DECISIÓN (UE, EURATOM) 2019/1963 DE LA COMISIÓN DE 17 DE OCTUBRE DE 2019 POR LA QUE SE ESTABLECEN NORMAS DE DESARROLLO SOBRE LA SEGURIDAD INDUSTRIAL EN RELACIÓN CON LOS CONTRATOS PÚBLICOS CLASIFICADOS
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea 
, y en particular su artículo 249,
Visto el Tratado constitutivo de la Comunidad Europea de la Energía Atómica , y en particular su artículo 106,
Vista la Decisión (UE, Euratom) 2015/443 de la Comisión, de 13 de marzo de 2015, sobre la seguridad en la Comisión (1),
Vista la Decisión (UE, Euratom) 2015/444 de la Comisión, de 13 de marzo de 2015, sobre las normas de seguridad para la protección de la información clasificada de la UE (2),
Vista la Decisión (UE, Euratom) 2017/46 de la Comisión, de 10 de enero de 2017, sobre la seguridad de los sistemas de información y comunicación de la Comisión Europea (3),
Previa consulta al grupo de expertos de seguridad de la Comisión, de conformidad con el artículo 41, apartado 5, de la Decisión (UE, Euratom) 2015/444,
Considerando lo siguiente:
(1)
Los artículos 41, 42, 47 y 48 de la Decisión (UE, Euratom) 2015/444 establecen que las normas de desarrollo sobre seguridad industrial que se adopten deberán contener disposiciones más pormenorizadas para completar y facilitar la aplicación del capítulo 6 de dicha Decisión; dichas disposiciones deberán regular cuestiones como la licitación, la celebración de contratos clasificados, las habilitaciones de seguridad de establecimiento, las habilitaciones personales de seguridad, las visitas, y la transmisión y el transporte de información clasificada de la Unión Europea (“ICUE”).
(2)
La Decisión (UE, Euratom) 2015/444 establece que los contratos clasificados deben ejecutarse con la colaboración de la autoridad nacional de seguridad, la autoridad de seguridad designada o cualquier otra autoridad competente de los Estados miembros afectados; los Estados miembros han acordado garantizar que cualquier entidad bajo su jurisdicción que pueda recibir o generar información clasificada procedente de la Comisión esté debidamente habilitada y sea capaz de proporcionar una protección adecuada equivalente a la concedida por las normas de seguridad del Consejo de la Unión Europea para la protección de la ICUE con la marca de clasificación correspondiente, según se establece en el Acuerdo entre los Estados miembros de la Unión Europea , reunidos en el seno del Consejo, sobre la protección de la información clasificada intercambiada en interés de la Unión Europea (4).
(3)
El Consejo, la Comisión y la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad han acordado garantizar la máxima coherencia en la aplicación de las normas de seguridad en lo que respecta a su protección de la ICUE, teniendo en cuenta al mismo tiempo sus necesidades institucionales y organizativas específicas, de conformidad con las declaraciones adjuntas al acta de la sesión del Consejo en la que se adoptó la Decisión 2013/488/UE del Consejo (5), sobre las normas de seguridad para la protección de la información clasificada de la UE.
(4)
Por consiguiente, las normas de desarrollo sobre la seguridad industrial en relación con los contratos clasificados de la Comisión también deben garantizar la máxima coherencia y tener en cuenta las Directrices sobre seguridad industrial aprobadas por el Comité de Seguridad del Consejo el 13 de diciembre de 2016 y los artículos 7 y 22 de la Directiva 2009/81/CE del Parlamento Europeo y del Consejo (6).
(5)
El 4 de mayo de 2016, la Comisión adoptó una Decisión (7) por la que habilitaba al miembro de la Comisión responsable de los asuntos de seguridad a adoptar, en nombre de la Comisión y bajo la responsabilidad de esta, las normas de desarrollo contempladas en el artículo 60 de la Decisión (UE, Euratom) 2015/444.
HA ADOPTADO LA PRESENTE DECISIÓN:
CAPÍTULO 1
DISPOSICIONES GENERALES
Artículo 1
Objeto y ámbito de aplicación
1. La presente Decisión establece normas de desarrollo sobre la seguridad industrial en relación con los contratos públicos clasificados para contribuir a la ejecución de la Decisión (UE, Euratom) 2015/444 y, en particular, el capítulo 6 de dicha Decisión.
2. La presente Decisión establece requisitos específicos para garantizar la protección de la información clasificada de la UE (“ICUE”) por parte de los operadores económicos en la fase precontractual, a lo largo de todo el ciclo de vida de los contratos clasificados celebrados por la Comisión Europea, y en los subcontratos celebrados por los contratistas de la Comisión.
3. La presente Decisión se refiere a información clasificada de los grados siguientes:
a)
RESTREINT UE/EU RESTRICTED;
b)
CONFIDENTIEL UE/EU CONFIDENTIAL;
c)
SECRET UE/EU SECRET.
Artículo 2
Responsabilidad dentro de la Comisión
1. Como parte de las responsabilidades descritas en el Reglamento Financiero (8), cada ordenador del órgano de contratación de la Comisión se asegurará de que el contrato clasificado remita a las normas mínimas sobre seguridad industrial establecidas en el capítulo 6 de la Decisión (UE, Euratom) 2015/444, en las presentes normas de desarrollo y, en su caso, en el anuncio de contrato o en la invitación a presentar ofertas, y de que estas normas se cumplan durante la ejecución.
2. A tal fin, el ordenador competente solicitará, en todas las fases, el dictamen de la autoridad de seguridad de la Comisión sobre cuestiones relativas a los elementos de seguridad de un contrato, programa o proyecto clasificado, e informará al responsable local de seguridad acerca de los contratos celebrados. La decisión sobre el grado de clasificación de temas específicos corresponderá al órgano de contratación y se tomará teniendo debidamente en cuenta la Guía de clasificación de seguridad.
3. Desde el respeto de los requisitos de las presentes normas de desarrollo, la autoridad de seguridad de la Comisión colaborará con las autoridades nacionales de seguridad (“ANS”) y las autoridades de seguridad designadas (“ASD”) de los Estados miembros en cuestión, en particular en lo que se refiere a las habilitaciones de seguridad de establecimiento (“HSE”), las habilitaciones personales de seguridad (“HPS”), los procedimientos de visita y los planes de transporte.
CAPÍTULO 2
GESTIÓN DE LICITACIONES DE CONTRATOS CLASIFICADOS
Artículo 3
Principios básicos
1. Solo se adjudicarán contratos clasificados a operadores económicos registrados en un Estado miembro o a operadores económicos registrados en un tercer país o creados por una organización internacional cuando dicho tercer país u organización internacional haya celebrado un acuerdo sobre seguridad de la información con la Unión Europea o suscrito un acuerdo administrativo con la Comisión (9).
2. Antes de la invitación a presentar ofertas para un contrato clasificado, el órgano de contratación determinará la clasificación de seguridad de toda la información que pueda acabar proporcionándose a los licitadores. El órgano de contratación determinará asimismo la clasificación de seguridad máxima de la posible información generada durante la ejecución del contrato, programa o proyecto, o, como mínimo, el volumen y el tipo de información que se prevé que se producirá o manejará, y el grado de necesidad de un sistema de información y comunicaciones (“SIC”) clasificados.
3. El órgano de contratación se asegurará de que los anuncios de los contratos clasificados proporcionen información sobre las obligaciones especiales en materia de seguridad relacionadas con la información clasificada. En el anexo I figura un ejemplo de modelo de anuncio de contrato.
4. El órgano de contratación se asegurará de que la información clasificada de grado RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET se ponga en conocimiento de los licitadores únicamente después de que estos hayan firmado un acuerdo de confidencialidad que los obligue a manejar y proteger la ICUE de conformidad con la Decisión (UE, Euratom) 2015/444 y sus normas de desarrollo.
5. Todos los contratistas que deban manejar o almacenar información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET en sus instalaciones, ya sea durante la ejecución del propio contrato clasificado o durante la fase precontractual, deberán disponer de una HSE del grado exigido. A continuación, se especifican los tres supuestos que pueden darse durante la fase de licitación de un contrato clasificado que incluya ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.
a)
No se concede acceso a ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET durante la fase de licitación:
Cuando el anuncio de contrato o la invitación a presentar ofertas se refiera a un contrato que incluirá ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, pero no requiera que el licitador maneje dicha información en la fase de licitación, los licitadores que no dispongan de una HSE del grado exigido no serán excluidos del proceso de licitación por ese motivo.
b)
Se concede acceso a ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET en los locales del órgano de contratación durante la fase de licitación:
Se concederá acceso al personal del licitador que esté en posesión de una HPS del grado exigido y que tenga necesidad de conocer. Antes de conceder dicho acceso, el órgano de contratación verificará, a través de la autoridad de seguridad de la Comisión y con las respectivas ANS y ASD si, en esta fase, también es necesaria una HSE en virtud de las disposiciones legales y reglamentarias nacionales.
c)
Se maneja o almacena ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET en los locales del licitador durante la fase de licitación:
Cuando el anuncio de contrato o la invitación a presentar ofertas requieran que los licitadores manejen o almacenen ICUE en sus locales, el licitador deberá disponer de una HSE del grado exigido. En tales circunstancias, el órgano de contratación obtendrá, a través de la autoridad de seguridad de la Comisión, una garantía de la ANS o ASD correspondiente de que al licitador se le ha concedido una HSE adecuada. Se concederá acceso al personal del licitador que esté en posesión de una HPS del grado exigido y que tenga necesidad de conocer.
6. En principio, no se exigirá una HSE para acceder a información de grado RESTREINT UE/EU RESTRICTED, ya sea en la fase de licitación o para la ejecución del contrato. Cuando los Estados miembros exijan una HSE para los contratos o subcontratos de grado RESTREINT UE/EU RESTRICTED en virtud de sus disposiciones legales y reglamentarias nacionales, que se enumeran en el anexo IV, dichos requisitos nacionales no podrán imponer obligaciones adicionales a los demás Estados miembros o excluir a los licitadores, contratistas o subcontratistas de los Estados miembros que no dispongan de tales requisitos de HSE para el acceso a información de grado RESTREINT UE/EU RESTRICTED de los contratos o subcontratos correspondientes o de competir para que se les adjudiquen. Estos contratos se ejecutarán en los Estados miembros de conformidad con sus disposiciones legales y reglamentarias nacionales.
7. Cuando se requiera una HSE para la ejecución de un contrato clasificado, el órgano de contratación presentará, a través de la autoridad de seguridad de la Comisión, una solicitud a la ANS o ASD del contratista utilizando una ficha de información sobre la habilitación de seguridad de establecimiento (“FIHSE”). El anexo III, apéndice D, contiene un ejemplo de FIHSE (10). El contrato clasificado no se adjudicará hasta que la ANS o ASD del contratista haya confirmado la HSE del licitador. La respuesta a una FIHSE se proporcionará, en la medida de lo posible, en un plazo de diez días laborables a partir de la fecha de la solicitud.
Artículo 4
Subcontratación de contratos clasificados
1. Las condiciones con arreglo a las que un contratista adjudicatario de un contrato clasificado de la Comisión podrá subcontratar deberán definirse en la invitación a presentar ofertas y en la documentación del contrato. Cuando el contrato clasificado permita la subcontratación de algunas de sus partes, dicha subcontratación estará sujeta a que el órgano de contratación otorgue previamente su consentimiento por escrito. Antes de otorgar su consentimiento, el órgano de contratación consultará a la autoridad de seguridad de la Comisión.
2. Únicamente se podrán subcontratar contratos clasificados con operadores económicos registrados en un Estado miembro o con operadores económicos registrados en un tercer país o creados por una organización internacional cuando dicho tercer país u organización internacional haya celebrado un acuerdo sobre seguridad de la información con la Unión Europea o suscrito un acuerdo administrativo con la Comisión (11).
CAPÍTULO 3
ADJUDICACIÓN DE CONTRATOS CLASIFICADOS DE LA COMISIÓN
Artículo 5
Principios básicos
1. Al adjudicar un contrato clasificado, el órgano de contratación, junto con la autoridad de seguridad de la Comisión, se asegurará de que las obligaciones del contratista relativas a la protección de la ICUE proporcionada a dicho contratista o generada durante la ejecución del contrato formen parte de este. Los requisitos de seguridad específicos del contrato se describirán en la cláusula sobre aspectos de la seguridad (“CAS”). En el anexo III figura un ejemplo de modelo de CAS.
2. Antes de firmar un contrato clasificado, el órgano de contratación elaborará, previa consulta a la autoridad de seguridad de la Comisión, una guía de clasificación de seguridad (“GCS”) para las tareas que deberán realizarse y la información generada durante la ejecución del contrato o, en su caso, a nivel de programa o proyecto. La CAS incluirá la GCS.
3. Los requisitos de seguridad específicos del programa o proyecto se describirán en las instrucciones de seguridad del programa (o proyecto) (“ISP”). Las ISP podrán redactarse utilizando las disposiciones del modelo de CAS que figura en el anexo III. El servicio de la Comisión que gestione el programa o proyecto elaborará, con la colaboración de la autoridad de seguridad de la Comisión, las ISP, que se someterán al dictamen del grupo de expertos en seguridad de la Comisión. Cuando un contrato sea parte de un programa o proyecto que tenga sus propias ISP, la CAS del contrato tendrá una forma simplificada e incluirá una referencia a las disposiciones en materia de seguridad establecidas en las ISP del programa o proyecto.
4. El órgano de contratación tendrá la consideración de originador de la información clasificada producida y manejada para la ejecución del contrato.
5. El órgano de contratación notificará, a través de la autoridad de seguridad de la Comisión, a las ANS o ASD de todos los contratistas y subcontratistas la celebración de contratos o subcontratos clasificados y los casos de extinción anticipada o las prórrogas de dichos contratos o subcontratos. En el anexo IV figura una lista de requisitos por países.
6. Los contratos que incluyan información clasificada de grado RESTREINT UE/EU RESTRICTED incluirán una cláusula de seguridad que haga vinculantes para el contratista las disposiciones del anexo III, apéndice E. Estos contratos incluirán una CAS en la que se indiquen, como mínimo, los requisitos de manejo de información de grado RESTREINT UE/EU RESTRICTED, en particular los aspectos de garantía de la información y los requisitos específicos que debe cumplir el contratista que haya recibido una delegación del órgano de contratación para la acreditación del SIC del contratista que maneje la información de grado RESTREINT UE/EU RESTRICTED.
7. Cuando se proporcione información de grado RESTREINT UE/EU RESTRICTED a los licitadores o a posibles contratistas, los requisitos mínimos mencionados en el apartado 6 se incluirán en las ofertas o en los acuerdos de confidencialidad pertinentes celebrados durante la fase de licitación.
8. Cuando así lo exijan las disposiciones legales y reglamentarias de los Estados miembros, las ANS o ASD se asegurarán de que los contratistas o subcontratistas del ámbito de su competencia cumplan las disposiciones de seguridad aplicables para la protección de la información de grado RESTREINT UE/EU RESTRICTED y realicen visitas de verificación a las instalaciones de los contratistas situadas en su territorio. Cuando la ANS o ASD no esté sujeta a dicha obligación, el órgano de contratación se asegurará de que el contratista aplique las disposiciones de seguridad exigidas según lo dispuesto en el anexo III.
Artículo 6
Acceso del personal de los contratistas y subcontratistas a ICUE
1. El servicio de la Comisión correspondiente, en su calidad de órgano de contratación, se asegurará de que los contratos clasificados contengan disposiciones que indiquen que al personal del contratista o subcontratista que necesite acceder a ICUE para la ejecución del contrato o subcontrato clasificado solo se le concederá dicho acceso si:
a)
se ha corroborado que tiene necesidad de conocer;
b)
la ANS o ASD correspondiente o cualquier otra autoridad de seguridad competente le ha concedido una HPS del grado correspondiente en relación con información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET;
c)
ha sido instruido sobre las normas de seguridad aplicables para la protección de la ICUE y ha aceptado sus responsabilidades en lo que respecta a la protección de dicha información.
2. Si un contratista o subcontratista desea emplear a un nacional de un tercer país en un puesto que requiera el acceso a ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, será responsabilidad del contratista o subcontratista iniciar el procedimiento de habilitación de seguridad de dicha persona, de conformidad con las disposiciones legales y reglamentarias nacionales aplicables en el lugar en que vaya a concederse el acceso a la ICUE.
CAPÍTULO 4
VISITAS EN RELACIÓN CON CONTRATOS CLASIFICADOS
Artículo 7
Principios básicos
1. Cuando la Comisión, los contratistas o los subcontratistas necesiten acceder a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET que se halle en los locales de otra de las partes para la ejecución de un contrato clasificado, se organizarán visitas, con la colaboración de las ANS, las ASD o cualquier otra autoridad de seguridad competente.
2. Las visitas a que se refiere el apartado 1 estarán sujetas a los requisitos siguientes:
a)
la visita tendrá una finalidad oficial relacionada con un contrato clasificado adjudicado por la Comisión;
b)
todos los visitantes deberán estar en posesión de una HPS del grado exigido y tener necesidad de conocer para acceder a ICUE proporcionada o generada durante la ejecución de un contrato clasificado adjudicado por la Comisión.
Artículo 8
Solicitudes de visita
1. Las visitas de contratistas a las instalaciones de otros contratistas o a los locales de la Comisión que impliquen el acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET se organizarán con arreglo al procedimiento siguiente:
a)
El responsable de seguridad de la instalación que envía al visitante cumplimentará todas las partes pertinentes del formulario de solicitud de visita (“SdV”) y presentará la solicitud a la ANS o ASD de la instalación. En el anexo III, apéndice C, figura un modelo de SdV.
b)
La ANS o ASD de la instalación que envía al visitante debe confirmar la HPS del visitante antes de presentar la SdV a la ANS o ASD de la instalación que lo recibe (o a la autoridad de seguridad de la Comisión si la visita se realiza en los locales de la Comisión).
c)
El responsable de seguridad de la instalación que envía al visitante recibirá entonces de su ANS o ASD la respuesta de la ANS o ASD de la instalación que lo recibe (o de la autoridad de seguridad de la Comisión) por la que se autorice o deniegue la SdV.
d)
Una SdV se considerará aprobada si no se presentan objeciones hasta cinco días laborables antes de la fecha de la visita.
2. Las visitas de los funcionarios de la Comisión a las instalaciones del contratista que impliquen el acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET se organizarán con arreglo al procedimiento siguiente:
a)
El visitante cumplimentará todas las partes pertinentes de la SdV y la presentará a la autoridad de seguridad de la Comisión.
b)
La autoridad de seguridad de la Comisión confirmará la HPS del visitante antes de remitir la SdV a la ANS o ASD de la instalación que lo recibe.
c)
La autoridad de seguridad de la Comisión recibirá una respuesta de la ANS o ASD de la instalación que recibe la vista por la que se autorice o deniegue la SdV.
d)
Una SdV se considerará aprobada si no se presentan objeciones hasta cinco días laborables antes de la fecha de la visita.
3. Una SdV puede abarcar una única visita o visitas periódicas. En caso de visitas periódicas, la SdV podrá tener una validez máxima de un año a partir de la fecha de inicio solicitada.
4. La validez de una SdV no excederá la validez de la HPS del visitante.
5. Por regla general, las SdV deben presentarse a la autoridad de seguridad competente de la instalación que recibe la vista al menos quince días laborables antes de la fecha de esta.
Artículo 9
Procedimientos de visita
1. Antes de permitir que los visitantes tengan acceso a ICUE, el responsable de seguridad de la instalación que recibe la visita deberá cumplir todos los procedimientos y normas de seguridad en materia de visitas establecidos por su ANS o ASD.
2. Los visitantes acreditarán su identidad al llegar a la instalación que los recibirá presentando un documento de identidad o pasaporte válido. Dicha información de identificación se corresponderá con la información proporcionada en la SdV.
3. La instalación que recibe la visita se asegurará de que se lleve un registro de todos los visitantes, incluidos sus nombres y apellidos, la organización a la que representan, la fecha de caducidad de la HPS, la fecha de la visita y los nombres y apellidos de las personas visitadas. Este registro se conservará durante un período mínimo de cinco años, o más si así lo exigen las disposiciones normativas y reglamentarias del país en el que se encuentre la instalación que recibe la visita.
Artículo 10
Visitas organizadas directamente
1. Cuando se trate de proyectos específicos, las ANS o ASD pertinentes y la autoridad de seguridad de la Comisión podrán acordar un procedimiento por el que las visitas relativas a contratos clasificados específicos puedan ser organizadas directamente por el responsable de seguridad del visitante y el responsable de seguridad de la instalación que se vaya a visitar. En el anexo III, apéndice C, figura una modelo del formulario que debe utilizarse a tal fin. Dicho procedimiento excepcional se recogerá en las ISP o en otros acuerdos específicos. En estos supuestos, no serán de aplicación los procedimientos establecidos en el artículo 8 y el artículo 9, apartado 1.
2. Las visitas que impliquen el acceso a información clasificada de grado RESTREINT UE/EU RESTRICTED serán organizadas directamente por la entidad que envía al visitante y la que lo recibe sin necesidad de seguir los procedimientos establecidos en el artículo 8 y el artículo 9, apartado 1.
CAPÍTULO 5
TRANSMISIÓN Y TRANSPORTE DE ICUE PARA LA EJECUCIÓN DE CONTRATOS CLASIFICADOS
Artículo 11
Principios básicos
El órgano de contratación se asegurará de que todas las decisiones relativas a la transmisión y el transporte de ICUE se ajusten a la Decisión (UE, Euratom) 2015/444 y sus normas de desarrollo, así como a las cláusulas del contrato clasificado, incluido el consentimiento del originador.
Artículo 12
Manejo electrónico
1. El manejo y la transmisión electrónicos de ICUE se realizarán de conformidad con los capítulos 5 y 6 de la Decisión (UE, Euratom) 2015/444 y sus normas de desarrollo.
Los sistemas de información y comunicaciones que sean propiedad de un contratista y se utilicen para manejar la ICUE necesaria para la ejecución del contrato (“SIC del contratista”) tendrán que ser acreditados por la autoridad de acreditación de seguridad (“AAS”) competente. Toda transmisión electrónica de ICUE se protegerá con productos criptológicos aprobados de conformidad con el artículo 36, apartado 4, de la Decisión (UE, Euratom) 2015/444. Las medidas TEMPEST se ejecutarán de conformidad con el artículo 36, apartado 6, de dicha Decisión.
2. La acreditación de seguridad del SIC del contratista que maneje ICUE de grado RESTREINT UE/EU RESTRICTED y cualquier interconexión de este podrán delegarse en el responsable de seguridad del contratista si así lo permiten las disposiciones legales y reglamentarias nacionales. Cuando esta tarea sea delegada, el contratista será responsable de respetar los requisitos mínimos de seguridad descritos en la CAS al manejar información de grado RESTREINT UE/EU RESTRICTED en su SIC. Sin embargo, las ANS, las ASD y las AAS pertinentes siguen siendo responsables de la protección de la información de grado RESTREINT UE/EU RESTRICTED que manejen los contratistas y siguen gozando de la facultad de examinar las medidas de seguridad adoptadas por los contratistas. Además, el contratista remitirá al órgano de contratación y, cuando así lo exijan las disposiciones legales y reglamentarias nacionales, a la AAS nacional competente una declaración de conformidad que certifique que el SIC del contratista y las interconexiones correspondientes han sido acreditados para el manejo de ICUE de grado RESTREINT UE/EU RESTRICTED (12).
Artículo 13
Transporte por medio de mensajero comercial
El transporte de ICUE por medio de mensajero comercial cumplirá las disposiciones pertinentes de las decisiones de la Comisión relativas a las normas de desarrollo para el manejo de información de grado RESTREINT UE/EU RESTRICTED y CONFIDENTIEL UE/EU CONFIDENTIAL.
Artículo 14
Transporte en mano
1. El transporte en mano de información clasificada está sujeto a requisitos estrictos de seguridad.
2. La información de grado RESTREINT UE/EU RESTRICTED podrá ser transportada en mano por el personal del contratista dentro de la UE siempre que se cumplan los siguientes requisitos:
a)
que el sobre o empaquetado utilizado sea opaco y no indique la clasificación de su contenido;
b)
que la información clasificada esté en todo momento en posesión del portador;
c)
que el sobre o empaquetado no se abra en tránsito.
3. En el caso de información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET, el transporte en mano por parte del personal del contratista dentro de un Estado miembro de la UE será organizado por adelantado por las entidades de origen y de destino. La autoridad o instalación emisora informará a la autoridad o instalación receptora de los datos del envío, incluidos la referencia, la clasificación, la hora prevista de llegada y el nombre del mensajero. Este transporte en mano se permite siempre que se cumplan los siguientes requisitos:
a)
que la información clasificada se transporte en un sobre o empaquetado doble;
b)
que el sobre o empaquetado exterior esté protegido y no indique la clasificación de su contenido, pero que el sobre interior sí indique el grado de clasificación;
c)
que la ICUE esté en todo momento en posesión del portador;
d)
que el sobre o empaquetado no se abra en tránsito;
e)
que el sobre o empaquetado se transporte en un maletín con cerradura o en un objeto homologado similar del mismo tamaño y peso que el portador pueda llevar consigo en todo momento y que no haya que facturar como equipaje;
f)
que el mensajero lleve un certificado de correo expedido por su autoridad de seguridad competente por el que se le autorice a transportar el envío clasificado de que se trate.
4. Para el transporte en mano de información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET de un Estado miembro de la UE a otro por parte del personal del contratista, se aplicarán las siguientes normas adicionales:
a)
el mensajero será responsable de la custodia del material clasificado hasta su entrega al destinatario;
b)
en caso de fallo de seguridad, la ANS o ASD del remitente podrá solicitar que las autoridades del país en que se haya producido el fallo lleven a cabo una investigación, comuniquen sus conclusiones y emprendan acciones legales o de otro tipo, según proceda;
c)
el mensajero deberá ser informado de todas las obligaciones en materia de seguridad que deben observarse durante el transporte y deberá firmar una declaración de reconocimiento de tales obligaciones;
d)
las instrucciones para el mensajero se adjuntarán al certificado de correo;
e)
el mensajero deberá disponer de una descripción del envío y un itinerario;
f)
los documentos se devolverán a la ANS o ASD emisora al finalizar el trayecto o trayectos, o el destinatario los conservará a efectos de controles ulteriores;
g)
si las autoridades aduaneras, las autoridades de inmigración o la policía de fronteras solicitan examinar e inspeccionar el envío, se les permitirá abrir y observar suficientes partes del envío como para cerciorarse de que no contienen ningún material distinto del declarado;
h)
debe instarse a las autoridades aduaneras a que respeten la autoridad oficial de los documentos enviados y los documentos de autorización transportados por el mensajero.
Si las autoridades aduaneras abren un envío, deberá hacerse fuera de la vista de las personas no autorizadas y en presencia del mensajero cuando sea posible. El mensajero solicitará que se vuelva a empaquetar el envío y pedirá a las autoridades que lleven a cabo la inspección que vuelvan a precintar el envío y que confirmen por escrito que lo han abierto.
5. El transporte en mano de información clasificada de grado RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET por parte del personal del contratista a un tercer país o a una organización internacional estará sujeto a las disposiciones del acuerdo sobre seguridad de la información o del acuerdo administrativo celebrado entre, respectivamente, la Unión Europea o la Comisión y dicho tercer país u organización internacional.
CAPÍTULO 6
PLAN DE CONTINUIDAD DE LA ACTIVIDAD
Artículo 15
Planes de contingencia y medidas de recuperación
El servicio de la Comisión correspondiente, en su calidad de órgano de contratación, se asegurará de que el contrato clasificado obligue al contratista a establecer planes de contingencia para proteger, en situaciones de emergencia, la ICUE manejada para la ejecución del contrato clasificado, y a establecer medidas preventivas y de recuperación en el contexto de la planificación de la continuidad de la actividad a fin de minimizar el efecto de los incidentes relacionados con el manejo y el almacenamiento de la ICUE. El contratista informará al órgano de contratación de su plan de contingencia.
Artículo 16
Entrada en vigor
La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
(1) DO L 72 de 17.3.2015, p. 41.
(2) DO L 72 de 17.3.2015, p. 53.
(3) DO L 6 de 11.1.2017, p. 40.
(4) DO C 202 de 8.7.2011, p. 13.
(5) Decisión 2013/488/UE del Consejo, de 23 de septiembre de 2013, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO L 274 de 15.10.2013, p. 1).
(6) Directiva 2009/81/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, sobre coordinación de los procedimientos de adjudicación de determinados contratos de obras, de suministro y de servicios por las entidades o poderes adjudicadores en los ámbitos de la defensa y la seguridad (DO L 216 de 20.8.2009, p. 76).
(7) Decisión de la Comisión, de 4.5.2016, relativa a una habilitación en materia de seguridad [C(2016) 2797 final].
(8) Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión, por el que se modifican los Reglamentos (UE) n.o 1296/2013, (UE) n.o 1301/2013, (UE) n.o 1303/2013, (UE) n.o 1304/2013, (UE) n.o 1309/2013, (UE) n.o 1316/2013, (UE) n.o 223/2014 y (UE) n.o 283/2014 y la Decisión n.o 541/2014/UE y por el que se deroga el Reglamento (UE, Euratom) n.o 966/2012 (DO L 193 de 30.7.2018, p. 1).
(9) En el sitio web de la Comisión puede consultarse la lista de acuerdos celebrados por la UE y de acuerdos administrativos suscritos por la Comisión Europea en virtud de los cuales puede intercambiarse información clasificada de la UE con terceros países y organizaciones internacionales.
(10) Los formularios que se empleen podrán diferir en su diseño del ejemplo que figura en las presentes normas de desarrollo.
(11) En el sitio web de la Comisión puede consultarse la lista de acuerdos celebrados por la UE y de acuerdos administrativos suscritos por la Comisión Europea en virtud de los cuales puede intercambiarse información clasificada de la UE con terceros países y organizaciones internacionales.
(12) Los requisitos mínimos aplicables a los sistemas de información y comunicaciones que manejen ICUE de grado RESTREINT UE/EU RESTRICTED se establecen en el anexo III, apéndice E.
Anexos
Omitidos.
