Decisión (UE, Euratom) 2015/444 de la Comisión, de 13 de marzo de 2015, sobre las normas de seguridad para la protección de la información clasificada de la UE

• Section: Decision

17.3.2015 ES Diario Oficial de la Unión Europea L 72/53

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 249,

Visto el Tratado constitutivo de la Comunidad Europea de la Energía Atómica y, en particular, su artículo 106,

Visto el Protocolo no 7 sobre los privilegios y las inmunidades de la Unión Europea anejo a los Tratados y, en particular, su artículo 18,

Considerando lo siguiente:

(1) Las disposiciones de seguridad de la Comisión relativas a la protección de la información clasificada de la Unión Europea (ICUE) deben revisarse y actualizarse, teniendo en cuenta la evolución institucional, organizativa, operativa y tecnológica.

(2) La Comisión Europea ha suscrito instrumentos sobre cuestiones de seguridad para sus sedes principales con los gobiernos de Bélgica, Luxemburgo e Italia (1).

(3) La Comisión, el Consejo y el Servicio Europeo de Acción Exterior se han comprometido a aplicar estándares de seguridad equivalentes para la protección de la ICUE.

(4) Es importante que el Parlamento Europeo y las demás instituciones, órganos, organismos y agencias de la Unión queden asociados, cuando proceda, a los principios, estándares y normas de protección de la información clasificada que resultan necesarios para proteger los intereses de la Unión y de sus Estados miembros.

(5) Los riesgos para la ICUE deberán gestionarse como un proceso. El objetivo de este proceso será determinar los riesgos conocidos para la seguridad, definir medidas de seguridad para reducir dichos riesgos a un nivel aceptable de conformidad con los principios básicos y normas mínimas establecidos en la presente Decisión, y aplicar estas medidas conforme al concepto de defensa en profundidad. La eficacia de dichas medidas será continuamente evaluada.

(6) Dentro de la Comisión, por seguridad física dirigida a la protección de la información clasificada se entenderá la aplicación de medidas de protección físicas y técnicas para impedir el acceso no autorizado a la ICUE.

(7) Por tratamiento de la ICUE se entenderá la aplicación de medidas administrativas de control de la ICUE a lo largo de todo su ciclo de vida que completen las medidas contempladas en los capítulos 2, 3 y 5 de la presente Decisión y contribuyan, así, a disuadir, descubrir y subsanar cualquier acto deliberado o accidental que pueda comprometer o suponer la pérdida de dicha información. Estas medidas se refieren, en particular, a la producción, almacenamiento, registro, copia, traducción, recalificación, desclasificación, traslado y destrucción de ICUE y complementan las normas generales sobre gestión de documentos de la Comisión [Decisiones 2002/47/CE, CECA, Euratom (2) y 2004/563/CE, Euratom (3)].

(8) Las disposiciones de la presente Directiva no afectarán a: a) Reglamento (Euratom) no 3 (4);

b) Reglamento (CE) no 1049/2001 del Parlamento Europeo y del Consejo (5);

c) Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo (6);

d) Reglamento (CEE, Euratom) no 354/83 del Consejo (7).

HA ADOPTADO LA PRESENTE DECISIÓN:

A efectos de la presente Decisión, se entenderá por:

1) «Servicio de la Comisión»: toda Dirección General o servicio de la Comisión, o cualquier gabinete de un miembro de la Comisión.

2) «Material de cifra»: algoritmos criptológicos, módulos criptológicos de software y hardware, y productos, incluida la información sobre su uso y la documentación pertinente y los datos de claves.

3) «Desclasificación»: supresión de toda clasificación de seguridad.

4) «Defensa en profundidad»: aplicación de una serie de medidas de seguridad organizadas a modo de defensa en barreras sucesivas.

5) «Documento»: toda información registrada, independientemente de su soporte o características físicas.

6) «Reducción del grado de clasificación»: reducción del grado de clasificación de seguridad.

7) «Manejo» de ICUE: toda intervención posible a la que puede estar sujeta a lo largo de su ciclo de vida la ICUE, es decir: producción, registro, tratamiento, traslado, reducción del grado de clasificación, desclasificación y destrucción. En relación con los sistemas de información y comunicaciones (SIC) abarca asimismo su recopilación, exposición, transmisión y almacenamiento.

8) «Poseedor»: persona debidamente autorizada con una probada necesidad de conocer la información, que está en posesión de cualquier ICUE y es, por tanto, responsable de su protección.

9) «Normas de desarrollo»: todo conjunto de normas o directrices de seguridad adoptado de conformidad con el capítulo 5 de la Decisión (EU, Euratom) 2015/443 de la Comisión (8).

10) «Material»: todo medio, soporte de datos, máquina o aparato, producido o en proceso de producción.

11) «Originador»: institución, organismo o agencia de la Unión, Estado miembro, tercer Estado u organización internacional bajo cuya autoridad se ha producido información clasificada o se ha introducido en las estructuras de la Unión.

12) «Locales»: todo inmueble o propiedad y posesiones asimiladas de la Comisión.

13) «Proceso de gestión de riesgos de seguridad»: totalidad del proceso de determinación, control y disminución de acontecimientos inciertos que puedan afectar a la seguridad de una organización o de cualquiera de los sistemas que utiliza. Abarca todas las actividades relacionadas con los riesgos, incluida la evaluación, tratamiento, aceptación y comunicación.

14) «Estatuto de los funcionarios»: Estatuto de los funcionarios de la Unión Europea y Régimen aplicable a otros agentes de la Unión Europea establecido mediante el Reglamento (CEE, Euratom, CECA) no 259/68 del Consejo (9).

15) «Amenaza»: posible causa de un incidente no deseado que pueda ocasionar daños a una organización o a algunos de los sistemas que use; las amenazas pueden ser accidentales o deliberadas (maliciosas) y constan de elementos amenazadores, posibles blancos y métodos de ataque.

16) «Vulnerabilidad»: debilidad, cualquiera que sea su naturaleza, que pueda ser aprovechada por una o varias amenazas. La vulnerabilidad puede resultar de una omisión o guardar relación con una deficiencia en el grado, completitud o coherencia de los controles, y puede ser técnica, física, de procedimiento, de organización o de funcionamiento.

1. La presente Decisión establece los principios básicos y los estándares mínimos de seguridad para la protección de la información clasificada de la Unión Europea (ICUE).

2. La presente Decisión se aplicará a todos los servicios de la Comisión y en todos los locales de la Comisión.

3. Sin perjuicio de las indicaciones específicas relativas a grupos concretos de personal, la presente Decisión se aplicará a los miembros de la Comisión, al personal de la Comisión incluido en el ámbito de aplicación del Estatuto de los funcionarios y de las condiciones de empleo de otros agentes de las Comunidades Europeas, a los expertos nacionales enviados en comisión de servicio a la Comisión (en lo sucesivo, «expertos nacionales en comisión de servicios»), a los proveedores de servicios y su personal, a los trabajadores en prácticas y a cualquier persona con acceso a los edificios de la Comisión u otros activos, o a la información manejada por la Comisión.

4. Las disposiciones de la presente Decisión se entenderán sin perjuicio de lo dispuesto en la Decisión 2002/47/CE, CECA, Euratom y la Decisión 2004/563/CE, Euratom.

1. Por «información clasificada de la UE» (ICUE) se entenderá toda información o material a los que se haya asignado una clasificación de seguridad de la UE cuya revelación no autorizada pueda causar perjuicio en distintos grados a los intereses de la Unión Europea o de uno o varios Estados miembros.

2. La ICUE se clasificará en uno de los grados siguientes:

   a) TRES SECRET UE/EU TOP SECRET: información y material cuya revelación no autorizada pueda causar un perjuicio excepcionalmente grave a los intereses esenciales de la Unión Europea o de uno o varios Estados miembros;

   b) SECRET UE/EU SECRET: información y material cuya revelación no autorizada pueda causar un perjuicio grave a los intereses esenciales de la Unión Europea o de uno o varios Estados miembros;

   c) CONFIDENTIEL UE/EU CONFIDENTIAL: información y material cuya revelación no autorizada pueda causar perjuicio a los intereses esenciales de la Unión Europea o de uno o varios Estados miembros;

   d) RESTREINT UE/EU RESTRICTED: información y material cuya revelación no autorizada pueda resultar desfavorable para los intereses de la Unión Europea o de uno o varios Estados miembros.

3. La ICUE llevará una marca de clasificación de seguridad de conformidad con el apartado 2. Podrá llevar marcas suplementarias que no sean marcas de clasificación, sino que se destinen a designar el ámbito de actividad al que se refiere, identificar el originador, limitar la difusión, restringir su utilización o indicar la medida en que puede ser cedida.

1. Cada uno de los miembros de la Comisión o de los servicios de la Comisión se asegurarán de que la ICUE que crean se clasifique adecuadamente, quede claramente marcada como ICUE y solo conserve su grado de clasificación mientras sea necesario.

2. Sin perjuicio de lo dispuesto en el artículo 26, no se podrá rebajar el grado de clasificación de la ICUE ni desclasificarla, ni modificar o suprimir las marcas de clasificación de seguridad a que se refiere el artículo 3, apartado 2, sin el consentimiento previo por escrito del originador.

3. En su caso, se adoptarán normas de desarrollo para el manejo de la ICUE, que incluirán una guía práctica de clasificación, de conformidad con el artículo 60.

1. La ICUE se protegerá de conformidad con la presente Decisión y sus normas de desarrollo.

2. El poseedor de cualquier ICUE tendrá la responsabilidad de protegerla de conformidad con la presente Decisión y sus normas de desarrollo, con arreglo a las normas previstas en el capítulo 4.

3. Cuando los Estados miembros introduzcan en las estructuras o redes de la Comisión información clasificada que lleve una marca...