Accordo di attuazione tra il Dipartimento federale della difesa, della protezione della popolazione e dello sport della Confederazione svizzera e l’Agenzia europea per la difesa concernente la protezione delle informazioni classificate

Concluso il 23 giugno 2022
Entrato in vigore il 23 giugno 2022

(Stato 23  giugno 2022)

Il Dipartimento federale della difesa, della protezione della popolazione e dello sport della Confederazione svizzera
e
l’Agenzia europea per la difesa

(in seguito denominati «Parti» al plurale e «Parte» al singolare),

tenendo conto dell’articolo 10 dell’Accordo di cooperazione in materia di armamenti (Framework for Cooperation ), firmato dalle Parti il 16 marzo 2012, il quale stabilisce che tutte le comunicazioni e gli scambi di informazioni classificate devono essere conformi all’Accordo del 28 aprile 2008¹tra la Confederazione Svizzera e l’Unione europea sulle procedure di sicurezza per lo scambio di informazioni classificate (in seguito denominato «Accordo sulle procedure di sicurezza»);

constatando che tale articolo necessita di essere approfondito in un accordo di attuazione (in seguito denominato «Accordo») al fine di stabilire disposizioni a livello operativo;

desiderando garantire la protezione delle informazioni classificate detenute o scambiate tra le Parti; e

constatando che le disposizioni del presente Accordo sono conformi all’Accordo sulle procedure di sicurezza e costituiscono un quadro adeguato per lo scambio di informazioni classificate secondo le regole di sicurezza definite nella Decisione del Consiglio 2013/488/EU², che si applicano all’AED conformemente all’articolo 32 della decisione del Consiglio (PESC) 2015/1835³;

hanno convenuto quanto segue:

Art. 1 Autorità di sicurezza competenti

1. Le autorità di sicurezza competenti per l’applicazione del presente Accordo sono: (a) per il Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS): il settore Digitalizzazione e cibersicurezza DDPS (DCS DDPS); (b) per l’Agenzia europea per la difesa (AED): Corporate Services Directorate Security and Infrastructure Unit.
2. Ciascuna Parte informa l’altra Parte in merito a qualsiasi cambiamento relativo alla propria autorità di sicurezza competente.
3. Ciascuna Parte adotta le misure necessarie per coordinare con l’altra Parte tutti i requisiti e tutte le procedure inerenti all’applicazione del presente Accordo.

Art. 2 Sistema di classificazione e identificatore dell’originatore

1. Tutte le informazioni classificate fornite da una Parte all’altra Parte sono contrassegnate con un livello di classificazione di sicurezza conforme alle disposizioni e alle prescrizioni di sicurezza applicate dalla Parte fornitrice.
2. I livelli di classificazione seguenti delle Parti sono considerati equivalenti:

AED	SVIZZERA
RESTREINT UE/EU RESTRICTED	INTERN / INTERNE / AD USO INTERNO
CONFIDENTIEL UE/EU CONFIDENTIAL	VERTRAULICH / CONFIDENTIEL / CONFIDENZIALE
SECRET UE/EU SECRET	GEHEIM / SECRET / SEGRETO

3. Al fine di indicare l’originatore delle informazioni e di definire in particolare i suoi diritti, le informazioni classificate provenienti dall’AED saranno contrassegnate con la menzione dell’originatore «AED» a fianco o al di sotto di ogni indicazione del livello di classificazione di sicurezza UE.
4. Oltre ai livelli di classificazione di sicurezza definiti all’articolo 2 paragrafo 2 del presente Accordo, le informazioni classificate di una Parte fornite all’altra Parte includeranno una dichiarazione esplicita di divulgabilità quale:

SECRET UE/EU SECRET

RELEASABLE TO SWITZERLAND

GEHEIM / SECRET / SEGRETO

RELEASABLE TO EDA

È possibile aggiungere ulteriori limitazioni di accesso o di distribuzione alla dichiarazione di divulgabilità se l’originatore lo ritiene necessario.

Art. 3 Dichiarazione di sicurezza relativa alle persone e autorizzazione d’accesso

1. L’accesso a informazioni classificate è autorizzato solo alle persone che hanno una «necessità di conoscere». Inoltre le persone la cui funzione richiede l’accesso a informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o VERTRAULICH / CONFIDENTIEL / CONFIDENZIALE, o SECRET UE/EU SECRET o GEHEIM / SECRET / SEGRETO devono, oltre alla «necessità di conoscere», essere in possesso di una dichiarazione di sicurezza relativa alle persone (Personnel Security Clearance , PSC) valida rilasciata conformemente alle disposizioni e alle prescrizioni di sicurezza delle Parti.
2. Prima di ottenere l’accesso a informazioni classificate, tutte le persone che necessitano di tale accesso devono essere informate sulle disposizioni e prescrizioni di sicurezza relative alla classificazione delle informazioni in questione. Tali persone confermano per iscritto di essere state informate sulle disposizioni e prescrizioni di sicurezza applicabili e che la violazione di queste ultime può comportare azioni disciplinari e/o eventuali azioni legali ulteriori conformemente alle disposizioni legislative, normative e regolamentari applicabili.

Art. 4 Protezione di informazioni classificate

1. Il presente Accordo si applica alle informazioni classificate fornite o scambiate tra le Parti.
2. Ogni Parte protegge e salvaguarda le informazioni classificate soggette al presente Accordo fornite dall’altra Parte o scambiate con essa.
3. La Parte ricevente protegge e salvaguarda le informazioni classificate dell’altra Parte conformemente alle proprie disposizioni in materia di sicurezza relative alle informazioni con un livello di classificazione equivalente secondo l’articolo 2 paragrafo 2 del presente Accordo.
4. Le informazioni classificate scambiate nel quadro del presente Accordo non devono essere usate per scopi diversi da quelli stabiliti dall’originatore e da quelli per i quali le informazioni sono state fornite o scambiate.
5. Le Parti non divulgano a terzi le informazioni classificate soggette al presente Accordo senza previo consenso scritto dell’originatore.

Art. 5 Uffici di registrazione e controllo di informazioni classificate

1. Si crea un sistema di uffici di registrazione per la ricezione, la distribuzione, il controllo e la conservazione di informazioni con livello di classificazione CONFIDENTIEL UE/UE CONFIDENTIAL o VERTRAULICH / CONFIDENTIEL / CONFIDENZIALE o superiore, conformemente alle prescrizioni delle Parti.
2. Le Parti si informano reciprocamente in merito agli uffici di registrazione autorizzati a ricevere e trattare le informazioni classificate scambiate nel quadro del presente Accordo e garantiscono che tali uffici di registrazione offrano un livello di protezione equivalente.
3. Gli uffici di registrazione sono responsabili: (a) della distribuzione e del controllo delle informazioni classificate; (b) della conservazione delle informazioni classificate; e (c) dell’eliminazione definitiva e/o del declassamento e/o della declassificazione di informazioni classificate secondo le istruzioni dell’originatore, compresa la conservazione dei certificati di distruzione per le informazioni con livello di classificazione CONFIDENTIEL UE/UE CONFIDENTIAL o VERTRAULICH / CONFIDENTIEL / CONFIDENZIALE o superiore della Svizzera o dell’AED.
4. Le autorità di sicurezza competenti sono responsabili dell’apertura e della supervisione degli uffici di registrazione in seno alle rispettive amministrazioni e si informano reciprocamente dell’apertura o della chiusura di uffici di registrazione che conservano le informazioni classificate dell’altra Parte.

Art. 6 Trasmissione di informazioni classificate tra le parti

1. Le informazioni classificate RESTREINT UE/EU RESTRICTED o INTERN / INTERNE / AD USO INTERNO possono essere scambiate tra le Parti tramite trasporto a mano, servizi postali, servizi di corriere commerciale o per via elettronica utilizzando prodotti crittografici convenuti tra le autorità di sicurezza competenti di cui all’articolo 1 del presente Accordo.
2. Le informazioni con livello di classificazione CONFIDENTIEL UE/UE CONFIDENTIAL o VERTRAULICH / CONFIDENTIEL / CONFIDENZIALE possono essere trasmesse tra le Parti tramite valigia diplomatica o trasporto a mano da parte di un corriere titolare di un nulla osta di sicurezza e munito di un certificato di corriere rilasciato dall’ufficio di sicurezza della Parte che trasmette le informazioni o da servizi di corriere commerciale autorizzati secondo le prescrizioni e disposizioni di sicurezza della Parte che trasmette le informazioni.
3. Le informazioni con livello di classificazione CONFIDENTIEL UE/UE CONFIDENTIAL o VERTRAULICH / CONFIDENTIEL / CONFIDENZIALE o superiore non possono essere trasmesse tra le Parti per via elettronica salvo previo accordo reciproco tra le Parti e su riserva della predisposizione di misure specifiche relative alla sicurezza delle informazioni e delle comunicazioni, compreso l’uso di prodotti crittografici convenuti tra le autorità di sicurezza competenti.
4. La trasmissione tra le Parti di informazioni classificate SECRET UE/EU SECRET o GEHEIM / SECRET / SEGRETO attraverso corrieri designati è regolamentata caso per caso.

Art. 7 Visite

1. Ai fini del presente Accordo e senza pregiudizio delle visite di valutazione, ogni Parte autorizza rappresentanti dell’altra Parte o suoi contraenti a visitare i propri stabilimenti su riserva del rispetto delle disposizioni di sicurezza della Parte ospitante.
2. Per le visite che richiedono l’accesso a informazioni con livello di classificazione CONFIDENTIEL UE/UE CONFIDENTIAL o VERTRAULICH / CONFIDENTIEL / CONFIDENZIALE o superiore, o durante le quali i visitatori possono avere accesso a tali informazioni, si presenta una domanda di visita alla Parte ospitante o ad altre autorità competenti designate dalla stessa, attraverso formulari di domanda di visita.

Art. 8 Contratti classificati

1. Le informazioni classificate ricevute dall’altra Parte possono essere fornite a un contraente o a un potenziale contraente soltanto previo consenso scritto della Parte fornitrice e se sussiste un accordo o modalità in materia di sicurezza adeguate tra la Parte fornitrice e lo Stato nel quale il contraente è registrato, conformemente alle disposizioni di sicurezza della Parte fornitrice.
2. Prima di fornire a un contraente o potenziale contraente informazioni con livello di classificazione CONFIDENTIEL UE/UE CONFIDENTIAL o VERTRAULICH / CONFIDENTIEL / CONFIDENZIALE o superiore, la Parte ricevente si assicura, conformemente alle disposizioni e prescrizioni in vigore, che il contraente o potenziale contraente sia in possesso di una dichiarazione di sicurezza aziendale adeguata.
3. Quando conclude un contratto retto dal presente Accordo, la Parte ricevente informa in merito la Parte fornitrice. I requisiti di sicurezza applicabili al contratto sono descritti, a seconda dei casi, nella Lettera sugli aspetti di sicurezza (Security Aspects Letter, SAL) o nelle Istruzioni di sicurezza del programma/progetto (Programme/Project Security Instructions , PSI) allegate al contratto.

Art. 9 Violazioni della sicurezza, perdita o compromissione di informazioni classificate

1. Qualora sia noto o vi siano ragionevoli motivi di ritenere che vi sia stata compromissione o perdita di informazioni classificate ricevute dall’altra Parte, la Parte presso la quale si è verificato l’incidente deve: (a) informare il prima possibile la Parte fornitrice, attraverso un primo rapporto o una prima comunicazione, della compromissione o della perdita di informazioni classificate; (b) condurre un’inchiesta approfondita per stabilire i fatti relativi all’incidente; (c) fornire alla Parte fornitrice un rapporto d’inchiesta scritto e completo contenente una descrizione dettagliata delle circostanze, le conclusioni dell’inchiesta e le misure che sono state/verranno predisposte per prevenire futuri incidenti analoghi.
2. I rapporti summenzionati vengono forniti all’autorità di sicurezza competente di cui all’articolo 1.
3. Tutte le violazioni della sicurezza, o presunte tali, riconducibili a singoli individui possono comportare azioni disciplinari e/o eventuali azioni legali ulteriori conformemente alle disposizioni legislative, normative e regolamentari applicabili.

Art. 10 Contatti e visite di valutazione

1. Le autorità di sicurezza competenti mantengono contatti costanti per sorvegliare la comunicazione e lo scambio di informazioni classificate tra le Parti. Si riuniscono come di comune accordo per discutere ed esaminare questioni di interesse comune e per valutare l’attuazione del presente Accordo.
2. Il Security Office dell’AED e il settore Digitalizzazione e cibersicurezza del DDPS facilitano lo svolgimento di visite di valutazione reciproche conformemente all’allegato VI numero 9 della Decisione del Consiglio 2013/488/EU con l’obiettivo di verificare che le informazioni classificate prodotte dalle Parti siano trattate e protette in modo adeguato. Tali visite si effettuano previo accordo reciproco tra le Parti.

Art. 11 Disposizioni finali, verifiche e modifiche

1. Il presente Accordo entra in vigore alla data dell’ultima firma.
2. Il presente Accordo può essere verificato su richiesta di ciascuna Parte e può essere emendato previo consenso scritto di entrambe le Parti.
3. Ciascuna Parte può denunciare il presente Accordo mediante notifica scritta trasmessa all’altra Parte, osservando un preavviso di sei mesi. Se il presente Accordo è denunciato, qualsiasi informazione classificata già scambiata o creata nell’ambito del presente Accordo deve essere trattata conformemente alle disposizioni del presente Accordo per tutto il tempo necessario alla protezione di informazioni classificate.
4. Le controversie tra le Parti concernenti l’applicazione o l’interpretazione del presente Accordo sono composte mediante negoziati tra le Parti al livello più basso possibile e non sono sottoposte a un tribunale nazionale o internazionale né a parti terze per composizione.

Firmato a Bruxelles il 23 giugno 2022 in due originali, ciascuno in lingua inglese e tedesca. In caso di divergenze di interpretazione prevale il testo inglese.

Per il Dipartimento federale della difesa, della protezione della popolazione e dello sport della Confederazione svizzera: Roger Michlig	Per la Agenzia europea per la difesa: Olli Ruutu

Footnotes

1. RS 0.514.126.81 ↩

2. GU L 274, 15.10.2013, pag. 1 ↩

3. GU L 266, 13.10.2015, pag. 55 ↩