La Decisión del Consejo de 23 de septiembre de 2013 establece los principios básicos y los estándares mínimos de seguridad para la protección de la Información clasificada de la Unión Europea (ICUE).
Dichos principios básicos y estándares mínimos se aplicarán al Consejo y a la SGC y deberán ser respetados por los Estados miembros, de conformidad con sus respectivas disposiciones legales y reglamentarias nacionales, a fin de que todos ellos puedan tener la seguridad de que se garantiza un nivel equivalente de protección a la ICUE.
DECISIÓN DEL CONSEJO DE 23 DE SEPTIEMBRE DE 2013 SOBRE LAS NORMAS DE SEGURIDAD PARA LA PROTECCIÓN DE LA INFORMACIÓN CLASIFICADA DE LA UE
EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea y 
, en particular, su artículo 240 , apartado 3, Vista la Decisión 2009/937/UE del Consejo, de 1 de diciembre de 2009, por la que se aprueba su Reglamento interno, y, en particular, su artículo 24, Considerando lo siguiente:
(1) A fin de desempeñar las actividades del Consejo en todos aquellos ámbitos en los que es necesario manejar información clasificada, es conveniente establecer un sistema integral de seguridad para la protección de la información clasificada aplicable al Consejo, a su Secretaría General y a los Estados miembros.
(2) La presente Decisión debe aplicarse siempre que el Consejo, sus órganos preparatorios y la Secretaría General del Consejo (SGC) manejen información clasificada de la UE (ICUE).
(3) De conformidad con sus disposiciones legales y reglamentarias nacionales y en la medida de lo necesario para el funcionamiento del Consejo, los Estados miembros deben respetar la presente Decisión siempre que sus autoridades competentes, personal o contratistas manejen ICUE, a fin de que todos ellos puedan tener la seguridad de que se garantiza un nivel equivalente de protección a dicha información.
(4) El Consejo, la Comisión y el Servicio Europeo de Acción Exterior (SEAE) se han comprometido a aplicar estándares de seguridad equivalentes para la protección de la ICUE.
(5) El Consejo subraya la importancia de que el Parlamento Europeo y las demás instituciones, órganos, organismos o agencias de la Unión queden asociados, cuando proceda,
a los principios, estándares y normas de protección de la información clasificada que resultan necesarios para proteger los intereses de la Unión y de sus Estados miembros.
(6) El Consejo debe establecer el marco adecuado para compartir ICUE que obre en su poder con otras instituciones, órganos, organismos o agencias de la Unión, según proceda, de conformidad con la presente Decisión y acuerdos interinstitucionales vigentes.
(7) Los órganos y las agencias de la UE creados en virtud del título V, capítulo 2, del Tratado de la Unión Europea (TUE), Europol y Eurojust deben aplicar, en el contexto de su organización interna, los principios básicos y los estándares mínimos para la protección de la ICUE establecidos en la presente Decisión, cuando así lo disponga el acto en virtud del cual se hayan creado.
(8) Las operaciones de gestión de crisis establecidas al amparo del título V, capítulo 2, del TUE y su personal deben aplicar las normas de seguridad adoptadas por el Consejo para la protección de la ICUE cuando así lo disponga el acto del Consejo al amparo del cual se hayan establecido.
(9) Los representantes especiales de la UE y los miembros de sus equipos deben aplicar las normas de seguridad adoptadas por el Consejo para la protección de la ICUE cuando así lo disponga el acto pertinente del Consejo.
(10) La presente Decisión se adopta sin perjuicio de lo dispuesto en los artículos 15 y 16 del Tratado de Funcionamiento de la Unión Europea (TFUE) y de los instrumentos que los desarrollan.
(11) La presente Decisión se adopta sin perjuicio de las prácticas vigentes en los Estados miembros respecto de la información que proporcionen a sus Parlamentos nacionales sobre las actividades de la Unión.
(12) A fin de garantizar que las normas de seguridad para la protección de la ICUE se apliquen oportunamente en lo que atañe a la adhesión de la República de Croacia a la Unión Europea, la presente Decisión debe entrar en vigor el día de su publicación.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1 Objeto, ámbito de aplicación y definiciones
1. La presente Decisión establece los principios básicos y los estándares mínimos de seguridad para la protección de la Información clasificada de la Unión Europea (ICUE).
2. Dichos principios básicos y estándares mínimos se aplicarán al Consejo y a la SGC y deberán ser respetados por los Estados miembros, de conformidad con sus respectivas disposiciones legales y reglamentarias nacionales, a fin de que todos ellos puedan tener la seguridad de que se garantiza un nivel equivalente de protección a la ICUE.
3. A los efectos de la presente Decisión, se aplicarán las definiciones que figuran en el apéndice A.
Artículo 2 Definición de ICUE, clasificaciones de seguridad y marcas
1. Por “información clasificada de la UE” (ICUE) se entenderá toda información o material a los que se haya asignado una clasificación de seguridad de la UE cuya revelación no autorizada pueda causar perjuicio en distintos grados a los intereses de la Unión Europea o de uno o varios Estados miembros.
2. La ICUE se clasificará en uno de los grados siguientes:
a) TRÈS SECRET UE/EU TOP SECRET: información y material cuya revelación no autorizada pueda causar un perjuicio excepcionalmente grave a los intereses esenciales de la Unión Europea o de uno o varios Estados miembros;
b) SECRET UE/EU SECRET: información y material cuya revelación no autorizada pueda causar un perjuicio grave a los intereses esenciales de la Unión Europea o de uno o varios Estados miembros;
c) CONFIDENTIEL UE/EU CONFIDENTIAL: información y material cuya revelación no autorizada pueda causar perjuicio a los intereses esenciales de la Unión Europea o de uno o varios Estados miembros;
d) RESTREINT UE/EU RESTRICTED: información y material cuya revelación no autorizada pueda resultar desfavorable para los intereses de la Unión o de uno o varios Estados miembros.
3. La ICUE llevará una marca de clasificación de seguridad de conformidad con el apartado 2. Podrá llevar marcas suplementarias para designar el ámbito de actividad al que se refiere,
identificar el originador, limitar la difusión, restringir su utilización o indicar la medida en que puede ser cedida.
Artículo 3 Gestión de la clasificación
1. Las autoridades competentes se asegurarán de que la ICUE se clasifique adecuadamente, quede claramente marcada como información clasificada y solo conserve su grado de clasificación mientras sea necesario.
2. No se podrá rebajar el grado de clasificación de la ICUE ni desclasificarla, ni modificar o suprimir las marcas a que se refiere el artículo 2, apartado 3, sin el consentimiento previo por escrito del originador.
3. El Consejo aprobará una política de seguridad para la creación de ICUE que incluirá una guía práctica de clasificación.
Artículo 4 Protección de la información clasificada
1. La ICUE se protegerá de conformidad con la presente Decisión.
2. El poseedor de cualquier ICUE tendrá la responsabilidad de protegerla de conformidad con la presente Decisión.
3. Cuando los Estados miembros introduzcan en las estructuras o redes de la Unión información clasificada que lleve una marca nacional de clasificación de seguridad, el Consejo y la SGC protegerán dicha información con arreglo a los requisitos aplicables a la ICUE del grado equivalente, según el cuadro de equivalencias de las clasificaciones de seguridad que figura en el apéndice B.
4. Un agregado de ICUE podrá justificar un grado de protección que corresponda a una clasificación más elevada que la asignada a cada uno de sus componentes.
Artículo 5 Gestión del riesgo de seguridad
1. La gestión de los riesgos que corre la ICUE adoptará la forma de un proceso, el cual tendrá por objetivo determinar los riesgos de seguridad conocidos, definir las medidas de seguridad para reducir dichos riesgos a un nivel aceptable, de conformidad con los principios básicos y los estándares mínimos establecidos en la presente Decisión, y adecuar esas medidas al concepto de defensa en profundidad definido en el apéndice A. La eficacia de dichas medidas será continuamente evaluada.
2. Las medidas de seguridad para proteger la ICUE a lo largo de todo su ciclo de vida serán acordes, en particular, con su clasificación de seguridad, la forma y el volumen de la información o material, la ubicación y construcción de la instalación en el que se conserve, y la amenaza de actividades maliciosas o delictivas, evaluadas localmente, en particular el espionaje, el sabotaje y el terrorismo.
3. Los planes de contingencia tendrán en cuenta la necesidad de proteger la ICUE en situaciones de emergencia, con el fin de impedir el acceso o la revelación no autorizados y la pérdida de integridad o disponibilidad.
4. En los planes de continuidad de la actividad se incluirán medidas preventivas y de recuperación para reducir al máximo las repercusiones de fallos o incidentes graves en el manejo y almacenamiento de ICUE.
Artículo 6 Aplicación de la presente Decisión
1. En caso necesario, el Consejo, previa recomendación del Comité de Seguridad, aprobará políticas de seguridad que establezcan medidas de aplicación de la presente Decisión.
2. El Comité de Seguridad podrá acordar, dentro de su ámbito de competencias, directrices de seguridad que completen o faciliten la aplicación de la presente Decisión y de las políticas de seguridad aprobadas por el Consejo.
Artículo 7 Seguridad en el personal
1. Por “seguridad en el personal” se entenderá la aplicación de medidas que garanticen que el acceso a la ICUE se concede únicamente a personas que:
- tengan necesidad de conocer, - hayan sido habilitadas para el grado de clasificación correspondiente, en caso necesario, y - hayan sido instruidas sobre sus responsabilidades.
2. Los procedimientos de habilitación personal de seguridad estarán concebidos para determinar si una persona puede ser autorizada para acceder a la ICUE, teniendo en cuenta su lealtad, honradez y fiabilidad.
3. Todas las personas de la SGC cuyas funciones puedan requerir el acceso a ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior, o su manejo, deberán haber sido habilitadas para el grado correspondiente antes de poder acceder a dicha información. Estas personas deberán ser autorizadas por la autoridad facultada para proceder a los nombramientos de la SGC para acceder a ICUE de un determinado nivel y hasta una fecha determinada.
4. El personal de los Estados miembros a que se refiere el artículo 15, apartado 3, cuyas funciones puedan requerir el acceso a ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior deberá haber sido habilitado para el grado correspondiente o haber sido debidamente autorizado en virtud de sus funciones, de conformidad con las disposiciones legales y
reglamentarias nacionales, antes de poder acceder a dicha información.
5. Antes de poder acceder a ICUE y, posteriormente, a intervalos periódicos, todas las personas deberán ser instruidas sobre sus responsabilidades en materia de protección de la ICUE conforme a lo dispuesto en la presente Decisión y aceptar dichas responsabilidades.
6. Las disposiciones para la aplicación del presente artículo figuran en el anexo I.
Artículo 8 Seguridad física
1. Por “seguridad física” se entenderá la aplicación de medidas de protección física y técnica para impedir el acceso no autorizado a ICUE.
2. Las medidas de seguridad física estarán concebidas para impedir la entrada, subrepticia o por la fuerza, de intrusos, para disuadir, impedir y descubrir actividades no autorizadas y para segregar al personal en lo que respecta al acceso a ICUE según el principio de necesidad de conocer el contenido de dicha información. Estas medidas se determinarán a partir de un proceso de gestión del riesgo.
3. Se establecerán medidas de seguridad física en todos los locales, edificios, oficinas, salas y demás zonas en que se maneje o almacene ICUE, incluidas las zonas que alberguen sistemas de información y comunicaciones, en el sentido definido en el artículo 10, apartado 2.
4. Las zonas en que se almacene ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior se establecerán como Zonas de Acceso Restringido, de conformidad con el anexo II, y serán aprobadas por la autoridad de seguridad competente.
5. Para la protección de ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior solo podrán emplearse equipos o dispositivos aprobados.
6. Las disposiciones de aplicación del presente artículo figuran en el anexo II.
Artículo 9 Tratamiento de la información clasificada
1. Por “tratamiento de la información clasificada” se entenderá la aplicación de medidas administrativas de control de la ICUE a lo largo de todo su ciclo de vida que completen las medidas contempladas en los artículos 7, 8 y 10 y contribuyan, así, a disuadir y descubrir cualquier acto deliberado o accidental que pueda comprometer o suponer la pérdida de dicha información. Estas medidas se refieren, en particular, a la producción, registro, copia, traducción, reducción del grado de clasificación, desclasificación, traslado y destrucción de ICUE.
2. La información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior se inscribirá en un registro para fines de seguridad antes de ser distribuida y al ser recibida.
Las autoridades competentes de la SGC y de los Estados miembros establecerán a tal fin un sistema de registro. La información clasificada de grado TRÈS SECRET UE/EU TOP SECRET se inscribirá en registros especiales.
3. Los servicios y locales en los que se maneje o almacene ICUE serán inspeccionados periódicamente por la autoridad de seguridad competente.
4. La transmisión de la ICUE entre los distintos servicios y locales fuera de las zonas físicamente protegidas se llevará a cabo del siguiente modo:
a) como norma general, la ICUE se transmitirá por medios electrónicos que estén protegidos con productos criptológicos aprobados de conformidad con lo dispuesto en el artículo 10, apartado 6;
b) en caso de no utilizarse los medios contemplados en la letra a), la ICUE se transportará por cualquiera de los siguientes medios:
i) medios electrónicos (por ejemplo, llaves USB, discos compactos o discos duros) que estén protegidos con productos criptológicos aprobados de conformidad con lo dispuesto en el artículo 10, apartado 6, o ii) en todos los demás casos, según las prescripciones de la autoridad de seguridad competente y de acuerdo con las pertinentes medidas de protección establecidas en el anexo III.
5. Las disposiciones de aplicación del presente artículo figuran en los anexos III y IV.
Artículo 10 Protección de la ICUE manejada en los sistemas de información y comunicaciones
1. Por “garantía de la información” (GI) en el ámbito de los sistemas de información y comunicaciones, se entenderá la confianza en que esos sistemas protejan la información que manejan y funcionen como es necesario que lo hagan, cuando así se precise, bajo el control de sus legítimos usuarios. Una GI efectiva ha de asegurar unos niveles apropiados de confidencialidad, integridad, disponibilidad, no repudio y autenticidad. La GI se basará en un proceso de gestión del riesgo.
2. Por “sistema de información y comunicaciones” (SIC) se entenderá el sistema que permite manejar información en formato electrónico. Un SIC abarca todos los medios necesarios para su funcionamiento, incluidos la infraestructura, la organización y los recursos de personal e información. La presente Decisión se aplicará a los SIC que manejen ICUE.
3. Los SIC manejarán la ICUE de conformidad con el concepto de GI.
4. Todos los SIC serán objeto de un proceso de acreditación.
La acreditación tendrá por objeto obtener garantías de que se han aplicado todas las medidas de seguridad oportunas y se ha logrado un grado de protección suficiente de la ICUE y los SIC, de conformidad con la presente Decisión. La declaración de acreditación determinará el grado máximo de clasificación de la información que pueda manejarse en un SIC, así como las condiciones correspondientes.
5. Se aplicarán medidas de seguridad a fin de proteger los SIC que manejen información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior de modo que dicha información no pueda verse comprometida como consecuencia de emanaciones electromagnéticas no intencionadas (“medidas de seguridad TEMPEST”). Estas medidas de seguridad serán proporcionadas al riesgo de explotación de la información y al grado de clasificación de esta.
6. Cuando la protección de la ICUE se realice mediante productos criptológicos, dichos productos se aprobarán del siguiente modo:
a) la confidencialidad de la información clasificada de grado SECRET UE/EU SECRET o superior deberá protegerse mediante productos criptológicos aprobados por el Consejo, en su calidad de Autoridad de Certificación Criptológica (ACC), por recomendación del Comité de Seguridad;
b) la confidencialidad de la información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o RESTREINT UE/EU RESTRICTED deberá protegerse mediante productos criptológicos aprobados por el Secretario General del Consejo (“Secretario General”), en su calidad de ACC, por recomendación del Comité de Seguridad.
No obstante lo dispuesto en la letra b), dentro de los sistemas nacionales de los Estados miembros, la confidencialidad de la ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o RESTREINT UE/EU RESTRICTED podrá protegerse mediante productos criptológicos aprobados por la ACC de un Estado miembro.
7. Durante la transmisión de la ICUE mediante medios electrónicos, se emplearán productos criptológicos aprobados. Sin perjuicio de este requisito, se podrán aplicar procedimientos específicos en circunstancias urgentes o en configuraciones técnicas específicas, según se indica en el anexo IV.
8. Las autoridades competentes de la SGC y de los Estados miembros designarán, respectivamente, las siguientes funciones de GI:
a) una Autoridad de Garantía de la Información (AGI);
b) una Autoridad TEMPEST;
c) una Autoridad de Certificación Criptológica (ACC);
d) una Autoridad de Distribución Criptológica (ADC).
9. Para cada sistema, las autoridades competentes de la SGC y de los Estados miembros, respectivamente, designarán:
a) una Autoridad de Acreditación de Seguridad (AAS);
b) una Autoridad Operacional de Garantía de la Información (AOGI).
10. Las disposiciones de aplicación del presente artículo figuran en el anexo IV.
Artículo 11 Seguridad industrial
1. Por “seguridad industrial” se entenderá la aplicación de medidas encaminadas a garantizar la protección de la ICUE por los contratistas o subcontratistas durante las negociaciones precontractuales y durante toda la vigencia de los contratos clasificados. Estos contratos no podrán suponer el acceso a información clasificada de grado TRÈS SECRET UE/EU TOP SECRET.
2. La SGC podrá encomendar, mediante contrato, a sociedades industriales u otro tipo de entidades registradas en un Estado miembro o en un tercer Estado que haya celebrado un acuerdo o un acuerdo administrativo de conformidad con el artículo 13, apartado 2, letras a) o b), el desempeño de funciones que conlleven el acceso a ICUE o su manejo o almacenamiento.
3. Cuando actúe como órgano de contratación, la SGC se asegurará, al adjudicar contratos clasificados a sociedades industriales u otro tipo de entidades, de que se cumplan las normas mínimas sobre seguridad industrial que establece la presente Decisión y se indican en el contrato.
4. La Autoridad Nacional de Seguridad (ANS), la Autoridad de Seguridad Designada (ASD) o cualquier otra autoridad competente de cada Estado miembro velará porque, en la medida en que las disposiciones legales y reglamentarias nacionales lo permitan, los contratistas y subcontratistas registrados en su territorio tomen todas las medidas adecuadas para proteger la ICUE durantes las negociaciones precontractuales y durante la ejecución de un contrato clasificado.
5. La ANS, la ASD o cualquier otra autoridad de seguridad competente de cada Estado miembro velará porque, de conformidad con las disposiciones legales y reglamentarias nacionales, los contratistas y subcontratistas registrados en el respectivo Estado miembro que participen en contratos o subcontratos clasificados que requieran el acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET en sus establecimientos, ya sea en la ejecución de dichos contratos o durante la fase precontractual, estén en posesión de una habilitación de seguridad de establecimiento del grado de clasificación requerido.
6. La ANS, la ASD o cualquier otra autoridad de seguridad competente que corresponda concederá una habilitación personal de seguridad (HPS), de conformidad con las disposiciones legales y reglamentarias nacionales y las normas mínimas de seguridad establecidas en el anexo I, al personal del contratista o subcontratista que deba tener acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET para ejecutar un contrato clasificado.
7. Las disposiciones de aplicación del presente artículo figuran en el anexo V.
Artículo 12 Compartir la ICUE
1. El Consejo establecerá las condiciones en las que podrá compartir ICUE que obre en su poder con otras instituciones, órganos, organismos o agencias de la Unión. Podrá crearse un marco adecuado para ello, incluido mediante la celebración de acuerdos interinstitucionales u otros acuerdos, cuando sea necesario para tal fin.
2. Todo marco de este tipo garantizará que la ICUE reciba una protección acorde con su grado de clasificación y conforme a principios básicos y normas mínimas que sean equivalentes a los establecidos en la presente Decisión.
Artículo 13 Intercambio de información clasificada con terceros Estados y organizaciones internacionales
1. Cuando el Consejo determine que existe la necesidad de intercambiar ICUE con un tercer Estado o una organización internacional, se establecerá un marco adecuado para ello.
2. Con el fin de establecer dicho marco y definir normas de protección recíproca de la información clasificada que se intercambie:
a) la Unión celebrará con terceros Estados u organizaciones internacionales acuerdos sobre procedimientos de seguridad para la protección e intercambio de información clasificada (“acuerdos para la seguridad de la información”), o b) el Secretario General podrá celebrar en nombre de la SGC acuerdos administrativos a tal efecto de conformidad con el punto 17 del anexo VI, si la ICUE que ha de comunicarse no supera, por lo general, el grado de clasificación RESTREINT UE/EU RESTRICTED.
3. Los acuerdos de seguridad de la información o los acuerdos administrativos a que se refiere el apartado 2 contendrán disposiciones que garanticen que los terceros países o las organizaciones internacionales que reciban ICUE protegerán dicha información de manera acorde con su grado de clasificación y conforme a normas mínimas que no sean menos estrictas que las que establece la presente Decisión.
4. La decisión de ceder ICUE producida en el Consejo a un tercer Estado u organización internacional será adoptada por el Consejo, atendiendo a las circunstancias de cada caso, en función de la naturaleza y el contenido de la información, de la necesidad de conocer del destinatario y de la utilidad que pueda tener para la Unión. Si el originador de la información clasificada que se desea ceder no es el Consejo, la SGC deberá recabar el consentimiento previo por escrito del originador antes de comunicarla. En caso de que no sea posible determinar el originador, el Consejo asumirá la responsabilidad de aquel.
5. Se organizarán visitas de evaluación, a fin de verificar la eficacia de las medidas de seguridad establecidas en el tercer país o en la organización internacional de que se trate para proteger la ICUE proporcionada o intercambiada.
6. Las disposiciones de aplicación del presente artículo figuran en el anexo VI.
Artículo 14 Fallos de seguridad y comprometimiento de la ICUE
1. Un fallo de seguridad se produce como resultado de una acción u omisión de una persona contraria a las normas de seguridad establecidas en la presente Decisión.
2. Se produce un comprometimiento de la ICUE cuando, como consecuencia de un fallo de seguridad, dicha información se pone total o parcialmente en conocimiento de personas no autorizadas.
3. Todo fallo o posible fallo de seguridad deberá comunicarse inmediatamente a la autoridad de seguridad competente.
4. Cuando se tenga conocimiento o sospechas fundadas de que una ICUE se ha visto comprometida o se ha perdido, la ANS u otra autoridad competente tomará todas las medidas oportunas, de conformidad con las disposiciones legales y reglamentarias pertinentes, para:
a) informar al originador de la información;
b) asegurarse de que el personal que investiga el caso con el fin de esclarecer los hechos no esté directamente implicado en el fallo de seguridad;
c) evaluar el posible perjuicio causado a los intereses de la Unión o de los Estados miembros;
d) tomar medidas adecuadas a fin de impedir que se repitan esos hechos, y e) notificar a las autoridades que corresponda las medidas adoptadas.
5. La persona que sea responsable de un fallo de las normas de seguridad establecidas en la presente Decisión podrá ser objeto de medidas disciplinarias de conformidad con la normativa aplicable. La persona que sea responsable de un comprometimiento o pérdida de ICUE podrá ser objeto de medidas disciplinarias o de una acción judicial de conformidad con las disposiciones legales y reglamentarias aplicables.
Artículo 15 Responsabilidad de la aplicación
1. El Consejo tomará todas las medidas necesarias para garantizar la coherencia general de la aplicación de la presente Decisión.
2. El Secretario General tomará todas las medidas necesarias para garantizar que, cuando manejen o almacenen ICUE o cualquier otra clase de información clasificada, tanto los funcionarios y otros agentes de la SGC como el personal destinado en comisión de servicio en la SGC y los contratistas externos de esta apliquen la presente Decisión en los locales empleados por el Consejo y dentro de la SGC.
3. Los Estados miembros adoptarán, de conformidad con sus disposiciones legales y reglamentarias nacionales, todas las medidas adecuadas para garantizar que, cuando se maneje o almacene ICUE, se respete la presente Decisión por:
a) el personal de las Representaciones Permanentes de los Estados miembros ante la Unión Europea y por los miembros de las Delegaciones nacionales que asistan a reuniones del Consejo o de sus órganos preparatorios o que participen en otras actividades del Consejo;
b) el resto del personal de las administraciones nacionales de los Estados miembros, incluido el personal destinado en ellas en comisión de servicio, con independencia de que ejerzan sus funciones en el territorio de los Estados miembros o en el extranjero;
c) las demás personas de los Estados miembros que, por sus funciones, estén debidamente autorizadas para acceder a ICUE, y d) los contratistas de los Estados miembros, tanto en el territorio de los Estados miembros como en el extranjero.
Artículo 16 Organización de la seguridad en el Consejo
1. En el marco de su función de garantizar la coherencia general en la aplicación de la presente Decisión, el Consejo aprobará:
a) los acuerdos a que se refiere el artículo 13, apartado 2, letra a);
b) las decisiones por las que se autorice o se dé consentimiento para la cesión de ICUE originada en el Consejo o que obre en su poder a terceros Estados y organizaciones internacionales, respetando el principio del consentimiento previo del originador;
c) un programa anual de visitas de evaluación, por recomendación del Comité de Seguridad, para realizar visitas destinadas a evaluar los servicios y locales de los Estados miembros, de los órganos, agencias y entidades de la Unión que apliquen la presente Decisión o sus principios, y para efectuar visitas de evaluación a terceros Estados y organizaciones internacionales, con el fin de verificar la eficacia de las medidas establecidas para proteger la ICUE, y d) las políticas de seguridad a que se refiere el artículo 6, apartado 1.
2. El Secretario General será la autoridad de seguridad de la SGC. En calidad de tal, el Secretario General:
a) aplicará la política de seguridad del Consejo y la revisará regularmente;
b) establecerá una coordinación con las ANS de los Estados miembros para todas las cuestiones de seguridad relacionadas con la protección de información clasificada pertinente para las actividades del Consejo;
c) concederá a los funcionarios y otros agentes de la SGC y a los expertos nacionales destinados en la SGC en comisión de servicio autorización para acceder a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior, de conformidad con el artículo 7, apartado 3;
d) cuando proceda, ordenará que se investigue toda situación real o supuesta de comprometimiento o pérdida de información clasificada que haya estado en posesión del Consejo o que haya originado este, y pedirá a las autoridades de seguridad competentes que le ayuden en dichas investigaciones;
e) realizará inspecciones periódicas de las medidas de seguridad adoptadas para la protección de la información clasificada en las instalaciones de la SGC;
f) realizará visitas periódicas para evaluar las medidas de seguridad adoptadas para la protección de la ICUE en los
órganos, agencias y entidades de la Unión que apliquen la presente Decisión o sus principios;
g) realizará, junto con las ANS interesadas y de acuerdo con ellas, evaluaciones periódicas de las medidas de seguridad adoptadas para la protección de la ICUE en los servicios e instalaciones de los Estados miembros;
h) se cerciorará de que las medidas de seguridad estén adecuadamente coordinadas con las autoridades competentes de los Estados miembros que sean responsables de la protección de la información clasificada y, según proceda, con terceros Estados u organizaciones internacionales, en particular en lo tocante a la naturaleza de las amenazas para la seguridad de la ICUE y a los medios para protegerse de ellas, y i) celebrará los acuerdos administrativos a que se refiere el artículo 13, apartado 2, letra b).
La Oficina de Seguridad de la SGC se pondrá a disposición del Secretario General para prestarle ayuda en el ejercicio de sus funciones.
3. Para la aplicación de lo dispuesto en el artículo 15, apartado 3, los Estados miembros:
a) designarán una ANS relacionada en el apéndice C responsable de las medidas de seguridad para la protección de la ICUE, con el fin de garantizar que:
i) la ICUE que esté en posesión de cualquier departamento, órgano u organismo nacional, de carácter público o privado, en el territorio nacional o en el extranjero, esté protegida de conformidad con la presente Decisión, ii) se inspeccione o evalúe periódicamente el cumplimiento de las medidas de seguridad establecidas para la protección de la ICUE, iii) toda persona empleada en una administración nacional o por un contratista a la que se pueda conceder acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior haya sido debidamente habilitada o debidamente autorizada por otros medios en virtud de sus funciones, de conformidad con las disposiciones legales y reglamentarias nacionales, iv) se elaboren los programas de seguridad que se consideren necesarios para minimizar el riesgo de que la ICUE se vea comprometida o se pierda, v) para todas las cuestiones de seguridad relacionadas con la protección de la ICUE, exista una coordinación con las demás autoridades nacionales competentes, incluidas aquellas a los que se refiere la presente Decisión, y vi) se dé respuesta a las solicitudes adecuadas de habilitación de seguridad, en particular las remitidas por cualquiera de los órganos, agencias y entidades de la Unión, las operaciones establecidas en virtud del título V, capítulo 2, del TUE y los Representantes Especiales de la UE (REUE) y sus equipos que apliquen la presente Decisión o sus principios;
b) se asegurarán de que sus autoridades competentes informen y asesoren a sus respectivos Gobiernos y, a través de estos, al Consejo, acerca de la naturaleza de las amenazas que pesan sobre la seguridad de la ICUE y sobre los medios para protegerse de ellas.
Artículo 17 Comité de Seguridad
1. Por la presente se crea un Comité de Seguridad. Este Comité examinará y evaluará las cuestiones de seguridad incluidas en el ámbito de aplicación de la presente Decisión y hará recomendaciones al Consejo cuando proceda.
2. El Comité de Seguridad estará integrado por representantes de las ANS de los Estados miembros; asistirá a sus reuniones un representante de la Comisión y del EEAS. El Comité de Seguridad estará presidido por el Secretario General o por la persona en quien este delegue. Se reunirá siguiendo instrucciones del Consejo o a instancias del Secretario General o de una ANS.
Se podrá invitar a representantes de los órganos, agencias y entidades de la Unión que apliquen la presente Decisión o sus principios, a asistir a las reuniones cuando se debatan cuestiones que les afecten.
3. El Comité de Seguridad organizará sus actividades de manera que pueda formular recomendaciones sobre aspectos específicos de la seguridad. Creará una subsección de expertos en cuestiones relativas a la GI, así como otras subsecciones de expertos, si fuera necesario. Elaborará los mandatos para dichas subsecciones y recibirá los informes que estas realicen sobre sus actividades, entre los que podrán figurar, si se considera oportuno, recomendaciones para el Consejo.
Artículo 18 Sustitución de anteriores decisiones
1. La presente Decisión deroga y sustituye la Decisión 2011/292/UE del Consejo .
2. Toda la ICUE clasificada conforme a la Decisión 2001/264/CE del Consejo y a la Decisión 2011/292 /UE seguirá estando protegida de acuerdo con las disposiciones pertinentes de la presente Decisión.
Artículo 19 Entrada en vigor
La presente Decisión entrará en vigor el día de su publicación en el Diario Oficial de la Unión Europea.
Anexos
Omitidos.
