate misure di sicurezza materiale.
Per la decisione sul grado di protezione materiale necessario
occorre tener conto di tutti i fattori pertinenti, quali:
a) il grado di classificazione dell'informazione e/o del materiale;
b) la quantita' e la forma (ad esempio supporto cartaceo, mezzi di
archiviazione elettronica) delle informazioni detenute:
c) la minaccia in loco rappresentata da servizi segreti che prendono
di mira l'UE, gli Stati membri e/o altre istituzioni o terzi in
possesso di informazioni classificate UE, nonche' segnatamente da
atti di sabotaggio, terrorismo e altri atti sovversivi e/o
criminali.
Le misure di sicurezza materiale applicate sono volte a:
a) impedire agli intrusi l'ingresso fraudolento o con la forza;
b) dissuadere, impedire e scoprire azioni da parte di personale in
malafede;
c) impedire l'accesso a informazioni classificate UE a coloro che non
hanno necessita' di sapere.
18.3. Misure di sicurezza materiale
18.3.1. Zone di sicurezza
Le zone in cui sono trattate e custodite le informazioni
classificate UE RISERVATISSIMO o di grado superiore sono organizzate
e strutturate in modo da corrispondere a uno dei seguenti parametri:
a) zona di sicurezza di categoria I: zona in cui sono trattate e
custodite informazioni UE RISERVATISSIMO o di grado superiore in
modo che l'ingresso in tale zona rappresenti, a tutti i fitti
pratici, l'accesso alle informazioni classificate. Per tale zona
occorre prevedere:
i) un perimetro chiaramente delimitato e protetto attraverso cui
controllare tutti gli ingressi e le uscite;
ii) un sistema di controllo all'entrata che consenta l'ingresso
solo alle persone in possesso di debito nulla osta di sicurezza
ed espressamente autorizzate ad entrare in tale zona;
iii) la specificazione della classificazione attribuita
all'informazione normalmente custodita nella zona in questione
ossia l'informazione cui si accede entrando in tale zona;
b) zona di sicurezza di categoria II: zona in cui sono trattate e
custodite informazioni UE RISERVATISSIMO o di grado superiore in
modo da proteggerle dall'accesso di persone non autorizzate
mediante controlli interni, ad esempio edifici in cui si trovano
gli uffici in cui vengono di solito trattate e custodite le
Informazioni UE RISERVATISSIMO o di grado superiore. Per tale zona
occorre prevedere:
i) un perimetro chiaramente delimitato e protetto attraverso cui
controllare tutti gli ingressi e le uscite;
ii) un sistema di Controllo all'entrata che consenta l'ingresso
senza scorta solo alle persone in possesso di debito nulla osta
di sicurezza ed espressamente autorizzate ad entrare in tale
zona. Per tutte le altre persone occorre prevedere scorte o
controlli equivalenti per evitare l'accesso non autorizzato alle
informazioni classificate UE e l'ingresso non controllato a zone
soggette a ispezioni tecniche di sicurezza.
Le zone non occupate da personale in servizio 24 ore al giorno
sono ispezionate immediatamente dopo il normale orario di lavoro per
garantire che le informazioni classificate UE siano correttamente
protette.
18.3.2. Zona amministrativa
In prossimita' delle zone di sicurezza di categoria I e II o per
accedere a tali zone, puo' essere creata una zona amministrativa con
minor livello di sicurezza. Occorre prevedere un perimetro
chiaramente delimitato per l'ispezione del personale e dei veicoli.
Nella zona amministrativa possono essere trattate e custodite solo
informazioni classificate UE RISERVATO o non classificate.
18.3.3. Controlli all'entrata all'uscita
L'ingresso alle zone di sicurezza delle categorie I e II e'
controllato da un lasciapassare o da un sistema di riconoscimento
personale che si applica all'insieme del personale che presta
regolarmente servizio in queste zone. E' altresi' predisposto un
sistema di controllo dei visitatori al fine di impedire l'accesso non
autorizzato ad informazioni classificate UE. I sistemi di
lasciapassare possono essere completati da altri di identificazione
automatizzata, senza che cio' sostituisca totalmente le guardie di
sicurezza. Una modifica nella valutazione del rischio puo' comportare
un rafforzamento delle misure di controllo delle entrate e delle
uscite, per esempio durante le visite di personalita'.
18.3.4. Ronde di controllo
Le ronde di controllo delle zone di sicurezza di categoria I e II
vengono effettuate al di fuori del normale orario di lavoro per
proteggere i beni dell'UE dal rischio di manomissioni danni o
perdite. Le ronde sono effettuate secondo una frequenza determinata
dalle circostanze locali ma, indicativamente ogni due ore.
18.3.5. Contenitori di sicurezza e camere blindate
Le informazioni classificate UE sono custodite in contenitori
suddivisi in tre categorie:
- categoria A: contenitori approvati a livello nazionale per
custodire informazioni classificate UE SEGRETISSIMO nelle zone di
sicurezza delle categorie I e II,
- categoria B: contenitori approvati a livello nazionale per
custodire informazioni classificate UE SEGRETO e UE RISERVATISSIMO
nelle zone di sicurezza delle categorie I e II,
- categoria C: mobili da ufficio atti a custodire solo le
informazioni classificate UE RISERVATO.
Nelle camere blindate costruite in una zona di sicurezza della
categoria I o II, e in tutte le zone di sicurezza della categoria I
in cui le informazioni classificate UE RISERVATISSIMO o di grado
superiore sono custodite in scaffali aperti o in cui si visualizzano
prospetti, piantine, ecc., le pareti, il pavimento ed il soffitto, la
o le porte provviste di serratura o serrature sono omologate dalla
SAA per garantire che offrano una protezione equivalente alla
categoria di contenitore di sicurezza approvato per custodire
informazioni con lo stesso grado di classificazione.
18.3.6. Dispositivi di chiusura
I dispositivi di chiusura utilizzati per i contenitori di
sicurezza e le camere blindate in cui sono custodire informazioni
classificate UE devono soddisfare i seguenti requisiti:
- gruppo A: approvati a livello nazionale per contenitori della
categoria A,
- gruppo B: approvati a livello nazionale per contenitori della
categoria B,
- gruppo C: idonei solo per i mobili da ufficio della categoria C.
18.3.7. Controllo delle chiavi e delle combinazioni
Le chiavi del contenitori di sicurezza non possono essere
asportate dagli edifici della Commissione. La combinazione dei
contenitori di sicurezza deve essere conosciuta a memoria dalle
persone che ne fanno uso. il responsabile della sicurezza a livello
locale presso il servizio interessato ha la responsabilita' delle
chiavi di riserva e di una traccia scritta di tutte le combinazioni,
conservate in singoli plichi opachi sigillati, di cui far uso in caso
di emergenza. Le chiavi, le chiavi di riserva e le combinazioni sono
custodite in contenitori di sicurezza separati. Le chiavi e le
combinazioni ricevono almeno la stessa protezione riservata al
materiale cui danno accesso.
La combinazione dei contenitori di sicurezza e' portata a
conoscenza del minor numero di persone possibile. Le combinazioni
vengono sostituite:
a) al ricevimento di ogni nuovo contenitore;
b) ad ogni cambiamento di personale;
c) ad ogni manomissione effettiva o sospettata;
d) ad intervalli possibilmente semestrali, e per lo meno ogni dodici
mesi.
18.3.8. Dispositivi per il rilevamento di intrusi
Quando le informazioni classificate UE sono protette da sistemi di
allarme, televisione a circuito chiuso e altri dispositivi elettrici,
si prevede un'erogazione di elettricita' di emergenza per garantire
il funzionamento ininterrotto del sistema in caso di avaria del
sistema centrale. E altresi' indispensabile che in caso di
disfunzione o di manomissione di detti sistemi, venga attivato un
allarme o un altro segnale affidabile per il servizio di sicurezza.
18.3.9. Attrezzatura approvata
L'ufficio di sicurezza della Commissione mantiene elenchi
aggiornati, suddivisi per tipo e modello, dell'attrezzatura di
sicurezza approvata per la protezione delle informazioni classificate
in varie circostanze e condizioni specificate. Questi elenchi sono
compilati sulla base, tra l'altro, delle informazioni fornite dalle
NSA.
18.3.10. Protezione materiale delle fotocopiatrici e dei fax
Le fotocopiatrici e i fax sono protetti materialmente per quanto
necessario a garantire che solo le persone autorizzate possano usarli
e che tutti i documenti classificati da essi prodotti siano soggetti
a opportuni controlli.
18.4. Protezione contro sguardi e ascolti indiscreti
18.4.1. Sguardi indiscreti
Per garantire che le informazioni classificate UE non siano
visionate, anche accidentalmente, da persone non autorizzate, devono
essere prese tutte le misure appropriate, sia di giorno che di notte.
18.4.2. Ascolti indiscreti
Gli uffici o le zone in cui si discutono regolarmente informazioni
classificate UE SEGRETO o di grado superiore sono protetti
dall'ascolto indiscreto attivo e passivo qualora il rischio lo
giustifichi. La valutazione del rischio di tale eventualita' spetta
all'ufficio di sicurezza della Commissione, eventualmente previa
consultazione delle NSA.
18.4.3. Introduzione di apparecchi elettronici e di registrazione
E' vietato introdurre telefoni cellulari, computer portatili,
registratori, apparecchi fotografici e altri dispositivi elettronici
o di registrazione nelle zone di sicurezza o nelle zone tecnicamente
sicure senza previa autorizzazione del capo dell'ufficio di sicurezza
della Commissione.
Per decidere le misure di protezione che occorre prendere nei
locali che possono essere soggetti ad ascolto indiscreto passivo (per
esempio, isolamento dei muri, delle porte, del pavimento e del
soffitto, misurazione delle emissioni compromettenti) e all'ascolto
indiscreto attivo (per esempio, ricerca di microfoni), l'ufficio di
sicurezza della Commissione puo' chiedere l'assistenza di esperti
delle NSA.
Parimenti, su richiesta del capo dell'ufficio di sicurezza, quando
le circostanze lo rendano necessario, specialisti della sicurezza
tecnica delle NSA possono ispezionare il materiale per le
telecomunicazioni e qualsiasi tipo di attrezzatura elettrica o
elettronica da ufficio utilizzata durante le riunioni di livello UE
SEGRETO e di grado superiore.
18.5. Zone tecnicamente sicure
Talune zone possono essere designate come zone tecnicamente
sicure. Per queste zone e' previsto un controllo speciale
all'ingresso. Quando non vengono occupate, tali zone sono chiuse a
chiave mediante una procedura convenuta, e tutte le chiavi sono
considerate chiavi di sicurezza. Queste zone sono soggette a regolari
ispezioni materiali, cui si procedera' anche dopo ogni ingresso non
autorizzato, effettivo o sospettato.
Si procede ad un inventario particolareggiato dell'attrezzatura e
dei mobili per controllarne la movimentazione. In queste zone non
possono essere introdotti mobili o altra attrezzatura che non siano
stati precedentemente verificati con cura dal personale di sicurezza
avente una formazione specifica per rilevare qualsiasi meccanismo di
ascolto. Come regola generale, nelle zone tecnicamente sicure e'
vietato installare linee di comunicazione, salvo previa
autorizzazione da parte dell'autorita' competente.
19. REGOLE GENERALI RELATIVE AL PRINCIPIO DELLA NECESSITA'
DI SAPERE E AL NULLA OSTA DI SICUREZZA
19.1. Considerazioni generali
L'accesso alle ICUE e' consentito solo alle persone che hanno
necessita' di sapere per lo svolgimento delle loro funzioni o
missioni. L'accesso alle informazioni UE SEGRETISSIMO, UE SEGRETO e
UE RISERVATISSIMO e' autorizzato solo per le persone in possesso
dell'apposito nulla osta di sicurezza.
La responsabilita' di determinare la necessita' di sapere spetta
al capo del servizio presso il quale l'interessato deve lavorare.
Spetta a ciascun servizio fare richiesta di nulla osta per il
proprio personale.
Tale procedura si conclude con il rilascio di un "nulla osta di
sicurezza" in cui e' specificato il grado di classificazione delle
informazioni cui la persona abilitata ha accesso e la data di
scadenza di tale nulla osta.
Un nulla osta di sicurezza per un determinato grado di
classificazione puo' conferire al titolare il diritto di accesso ad
informazioni classificate di grado inferiore.
Le persone che non sono funzionari o altri agenti delle
istituzioni dell'UE, quali ad esempio contraenti, esperti o
consulenti con cui possa essere necessario discutere informazioni
classificate UE, o ai quali tali informazioni debbano essere
mostrate, devono possedere un nulla osta di sicurezza per le
informazioni classificate UE ed essere istruite quanto alla loro
responsabilita' in materia di sicurezza.
L'accesso del pubblico continua ad essere disciplinato dal
regolamento (CE) n. 1049/2001.
19.2. Regole particolari sull'accesso alle informazioni UE
SEGRETISSIMO
La persona che deve accedere ad informazioni UE SEGRETISSIMO vi e'
autorizzata solo previa indagine.
La persona che deve accedere ad informazioni UE SEGRETISSIMO e'
designata dal membro della Commissione competente in materia di
sicurezza e il suo nominativo e' inserito nell'apposito registro UE
SEGRETISSIMO. Tale registro ecompilato e tenuto dall'ufficio di
sicurezza della Commissione.
Prima di accedere alle informazioni UE SEGRETISSIMO, la persona in
questione deve firmare un certificato in cui dichiara di essere stata
istruita sulle procedure della Commissione in materia di sicurezza e
di essere pienamente consapevole della responsabilita' che le incombe
quanto alla protezione delle informazioni UE SEGRETISSIMO nonche'
delle conseguenze previste dalle norme UE e dalle norme legislative o
amministrative nazionali qualora informazioni classificate vengano
divulgate a persone non autorizzate, intenzionalmente o per
negligenza.
Per le persone che hanno accesso a informazioni UE SEGRETISSIMO
nel corso di riunioni, ecc., il funzionario di controllo competente
del servizio o dell'organismo presso il quale dette persone sono
assunte notifica all'organizzatore della riunione che le persone in
questione sono debitamente autorizzate a parteciparvi.
Il nominativo della persona che cessi di svolgere funzioni per le
quali e' richiesto l'accesso ad informazioni UE SEGRETISSIMO e'
rimosso dall'elenco UE SEGRETISSIMO. Inoltre, la sua attenzione e'
nuovamente richiamata sulla responsabilita' particolare che le
incombe quanto alla protezione delle informazioni UE SEGRETISSIMO.
Essa e' anche tenuta a firmare una dichiarazione in cui si impegna a
non utilizzare o divulgare le informazioni UE SEGRETISSIMO in suo
possesso.
19.3. Regole particolari sull'accesso alle informazioni UE SEGRETO
e UE RISERVATISSIMO
La persona che deve accedere ad informazioni UE SEGRETO e UE
RISERVATISSIMO vi e' autorizzata solo previa indagine.
La persona che deve accedere ad informazioni UE SEGRETO e UE
RISERVATISSIMO deve essere a conoscenza delle pertinenti norme di
sicurezza ed essere consapevole delle conseguenze di un atto di
negligenza.
Per le persone che hanno accesso ad informazioni UE SEGRETO e UE
RISERVATISSIMO nel corso di riunioni, ecc., il funzionario di
controllo competente del servizio o dell'organismo presso il quale
dette persone sono assunte notifica all'organizzatore della riunione
che le persone in questione sono debitamente autorizzate a
parteciparvi.
19.4. Regole particolari sull'accesso alle informazioni UE
RISERVATO
La persona che ha accesso ad informazioni UE RISERVATO viene messa
a conoscenza delle presenti norme di sicurezza e delle conseguenze di
un atto di negligenza.
19.5. Trasferimenti
Quando un membro del personale e' trasferito da un posto che
comporta il trattamento di materiale classificato UE l'ufficio di
registrazione provvede al corretto trasferimento di detto materiale
dal funzionario uscente al funzionario entrante.
Quando un membro del personale e' trasferito ad un altro posto che
comporta il trattamento di materiale classificato UE il responsabile
della sicurezza a livello locale provvede ad impartirgli le debite
istruzioni.
19.6. Istruzioni particolari
La persona che deve trattare informazioni classificate UE deve
essere messa a conoscenza, all'atto dell'assunzione e successivamente
con periodicita', di quanto segue:
a) i pericoli per la sicurezza derivanti da conversazioni indiscrete;
b) le precauzioni da prendere nei rapporti con la stampa e con
rappresentanti di particolari gruppi d'interessi;
c) la minaccia rappresentata dalle attivita' di servizi segreti che
prendono di mira l'UE e gli Stati membri per quanto riguarda le
informazioni e le attivita' classificate UE;
d) l'obbligo di riferire immediatamente alle competenti autorita' di
sicurezza in merito a qualsiasi approccio o manovra che possa
destare sospetti su un'eventuale attivita' di spionaggio o a
qualsiasi circostanza inabituale in fatto di sicurezza.
Tutti coloro che sono abitualmente esposti a frequenti contatti
con rappresentanti di paesi i cui servizi segreti prendono di mira
l'UE e gli Stati membri per quanto riguarda le informazioni e le
attivita' classificate UE vengono istruiti sulle tecniche
notoriamente impiegate dai vari servizi segreti.
Non esistono norme di sicurezza della Commissione per quanto
riguarda i viaggi personali verso qualsiasi destinazione effettuati
da personale abilitato all'accesso a informazioni classificate UE.
L'ufficio di sicurezza della Commissione, tuttavia, informa i
funzionari e altri agenti di cui e' responsabile in merito alle
disposizioni in materia di viaggio cui possono essere soggetti.
20. PROCEDURA PER IL RILASCIO DEL NULLA OSTA DI SICUREZZA
AI FUNZIONARI E ALTRI AGENTI DELLA COMMISSIONE
a) Hanno accesso alle informazioni classificate in possesso della
Commissione soltanto i funzionari e gli altri agenti della
Commissione o le persone che lavorano in seno alla Commissione
che, a motivo delle loro funzioni e per esigenze di servizio,
abbiano bisogno di prenderne visione o di effettuarne il
trattamento.
b) Per poter accedere alle informazioni classificate UE SEGRETISSIMO,
UE SEGRETO e UE RISERVATISSIMO, le persone di cui alla lettera a)
devono essere state autorizzate a tal fine secondo la procedura di
cui alle lettere c) e d) della presente sezione.
c) Il nulla osta di sicurezza e' rilasciato soltanto alle persone che
sono state oggetto di un'indagine di sicurezza da parte delle
autorita' nazionali competenti degli Stati membri (NSA) secondo la
procedura di cui alle lettere da i) a n).
d) Il capo dell'ufficio di sicurezza della Commissione e' competente
per il rilascio del nulla osta di sicurezza di cui alle lettere
a), b) e c).
e) Il capo dell'ufficio di sicurezza della Commissione rilascia tale
nulla osta previo parere delle autorita' nazionali competenti
degli Stati membri sulla base dell'indagine di sicurezza condotta
conformemente alle lettere da i) a n).
f) L'ufficio di sicurezza della Commissione tiene un elenco
aggiornato di tutti i posti sensibili, comunicati dai rispettivi
servizi della Commissione, e di tutte le persone cui e' stato
rilasciato un nulla osta di sicurezza (temporaneo).
g) Il nulla osta di sicurezza, che e' valido per un periodo di cinque
anni, non puo' avere durata superiore a quella delle funzioni che
ne hanno giustificato il rilascio. Esso puo' essere rinnovato
secondo la procedura di cui alla lettera e).
h) Il nulla osta di sicurezza e' revocato dal capo dell'ufficio di
sicurezza della Commissione ove questi ritenga che ve ne sia
fondato motivo. La decisione di revoca e' notificata alla persona
interessata, che puo' chiedere di essere ascoltata dal capo
dell'ufficio di sicurezza della Commissione, nonche' all'autorita'
nazionale competente.
i) L'indagine di sicurezza e' effettuata, con la collaborazione della
persona interessata e su richiesta del capo dell'ufficio di
sicurezza della Commissione, dalle autorita' nazionali competenti
dello Stato membro di cui l'interessato e' cittadino. Se la
persona interessata non ha la cittadinanza di uno Stato membro
dell'UE, il capo dell'ufficio di sicurezza della Commissione
chiede che a svolgere l'indagine di sicurezza sia lo Stato membro
dell'UE in cui l'interessato ha eletto domicilio o risiede
abitualmente.
j) Ai fini dell'indagine la persona interessata e' tenuta a compilare
un modulo informativo individuale.
k) Nella richiesta il capo dell'ufficio di sicurezza della
Commissione specifica il tipo e il grado di classificazione delle
informazioni a cui la persona interessata dovra' accedere, per
consentire alle autorita' nazionali competenti di svolgere
l'indagine ed esprimere un parere relativamente al grado di
abilitazione da rilasciare alla persona in questione.
l) Sia lo svolgimento che i risultati della procedura d'indagine sono
soggetti alle pertinenti disposizioni legislative e amministrative
vigenti nello Stato membro interessato, comprese quelle relative
agli eventuali mezzi di impugnazione.
m) Se le autorita' nazionali competenti degli Stati membri esprimono
parere positivo, il capo dell'ufficio di sicurezza della
Commissione puo' rilasciare il nulla osta alla persona
interessata.
n) Se le autorita' nazionali competenti esprimono parere negativo, la
persona interessata e' informata di tale parere e puo' chiedere di
essere ascoltata dal capo dell'ufficio di sicurezza della
Commissione. Il capo dell'ufficio di sicurezza della Commissione
puo', se lo ritiene necessario, rivolgersi alle autorita'
nazionali competenti per chiedere i chiarimenti complementari che
siano in grado di fornire. In caso di riconferma del parere
negativo, il nulla osta non puo' essere rilasciato.
o) Ogni persona che abbia ottenuto il nulla osta a norma delle
lettere d) ed e) riceve, al momento del rilascio del medesimo e
successivamente ad intervalli regolari, le necessarie istruzioni
concernenti la protezione delle informazioni classificate e le
modalita' per garantirla. Essa firma una dichiarazione in cui
conferma di avere ricevuto tali istruzioni e di impegnarsi a
rispettarle.
p) Il capo dell'ufficio di sicurezza della Commissione adotta le
misure necessarie per attuare le disposizioni della presente
sezione, in particolare per quanto riguarda le norme in materia di
accesso all'elenco delle persone abilitate.
q) In via eccezionale e per esigenze di servizio, il capo
dell'ufficio di sicurezza della Commissione, previa notificazione
delle autorita' nazionali competenti e in mancanza di reazioni da
parte di queste ultime entro il termine di un mese, puo'
rilasciare un nulla osta a titolo temporaneo per un periodo non
superiore a sei mesi, in attesa dell'esito dell'indagine di cui
alla lettera i).
r) I nulla osta provvisori e temporanei rilasciati non danno accesso
alle informazioni UE SEGRETISSIMO: tale accesso elimitato ai
funzionari che siano stati effettivamente sottoposti a un'indagine
di sicurezza con esito positivo, ai sensi della lettera i). In
attesa dell'esito dell'indagine, i funzionari per i quali e' stato
richiesto un nulla osta di sicurezza al grado UE SEGRETISSIMO
possono essere abilitati in via temporanea e provvisoria ad
accedere a informazioni classificate fino al grado UE SEGRETO
incluso.
21. ELABORAZIONE, DISTRIBUZIONE, TRASMISSIONE, SICUREZZA DEL
PERSONALE DEI CORRIERI, COPIE, TRADUZIONI ED ESTRATTI
DI DOCUMENTI CLASSIFICATI UE
21.1. Elaborazione
1. Le classificazioni UE sono apposte secondo le disposizioni
della sezione 16; le classificazioni UE RISERVATISSIMO e di grado
superiore figurano sulla parte superiore e inferiore di ogni pagina,
al centro; ogni pagina e' numerata. Ciascun documento classificato UE
reca un numero di riferimento e una data. Nei documenti UE
SEGRETISSIMO e UE SEGRETO il numero di riferimento figura su ciascuna
pagina. Qualora i documenti siano distribuiti in piu' esemplari,
ognuno di essi reca un numero di copia che figura sulla prima pagina,
a fianco del numero totale di pagine. Tutti gli allegati e il
materiale accluso sono elencati sulla prima pagina dei documenti
classificati UE RISERVATISSIMO o di grado superiore.
2. I documenti classificati UE RISERVATISSIMO o di grado superiore
sono dattiloscritti, tradotti, archiviati, fotocopiati, riprodotti su
supporto magnetico o microfilm soltanto da persone che hanno ricevuto
il nulla osta di sicurezza per l'accesso alle informazioni
classificate UE per un grado almeno pari alla classificazione di
sicurezza del documento in questione.
3. Le disposizioni che disciplinano la produzione informatica di
documenti classificati sono riportate nella sezione 25.
21.2. Distribuzione
1. Le informazioni classificate UE sono distribuite solo alle
persone aventi necessita' di sapere e che hanno ricevuto l'apposito
nulla osta di sicurezza. La distribuzione iniziale e' specificata
dall'originatore.
2. I documenti UE SEGRETISSIMO sono distribuiti tramite gli uffici
di registrazione UE SEGRETISSIMO (cfr. punto 22.2). Per i messaggi UE
SEGRETISSIMO l'ufficio di registrazione competente puo' autorizzare
il responsabile del centro di comunicazioni a produrre il numero di
copie specificato nell'elenco dei destinatari.
3. I documenti classificati UE SEGRETO o di grado inferiore
possono essere ridistribuiti dal destinatario iniziale ad altri
destinatari in base alla necessita' di sapere. Le autorita' d'origine
tuttavia indicano chiaramente ogni limitazione che desiderano
imporre. In presenza di tali limitazioni i destinatari possono
ridistribuire i documenti solo con l'autorizzazione dell'autorita'
d'origine.
4. Ogni documento classificato UE RISERVATISSIMO e di grado
superiore viene registrato, all'entrata e all'uscita dalla DG o dal
servizio, dall'ufficio di registrazione locale. I dettagli da
annotare (riferimenti, data e, se del caso, numero della copia) sono
tali da consentire l'identificazione dei documenti e sono iscritti in
un repertorio o registrati su un supporto informatico appositamente
protetto (cfr. punto 22.1).
21.3. Trasmissione di documenti classificati UE
21.3.1. Plico, ricevuta
1. I documenti classificati UE RISERVATISSIMO o di grado superiore
sono trasmessi in buste doppie, resistenti, opache. La busta interna
reca la pertinente classificazione di sicurezza UE e, ove possibile,
i dati completi della funzione. del titolo e dell'indirizzo del
destinatario.
2. Solo il funzionario di controllo dell'ufficio di registrazione
(cfr. punto 22.1), o il suo sostituto, puo' aprire la busta interna e
accusare ricevuta dei documenti che contiene, a meno che essa sia
indirizzata ad una persona determinata. In tal caso il competente
ufficio di registrazione (cfr. punto 22.1) registra l'entrata della
busta e soltanto la persona cui essa e' indirizzata puo' aprire la
busta interna e accusare ricevuta dei documenti in essa contenuti.
3. Nella busta interna viene inserito un modulo di ricevuta, che
non viene classificato, indicante il numero di riferimento, la data e
il numero di copia del documento ma in nessun caso l'oggetto del
contenuto.
4. La busta interna e' inserita in una busta esterna recante un
numero di plico ai fini della ricevuta. In nessun caso la busta
esterna reca la classificazione di sicurezza.
5. Per i documenti classificati UE RISERVATISSIMO o di grado
superiore, viene consegnata al messo una ricevuta con il numero di
plico.
21.3.2. Trasmissione all'interno di un edificio o di un gruppo di
edifici
All'interno di un determinato edificio o gruppo di edifici, i
documenti classificati possono essere trasportati in una busta
sigillata recante unicamente il nome del destinatario, purche' il
trasporto sia effettuato direttamente da una persona abilitata al
grado di classificazione dei documenti.
21.3.3. Trasmissione all'interno di un paese
1. All'interno di un paese i documenti UE SEGRETISSIMO devono
essere inviati solo per mezzo di un servizio ufficiale di messaggeria
o tramite persone autorizzate ad accedere ad informazioni UE
SEGRETISSIMO.
2. Per il ricorso a un servizio di messaggeria in caso di
trasmissione di un documento UE SEGRETISSIMO al di fuori di un
edificio o di un gruppo di edifici, devono essere rispettate le
disposizioni relative al plico e alla ricezione di cui al presente
capitolo. L'organico dei servizi di messaggeria dev'essere tale da
garantire che i plichi contenenti documenti UE SEGRETISSIMO siano in
ogni momento sotto la supervisione diretta di un funzionario
responsabile.
3. In via eccezionale i documenti UE SEGRETISSIMO possono essere
trasportati da funzionari, non appartenenti a un servizio di
messaggeria, al di fuori di un edificio o gruppo di edifici per la
loro utilizzazione in loco nel corso di riunioni o discussioni,
purche':
a) il latore sia abilitato ad accedere a documenti UE SEGRETISSIMO;
b) il modo di trasporto sia conforme alle norme nazionali che
disciplinano la trasmissione di documenti nazionali
"segretissimi";
c) in nessuna circostanza i documenti UE SEGRETISSIMO siano lasciati
incustoditi;
d) si prendano disposizioni affinche' l'elenco dei documenti
trasportati in tal modo sia iscritto presso l'ufficio di
registrazione UE SEGRETISSIMO che detiene i documenti e in un
apposito repertorio e sia ricontrollato all'atto della riconsegna.
4. All'interno di un paese, i documenti UE SEGRETO e UE
RISERVATISSIMO possono essere spediti sia per posta, se tale tipo di
trasmissione i consentita in base alle norme nazionali ed e' conforme
a dette norme, o tramite servizio di messaggeria oppure affidandoli a
persone abilitate all'accesso alle informazioni classificate UE.
5. L'ufficio di sicurezza della Commissione elabora istruzioni per
il personale che trasporta documenti classificati UE in base alle
presenti norme. Il latore e' tenuto a leggere e firmare tali
istruzioni, le quali stabiliscono, in particolare che in nessun caso
i documenti:
a) siano lasciati dal latore, a meno che siano custoditi in modo
sicuro ai sensi delle disposizioni della sezione 18;
b) siano lasciati incustoditi su mezzi di trasporto pubblico o
all'interno di veicoli privati, o in luoghi quali ristoranti o
alberghi. Essi non possono essere depositati nella cassaforte
degli alberghi o restare incustoditi nelle camere;
c) siano letti in luoghi pubblici quali aeromobili treni.
21.3.4. Trasmissione da uno Stato all'altro
1. Il materiale classificato UE RISERVATISSIMO o di grado
superiore e' trasferito mediante valigia diplomatica corriere
militare.
2. Tuttavia il trasporto personale di materiale classificato UE
SEGRETO e UE RISERVATISSIMO e' consentito se le modalita' di
trasporto sono tali da garantire che detto materiale non possa cadere
nelle mani di persone non autorizzate.
3. lI membro della Commissione competente in materia di sicurezza
puo' autorizzare il trasporto personale quando la valigia diplomatica
e il corriere militare non siano disponibili o quando il ricorso a
tali mezzi di trasporto comporti un ritardo che sarebbe dannoso per
le operazioni dell'UE, nonche' quando il materiale sia richiesto
urgentemente dal destinatario designato. L'ufficio di sicurezza della
Commissione prepara istruzioni per il trasporto personale
internazionale di materiale classificato fino al grado di UE SEGRETO
incluso, effettuato da persone che non siano corrieri diplomatici o
militari. Ai sensi di tali istruzioni:
a) il latore deve avere il pertinente nulla osta di sicurezza;
b) il materiale trasportato e' registrato nel competente servizio o
ufficio di registrazione;
c) i plichi o le valigie contenenti materiale UE recano un sigillo
ufficiale onde evitare o scoraggiare un'ispezione doganale,
nonche' etichette con l'identificazione e istruzioni per chi
ritrova il materiale;
d) il latore e' munito di un certificato di corriere e/o di un ordine
di missione, riconosciuto da tutti gli Stati dell'UE che lo
autorizza a trasportare il plico specificato;
e) in caso di viaggio via terra non viene attraversato alcun paese
terzo, ne' la sua frontiera, a meno che lo Stato di spedizione non
abbia ottenuto una garanzia speciale da parte del paese in
questione;
f) l'organizzazione del viaggio del latore per quanto concerne
destinazioni, itinerari e mezzi di trasporto conforme alle norme
dell'UE o alle norme nazionali in materia qualora queste siano
piu' rigorose;
g) il materiale deve sempre essere detenuto dal latore a meno che sia
custodito ai sensi delle disposizioni relative alla conservazione
in luogo sicuro di cui alla sezione 18;
h) il materiale non deve essere lasciato incustodito in veicoli
pubblici o privati o in luoghi quali ristoranti o alberghi. Esso
non deve essere depositato nella cassaforte degli alberghi o
restare incustodito nelle camere;
i) se il materiale trasportato contiene documenti, questi non devono
essere letti in luoghi pubblici (ad esempio aerei, treni, ecc.).
4. La persona addetta al trasporto del materiale classificato deve
leggere e firmare un documento recante istruzioni di sicurezza in cui
figurino almeno le istruzioni di cui sopra e le procedure da seguire
in caso di emergenza o qualora il plico contenente il materiale
classificato sia richiesto per accertamenti dai servizi doganali o di
sicurezza degli aeroporti.
21.3.5. Trasmissione di documenti classificati UE RISERVATO
Non sono previste disposizioni speciali per il trasporto di
documenti UE RISERVATO, eccetto per quanto riguarda la garanzia che
non cadano nelle mani di persone non autorizzate.
21.4. Sicurezza del personale dei corrieri
Tutto il personale dei servizi di corriere e di messaggeria
addetto al trasporto di documenti UE SEGRETO e UE RISERVATISSIMO deve
essere in possesso del pertinente nulla osta di sicurezza.
21.5. Trasmissione elettronica e altri mezzi di trasmissione
tecnica
1. Le misure di sicurezza delle comunicazioni sono destinate a
garantire la trasmissione sicura delle informazioni classificate UE.
Le norme particolareggiate applicabili alla trasmissione ditali
informazioni classificate UE figurano nella sezione 25.
2. Le informazioni classificate UE RISERVATISSIMO e UE SEGRETO
possono transitare solo attraverso centri e reti di comunicazione e/o
terminali e sistemi accreditati.
21.6. Esemplari supplementari, traduzioni ed estratti di documenti
classificati UE
1. Solo l'originatore puo' autorizzare la tiratura o la traduzione
di documenti UE SEGRETISSIMO.
2. Se persone che non hanno il nulla osta di sicurezza del grado
UE SEGRETISSIMO richiedono informazioni le quali, sebbene contenute
in un documento UE SEGRETISSIMO, non hanno tale grado di
classificazione, il responsabile dell'ufficio di registrazione UE
SEGRETISSIMO (cfr. punto 22.2) puo' essere autorizzato a produrre il
numero necessario di estratti dal documento in questione.
Contemporaneamente egli prende le disposizioni necessarie affinche' a
tali estratti venga attribuita la pertinente classificazione di
sicurezza.
3. I documenti classificati UE SEGRETO o di grado inferiore
possono essere riprodotti e tradotti dal destinatario nell'ambito
delle presenti disposizioni e purche' sia rigorosamente rispettato il
principio della necessita' di sapere. Le misure di sicurezza
applicabili al documento originale si applicano anche alle
riproduzioni e/o traduzioni del medesimo.
22. UFFICI DI REGISTRAZIONE DELLE INFORMAZIONI CLASSIFICATE UE,
RASSEGNE, CONTROLLI, ARCHIVIAZIONE E DISTRUZIONE DELLE INFORMAZIONI
CLASSIFICATE UE
22.1. Uffici locali di registrazione ICUE (Informazioni classificate
UE)
1. In ogni servizio della Commissione uno o, se necessario, piu'
uffici locali di registrazione ICUE sono responsabili della
registrazione, riproduzione, spedizione, archiviazione e distruzione
dei documenti classificati UE SEGRETO e UE RISERVATISSIMO.
2. Qualora un servizio non disponga di un ufficio locale di
registrazione ICUE tale ruolo viene svolto dall'ufficio locale del
Segretariato generale.
3. Gli uffici locali di registrazione ICUE riferiscono al capo
servizio da cui ricevono le istruzioni. A capo degli uffici e' il
funzionario di controllo dell'ufficio di registrazione (RCO).
4. Gli uffici di registrazione sono soggetti alla supervisione del
responsabile locale della sicurezza per quanto attiene
all'applicazione delle disposizioni sul trattamento dei documenti
ICUE e al rispetto delle pertinenti misure di sicurezza.
5. I funzionari destinati agli uffici locali di registrazione ICUE
devono essere abilitati ad accedere a tali documementi conformemente
alla sezione 20.
6. Sotto la direzione del capo servizio competente, gli uffici
locali di registrazione ICUE devono:
a) gestire le operazioni relative alla registrazione, riproduzione,
traduzione, trasmissione, spedizione e distruzione di tali
informazioni;
b) aggiornare elenco dei dati relativi alle informazioni
classificate;
c) interrogare periodicamente gli originatori sulla necessita' di
mantenere la classificazione delle informazioni;
7. Gli uffici locali di registrazione ICUE tengono un registro con
i seguenti dati:
a) data di elaborazione delle informazioni classificate;
b) grado di classificazione;
c) data di scadenza della classificazione;
d) nome e servizio dell'originatore;
e) destinatario o destinatari con numero di serie;
f) oggetto;
g) numero;
h) numero di esemplari distribuiti;
i) preparazione di inventari delle informazioni classificate
sottoposte al servizio;
j) registro della declassificazione o declassamento delle
informazioni classificate.
8. Le norme generali di cui alla sezione 21 si applicano agli
uffici locali di registrazione ICUE della Commissione, salvo
altrimenti previsto da norme specifiche della presente sezione.
22.2. L'ufficio di registrazione UE SEGRETISSIMO
22.2.1. Considerazioni generali
1. Un ufficio centrale di registrazione UE SEGRETISSIMO assicura
che i documenti UE SEGRETISSIMO siano registrati, trattati e diffusi
conformemente alle presenti norme di sicurezza. A capo dell'ufficio
di registrazione UE SEGRETISSIMO e' il funzionario di controllo
dell'ufficio di registrazione UE SEGRETISSIMO.
2. L'ufficio centrale di registrazione UE SEGRETISSIMO e' la
principale autorita' della Commissione preposta alla ricezione e
all'invio e il referente di altre istituzioni della UE, degli Stati
membri, delle organizzazioni internazionali e dei paesi terzi con cui
la Commissione ha concluso accordi sulle procedure di sicurezza per
lo scambio di informazioni classificate.
3. Se necessario sono istituite sottosezioni degli uffici di
registrazione per la gestione interna dei documenti UE SEGRETISSIMO:
tali sottosezioni dispongono di dati aggiornati relativi alla
circolazione di ciascun documento di loro competenza.
4. Le sottosezioni degli uffici di registrazione UE SEGRETISSIMO
sono istituite secondo le modalita' di cui alla sezione 22.2.3 per
far fronte a esigenze di lungo termine e sono aggregate a un ufficio
centrale di registrazione UE SEGRETISSIMO. Qualora debbano essere
consultati solo in via temporanea o occasionale, i documenti UE
SEGRETISSIMO possono essere rilasciati senza istituire una
sottosezione UE SEGRETISSIMO, purche' vengano stabilite norme atte a
garantire che essi rimangano sotto il controllo del competente
ufficio di registrazione UE SEGRETISSIMO e che siano osservate tutte
le misure di sicurezza materiali e relative al personale.
5. Le sottosezioni degli uffici di registrazione non possono
trasmettere documenti UE SEGRETISSIMO direttamente ad altre
sottosezioni dello stesso ufficio centrale di registrazione UE
SEGRETISSIMO senza l'esplicito accordo di quest'ultimo.
6. Tutti gli scambi di documenti UE SEGRETISSIMO fra sottosezioni
non aggregate allo stesso ufficio centrale dl registrazione avvengono
tramite gli uffici centrali di registrazione UE SEGRETISSIMO.
22.2.2. L'ufficio centrale di registrazione UE SEGRETISSIMO
In qualita' di funzionario di controllo, il capo di un ufficio
centrale di registraziotte UE SEGRETISSIMO e' responsabile:
a) della trasmissione di documenti UE SEGRETISSIMO conformemente alle
disposizioni di cui alla sezione 21.3;
b) della compilazione di un elenco di tutte le sottosezioni
dell'ufficio di registrazione UE SEGRETISSIMO che dipendono dal
suo ufficio, corredato dei nomi e delle firme dei funzionari di
controllo designati e dei loro supplenti autorizzati;
c) della conservazione delle ricevute dei registri per tutti i
documenti UE SEGRETISSIMO distribuiti dall'ufficio centrale di
registrazione;
d) della registrazione di tutti i documenti UE SEGRETISSIMO custoditi
e distribuiti;
e) dell'aggiornamento costante di un elenco di tutti gli uffici
centrali di registrazione UE SEGRETISSIMO con cui e' normalmente
in contatto, corredato dei nomi e delle firme dei rispettivi
funzionari di controllo designati e dei loro supplenti
autorizzati;
f) della protezione materiale di tutti i documenti UE SEGRETISSIMO
custoditi presso l'ufficio di registrazione conformemente alle
disposizioni di cui alla sezione 18.
22.2.3. Sottosezioni dell'ufficio di registrazione UE SEGRETISSIMO
In qualita' di funzionario di controllo, il capo di una
sottosezione dell'ufficio di registrazione UE SEGRETISSIMO e'
responsabile:
a) della trasmissione di documenti UE SEGRETISSIMO conformemente alle
disposizioni di cui alla sezione 21.3;
b) dell'aggiornamento costante di un elenco di tutte le persone
autorizzate ad accedere alle informazioni UE SEGRETISSIMO di sua
competenza;
c) della distribuzione di documenti UE SEGRETISSIMO secondo le
istruzioni dell'originatore o in base al principio della
necessita' di sapere dopo avere accertato che il destinatario sia
fornito del necessario nullaosta di sicurezza;
d) dell'aggiornamento costante di un registro di tutti i documenti UE
SEGRETISSIMO custoditi o circolanti sotto il suo controllo o
passati ad altri uffici di registrazione UE SEGRETISSIMO e
conservazione delle relative ricevute;
e) dell'aggiornamento costante dell'elenco degli uffici centrali di
registrazione UE SEGRETISSIMO con cui e' autorizzato a scambiare
documenti UE SEGRETISSIMO, corredato dei nomi e delle firme dei
rispettivi funzionari di controllo e dei loro supplenti
autorizzati;
f) della protezione materiale di tutti i documenti UE SEGRETISSIMO
custoditi presso la sottosezione dell'ufficio di registrazione
conformemente alle disposizioni di cui alla sezione 18.
22.3. Inventari, rassegne e controlli dei documenti classificati UE
1. Ogni anno ogni ufficio di registrazione UE SEGRETISSIMO, di cui
alla presente sezione, effettua un inventario particolareggiato
dei documenti UE SEGRETISSIMO. Un documento si considera
inventariato quando l'ufficio lo detiene materialmente ovvero e'
in possesso della ricevuta dell'ufficio di registrazione UE
SEGRETISSIMO in cui il documento e' stato trasferito o del
certificato di distruzione del documento stesso o di istruzioni
relative al suo declassamento o alla sua declassificazione. I
risultati degli inventari annuali sono trasmessi al membro della
Commissione responsabile per le questioni della sicurezza entro,
al piu' tardi, il 1° aprile di ogni anno.
2. Le sottosezioni degli uffici di registrazione UE SEGRETISSIMO
trasmettono i risultati dell'inventario annuale all'ufficio
centrale di registrazione da cui dipendono in data stabilita da
detto ufficio.
3. I documenti classificati UE di grado inferiore a UE SEGRETISSIMO
sono soggetti a controlli interni in conformita' delle istruzioni
del membro della Commissione responsabile per le questioni della
sicurezza.
4. Tali operazioni mirano ad ottenere il parere dei detentori dei
documenti quanto:
a) alla possibilita' di declassare o declassificare determinati
docuntenti;
b) ai documenti da distruggere.
22.4. Archiviazione delle informazioni classificare UE
1. Le ICUE sono archiviate nel rispetto delle pertinenti
disposizioni di cui alla sezione 18.
2. Al fine di ridurre al minimo i problemi di archiviazione, i
funzionari di controllo di tutti gli uffici di registrazione sono
autorizzati a far microfilmare i documenti UE SEGRETISSIMO, UE
SEGRETO e UE RISERVATISSIMO o a farli riprodurre su supporto
magnetico o ottico a fini di archiviazione, purche':
a) il processo di trasferimento su microfilm/di archiviazione sta
effettuato da personale con nulla osta valido per il
corrispondente grado di classificazione;
b) il microfilm/mezzo di archiviazione goda della stessa sicurezza
dei documenti originali;
c) il trasferimento su microfilm/l'archiviazione di ogni documento UE
SEGRETISSIMO sia comunicato all'originatore;
d) i rotoli di pellicola, o gli altri tipi di supporto, contengano
solo documenti del medesimo grado di classificazione UE
SEGRETISSIMO, UE SEGRETO o UE RISERVATISSIMO;
e) il trasferimento su microfilm/l'archiviazione di un documento UE
SEGRETISSIMO o UE SEGRETO sia chiaramente indicato nel registro
usato per l'inventario annuale;
f) i documenti originali che sono stati trasferiti su microfilm o
archiviati in altro modo siano distrutti, conformemente alle
disposizioni di cui alla sezione 22.5.
3. Queste norme si applicano altresi' a qualsiasi altra forma di
archiviazione autorizzata, quali i mezzi elettromagnetici e i dischi
ottici.
22.5. Distruzione di documenti classificati UE
1. Per evitare l'accumulazione superflua di documenti classificati
UE, gli esemplari che il capo dell'istituzone che li detiene
considera superati o in soprannumero sono distrutti non appena
possibile, nel seguente modo:
a) i documenti UE SEGRETISSIMO sono distrutti soltanto dall'ufficio
centrale di registrazione che ne e' responsabile. Ogni documento
distrutto viene elencato in un certificato di distruzione, firmato
dal funzionario di controllo UE SEGRETISSIMO e dal funzionario che
assiste alla distruzione il quale deve avere il nulla osta di
sicurezza di grado UE SEGRETISSIMO. A tal fine nel repertorio
viene inserita una nota.
b) L'ufficio di registrazione tiene i certificati di distruzione,
unitamente alle schede di distribuzione, per un periodo di dieci
anni e ne invia copie all'originatore o al pertinente ufficio
centrale di registrazione solo su richiesta esplicita.
c) I documenti UE SEGRETISSIMO, inclusi quelli classificati e poi
scartati nella fase di preparazione di documenti UE SEGRETISSIMO,
quali copie rovinate, bozze di lavoro, note dattiloscritte, floppy
disk devono essere distrutti sotto la sorveglianza di un
funzionario di controllo dell'ufficio di registrazione UE
SEGRETISSIMO mediante incenerimento o devono essere ridotti in
pasta, sminuzzati o altrimenti ridotti in una forma
irriconoscibile e non ricostituibile.
2. I documenti UE SEGRETO sono distrutti dall'ufficio di
registrazione che ne e' responsabile, sotto la sorveglianza di una
persona con nulla osta di sicurezza, utilizzando uno dei processi di
cui al paragrafo 1, lettera c). I documenti UE SEGRETO distrutti sono
elencati in un certificato di distruzione firmato, detenuto
dall'ufficio di registrazione, unitamente alle schede di
distribuzione, per almeno tre anni.
3. I documenti UE RISERVATISSIMO sono distrutti dall'ufficio di
registrazione che ne e' responsabile, sotto la sorveglianza di una
persona con nulla osta di sicurezza, utilizzando uno dei processi di
cui al paragrafo 1, lettera c). La loro distruzione e' registrata
conformemente alle istruzioni del membro della Commissione
responsabile per le questioni della sicurezza.
4. I documenti UE RISERVATO sono distrutti dall'ufficio di
registrazione che ne e' responsabile o dall'utente, conformemente
alle istruzioni del membro della Commissione responsabile per le
questioni della sicurezza.
22.6. Distruzione in situazioni di emergenza
1. I servizi della Commissione predispongono piani, in base alle
condizioni vigenti in loco, per la protezione del materiale
classificato UE in situazioni di crisi, compresa, se necessaria, la
distruzione di emergenza e piani di evacuazione. Essi emanano le
istruzioni che ritengono necessarie per impedire che informazioni
classificate UE cadano nelle mani di persone non autorizzate.
2. Le disposizioni per la protezione e/o la distruzione di
materiale UE SEGRETO e UE RISERVATISSIMO in situazioni di crisi non
devono compromettere in alcun modo la protezione o la distruzione di
materiale UE SEGRETISSIMO, ivi compresa l'attrezzatura di cifratura,
il cui trattamento e' prioritario rispetto a tutte le altre funzioni.
3. Le misure da adottare per la protezione e la distruzione
dell'attrezzatura di cifratura in situazioni di emergenza sotto
contenute in istruzioni ad hoc.
4 Le eruzioni devono essere contenute in una busta sigillata ed
essere disponibili in loco. Devono essere disponibili mezzi/strumenti
per la distruzione.
23. MISURE DI SICUREZZA DA APPLICARE IN OCCASIONE DI RIUNIONI
SPECIFICHE TENUTE FUORI DEI LOCALI DELLA COMMISSIONE E CONCERNENTI
INFORMAZIONI CLASSIFICATE UE
23.1. Considerazioni generali
Quando riunioni della Commissione o altre riunioni importanti si
tengono fuori dei locali della Commissione ed ove le particolari
esigenze di sicurezza connesse con l'elevata sensibilita' delle
questioni o delle informazioni discusse lo giustifichino, sono
adottate le misure di sicurezza descritte in appresso. Tali misure
riguardano unicamente la protezione delle informazioni classificate
UE; potrebbe essere necessario prevedere altre misure di sicurezza.
23.2. Responsabilita'
23.2.1. Il servizio di sicurezza della Commissione
Il servizio di sicurezza della Commissione coopera con le
autorita' competenti dello Stato membro sul cui territorio si svolge
la riunione (Stato membro ospitante) per garantire la sicurezza delle
riunioni della Commissione o di altre riunioni importanti nonche'
della sicurezza fisica dei principali delegati e del loro seguito.
Per quanto riguarda la salvaguardia della sicurezza esso provvede in
particolare:
a) all'elaborazione di piani atti a contrastare le minacce alla
sicurezza e far fronte agli incidenti connessi con la sicurezza,
mediante misure intese in particolare a garantire che i documenti
classificati UE siano custoditi negli uffici in condizioni di
sicurezza;
b) all'adozione di misure intese a fornire una possibilita' di
accesso al sistema di comunicazioni della Commissione per la
ricezione e la trasmissione di messaggi classificati UE. Lo Stato
membro ospitante deve fornire inoltre, su richiesta, l'accesso a
sistemi telefonici protetti.
Il servizio di sicurezza della Commissione funge da consulente in
materia di sicurezza per la preparazione della riunione e invia in
loco un suo rappresentante onde fornire, se necessario, assistenza e
consulenza al responsabile della sicurezza della riunione (MSO) e
alle delegazioni.
Ogni delegazione che prende parte ad una riunione deve designare
un funzionario preposto alla sicurezza, incaricato di discutere con
la rispettiva delegazione le questioni attinenti alla sicurezza e di
mantenere i contatti con il responsabile della sicurezza della
riunione e, se necessario, con il rappresentante del servizio di
sicurezza della Commissione.
23.2.2. Responsabile della sicurezza della riunione (MSO)
Dovrebbe essere designato un responsabile della sicurezza della
riunione competente per la preparazione generale e il controllo delle
misure generiche di sicurezza interna, nonche' per il coordinamento
con le altre autorita' di sicurezza interessate. Le misure adottate
dal responsabile della sicurezza sono, di norma, del seguente tipo:
a) misure di protezione presso la sede della riunione onde
scongiurare incidenti che potrebbero compromettere la sicurezza
delle informazioni classificate UE eventualmente utilizzate nel
corso della riunione;
b) controllo del personale cui e' consentito l'accesso alla sede
della riunione, alle aree riservate alle delegazioni ed alle sale
delle conferenze e controllo di tutte le apparecchiature;
c) costante coordinamento con le autorita' competenti dello Stato
membro ospitante e con il servizio di sicurezza della Commissione;
d) inserimento nel dossier della riunione di istruzioni relative alla
sicurezza, tenendo in debito conto quanto prescritto dalle
presenti norme di sicurezza, e qualsiasi altra istruzione relativa
alla sicurezza ritenuta necessaria.
23.3. Misure di sicurezza
23.3.1. Zone di sicurezza
Sono istituite le seguenti zone di sicurezza:
a) una zona di sicurezza di categoria II, comprendente la sala di
redazione, gli uffici della Commissione e le apparecchiature di
riproduzione, nonche' gli uffici delle delegazioni a seconda dei
casi;
b) una zona di sicurezza di categoria I, costituita dalla sala della
conferenza e dalle cabine degli interpreti e dei tecnici audio;
c) zone amministrative comprendenti l'area stampa e le aree della
sede della riunione utilizzate a fini amministrativi di
ristorazione e di alloggio, nonche' la zona immediatamente
adiacente al centro stampa ed alla sede della riunione.
23.3.2. Lasciapassare
Il responsabile della sicurezza della riunione rilascia appositi
badge secondo le richieste delle delegazioni ed in base alle loro
esigenze operando, se necessario, una distinzione per l'accesso alle
diverse zone di sicurezza.
Le istruzioni di sicurezza relative alla riunione prevedono che
all'interno della sede della riunione tutti gli interessati portino
sempre in modo ben visibile i loro badge affinche' il personale
addetto alla sicurezza possa provvedere ai necessari controlli.
Oltre che ai partecipanti forniti di badge, l'accesso alla sede
della riunione e' consentito al minor numero possibile di persone. Il
responsabile della sicurezza della riunione consente alle delegazioni
nazionali di ricevere visitatori nel corso della riunione solo dietro
richiesta delle stesse delegazioni. Ai visitatori viene rilasciato un
apposito badge, previa compilazione di un lasciapassare recante il
nome del visitatore e della persona visitata. I visitatori sono
sempre accompagnati da una guardia di sicurezza o dalla persona
visitata. L'accompagnatore porta il lasciapassare del visitatore e lo
riconsegna, assieme al badge del visitatore, al personale di
sicurezza quando il visitatore lascia la sede della riunione.
23.3.3. Controllo degli apparecchi fotografici e degli apparecchi di
registrazione audiovisiva
Nella zona di sicurezza di categoria I e' vietato introdurre
apparecchi fotografici e di registrazione, ad eccezione delle
apparecchiature dei fotografi e dei tecnici audio debitamente
autorizzati dal responsabile della sicurezza della riunione.
23.3.4. Controllo di valigie, computer portatili e plichi
I detentori di lasciapassare cui e' consentito l'accesso ad una
zona di sicurezza possono di norma introdurvi senza controlli le loro
valigie ed i loro computer portatili (solo autoalimentati). I plichi
per le delegazioni vengono loro consegnati dopo essere stati
ispezionati dal funzionario della delegazione addetto alla sicurezza,
controllati mediante apparecchiature speciali o aperti dal personale
addetto alla sicurezza per verificarne il contenuto. Se il
responsabile della sicurezza della riunione lo ritiene necessario, si
possono prevedere misure piu' rigorose per il controllo di valigie e
plichi.
23.3.5. Sicurezza tecnica
Un'apposita squadra puo' garantire la sicurezza tecnica della sala
di riunione e provvedere inoltre alla sorveglianza elettronica
durante la riunione.
23.3.6. Documenti delle delegazioni
Le delegazioni sono responsabili dei documenti classificati UE che
portano con se' alle riunioni. Sono inoltre responsabili della
verifica e della sicurezza di detti documenti durante la loro
utilizzazione nei locali ad esse assegnati. Per il trasporto di
documenti classificati nella e dalla sede della riunione puo' essere
chiesto l'aiuto degli Stati membri ospitanti.
23.3.7. Custodia dei documenti in luogo sicuro
Se la Commissione o le delegazioni non sono in grado di custodire
i loro documenti classificati secondo le norme approvate, possono
affidarli in busta sigillata, dietro ricevuta, al responsabile della
sicurezza della riunione, che li custodisce in conformita' di dette
norme.
23.3.8. Ispezione degli uffici
Il responsabile della sicurezza della riunione provvede a che gli
uffici della Commissione e delle delegazioni siano ispezionati al
termine di ogni giornata lavorativa per verificare che tutti i
documenti classificati UE siano al sicuro. In caso contrario adotta i
provvedimenti necessari.
23.3.9. Eliminazione dei rifiuti classificati
Tutti i rifiuti sono trattati come rifiuti classificati UE per la
cui eliminazione vengono forniti alla Commissione e alle delegazioni
cestini o pacchi della spazzatura. Prima di lasciare i locali ad essi
assegnati, la Commissione e le delegazioni portano i loro rifiuti al
responsabile della sicurezza della riunione, che provvede alla loro
distruzione secondo le disposizioni del caso.
Al termine della riunione tutti i documenti detenuti dalla
Commissione e dalle delegazioni e divenuti superflui sotto trattati
alla stregua di rifiuti. Prima di revocare le misure di sicurezza
adottate per la riunione, viene effettuata un'accurata ispezione dei
locali assegnati alla Commissione ed alle delegazioni. I documenti
per i quali era stata firmata una ricevuta sono distrutti, ove
possibile, come prescritto alla sezione 22.5.
24. VIOLAZIONE DELLA SICUREZZA E MANOMISSIONE DI
INFORMAZIONI CLASSIFICATE UE
24.1. Definizioni
Una violazione della sicurezza e' la conseguenza di atti o
omissioni contrari a una disposizione della Commissione in materia di
sicurezza, che potrebbero mettere a repentaglio o compromettere
informazioni classificate UE.
Le informazioni classificate UE sono compromesse quando esse, o
parte di esse, giungono in possesso di persone non autorizzate, vale
a dire sprovviste dell'appropriato nullaosta di sicurezza o che non
abbiano la necessita' di conoscerle, o quando e' probabile che si sia
verificata tale circostanza.
Le informazioni classificate UE possono essere compromesse per
disattenzione o negligenza, a seguito di indiscrezioni o come
conseguenza delle attivita' di servizi che prendono di mira l'UE o
gli Stati membri, per quanto riguarda le loro informazioni ed
attivita' classificate UE, ovvero di organizzazioni sovversive.
24.2. Relazioni sulle violazioni della sicurezza
Tutte le persone che trattano informazioni classificate UE devono
ricevere informazioni dettagliate sulle loro responsabilita' in
questo ambito e devono riferire immediatamente qualsiasi violazione
della sicurezza di cui vengano a conoscenza.
Ove il responsabile locale della sicurezza o il responsabile della
sicurezza della riunione riscontri o sia informato di una violazione
della sicurezza relativa ad informazioni classificate UE o della
perdita o della scomparsa di materiale classificato UE, adotta
tempestivamente provvedimenti miranti a:
a) conservare le prove;
b) accertare i fatti;
c) valutare e limitare per quanto possibile i danni;
d) impedire che i fatti si ripetano;
e) informare le autorita' competenti delle conseguenze della
violazione della sicurezza.
A tale scopo vengono fornite le seguenti informazioni:
i) descrizione delle informazioni in questione, loro
classificazione, numero di riferimento e numero di esemplare,
data, originatore, oggetto e finalita' del documento;
ii) breve descrizione delle circostanze in cui si e' verificata la
violazione della sicurezza, con indicazione della data e del
periodo nel quale le informazioni sono state soggette al
rischio di manomissione;
iii) se l'originatore sia stato o meno informato.
Non appena informata di una possibile violazione della sicurezza,
ciascuna autorita' di sicurezza riferisce immediatamente i fatti al
servizio di sicurezza della Commissione.
I casi riguardanti informazioni UE RISERVATO devono essere
riferiti solo quando presentino aspetti inconsueti.
Il membro della Commissione responsabile per le questioni della
sicurezza, informato di una violazione della sicurezza:
a) ne da' notifica all'autorita' d'origine dell'informazione
classificata in questione;
b) chiede alle autorita' competenti in materia di sicurezza di
avviare le indagini;
c) coordina le indagini qualora sia interessata piu' di un'autorita'
competente in materia di sicurezza;
d) fa stilare una relazione sulle circostanze della violazione, con
l'indicazione della data o del periodo nel quale essa potrebbe
essersi verificata ed e' stata riscontrata, ed una descrizione
particolareggiata del contenuto e del grado di classificazione del
materiale implicato. La relazione prende in considerazione anche i
danni arrecati agli interessi dell'UE o di uno o piu' Stati membri
e le misure adottate per impedire che i fatti si ripetano.
L'autorita' d'origine informa i destinatari ed impartisce le
istruzioni del caso.
24.3. Procedimenti giudiziari
Chiunque sia responsabile della compromissione di informazioni
classificate UE e' passibile di sanzioni disciplinari in conformita'
delle norme e dei regolamenti pertinenti, in particolare del titolo
VI dello statuto. Tali sanzioni non pregiudicano eventuali ulteriori
procedimenti giudiziari.
25. PROTEZIONE DELLE INFORMAZIONI CLASSIFICATE UE TRATTATE IN
SISTEMI INFORMATICI E SISTEMI DI COMUNICAZIONE
25.1. Introduzione
25.1.1. Considerazioni generali
La strategia e le prescrizioni in materia di sicurezza si
applicano a tutti i sistemi e a tutte le reti di comunicazioni e di
informazioni (di seguito denominati sistemi) che trattano
informazioni classificate di grado UE RISERVATISSIMO o grado
superiore. Esse sono applicate in complemento alla decisione C (95)
1510 def. della Commissione, del 23 novembre 1995, sulla protezione
dei sistemi informatici.
I sistemi che trattano informazioni UE RISERVATO richiedono anche
misure di sicurezza atte a proteggere la riservatezza delle
informazioni. Tutti i sistemi richiedono misure di sicurezza atte a
proteggere l'integrita' e la disponibilita' dei sistemi stessi e
delle informazioni in essi contenute.
La politica applicata dalla Commissione in materia di sicurezza
informatica e' caratterizzata dai seguenti elementi:
- essa costituisce pane integrante della sicurezza in generale ed
integra tutti gli elementi di sicurezza dell'informazione,
sicurezza del personale e sicurezza materiale,
- le responsabilita' sono ripartite tra i proprietari dei sistemi
tecnici, i proprietari delle informazioni classificate UE
archiviate o trattate in sistemi tecnici, gli specialisti nel campo
della sicurezza informatica e gli utenti,
- vengono descritti i principi e i requisiti io materia di sicurezza
di ciascun sistema TI,
- tali principi e requisiti sono approvati da un'autorita' designata.
- si tiene conto delle minacce e vulnerabilita' specifiche al settore
informatico.
25.1.2. Minacce ai sistemi e loro vulnerabilita'
Si intende per minaccia la possibilita' di una compromissione
accidentale o deliberata della sicurezza. Nel caso dei sistemi, cio'
implica la perdita di una o piu' delle caratteristiche di
riservatezza, integrita' e disponibilita'. La vulnerabilita' puo'
essere definita come insufficienza o mancanza di controlli che rende
piu' agevole o consente l'attuazione di una minaccia contro un bene o
un bersaglio specifico.
Le informazioni classificate UE e non classificate trattate dai
sistemi in forma compressa ai fini della rapidita' di reperimento,
comunicazione e utilizzo sono soggette a molteplici rischi, fra cui
l'accesso alle informazioni da parte di utenti non abilitati o,
viceversa, l'impossibilita' di accesso per gli utenti abilitati.
Altri rischi sono costituiti dalla divulgazione non autorizzata e
dalla contaminazione, modifica o soppressione delle informazioni. Le
apparecchiature in questione, complesse ed a volte fragili, sono
inoltre costose e spesso difficili da riparare o da sostituire in
tempi brevi.
25.1.3. Obiettivo principale delle misure di sicurezza
Obiettivo principale delle misure di sicurezza previste nella
presente sezione e' offrire protezione contro la divulgazione non
autorizzata di informazioni classificate UE (perdita di riservatezza)
e contro la perdita di integrita' e di disponibilita' delle
informazioni. Per conseguire l'adeguata protezione di sicurezza di un
sistema che tratta informazioni classificate UE, l'ufficio di
sicurezza della Commissione deve specificare le opportune norme di
sicurezza convenzionale, unitamente alle pertinenti procedure e
tecniche di sicurezza speciali, progettate appositamente per ciascun
sistema.
25.1.4. Dichiarazione relativa ai requisiti di sicurezza specifici
del sistema (SSRS)
Per tutti i sistemi che trattano informazioni classificate UE
RISERVATISSIMO o di grado superiore, il proprietario dei sistemi
tecnici (TSO, cfr. sezione 25.3.4) e il proprietario delle
informazioni (cfr. sezione 25.3.5) sono invitati a rilasciare una
dichiarazione relativa ai requisiti di sicurezza specifici del
sistema (SSRS), avvalendosi, ove necessario, dell'apporto e
dell'assistenza del gruppo di progetto e dell'ufficio di sicurezza
della Commissione (in qualita' di autorita' INFOSEC - IA, cfr.
sezione 25.3.3), e con l'approvazione dell'autorita' di
accreditamento in materia di sicurezza (SAA, cfr. sezione 25.3.2).
Una SSRS e' anche richiesta qualora la disponibilita' e
l'integrita' delle informazioni classificate UE RISERVATO o non
classificate siano ritenute essenziali dalla SAA.
La SSRS e' formulata nelle primissime fasi dell'avvio del progetto
e viene sviluppata ed ampliata con l'evoluzione del progetto,
svolgendo differenti funzioni nelle diverse fasi del ciclo di vita
del progetto e del sistema.
25.1.5. Funzionamento in condizioni di sicurezza
Tutti i sistemi che trattano informazioni classificate UE
RISERVATISSIMO o di grado superiore sotto accreditati per funzionare
in uno o, ove sia giustificato dai requisiti durante diversi periodi,
piu' di uno dei seguenti modi di funzionamento in condizioni di
sicurezza, o nel loro equivalente nazionale:
a) esclusivo;
b) predominante;
c) multilivello.
25.2. Definizioni
Per "accreditamento" si intende l'autorizzazione e l'approvazione
di un sistema per trattare informazioni classificate UE nel suo
ambiente operativo.
Nota:
Tale accreditamento deve essere effettuato dono che tutte le
pertinenti procedure di sicurezza sono state attuate e una volta
raggiunto un sufficiente livello di protezione delle risorse del
sistema. L'accreditamento avviene di norma sulla base della SSRS e
include:
a) una dichiarazione relativa all'obiettivo dell'accreditamento per
il sistema, in particolare su quali gradi di classificazione delle
informazioni saranno trattati e su quali modi di funzionamento in
condizioni di sicurezza sono proposti per il sistema o la rete;
b) un esame sulla gestione del rischio atto a identificare le minacce
e le vulnerabilita' nonche' le misure per contrastarle;
c) le procedure operative di sicurezza (SecOP) con una descrizione
dettagliata delle operazioni proposte (ad esempio modi, servizi da
fornire) e comprendenti una descrizione delle caratteristiche di
sicurezza del sistema su cui si basa l'accreditamento;
d) il piano per l'attuazione e la manutenzione delle caratteristiche
di sicurezza;
e) il piano per il collaudo, la valutazione e la certificazione
iniziali e successivi della sicurezza del sistema o della rete;
f) la certificazione, ove richiesta, unitamente ad altri elementi di
accreditamento.
Per "responsabile della sicurezza informatica a livello centrale"
(CISO) si intende il funzionario che, nell'ambito di un servizio
informatico centrale, coordina e sorveglia le misure di sicurezza per
i sistemi a organizzazione centralizzata.
Per "certificazione" si intende il rilascio di una dichiarazione
ufficiale, sulla base di un esame indipendente concernente il modo in
cui e' stata eseguita una valutazione e i risultati che ha prodotto,
che indica in quale misura un sistema soddisfa il requisito di
sicurezza o un prodotto per la sicurezza informatica offre le
presunte prestazioni predefinite in materia di sicurezza.
Per "sicurezza delle comunicazioni" (COMSEC) si intende
l'applicazione di misure di sicurezza alle telecomunicazioni al fine
di negare alle persone non autorizzate informazioni preziose
desumibili dal possesso e dall'analisi di tali comunicazioni o di
assicurare l'autenticita' di tali telecomunicazioni.
Nota:
Tali misure includono la sicurezza della crittografia, della
trasmissione e dell'emissione nonche' la sicurezza delle procedure,
dei materiali, del personale, del documento e del computer.
Per "sicurezza informatica" (COMPUSEC) si intende l'applicazione a
un sistema informatico di caratteristiche di sicurezza per
l'hardware, il firmware e il software atte a proteggere le
informazioni contro la divulgazione non autorizzata, la
manipolazione, la modifica/soppressione, o a impedire tali atti, o a
impedire l'interruzione di servizio.
Per "prodotto per la sicurezza informatica" si intende un elemento
generico per la sicurezza informatica, destinato ad essere
incorporato in un sistema TI ai fini di potenziare, o di offrire, la
riservatezza, l'integrita' e la disponibilita' delle informazioni
trattate.
Per "funzionamento esclusivo in condizioni di sicurezza" si
intende un modo di funzionamento in cui TUTTE le persone che hanno
accesso al sistema sono in possesso di un nullaosta di sicurezza per
il grado piu' elevato di classificazione delle informazioni trattate
nel sistema e con necessita' di sapere comune rispetto a TUTTE le
informazioni trattate nel sistema.
Per "svalutazione" si intende l'esame tecnico dettagliato, da
parte di un'autorita' competente, degli aspetti di sicurezza di un
sistema di un prodotto per la sicurezza della crittografia o del
computer.
Per "proprietario delle informazioni" (IO) si intende l'autorita'
(capo servizio) responsabile della creazione, del trattamento e
dell'utilizzazione delle informazioni, inclusa la facolta' di
decidere chi puo' avere accesso a queste ultime.
Per "sicurezza dell'informazione" (INFOSEC) si intende
l'applicazione di misure di sicurezza atte a proteggere le
informazioni elaborate archiviate o trasmesse da sistemi di
comunicazione, di informazione o da altri sistemi elettronici contro
la perdita di riservatezza, integrita' o disponibilita', accidentale
o intenzionale, nonche' a impedire la perdita di integrita' e di
disponibilita' dei sistemi stessi.
Le misure INFOSEC comprendono la sicurezza del computer, della
trasmissione, dell'emissione e della crittografia nonche'
l'individuazione, la documentazione e la neutralizzazione di minacce
nei confronti dell'informazione e dei sistemi stessi.
Per "area TI" si intende un'area che contiene uno o piu' computer,
le loro locali periferiche e unita' di archiviazione, le unita' di
controllo e l'attrezzatura specializzate per le reti e le
comunicazioni.
Nota:
La definizione non include un'area separata in cui sono situati i
dispositivi periferici o i terminali/postazioni remoti anche qualora
detti dispositivi siano connessi all'attrezzatura collocata nell'area
TI.
Per "rete TI" si intende l'organizzazione, geograficamente
diffusa, di sistemi TI interconnessi per lo scambio di dati,
comprendente i componenti dei sistemi TI interconnessi e la loro
interfaccia con le reti dati o le reti di comunicazione di sostegno.
Le "caratteristiche di sicurezza di una rete TI" includono le
caratteristiche di sicurezza del sistema TI dei singoli sistemi che
compongono la rete unitamente ai componenti e agli elementi
aggiuntivi associati con la rete in quanto tale (per esempio le
comunicazioni di rete, i meccanismi e le procedure per
l'identificazione e l'etichettatura di sicurezza, i controlli di
accesso, i programmi e gli audit trail) necessari per fornire un
livello di proiezione accettabile delle informazioni classificate.
Per "sistema TI" si intende un insieme di attrezzature, metodi e
procedure e, se necessario, di personale, organizzato in modo da
compiere funzioni di trattamento delle informazioni.
Le "caratteristiche di sicurezza di un sistema TI" comprendono
tutte le funzioni e le caratteristiche hardware/firmware/software, le
procedure operative, le procedure di responsabilita', i controlli di
accesso, l'area TI, l'area di terminali/postazioni remoti; i vincoli
della gestione, la struttura e i dispositivi materiali, i controlli
del personale e delle comunicazioni necessari per fornire un livello
accettabile di protezione delle informazioni classificate da trattare
nel sistema TI.
Per "responsabile della sicurezza informatica a livello locale"
(LISO) si intende il funzionario che, nell'ambito di un servizio
della Commissione, coordina e sorveglia le misure di sicurezza
relative ai settore di sua competenza.
Per "funzionamento multilivello in condizioni di sicurezza" si
intende un modo di funzionamento in cui NON TUTTE le persone che
hanno accesso al sistema sono in possesso di un nullaosta di
sicurezza al grado piu' elevato di classificazione delle informazioni
trattate nel sistema, e NON TUTTE le persone con accesso al sistema
hanno una necessita' di sapere comune rispetto alle informazioni
trattate nel sistema.
Per "area di terminali/postazioni remoti" si intende un'area
contenente alcune attrezzature informatiche, i suoi dispositivi
locali periferici o terminali/postazioni e qualsiasi attrezzatura di
comunicazione associata, separata dall'area TI.
Per "procedure operative di sicurezza" si intendono le procedure
elaborate dal proprietario dei sistemi tecnici che definiscono i
principi da adottare in materia di sicurezza, le procedure operative
da seguire e le responsabilita' del personale.
Per "funzionamento predominante in condizioni di sicurezza" si
intende un modo di funzionamento in cui TUTTE le persone che hanno
accesso al sistema sono in possesso di un nullaosta di sicurezza al
grado piu' elevato di classificazione delle informazioni trattate nel
sistema, ma NON TUTTE le persone con accesso al sistema hanno una
necessita' di sapere comune rispetto alle informazioni trattate nel
sistema.
La "dichiarazione relativa ai requisiti di sicurezza specifici del
sistema" (SSRS) e' una dichiarazione completa ed esplicita relativa
ai principi di sicurezza da osservare e ai requisiti
particolareggiati di sicurezza da rispettare. E' basata sulla
politica della Commissione in materia di sicurezza e di valutazione
del rischio, oppure imposta da parametri che disciplinano l'ambiente
operativo, il grado piu' basso di nullaosta di sicurezza del
personale, il grado piu' alto di classificazione delle informazioni
trattate, il modo di funzionamento in condizioni di sicurezza o le
esigenze degli utenti. La SSRS forma parte integrante della
documentazione sul progetto sottoposta alle pertinenti autorita' ai
fini dell'approvazione tecnica, finanziaria e di sicurezza. Nella sua
forma definitiva, la SSRS costituisce un elenco completo di quanto e'
necessario per garantire la sicurezza del sistema.
Per "proprietario dei sistemi tecnici" (TSO) si intende
l'autorita' responsabile della creazione, della manutenzione, del
funzionamento e della chiusura di un sistema.
Per "contromisure dell'effetto tempesta" si intendono misure di
sicurezza destinate a proteggere l'attrezzatura e le infrastrutture
di comunicazione contro il rischio di compromissione delle
informazioni classificate dovuta a emissioni elettromagnetiche non
intenzionali e alla conduttivita'.
25.3. Responsabilita' in materia di sicurezza
25.3.1. Considerazioni generali
Tra le responsabilita' consultive del gruppo consultivo della
Commissione per le politiche della sicurezza, di cui alla sezione 12,
rientrano le questioni inerenti all'INFOSEC. Il suddetto gruppo
organizza le proprie attivita' in modo da fornire una consulenza
qualificata in materia.
Spetta all'ufficio di sicurezza della Commissione emanare
disposizioni INFOSEC dettagliate, sulla base di quanto disposto al
presente capitolo.
In caso di problemi concernenti la sicurezza (incidenti,
violazioni, ecc.) l'ufficio di sicurezza della Commissione prende
misure immediate.
L'ufficio di sicurezza della Commissione dispone di un'unita'
INFOSEC.
25.3.2. L'autorita' di accreditamento in materia di sicurezza
(SAA)
Il capo dell'ufficio di sicurezza della Commissione e' l'autorita'
di accreditamento in materia di sicurezza (SAA) per la Commissione.
La SAA e' responsabile nell'ambito generale della sicurezza e negli
ambiti specifici dell'INFOSEC (sicurezza delle comunicazioni,
sicurezza Crypto e sicurezza Tempest).
La SAA e' responsabile di accertare la conformita' dei sistemi con
la politica della Commissione in materia di sicurezza. Tra i suoi
compiti rientra il rilascio dell'approvazione di un sistema per il
trattamento delle informazioni classificate UE ad un determinato
grado di classificazione nel suo ambiente operativo.
La competenza della SAA della Commissione si estende a tutti i
sistemi in funzione all'interno dei locali della Commissione. Quando
diversi componenti di un sistema rientrano nella competenza della SAA
della Commissione e di altre SAA, tutte le parti interessate nominano
un comitato comune di accreditamento posto sotto il coordinamento
della SAA della Commissione.
25.3.3. L'autorita' INFOSEC (IA)
Il capo dell'unita' INFOSEC dell'ufficio di sicurezza della
Commissione e' l'autorita' INFOSEC per la Commissione. L'autorita'
INFOSEC e' responsabile delle seguenti attivita':
- fornire consulenza e assistenza tecnica alla SAA,
- assistere lo sviluppo della SSRS,
- riesaminare la SSRS per accertarne la coerenza con le presenti
norme di sicurezza e i documenti relativi alla politica e
all'architettura INFOSEC,
- partecipare alle commissioni/ai comitati di accreditamento ove
necessario nonche' fornire alla SAA raccomandazioni INFOSEC
sull'accreditamento,
- fornire supporto alle attivita' di formazione e di informazione
INFOSEC,
- fornire consulenza tecnica nelle indagini sugli incidenti connessi
con l'INFOSEC,
- definire orientamenti tecnici strategici onde garantire che sia
utilizzato unicamente software autorizzato.
25.3.4. Il proprietario dei sistemi tecnici (TSO)
La responsabilita' dell'attuazione dei controlli e del
funzionamento dei dispositivi di sicurezza di un sistema spetta al
proprietario di quel sistema, il "proprietario dei sistemi tecnici"
(TSO). Per i sistemi gestiti a livello centrale e' nominato un
responsabile della sicurezza informatica a livello centrale (CISO).
Ciascun servizio nomina, se necessario, un "responsabile della
sicurezza, informatica a livello locale" (LISO). Le responsabilita'
di un TSO includono la creazione delle "procedure operative di
sicurezza" (SecOP) e permangono lungo tutto il ciclo di vita di un
sistema, dalla fase di concezione del progetto alla sua
disattivazione finale.
Il TSO specifica le nonne e le procedure di sicurezza che il
fornitore del sistema e' tenuto a rispettare.
Se necessario, il TSO puo' delegare una parte delle sue
responsabilita' a un responsabile della sicurezza informatica a
livello locale. Le varie mansioni INFOSEC possono essere svolte da
una sola persona.
25.3.5. Il proprietario delle informazioni (IO)
Il proprietario delle informazioni (IO) e' responsabile delle
informazioni classificate UE (e delle altre informazioni) che devono
essere introdotte, elaborate e prodotte in sistemi tecnici. Egli
definisce i requisiti relativi all'accesso a tali informazioni nei
sistemi. Questa responsabilita' puo' essere delegata a un gestore
delle informazioni o a un gestore di basi di dati nel settore di sua
competenza.
25.3.6. Utenti
Tutti gli utenti sono tenuti a garantire che le loro azioni non
compromettano la sicurezza dei sistema che utilizzano.
25.3.7. Formazione INFOSEC
La formazione e l'informazione INFOSEC e' disponibile per tutto il
personale che ne ha bisogno.
25.4. Misure di sicurezza non tecniche
25.4.1. Sicurezza del personale
Gli utenti del sistema devono essere in possesso di nulla osta di
sicurezza ed avere necessita' di sapere, in funzione della
classificazione e del contenuto delle informazioni trattate dal loro
specifico sistema. L'accesso a determinate attrezzature o a
informazioni inerenti alla sicurezza dei sistemi richiede uno
speciale nulla osta di sicurezza rilasciato in base alle procedure
della Commissione.
La SAA designa tutti i posti sensibili e specifica il grado del
nulla osta e la sorveglianza necessaria da parte delle persone che li
ricoprono.
I sistemi sono specificati e progettati in modo da facilitare
l'attribuzione dei compiti e delle responsabilita' al personale onde
evitare che una sola persona abbia la conoscenza o il controllo
totali dei punti nevralgici per la sicurezza del sistema.
Le aree TI e quelle di terminali/postazioni remoti in cui la
sicurezza del sistema puo' essere modificata non sono occupate da un
solo funzionario/altro dipendente abilitato.
I dispositivi di sicurezza di un sistema possono essere modificati
solo da almeno due persone autorizzate che operano congiuntamente.
25.4.2. Sicurezza materiale
Le aree TI e le aree di terminali/postazioni remoti (quali
definite nella sezione 25.2) in cui sono trattate informazioni
classificate UE RISERVATISSIMO o di grado superiore con strumenti TI,
o in cui e' possibile un accesso a tali informazioni, sono
classificate secondo il caso come aree di sicurezza di categoria UE I
o II.
25.4.3. Controllo dell'accesso a un sistema
Tutte le informazioni e il materiale che consentono il controllo
dell'accesso a un sistema sono protette da disposizioni commisurate
al grado di classificazione e alla designazione di categoria piu'
elevati delle informazioni cui danno accesso.
Le informazioni e il materiale per il controllo dell'accesso che
non sono piu' utilizzati a questo scopo vengono distrutte
conformemente alla sezione 25.5.4.
25.5. Misure tecniche di sicurezza
25.5.1. Sicurezza delle informazioni
L'originatore delle informazioni e' tenuto a identificare e
classificare tutti i documenti contenenti informazioni, siano essi su
supporto cartaceo o informatico. Ciascuna pagina delle copie cartacee
viene contrassegnata, in testa e in calce, con la pertinente
classificazione. I documenti, che siano su supporto cartaceo o
informatico, hanno la classificazione piu' elevata tra quelle
attribuite all'informazione utilizzata per produrli. Il modo di
funzionamento di un sistema puo' anche avere un impatto sulla
classificazione dei documenti prodotti da tale sistema.
I servizi della Commissione e coloro che, al loro interno, sono in
possesso di informazioni sono tenuti a valutare i problemi inerenti
al raggruppamento di singoli elementi informativi, e alle deduzioni
che si possono trarre dagli elementi connessi, nonche' a determinare
se una classificazione di grado piu' elevato sia pertinente per la
totalita' delle informazioni cosi' raggruppate.
Il fatto che l'informazione possa essere formulata come un codice
abbreviato, un codice di trasmissione o qualsiasi altra forma di
rappresentazione binaria non conferisce alcuna protezione della
sicurezza e non deve, pertanto, incidere sulla classificazione
dell'informazione.
Quando l'informazione e' trasferita da un sistema ad un altro,
l'informazione e' protetta durante il trasferimento e nel sistema
riceverne in modo commisurato alla classificazione e alla categoria
originarie dell'informazione.
Tutti i mezzi di archiviazione informatica sono trattati in modo
commisurato alla classificazione piu' elevata dell'informazione
archiviata o del contrassegno apposto sul mezzo, e opportunamente
protetti in ogni momento.
I mezzi di archiviazione informatica riutilizzabili usati per
registrare informazioni classificate UE mantengono la classificazione
piu' elevata per la quale sono stati usati finche' le informazioni in
questione non vengono declassate o declassificate e il mezzo di
archiviazione riclassificato di conseguenza, oppure il mezzo
declassificato o distrutto con una procedura approvata dalla SAA
(cfr. sezione 25.5.4).
25.5.2. Controllo e responsabilita' delle informazioni
I log automatici (audit trail) o manuali sono tenuti quale traccia
dell'accesso alle informazioni classificate UE SEGRETO o di grado
superiore. Queste tracce sono conservate conformemente alle presenti
norme di sicurezza.
I prodotti classificati UE detenuti nella zona TI possono essere
trattati come un elemento classificato e non necessitano di
registrazione, purche' il materiale sia identificato, contrassegnato
con la sua classificazione e controllato in modo appropriato.
Allorche' un sistema che tratta informazioni classificate UE
genera dati che vengono trasmessi da un'area TI all'area di
terminali/postazioni remoti, vengono istituite procedure, approvate
dalla SAA, per controllare e registrare i dati trasmessi. Per le
classificazioni di grado UE SEGRETO o superiore tali procedure
includono specifiche istruzioni per la responsabilita' delle
informazioni.
25.5.3. Trattamento e controllo dei supporti informatici
rimovibili
Tutti i supporti informatici rimovibili classificati UE
RISERVATISSIMO o di grado superiore sono trattati come materiale
classificato cui si applicano le norme generali. I contrassegni di
identificazione e classificazione devono essere adattati alle
specifiche caratteristiche fisiche dei supporti, in modo da renderli
chiaramente riconoscibili.
Spetta agli utenti assicurare che le informazioni classificate UE
siano archiviate su supporti provvisti dell'appropriato contrassegno
di classificazione e adeguatamente protetti. Sono stabilite procedure
atte ad assicurare che, per tutti i gradi di classificazione UE,
l'archiviazione delle informazioni su supporti informatici avvenga in
conformita' delle presenti norme di sicurezza.
25.5.4. Declassificazione e distruzione di supporti informatici
I supporti informatici utilizzati per la registrazione di
informazioni classificate UE possono essere declassati o
declassificati a condizione che siano applicate procedure approvate
dalla SAA.
I supporti informatici che hanno contenuto informazioni UE
SEGRETISSIMO o informazioni di una categoria speciale non sono
declassificati ne' riutilizzati.
I supporti informatici che non possono essere declassificati o
riutilizzati sono distrutti secondo una procedura approvata dalla-
SAA.
25.5.5. Sicurezza delle comunicazioni
Il capo dell'ufficio di sicurezza della Commissione e' l'autorita'
Crypto.
Quando informazioni classificate UE sono trasmesse per via
elettromagnetica, si applicano misure speciali atte a proteggere la
riservatezza, l'integrita' e la disponibilita' della trasmissione, La
SAA stabilisce i requisiti relativi alla protezione delle
trasmissioni dalla detenzione e dalle intercettazioni. Le
informazioni trasmesse all'interno di un sistema di comunicazioni
sono protette tenendo conto dei requisiti di riservatezza, integrita'
e disponibilita'.
I metodi crittografici, e i prodotti connessi, che si rendano
necessari per la protezione della riservatezza, dell'integrita' e
della disponibilita' sono specificamente approvati a tal fine dalla
SAA in qualita' di autorita' Crypto.
Durante la trasmissione, la riservatezza delle informazioni
classificate UE SEGRETO o di grado superiore e' protetta mediante
metodi o prodotti crittografici approvati dal membro della
Commissione responsabile per le questioni della sicurezza previa
consultazione del gruppo consultivo della Commissione per le
politiche della sicurezza. Durante la trasmissione, la riservatezza
delle informazioni classificate UE RISERVATISSIMO o UE RISERVATO e'
protetta mediante metodi o prodotti crittografici approvati
dall'autorita' Crypto della Commissione previa consultazione del
gruppo consultivo della Commissione per le politiche della sicurezza.
Specifiche istruzioni di sicurezza approvate dall'ufficio di
sicurezza della Commissione previa consultazione del gruppo
consultivo della Commissione per le politiche della sicurezza
contengono norme particolareggiate applicabili alla trasmissione di
informazioni classificate UE.
In circostanze operative eccezionali le informazioni classificate
UE RISERVATO, UE RISERVATISSIMO e UE SEGRETO possono essere trasmesse
sotto forma di testo in chiaro, previa esplicita autorizzazione per
ogni singolo caso e opportuna registrazione ad opera del proprietario
delle informazioni. Le circostanze eccezionali di cui sopra si
verificano:
a) in situazioni di crisi, conflitti o guerre imminenti o gia' in
corso e
b) quando la rapidita' di consegna e' della massima importanza e non
sono disponibili strumenti di cifratura, nonche' quando si ritiene
che le informazioni trasmesse non possano essere sfruttate con
rapidita' tale da influire negativamente sulle operazioni.
Un sistema deve essere in grado di negare con certezza ad una o
tutte le sue postazioni o ai suoi terminali remoti l'accesso ad
informazioni classificate UE, se necessario disconnettendoli
materialmente o mediante speciali caratteristiche del software
approvate dalla SAA.
25.5.6. Misure di sicurezza concernenti l'installazione e le
radiazioni
Le specifiche relative all'installazione iniziale dei sistemi e a
qualsiasi successiva modifica di rilievo prevedono che
l'installazione sia effettuata da installatori provvisti di nulla
osta di sicurezza sotto la costante sorveglianza di personale tecnico
qualificato abilitato all'accesso ad informazioni aventi un grado di
classificazione UE equivalente al grado piu' alto delle informazioni
che il sistema dovra' archiviare o trattare.
I sistemi che trattano informazioni classificate UE RISERVATISSIMO
o di grado superiore sono protetti in modo tale che la loro sicurezza
non possa essere minacciata da radiazioni o da una conduttivita'
compromettenti, il cui studio e la cui prevenzione sono designati dal
termine "TEMPEST".
Le contromisure dell'"effetto tempesta" sono esaminate e approvate
dall'autorita' Tempest (cfr. sezione 25.3.2).
25.6. Sicurezza durante il trattamento
25.6.1. Procedure operative di sicurezza (SecOP)
Le procedure operative di sicurezza (SecOP) definiscono i principi
da adottare in materia di sicurezza, le procedure operative da
seguire e le responsabilita' del personale. Le SecOP sono elaborate
sotto la responsabilita' del proprietario dei sistemi tecnici (TSO).
25.6.2. protezione del software/gestione della configurazione
Il livello di protezione dei programmi applicativi e' determinato
in base ad una valutazione della classificazione di sicurezza dei
programmi stessi piuttosto che delle informazioni che devono
trattare. Le versioni dei software in uso devono essere verificate ad
intervalli regolari per assicurarne l'integrita' ed il corretto
funzionamento.
Versioni nuove o modificate dei software vengono utilizzate per il
trattamento di informazioni classificate UE solo dopo essere state
verificate dal TSO.
25.6.3, Controlli contro la presenza di software "maligni"/virus
informatici
Controlli contro la presenza di software "maligni"/virus
informatici sono effettuati periodicamente secondo quanto prescritto
dalla SAA.
Prima di essere immessi in un sistema, tutti i supporti
informatici introdotti nella Commissione devono essere controllati al
fine di rilevare l'eventuale presenza di software "maligni" o virus
informatici.
25.6.4 Manutenzione
Nei contratti e nelle procedure concernenti la manutenzione
periodica e su richiesta dei sistemi per cui sia stata stilata una
SSRS sono specificati i requisiti e le disposizioni applicabili al
personale addetto alla manutenzione ed alle relative apparecchiature
che entrano in una zona TI.
Tali requisiti e tali procedure sono chiaramente indicati,
rispettivamente, nella SSRS e nelle SecOP. Le operazioni di
manutenzione di competenza del contraente che richiedono procedure di
telediagnostica sono consentite solo in circostanze eccezionali,
sotto rigoroso controllo ed esclusivamente previa approvazione della
SAA.
25.7. Fornitura
25.7.1 Considerazioni generali
Qualsiasi prodotto relativo alla sicurezza da utilizzare con il
sistema oggetto della fornitura, deve gia' essere stato valutato e
certificato oppure essere in fase di valutazione e certificazione da
parte di un apposito organismo di uno degli Stati membri dell'UE,
secondo criteri riconosciuti a livello internazionale (quali i
criteri comuni per la valutazione della sicurezza delle tecnologie
dell'informazione: cfr. ISO 15408). Procedure specifiche sono
richieste per ottenere l'approvazione della CCAC.
Per decidere se noleggiare piuttosto che acquistare
un'attrezzatura, specie supporti informatici, occorre tener presente
che, una volta utilizzata per le informazioni classificate UE, tale
attrezzatura non potra' essere resa disponibile al di fuori di un
ambiente adeguatamente protetto senza prima essere declassificata con
il consenso della SAA e che non sempre detto consenso sara'
possibile.
25.7.2. Accreditamento
Tutti i sistemi che necessitano in via preventiva, per il
trattamento di informazioni classificate UE, di una dichiarazione
relativa ai requisiti di sicurezza specifici del sistema, sono
accreditati dalla SAA sulla scorta delle informazioni fornite nella
suddetta dichiarazione, delle SecOP e di qualsiasi altra
documentazione pertinente. I sottosistemi e i terminali/postazioni
remoti sono accreditati in quanto pane di tutti i sistemi a cui sono
collegati. Quando un sistema serve sia la Commissione che altre
organizzazioni, la Commissione e le competenti autorita' incaricate
della sicurezza approvano l'accreditamento di comune accordo.
Il processo di accreditamento puo' essere espletato secondo
un'apposita strategia adeguata ad un determinato sistema, definita
dalla SAA.
25.7.3. Valutazione e certificazione
Prima di essere accreditati, in taluni casi, gli elementi di
sicurezza di un sistema nel suo insieme - hardware, firmware e
software - sono valutati e certificati idonei alla salvaguardia delle
informazioni al grado di classificazione desiderato.
I requisiti per la valutazione e certificazione sono inclusi nella
progettazione del sistema e chiaramente definiti nella SSRS.
I processi di valutazione e certificazione sono espletati secondo
linee direttrici approvate da personale tecnicamente qualificato e
adeguatamente abilitato che opera a nome del TSO.
I gruppi a cio' preposti possono essere inviati da un'autorita'
nazionale di valutazione o certificazione designata oppure da suoi
rappresentanti designati, ad esempio un appaltatore competente e
abilitato.
I processi di valutazione e certificazione richiesti possono
essere di livello inferiore (ed includere, ad esempio, solo gli
aspetti dell'integrazione) qualora i sistemi siano basati su prodotti
per la sicurezza dei computer valutati e certificati in ambito
nazionale.
25.7.4. Verifica sistematica degli dementi di sicurezza per la
proroga dell'accreditamento
Il TSO stabilisce procedure di controllo sistematico atte a
garantire che tutti gli elementi di sicurezza del sistema siano
ancora efficaci.
I tipi di cambiamenti che renderebbero necessario un
riaccreditamento o che richiedono l'approvazione preventiva della SAA
sono chiaramente individuati ed enunciati nella SSRS. Dopo qualsiasi
modifica, riparazione o disfunzione che possa avere ripercussioni
sugli elementi di sicurezza del sistema, il TSO provvede a far
effettuare una verifica per assicurare il corretto funzionamento dei
suddetti elementi. La proroga dell'accreditamento del sistema dipende
normalmente da un risultato soddisfacente delle verifiche.
Tutti i sistemi dotati di elementi di sicurezza sono
periodicamente ispezionati o riesaminati dalla SAA. Per i sistemi che
trattano informazioni classificate UE SEGRETISSIMO, le ispezioni
hanno luogo almeno una volta l'anno.
25.8. Utilizzo temporaneo o occasionale
25.8.1. Sicurezza dei microcomputer/personal computer
I microcomputer/personal computer (PC) muniti di disco fisso (o
altri mezzi di archiviazione permanente), funzionanti sia
autonomamente sia in rete, e i dispositivi informatici portatili
(quali PC portatili e notebook elettronici) provvisti di disco rigido
fisso sono considerati mezzi di archiviazione delle informazioni alla
stessa stregua dei dischetti o altri supporti informatici rimovibili.
A tali attrezzature e' attribuito il livello di protezione, in
termini di accesso, gestione, archiviazione e trasporto,
corrispondente al piu' alto grado di classificazione delle
informazioni archiviate o elaborate (finche' passeranno poi ad un
livello di protezione inferiore o subiranno una declassificazione
conformemente a procedure approvate).
25.8.2. Uso di attrezzatura informatica privata per i lavori
ufficiali della Commissione
Per il trattamento delle informazioni classificate UE e' vietato
utilizzare supporti informatici, software e hardware (quale PC e
dispositivi informatici portatili) che siano dotati di memoria, di
proprieta' privata e rimovibili.
Hardware, software e supporti vari di proprieta' privata non
possono essere introdotti in nessuna zona di categoria I o II dove
sono trattate informazioni classificate UE senza l'autorizzazione
scritta del capo dell'ufficio di sicurezza della Commissione. Tale
autorizzazione puo' essere concessa solo in casi eccezionali per
motivi tecnici.
25.8.3. Uso di attrezzatura informatica appartenente a un appaltatore
o fornita dagli Stati membri per i lavori ufficiali della Commissione
Il capo dell'ufficio di sicurezza della Commissione puo'
permettere l'utilizzo di attrezzatura IT e software detenuti da un
appaltatore per i lavori ufficiali della Commissione. Puo' essere
altresi' autorizzato l'utilizzo di attrezzatura e software forniti
dagli Stati membri; in tal caso, detta attrezzatura e' posta sotto
controllo e iscritta nell'apposito inventario della Commissione.
Nell'uno o nell'altro caso, se l'attrezzatura serve al trattamento di
informazioni classificate UE, si consulta la SAA competente ai fini
di un'adeguata presa in considerazione e applicazione degli elementi
INFOSEC applicabili al suo utilizzo.
26. COMUNICAZIONE DI INFORMAZIONI CLASSIFICATE UE A STATI TERZI
O ORGANIZZAZIONI INTERNAZIONALI
26.1.1. Principi che regolano la comunicazione di informazioni
classificate UE
La comunicazione di informazioni classificate UE a Stati terzi o
organizzazioni internazionali e' decisa collegialmente dalla
Commissione in base:
- alla natura e al contenuto delle informazioni stesse,
- alla necessita' di sapere dei destinatari,
- all'entita' dei vantaggi per l'UE.
All'originatore dell'informazione classificata UE e' chiesto il
consenso alla comunicazione.
Siffatte decisioni sono prese caso per caso, a seconda:
- del livello di cooperazione auspicato con gli Stati terzi o le
organizzazioni internazionali interessati,
- della loro affidabilita' - dipendente dal livello di sicurezza che
sarebbe attribuito alle informazioni classificate UE affidate a
detti Stati o organizzazioni nonche' dalla conformita' delle norme
di sicurezza ivi applicabili a quelle applicate nell'UE a al
riguardo la Commissione si avvale del parere tecnico del gruppo
consultivo della Commissione per le politiche della sicurezza.
L'accettazione di informazioni classificate UE da parte di Stati
terzi o organizzazioni internazionali implica la garanzia che saranno
utilizzate esclusivamente agli scopi per cui sono state comunicate o
scambiate e che sara' loro assicurata la protezione richiesta dalla
Commissione.
26.1.2. Livelli
Una volta decisa la comunicazione o lo scambio di informazioni
classificate con un determinato Stato o organizzazione
internazionale, la Commissione decide il livello di cooperazione
possibile, che dipendera' soprattutto dalla politica seguita in
materia di sicurezza e dalla normativa applicata da tale Stato o
organizzazione.
I livelli di cooperazione sono tre:
Primo livello
Cooperazione con Stati terzi o organizzazioni internazionali la
cui politica e normativa in materia di sicurezza sono molto affini a
quelle dell'UE.
Secondo livello
Cooperazione con Stati terzi o organizzazioni internazionali la
cui politica e normativa in materia di sicurezza sono notevolmente
diverse da quelle dell'UE.
Terzo livello
Cooperazione di carattere occasionale con Stati terzi o
organizzazioni internazionali di cui non si possono valutare la
politica e la normativa in materia di sicurezza.
Il livello di cooperazione determina le procedure e le norme di
sicurezza da seguire, descritte dettagliatamente nelle appendici 3, 4
e 5.
26.1.3. Accordi in materia di sicurezza
Constatata la necessita' permanente o a lungo termine di uno
scambio di informazioni classificate tra la Commissione e Stati terzi
o altre organizzazioni internazionali, la Commissione procede alla
stesura di "accordi sulle procedure di sicurezza per lo scambio di
informazioni classificate" con essi, dove sono definite le finalita'
della cooperazione e le disposizioni reciproche sulla protezione
delle informazioni scambiate.
Nel caso di una cooperazione occasionale di terzo livello, per
definizione limitata nel tempo e nelle finalita', un semplice
memorandum d'intesa in cui siano definiti la natura delle
informazioni classificate da scambiare e gli obblighi reciproci ad
esse relativi puo' sostituirsi agli "accordi sulle procedure di
sicurezza per lo scambio di informazioni classificate" purche' il
grado di classificazione non sia piu' elevato di UE RISERVATO.
Prima di essere presentati alla Commissione per una decisione, i
progetti di accordi sulle procedure di sicurezza o di memorandum
d'intesa sono approvati dal gruppo consultivo della Commissione per
le politiche della sicurezza.
Le NSA degli Stati membri forniscono al membro della Commissione
responsabile per le questioni della sicurezza tutta l'assistenza
necessaria a garantire che le informazioni da divulgare siano
utilizzate e protette conformemente ai suddetti accordi sulle
procedure di sicurezza o ai memorandum d'intesa.
Appendice 3
Linee direttrici per la comunicazione di informazioni classificate UE
a Stati terzi o organizzazioni internazionali: livello 1 cooperazione
PROCEDURE
1. La facolta' di decidere la trasmissione di informazioni
classificate UE a paesi che non sono membri sull'Unione europea o ad
altre organizzazioni internazionali la cui politica in materia di
sicurezza e la relativa normativa sono paragonabili a quelle dell'UE
spetta alla Commissione in quanto Collegio.
2. In attesa che venga concluso un accordo sulla sicurezza, il
membro della Commissione responsabile per le questioni della
sicurezza e' competente per l'esame delle richieste di trasmissione
di informazioni classificate UE.
3. Il membro della Commissione a cio' preposto deve:
- chiedere il parere degli originatori delle informazioni
classificate UE da trasmettere,
- stabilire i necessari contatti con gli organismi preposti alla
sicurezza degli Stati o organizzazioni internazionali che ne sono i
destinatari, per verificare l'idoneita' della loro politica e
normativa in materia di sicurezza a garantire che le informazioni
classificate comunicare siano protette conformemente alle presenti
norme di sicurezza,
- chiedere il parere del gruppo consultivo della Commissione per le
politiche della sicurezza quanto alla fiducia che puo' essere
riposta negli Stati o organismi internazionali che ne sono
destinatari.
4. Il membro della Commissione responsabile per le questioni della
sicurezza deve inoltrare alla Commissione la richiesta e il parere
formulato dal gruppo consultivo della Commissione per le politiche
della sicurezza.
NORME DI SICUREZZA CHE DEVONO ESSERE APPLICATE DAI DESTINATARI
5. Il membro della Commissione responsabile per le questioni della
sicurezza notifica agli Stati o alle organizzazioni internazionali
destinatari la decisione della Commissione di autorizzare la
comunicazione di informazioni classificate UE.
6. La decisione prende effetto soltanto previa garanzia scritta da
parte dei destinatari che:
- l'informazione sara' utilizzata ai soli scopi concordati,
- sara' protetta conformemente alle presenti norme di sicurezza e in
particolare alle disposizioni speciali riportate qui di seguito.
7. Personale
a) Il numero di funzionari aventi accesso alle informazioni
classificate UE e' rigorosamente limitato, secondo il principio
della necessita' di sapere, alle persone le cui funzioni lo
richiedano.
b) Tutti i funzionari o cittadini autorizzati ad accedere alle
informazioni classificate UE RISERVATISSIMO o di grado superiore
sono in possesso di un attestato per un determinato grado di
protezione o dell'equivalente nulla osta di sicurezza l'uno e
l'altro emessi dal proprio governo nazionale.
8. Trasmissione di documenti
a) Le procedure pratiche per la trasmissione di documenti sono decise
mediante accordo. In attesa della conclusione di tale accordo si
applicano le disposizioni della sezione 21. Laccordo dovra'
fornire in particolare indicazioni precise sulle sezioni
dell'Ufficio di registrazione a cui devono essere inoltrate le
informazioni classificate UE.
b) Se l'autorizzazione della Commissione riguarda la comunicazione di
informazioni classificate anche di grado UE SEGRETISSIMO, lo Stato
o l'organizzazione internazionale che ne sono destinatari
istituiscono un ufficio centrale di registrazione UE,
eventualmente suddiviso in sottosezioni. Tali sottosezioni devono
applicare disposizioni rigorosamente equivalenti a quelle della
sezione 22 delle presenti disposizioni in materia di sicurezza.
9. Registrazione
Non appena riceve un documento classificate UE RISERVATISSIMO o di
grado superiore, l'ufficio di registrazione lo annota in un registro
speciale dell'organizzazione, suddiviso in colonne per la data di
ricezione, dettagli del documento (data, numero di riferimento e di
copia), la classificazione, il titolo, il nome o la qualifica del
ricevente, la data di ritorno della ricevuta e la data di rinvio del
documento all'originatore UE o dell'avvenuta distruzione.
10. Distruzione
a) I documenti classificati UE vengono distrutti secondo le
istruzioni riportate nella sezione 2 delle presenti disposizioni
in materia di sicurezza. L'avvenuta distruzione di documenti
classificati UE SEGRETO e UE SECRETISSIMO e' attestata con
certificati inviati in copia all'ufficio di registrazione UE che
li aveva trasmessi.
b) I documenti classificati UE sono inclusi nei programmi di
distruzione d'emergenza predisposti per i documenti classificati
degli organismi destinatari.
--------------------------------------------------------------------------------
(1) GU n. 17 del 6.10.1958, pag. 406/58.
(2) GU L 151 del 15.6.1990, pag. 1.
(3) GU L 101 dell'11.4.2001, pag. 1.
(4) Gu L 145 del 31.5.2001, pag. 43.
(1) Fatti salvi la convenzione di Vienna del 1961 sulle relazioni
diplomatiche e Il protocollo sul privilegi e le immunita' delle
Comunita' europee dell'8 aprile 1965.
(1) Nell'appendice 1 e' riportata una tabella comparativa delle
classificazioni di sicurezza UE, NATO, UEO e degli Stati membri.
Note:
(1) lI fatto che vi sia una necessita' di sapere comune indica che le
caratteristiche del computer non devono necessariamente offrire una
separazione delle informazioni all'interno del sistema.
(2) Le altre caratteristiche di sicurezza (ad esempio relative al
materiale, al personale o alle procedure) sono conformi ai requisiti
per il grado piu' elevato di classificazione e per tutte le
designazioni di categoria delle informazioni trattate nel sistema.
Note:
(1) La valutazione accerta la presenza della funzionalita' di
sicurezza richiesta e l'assenza di effetti secondari compromettenti
derivanti da tale funzionalita' e valuta l'inalterabilita' di tale
funzionalita'.
(2) La valutazione determina se e quanto sono soddisfatti i requisiti
di sicurezza di un sistema, o le presunte prestazioni di sicurezza di
un prodotto per la sicurezza del computer, e stabilisce il livello di
attendibilita' del sistema o della funzione di fiducia del prodotto
per la sicurezza del computer o della crittografia.
Note:
(1) Una rete TI puo' usare i servizi di una o piu' reti di
comunicazione interconnesse per lo scambio di dati; varie reti TI
possono usare i servizi di una rete di comunicazioni comune.
(2) Una rete TI e' denominata "locale" se collega vari computer nel
medesimo sito.
Note:
(1) Si tratta di un insieme di strutture, configurate per trattare
informazioni all'interno del sistema.
(2) Tali sistemi possono essere a sostegno di applicazioni di
consultazione, comando, controllo e comunicazione, di applicazioni
scientifiche o amministrative, incluso il trattamento testi.
(3) Un sistema e' generalmente definito in base agli elementi posti
sotto il controllo di un unico TSO.
(4) Un sistema TI puo' contenere sottosistemi alcuni dei quali sono
essi stessi sistemi TI.
Note:
(1) Questo modo di funzionamento consente attualmente il trattamento
di informazioni di diversi gradi di classificazione e con diverse
designazioni di categoria.
(2) Il fatto che non tutte le persone siano in possesso di un
nullaosta di sicurezza del grado piu' elevato, associato ad una
mancanza di necessita' di sapere comune, indica che le
caratteristiche di sicurezza del computer devono offrire un accesso
selettivo alle informazioni nel sistema e la loro separazione.
Note:
(1) La mancanza di una necessita' di sapere comune indica che le
caratteristiche di sicurezza del computer devono offrire un accesso
selettivo alle informazioni nei sistema e la separazione delle
medesime.
(2) Le altre caratteristiche di sicurezza (ad esempio relative al
materiale, al personale o alle procedure) sono conformi ai requisiti
per il grado piu' elevato di classificazione e per tutte le
designazioni di categoria delle informazioni trattate nel sistema.
(3) Tutte le informazioni trattate o messe a disposizione nel sistema
in base a questo modo di funzionamento, unitamente all'output che ne
deriva, sono protette come se rientrassero potenzialmente nella
designazione di categoria e nel grado piu' elevato di classificazione
delle informazioni trattate fino a prova contraria, a meno che
sussista un livello di fiducia accettabile nei confronti della
funzione di etichettatura gia' presente.
Non sara' tralasciata alcuna misura che possa impedire l'accesso
di persone non autorizzate alle informazioni classificate UE.
12. Copie, traduzioni ed estratti
E' vietato fotocopiare o tradurre un documento classificato UE
RISERVATISSIMO o UE SEGRETO, oppure estrarne brani senza
l'autorizzazione del responsabile della sicurezza, che registrera' e
controllera' copie, traduzioni o estratti apponendovi, se necessario,
una stampigliatura.
La riproduzione o traduzione di un documento classificato UE
SEGRETISSIMO puo' essere autorizzata soltanto dall'autorita'
d'origine, che precisera' il numero di copie autorizzate: se non e'
possibile risalire a tale autorita', la richiesta e' deferita al
servizio di sicurezza della Commissione.
13. Violazioni della sicurezza
In caso di violazione, presunta o reale, delle norme di sicurezza
per un documento classificato UE, si dovrebbe immediatamente
procedere, fatta salva la conclusione di un accordo in materia di
sicurezza, a:
a) effettuare un'indagine per accertare le circostanze di detta
violazione;
b) informare il servizio di sicurezza della Commissione, l'autorita'
nazionale competente in materia di sicurezza e l'autorita'
d'origine o dichiarare esplicitamente, se del caso, che
quest'ultima non e' stata informata;
c) adottare misure concrete per limitare al minimo gli effetti della
violazione;
d) riesaminare e applicare le misure atte ad impedire nuovi episodi
di questo tipo;
e) porre in atto tutte le misure raccomandate dal servizio di
sicurezza della Commissione per impedire il verificarsi di nuovi
episodi.
14. Ispezioni
Il servizio di sicurezza della Commissione sara' autorizzato, con
il consenso degli Stati o delle organizzazioni internazionali
interessati, ad effettuare una valutazione dell'efficacia delle
misure prese a protezione delle informazioni classificate UE che sono
state comunicate a terzi.
15. Relazioni
Patta salva la conclusione di accordi in materia di sicurezza, gli
Stati o le organizzazioni internazionali dovrebbero, fintanto che
detengono informazioni classificate UE, presentare una relazione
annuale a conferma del rispetto delle presenti disposizioni in
materia di sicurezza, entro una data specificata al momento in cui e'
stata autorizzata la comunicazione dell'informazione.
Appendice 4
Linee direttrici per la comunicazione di informazioni classificate UE
a Stati terzi o organizzazioni internazionali: livello 2 cooperazione
PROCEDURE
1. La facolta' di comunicare informazioni classificate UE a Stati
terzi o organizzazioni internazionali la cui politica e normativa di
sicurezza sono molto diverse da quelle dell'UE spetta
all'originatore. La facolta' di decidere la trasmissione di
informazioni classificate UE all'interno della Commissione spetta
alla Commissione in quanto Collegio.
2. In linea di principio, e' limitata alle informazioni
classificate fino al grado UE SEGRETO compreso; ne sono escluse le
informazioni classificate protette da speciali contrassegni di
sicurezza.
3. In attesa che venga concluso un accordo sulla sicurezza, il
membro della Commissione responsabile per le questioni della
sicurezza e' competente per l'esame delle richieste di trasmissione
di informazioni classificate UE.
4. Il membro della Commissione a cio' preposto deve:
- chiedere il parere degli originatori delle informazioni
classificate UE da trasmettere,
- stabilire i necessari contatti con gli organismi preposti alla
sicurezza degli Stati o organizzazioni internazionali destinatari
per avere informazioni sulla loro politica e la loro normativa in
materia di sicurezza e in particolare per compilare una tabella in
cui sono messe a confronto le classificazioni applicate nell'UE e
quelle dello Stato o dell'organizzazione interessata,
- organizzare una riunione del gruppo consultivo della Commissione
per le politiche della sicurezza o, se necessario con la procedura
di approvazione tacita, indagare presso le autorita' nazionali
competenti in materia di sicurezza per ottenere il parere gruppo
consultivo della Commissione per le politiche della sicurezza.
5. Il parere del gruppo consultivo della Commissione per le
politiche della sicurezza deve riguardare:
- la fiducia che si puo' riporre negli Stati o organizzazioni
internazionali destinatari allo scopo di valutare i rischi di
sicurezza che corrono l'UE o gli Stati membri,
- la valutazione della capacita' dei destinatari di proteggere le
informazioni classificate e comunicate dall'UE.
- le proposte circa le procedure pratiche per il trattamento delle
informazioni classificate UE (fornendo versioni parziali di un
testo, per esempio) e dei documenti trasmessi (mantenendo o
cancellando le diciture di classificazione UE, contrassegni
specifici ecc.),
- il declassamento o la declassificazione prima che le informazioni
siano comunicate agli Stati o organizzazioni internazionali
destinatari.
6. lI membro della Commissione responsabile per le questioni della
sicurezza deve inoltrare alla Commissione la richiesta e il parere
formulato dal gruppo consultivo della Commissione per le politiche
della sicurezza.
NORME DI SICUREZZA CHE DEVONO ESSERE APPLICATE DAI DESTINATARI
7. Il membro della Commissione responsabile per le questioni della
sicurezza notifica agli Stati o alle organizzazioni internazionali
destinatari la decisione della Commissione di autorizzare la
comunicazione di informazioni classificate UE e le restrizioni
relative a quest'ultime.
8. La decisione prende effetto soltanto previa garanzia scritta da
parte dei destinatari che:
- l'informazione sara' utilizzata ai soli scopi concordati,
- sara' protetta conformemente alle disposizioni della
Commissione.
9. Si applicano le norme di protezione di seguito esposte a meno
che la Commissione, sentito il parere tecnico del Gruppo consultivo
della Commissione per le politiche della sicurezza, decida di
adottare una particolare procedura per il trattamento dei documenti
classificati UE (cancellando la menzione della classificazione UE,
contrassegni specifici ecc.).
10. Personale
a) Il numero dei funzionari aventi accesso alle informazioni
classificate UE e' rigorosamente ristretto, secondo il principio
della necessita' di sapere, alle persone le cui funzioni lo
richiedono.
b) Tutti i funzionari o i cittadini autorizzati ad accedere alle
informazioni classificate comunicate dalla Commissione devono
avere un nulla osta di sicurezza o un'autorizzazione nazionale per
accedere a un determinato livello equivalente, a quello dell'UE,
secondo la definizione di cui alla tabella comparativa.
c) I nulla osta di sicurezza o autorizzazioni nazionali sono inviati
per informazione al presidente.
11. Trasmissione di documenti
Le procedure pratiche per la trasmissione di documenti sono decise
mediante accordo. In attesa della conclusione di tale accordo si
applicano le disposizioni della sezione 21. L'accordo dovra'
specificare in particolare gli uffici di registrazione ai quali
devono essere inoltrate le informazioni classificate UE e gli
indirizzi esatti ai quali devono essere inoltrati i documenti nonche'
il corriere o i servizi postali usati per la trasmissione delle
informazioni classificate UE.
12. Registrazione al momento dell'arrivo
La NSA dello Stato destinatario o il suo equivalente, che riceve
le informazioni classificate inviate dalla Commissione a nome del
proprio governo, ovvero l'ufficio di sicurezza dell'organizzazione
internazionale destinataria, istituisce uno speciale registro per
annotare le informazioni classificate UE all'atto del ricevimento. Il
registro contiene colonne con l'indicazione della data, dettagli del
documento (data, sigla e numero di esemplari), classificazione,
titolo, nome o titolo del destinatario, data del ritorno della
ricevuta e la data del rinvio del documento all'UE o quella della
distruzione del documento.
13. Rinvio dei documenti
Il destinatario che invia un documento classificato alla
Commissione, procede come indicato al precedente paragrafo
"Trasmissione di documenti".
14. Protezione
a) documenti che non sono in uso, sono custoditi in un contenitore di
sicurezza omologato per la custodia di materiali dello stesso
grado di classificazione, classificati a livello nazionale. Il
contenitore non reca indicazioni del contenuto che e' accessibile
soltanto a persone autorizzate a trattare informazioni
classificate UE. Per quanto riguarda le serrature a combinazione,
questa e' nota soltanto ai funzionari dello Stato o
dell'organizzazione che sono autorizzati ad accedere alle
informazioni classificate UE custodite nel contenitore ed e'
sostituita ogni sei mesi o quando un funzionario viene trasferito,
oppure se a uno dei funzionari che conoscono la combinazione viene
ritirato il nulla osta di sicurezza o se vi e' un rischio di
violazione.
b) I documenti classificati UE sono tolti dal contenitore di
sicurezza solo dai funzionari che hanno ricevuto il nulla osta per
l'accesso ai documenti classificati UE e hanno necessita' di
sapere. Essi sono responsabili della custodia sicura dei documenti
finche' ne sono in possesso e in particolare garantiscono che
nessuna persona non autorizzata abbia accesso ai documenti.
Assicurano anche che i documenti siano custoditi in un contenitore
di sicurezza quando hanno finito di consultarli e al di fuori
dell'orario di lavoro.
c) Non e' permesso fare fotocopie di un documento classificato UE
RISERVATISSIMO o di grado superiore ne' trarne estratti senza
l'autorizzazione del Servizio di sicurezza della Commissione.
d) E' necessario che la procedura per una rapida e totale distruzione
dei documenti in caso di emergenza sia definita e confermata in
collaborazione con il servizio di sicurezza della Commissione.
15. Sicurezza materiale
a) Quando non sono usati, i contenitori di sicurezza adibiti alla
custodia dei documenti classificati UE devono essere chiusi a
chiave in permanenza.
b) Il personale addetto alla manutenzione o alle pulizie che deve
entrare o lavorare in una stanza in cui sono situati i contenitori
di sicurezza deve essere scortato continuamente da un membro del
servizio di sicurezza dello Stato o dell'organizzazione o dal
funzionario che e' direttamente responsabile per la supervisione
della sicurezza della stanza stessa.
c) Al di fuori dell'orario di lavoro normale (la notte, nei fine
settimana e nei giorni festivi, i contenitori di sicurezza che
custodiscono documenti classificati UE sono protetti da una
guardia o da un sistema d'allarme automatico.
16. Violazioni della sicurezza
Se si e' verificata o si sospetta che si sia verificata una
violazione della sicurezza relativamente a un documento classificato
UE occorre immediatamente provvedere a:
a) inviare subito una relazione al servizio di sicurezza della
Commissione o alla NSA dello Stato membro che ha preso
l'iniziativa di inviare documenti (con copia al servizio di
sicurezza della Commissione);
b) condurre un'inchiesta al termine della quale e' presentata al
servizio di sicurezza una relazione completa [cfr. a) supra]. Sono
poi adottate le misure necessarie per porre rimedio alla
situazione.
17. Ispezioni
Il servizio di sicurezza della Commissione sara' autorizzato, con
il consenso degli Stati o delle organizzazioni internazionali
interessati, ad effettuare una valutazione dell'efficacia delle
misure prese a protezione delle informazioni classificate UE che sono
state comunicate a terzi.
18. Relazioni
Fatta salva la conclusione di accordi in materia di sicurezza, gli
Stati o le organizzazioni internazionali dovrebbero, fintanto che
detengono informazioni classificate UE, presentare una relazione
annuale a conferma del rispetto delle presenti disposizioni in
materia di sicurezza, entro una data specificata al momento in cui e'
stata autorizzata la comunicazione dell'informazione.
Appendice 5
Linee direttrici per la comunicazione di informazioni classificate UE
a Stati terzi o organizzazioni internazionali: livello 3 cooperazione
PROCEDURE
1. Occasionalmente in circostanze particolari, e' possibile che la
Commissione intenda cooperare con Stati o organizzazioni che non
possono dare le garanzie richieste dalle presenti disposizioni in
materia di sicurezza ma che tale cooperazione richieda la
comunicazione di informazioni classificate UE.
2. La facolta' di comunicare informazioni classificate UE a Stati
terzi o organizzazioni internazionali la cui politica e normativa di
sicurezza sono molto diverse da quelle dell'UE spetta
all'originatore. La facolta' di decidere la trasmissione di
informazioni classificate UE all'interno della Commissione spetta
alla Commissione in quanto Collegio.
In linea di principio, e' limitata alle informazioni classificate
fino al grado UE SEGRETO compreso; ne sono escluse le informazioni
classificate protette da speciali contrassegni di sicurezza.
3. La Commissione valuta se comunicare le informazioni
classificate, considera la necessita' di sapere dei destinatari e
decide quali informazioni classificate possano essere comunicate.
4. Se la Commissione e' favorevole, il membro della Commissione
responsabile per le questioni della sicurezza:
- chiedere il parere degli originatori delle informazioni
classificate UE da trasmettere,
- organizzare una riunione del gruppo consultivo della Commissione
per le politiche della sicurezza o, se necessario con la procedura
di approvazione tacita, indagare presso le autorita' nazionali
competenti in materia di sicurezza per ottenere il parere gruppo
consultivo della Commissione per le politiche della sicurezza.
5. Il parere del gruppo consultivo della Commissione per le
politiche della sicurezza deve riguardare:
a) una valutazione dei rischi di sicurezza corsi dall'UE o dagli
Stati membri;
b) il grado di classificazione delle informazioni che possono essere
comunicate;
c) il declassamento o la declassificazione prima di comunicare le
informazioni;
d) le procedure per il trattamento dei documenti da divulgare (vedi
il paragrafo successivo);
e) sui metodi di trasmissione (servizi postali, sistemi di
telecomunicazioni pubblici o protetti, valigia diplomatica,
corrieri autorizzati, ecc.).
6. I documenti comunicati a Stati o organizzazioni che rientrano
in questa appendice sono predisposti, in linea di massima, senza un
riferimento alla fonte o a una classificazione UE. Il gruppo
consultivo della Commissione per le politiche della sicurezza puo'
raccomandare:
- l'uso di un contrassegno o codice specifico,
- l'uso di un sistema di classificazione specifico che rapporta la
sensibilita' delle informazioni alle necessarie misure di controllo
dei metodi usati dal destinatario per trasmettere i documenti.
7. Il presidente alla Commissione, affinche' quest'ultima prenda
una decisione, il parere formulato dal gruppo consultivo della
Commissione per le politiche della sicurezza.
8. Dopo che la Commissione ha appronto la comunicazione di
informazioni classificate UE e le procedure pratiche di attuazione il
servizio di sicurezza della Commissione stabilisce i necessari
contatti con l'organismo preposto alla sicurezza e dello Stato o
organizzazione interessati per facilitare l'applicazione delle misure
di sicurezza prospettate.
9. Il membro della Commissione responsabile per le questioni della
sicurezza informa gli Stati membri sulla natura e la classificazione
delle informazioni, elencando le organizzazioni e gli Stati ai quali
queste possono essere comunicate, secondo quanto deciso dalla
Commissione.
10. Il servizio di sicurezza della Commissione prende le misure
necessarie per facilitare la valutazione di qualsiasi possibile danno
e la revisione delle procedure.
In caso di mutamento delle condizioni di cooperazione, la
Commissione deve procedere a un riesame della materia.
NORME DI SICUREZZA CHE DEVONO ESSERE APPLICATE DAI DESTINATARI
11. Il membro della Commissione responsabile per le questioni
della sicurezza notifica agli Stati o alle organizzazioni
internazionali destinatari la decisione della Commissione di
autorizzare la comunicazione di informazioni classificate UE
unitamente alle norme di protezione dettagliate proposte dal gruppo
consultivo della Commissione per le politiche della sicurezza e
approvata dalla Commissione stessa.
12. La decisione entra in vigore soltanto quando i destinatari
danno assicurazione scritta:
- di non destinare le informazioni a un uso diverso dalla
cooperazione decisa dalla Commissione,
- di dare alle informazioni la protezione richiesta dalla
Commissione.
13. Trasmissione di documenti
a) Le procedure pratiche per la trasmissione di documenti sono
concordate tra il servizio sicurezza della Commissione e gli
organi preposti alla sicurezza degli Stati e organizzazioni
internazionali destinatari. In particolare devono essere
specificati gli indirizzi esatti per l'invio dei documenti.
b) I documenti classificati UE RISERVATISSIMO e gradi superiori sono
trasmessi in doppia busta. La busta interna reca lo specifico
timbro o codice convenuto e la menzione della classificazione
particolare che e' stata approvata per il documento. A ciascun
documento classificato e' acclusa una ricevuta. La ricevuta, di
per se' non classificata, cita soltanto i dettagli del documento
(sigla, data, numero di esemplari) e la lingua, ma non il titolo.
c) La busta interna e' posta in un'altra busta che reca il numero del
plico per consentire il rilascio di una ricevuta. La busta esterna
non reca alcuna classificazione di sicurezza.
d) Ai corrieri e' sempre fornita una ricevuta con il numero del
plico.
14. Registrazione al momento dell'arrivo
La NSA dello Stato destinatario o il suo equivalente, che riceve
le informazioni classificate inviate dalla Commissione per conto del
suo governo, ovvero l'ufficio di sicurezza dell'organizzazione
internazionale destinataria, istituisce uno speciale registro per
annotare le informazioni classificate UE all'atto del ricevimento. Il
registro e' suddiviso in colonne che riportano l'indicazione della
data, i dettagli del documento (data, sigla e numero di esemplari),
la classificazione, il titolo, il nome o titolo del destinatario, la
data del ritorno della ricevuta e la data del rinvio del documento
all'UE o quella della distruzione del documento.
15. Utilizzazione e protezione delle informazioni classificate
scambiate
a) Le informazioni a livello UE SEGRETO sono trattate da funzionari
specificamente designati che sono autorizzati ad avere accesso
alle informazioni aventi tale classificazione. Sono custodite in
armadi di sicurezza di buona qualita' che possono essere aperti
soltanto da persone autorizzate ad avere accesso alle informazioni
che contengono. I luoghi in cui detti armadi sono situati sono
sorvegliati costantemente; un sistema di verifica garantisce che
possono entrarvi soltanto le persone debitamente autorizzate. Le
informazioni di livello UE SEGRETO sono inviate per valigia
diplomatica, servizi postali e servizi di telecomunicazioni
protetti. Un documento UE SEGRETO puo' essere copiato soltanto con
l'accordo scritto dell'autorita' d'origine. Tutte le copie sono
registrate e controllate. Per tutte le operazioni relative a
documenti UE SEGRETO sono rilasciate ricevute.
b) Le informazioni di livello UE RISERVATISSIMO sono trattate da
funzionari debitamente designati e autorizzati a conoscere
l'argomento. I documenti sono custoditi in armadi di sicurezza
chiusi a chiave in luoghi controllati.
Le informazioni di livello UE RISERVATISSIMO sono inviate per valigia
diplomatica, servizi postali militari e telecomunicazioni
protette. L'organismo destinatario puo' farne copie, annotando il
relativo numero e la distribuzione in appositi registri.
c) Le informazioni di livello UE RISERVATO sono trattate in luoghi
non accessibili a personale non autorizzato e custodite in
contenitori chiusi a chiave. I documenti possono essere inviati
tramite i servizi postali pubblici come plico raccomandato in
doppia busta; in casi di emergenza durante le operazioni, tramite
sistemi di telecomunicazioni pubblici non protetti. I destinatari
possono fotocopiarli.
d) Le informazioni non classificate non richiedono speciali misure di
protezione e possono essere inviate per posta e tramite i sistemi
pubblici di telecomunicazioni. I destinatari possono copiarle.
16. Distruzione
I documenti che non servono piu' devono essere distrutti. Nel caso
di documenti UE RISERVATO E UE RISERVATISSIMO, viene inserita una
nota nei registri speciali. Nel caso di documenti del livello UE
SEGRETO, sono rilasciati certificati di distruzione firmati da due
testimoni della distruzione.
17. Violazioni della sicurezza
Se informazioni di livello UE RISERVATISSIMO o UE SEGRETO sono
compromesse o se vi e' un sospetto in tal senso, la NSA dello Stato o
il capo del servizio di sicurezza dell'organizzazione conduce
un'inchiesta per appurare le circostanze della violazione e notifica
i risultati dell'inchiesta al servizio di sicurezza della
Commissione. Si adottano quindi i provvedimenti atti a migliorare le
procedure o i metodi di custodia inadeguati che possano essere
all'origine della violazione.
Appendice 6
ELENCO DELLE ABBREVIAZIONI
CCAC Commissione consultiva per gli acquisti e i contratti
CrA Autorita' Crypto
CISO Responsabile della sicurezza informatica a livello centrale
COMPUSEC Sicurezza informatica
COMSEC Sicurezza delle comunicazioni
CSO Ufficio di sicurezza della Commissione
ESDP Politica europea di sicurezza e di difesa
ICUE Informazioni classificate UE
IA Autorita' INFOSEC
INFOSEC Sicurezza dell'informazione
IO Proprietario delle informazioni
ISO Organizzazione internazionale di normalizzazione
TI Tecnologie dell'informazione
LISO Responsabile della sicurezza informatica a livello locale
LSO Responsabile della sicurezza a livello locale
MSO Responsabile della sicurezza della riunione
NSA Autorita' nazionali di sicurezza
PC Personal Computer
RCO Funzionario di controllo dell'ufficio di registrazione
SAA Autorita' di accreditamento in materia di sicurezza
SecOPS Procedure operative di sicurezza
SSRS Dichiarazione relativa ai requisiti di sicurezza specifici
del sistema
TA Autorita' Tempest
TSO Proprietario dei sistemi tecnici
Il testo di questo provvedimento non riveste carattere di
ufficialità e non è sostitutivo in alcun modo della pubblicazione ufficiale
cartacea. La consultazione e' gratuita.
Fonte: Istituto poligrafico e Zecca dello Stato