18.6.2013

DA

Den Europæiske Unions Tidende

L 165/41

---

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) Nr. 526/2013

af 21. maj 2013

om Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA) og om ophævelse af forordning (EF) nr. 460/2004

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg (1),

efter den almindelige lovgivningsprocedure (2), og

ud fra følgende betragtninger:

(1)

Elektronisk kommunikation og infrastruktur samt elektroniske tjenester er både direkte og indirekte afgørende faktorer i den økonomiske og samfundsmæssige udvikling. De elektroniske kommunikationssystemer spiller en central rolle i samfundet og er i sig selv blevet en alment tilgængelig ressource på lige fod med elektricitet og vand, ligesom de udgør vitale faktorer i leveringen af elektricitet, vand og andre vigtige tjenesteydelser. Kommunikationsnettene fungerer som katalysatorer i social og innovationsmæssig henseende, forøger teknologiens indvirkning og former forbrugeradfærd, forretningsmodeller, industrier samt borgernes deltagelse i det politiske liv. Sammenbrud i systemerne kan få alvorlige fysiske, sociale og økonomiske konsekvenser, og derfor er det særlig vigtigt at tage skridt til at beskytte systemerne bedre og gøre dem mere robuste for at sikre vigtige tjenesteydelsers kontinuitet. De sikkerhedsmæssige udfordringer i forbindelse med elektronisk kommunikation og infrastruktur og elektroniske tjenester, særlig systemernes integritet, disponibilitet og fortrolighed, vokser hele tiden, bl.a. med hensyn til de enkelte komponenter i kommunikationsinfrastrukturen og den software, der kontrollerer disse komponenter, infrastrukturen som helhed og de tjenester, der leveres via denne infrastruktur. Dette er et anliggende af stigende betydning for samfundet, ikke mindst på grund af risikoen for problemer som følge af systemernes kompleksitet, fejlfunktioner, systemfejl, uheld, fejl og angreb, der kan få konsekvenser for den elektroniske og fysiske infrastruktur, som sikrer tjenesteydelser af stor betydning for EU-borgernes trivsel.

(2)	Der opstår hele tiden nye risici, og sikkerhedsproblemer kan skade brugernes tillid til teknologi, net og tjenester og derved påvirke deres mulighed for at udnytte det indre markeds fulde potentiale og udbredt anvendelse af informations- og kommunikationsteknologi (ikt).

(3)

Det er derfor vigtigt for politikere, erhvervslivet og brugere, at der jævnligt foretages en vurdering af net- og informationssikkerhedssituationen i Unionen på grundlag af pålidelige EU-data samt systematiske prognoser over fremtidige udviklinger, udfordringer og trusler, både på EU-plan og globalt plan.

(4)

Ved afgørelse 2004/97/EF, Euratom (3), vedtaget på Det Europæiske Råds møde den 13. december 2003, besluttede repræsentanterne for medlemsstaterne, at Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA), der skulle oprettes på grundlag af Kommissionens forslag, skulle have sit sæde i en by i Grækenland, som skulle fastlægges nærmere af den græske regering. Efter nævnte afgørelse bestemte den græske regering, at ENISA skulle have sit sæde i Heraklion på Kreta.

(5)	Den 1. april 2005 blev der indgået en hjemstedsaftale mellem agenturet og værtsmedlemsstaten.

(6)

Agenturets værtsmedlemsstat bør sikre de bedst mulige betingelser for, at agenturet kan fungere problemfrit og effektivt. For at agenturet korrekt og effektivt kan udføre sine opgaver og rekruttere og fastholde personale samt øge effektiviteten af netværksaktiviteter, er det afgørende, at agenturet er placeret på et passende sted, hvor der bl.a. er passende transportforbindelser og faciliteter for ægtefæller og børn, som følger med agenturets personale. De nødvendige foranstaltninger bør fastlægges i en aftale, som efter godkendelse af agenturets bestyrelse indgås mellem agenturet og værtsmedlemsstaten.

(7)

For at forbedre sin operationelle effektivitet har agenturet derfor oprettet et filialkontor i Athens storbyområde, som bør opretholdes efter aftale med og med støtte fra værtsmedlemsstaten, og agenturets operationelle personale bør være baseret der. Personale, der hovedsagelig beskæftiger sig med agenturets administration (herunder den administrerende direktør), økonomi, skrivebordsundersøgelse og -analyse, IT og facility management, menneskelige ressourcer, uddannelse, kommunikation og pr, bør være baseret i Heraklion.

(8)

Agenturet har ret til at bestemme sin egen organisation med henblik på at sikre en korrekt og effektiv udførelse af sine opgaver, samtidig med at bestemmelserne fastsat i denne forordning om hjemstedet og Athen-filialkontoret overholdes. Navnlig med henblik på udførelse af opgaver, der kræver samspil med centrale interessenter, som f.eks. EU-institutionerne, bør agenturet træffe de nødvendige praktiske foranstaltninger for at øge en sådan operationel effektivitet.

(9)

I 2004 vedtog Europa-Parlamentet og Rådet forordning (EF) nr. 460/2004 (4) om oprettelse af ENISA med det formål at bidrage til målet om at sikre et højt net- og informationssikkerhedsniveau i Unionen og udvikle en net- og informationssikkerhedskultur til gavn for borgerne, forbrugerne, virksomhederne og de offentlige administrationer. I 2008 vedtog Europa-Parlamentet og Rådet forordning (EF) nr. 1007/2008 (5) om forlængelse af agenturets mandat frem til marts 2012. Ved forordning (EU) nr. 580/2011 (6) forlænges agenturets mandat frem til den 13. september 2013.

(10)

Agenturet bør afløse ENISA som oprettet ved forordning (EF) nr. 460/2004. Inden for rammerne af den afgørelse, som repræsentanterne for medlemsstaterne, forsamlet i Det Europæiske Råd den 13. december 2003, har truffet, bør værtsmedlemsstaten opretholde og videreudvikle de nuværende praktiske foranstaltninger for at sikre, at agenturet, herunder Athen-filialkontoret, kan fungere problemfrit og effektivt, og lette rekruttering og fastholdelse af højt kvalificeret personale.

(11)

Siden ENISA blev oprettet, har udfordringerne i forbindelse med net- og informationssikkerhed udviklet sig i takt med den teknologiske, markedsmæssige og samfundsøkonomiske udvikling, og de har været genstand for yderligere overvejelser og debat. Som reaktion herpå har Unionen ajourført sine mål for net- og informationssikkerhedspolitikken. Denne forordning har som mål at styrke agenturet, så det kan bidrage effektivt til EU-institutionernes og medlemsstaternes bestræbelser på at udvikle et europæisk beredskab til at håndtere net- og informationssikkerhedsproblemer.

(12)

Foranstaltninger for det indre marked, der vedrører sikkerhed i forbindelse med elektronisk kommunikation og mere generelt net- og informationssikkerhed, kræver, at EU-institutionerne og medlemsstaterne iværksætter forskellige tekniske og organisatoriske tiltag. En uensartet anvendelse af disse krav kan føre til ineffektivitet og skabe hindringer for det indre marked. Dette gør det nødvendigt med et ekspertisecenter på EU-plan, der kan yde vejledning, rådgive og yde bistand i spørgsmål om net- og informationssikkerhed, og som EU-institutionerne og medlemsstaterne kan støtte sig til. Agenturet kan opfylde disse behov ved at udvikle og opretholde et højt ekspertiseniveau og bistå EU-institutionerne, medlemsstaterne og erhvervslivet med at opfylde de retlige og reguleringsmæssige krav vedrørende net- og informationssikkerhed samt fastlægge og behandle net- og informationssikkerhedsspørgsmål og således bidrage til et velfungerende indre marked.

(13)

Agenturet bør udføre de opgaver, det pålægges i kraft af EU-retsakter inden for elektronisk kommunikation, og bidrage generelt til øget sikkerhed inden for elektronisk kommunikation samt beskyttelse af privatlivets fred og personoplysninger ved blandt andet at yde ekspertbistand og rådgivning samt ved at fremme udveksling af bedste praksis og tilbyde politikforslag.

(14)

Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet) (7) kræver, at udbydere af offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester træffer passende foranstaltninger for at beskytte nettenes og tjenesternes integritet og sikkerhed, og direktivet indfører en forpligtelse for de nationale tilsynsmyndigheder til, når det er relevant, at underrette bl.a. agenturet om brud på sikkerheden og tab af integritet, hvis dette har en væsentlig indvirkning på driften af net eller tjenester, og til en gang om året at forelægge agenturet en sammenfattende rapport om de indberetninger, de har modtaget, og de foranstaltninger, der er truffet. I henhold til direktiv 2002/21/EF bør agenturet, ved at afgive udtalelser, desuden bidrage til at harmonisere relevante tekniske og organisatoriske sikkerhedsforanstaltninger.

(15)

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (8) kræver, at udbydere af offentligt tilgængelige elektroniske kommunikationstjenester træffer passende tekniske og organisatoriske foranstaltninger til at beskytte deres tjenester, og det stiller desuden krav om at kommunikationshemmeligheden, for så vidt angår både selve kommunikationen og de dermed forbundne trafikdata, opretholdes. Direktiv 2002/58/EF indfører informations- og underretningskrav over for udbydere af elektroniske kommunikationstjenester i forbindelse med brud på persondatasikkerheden. Det kræver endvidere, at Kommissionen rådfører sig med agenturet, inden den vedtager tekniske gennemførelsesforanstaltninger om, under hvilke omstændigheder informations- og underretningskravene gælder, samt hvilke former og procedurer der skal anvendes. Ifølge Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (9) skal medlemsstaterne kræve, at den registeransvarlige iværksætter de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, forringelse, ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter fremsendelse af oplysninger i et net, samt mod enhver anden ulovlig form for behandling.

(16)

Agenturet bør bidrage til et højt net- og informationssikkerhedsniveau, til bedre beskyttelse af privatlivets fred og personoplysninger og til at tilvejebringe og fremme en net- og informationssikkerhedskultur til gavn for borgere, forbrugere, virksomheder og den offentlige sektors organisationer i Unionen og således bidrage til et velfungerende indre marked. Med henblik herpå bør agenturet tildeles de nødvendige budgetmidler.

(17)

I betragtning af den voksende betydning af de elektroniske kommunikationsnet, som nu udgør rygraden i den europæiske økonomi, og af den digitale økonomis aktuelle størrelse bør de finansielle og menneskelige ressourcer, der tildeles agenturet, forøges i overensstemmelse med dettes udvidede rolle og opgaver og afgørende placering i forbindelse med forsvaret af det europæiske digitale økosystem.

(18)

Agenturet bør fungere som et referencepunkt og skabe tillid i kraft af sin uafhængighed, kvaliteten af den rådgivning, det yder, og af de informationer, det videregiver, samt i kraft af den åbenhed, der er forbundet med dets procedurer og drift, og dets omhu ved udførelsen af sine opgaver. Agenturet bør bygge på medlemsstaternes og Unionens indsats og derfor udføre sine opgaver i fuldt samarbejde med Unionens institutioner, organer, kontorer og agenturer og medlemsstaterne og være åbent for forbindelser med erhvervslivet og andre relevante interessenter. Desuden bør det bygge på bidrag fra og samarbejde med den private sektor, der spiller en vigtig rolle i indsatsen for at gøre elektronisk kommunikation og infrastruktur og elektroniske tjenester sikre.

(19)

Som grundlag for, hvordan agenturet skal nå sine mål, bør der opstilles et sæt opgaver, der samtidig giver agenturet fleksibilitet i dets aktiviteter. Agenturets opgaver bør omfatte indsamling af information og data, der er nødvendige for at gennemføre analyser af de risici, der er for sikkerheden og robustheden i elektronisk kommunikation og infrastruktur og elektroniske tjenester, og for at agenturet i samarbejde med medlemsstaterne, Kommissionen og, i givet fald de relevante interessenter, kan vurdere net- og informationssikkerhedssituationen i Unionen. Agenturet bør koordinere sin indsats og samarbejde med Unionens institutioner, organer, kontorer og agenturer og medlemsstaterne og styrke samarbejdet mellem interessenter i Europa, navnlig ved at inddrage de kompetente nationale organer og EU-organer og net- og informationssikkerhedseksperter på højt niveau fra den private sektor med kompetence på de relevante områder i aktiviteterne, navnlig udbydere af elektroniske kommunikationsnet og -tjenester, netværksudstyrsfabrikanter og softwareleverandører, under hensyntagen til, at net- og informationssystemer omfatter kombinationer af hardware, software og tjenester. Agenturet bør bistå EU-institutionerne og medlemsstaterne i deres dialog med erhvervslivet med henblik på at imødegå sikkerhedsrelaterede problemer i hardware- og softwareprodukter og derved bidrage til en samordnet tilgang til net- og informationssikkerhed.

(20)

Agenturet bør modtage net- og informationssikkerhedsstrategier, der offentliggøres af en af Unionens institutioner, organer, kontorer og agenturer eller af en medlemsstat, til orientering, og for at undgå dobbeltarbejde. Agenturet bør analysere strategierne og fremme deres præsentation i et format, der letter sammenligneligheden. Det bør gøre strategierne og sine analyser tilgængelige for offentligheden via elektroniske medier.

(21)

Agenturet bør bistå Kommissionen ved at yde rådgivning og i form af udtalelser og analyser om EU-spørgsmål vedrørende politikudvikling på net- og informationssikkerhedsområdet, herunder beskyttelse af kritisk informationsinfrastruktur og robusthed. Agenturet bør også bistå Unionens institutioner, organer, kontorer og agenturer og, hvor det er relevant, medlemsstaterne, hvis de anmoder herom, med at udvikle deres politik og kompetence inden for net- og informationssikkerhed.

(22)

Agenturet bør tage fuldt hensyn til igangværende forsknings-, udviklings- og teknologivurderingsaktiviteter, navnlig aktiviteter, der gennemføres som led i de forskellige EU-forskningsinitiativer, for at rådgive Unionen og, hvor det er relevant, medlemsstaterne, hvis de anmoder herom, om forskningsbehov inden for net- og informationssikkerhed.

(23)

Agenturet bør bistå såvel Unionens institutioner, organer, kontorer og agenturer som medlemsstaterne med at opbygge og forbedre deres kompetence og beredskab på tværs af grænserne til at forebygge, opdage og imødegå sikkerhedsproblemer og sikkerhedsrelaterede hændelser i net og informationssystemer. I den forbindelse bør agenturet lette samarbejdet mellem medlemsstaterne indbyrdes og mellem Kommissionen og andre af Unionens institutioner, organer, kontorer og agenturer og medlemsstaterne. Med henblik herpå bør agenturet støtte medlemsstaterne i deres vedvarende indsats for at forbedre deres beredskab og for at tilrettelægge og gennemføre europæiske øvelser om sikkerhedsrelaterede hændelser og, efter anmodning fra en medlemsstat, nationale øvelser.

(24)

For bedre at forstå udfordringerne på net- og informationssikkerhedsområdet er det nødvendigt, at agenturet analyserer både eksisterende risici og nye risici, der dukker op. Med henblik herpå bør agenturet i samarbejde med medlemsstaterne og, alt efter hvad der er relevant, med statistiske organer og andre indsamle relevante oplysninger. Desuden bør agenturet bistå Unionens institutioner, organer, kontorer og agenturer og medlemsstaterne i deres bestræbelser på at indsamle, analysere og formidle oplysninger om net- og informationssikkerhed. Indsamlingen af statistiske oplysninger og data, der er nødvendige for at gennemføre analyser af de risici, der er for sikkerheden og robustheden i elektronisk kommunikation og infrastruktur og elektroniske tjenester, bør ske på grundlag af oplysningerne fra medlemsstaterne og agenturets indsigt i EU-institutionernes ikt-infrastrukturer i henhold til EU-bestemmelserne og nationale bestemmelser, der er i overensstemmelse med EU-retten. På grundlag af disse oplysninger bør agenturet fastholde opmærksomheden på den seneste status for net- og informationssikkerhed og tilknyttede tendenser i Unionen til gavn for Unionens institutioner, organer, kontorer og agenturer og medlemsstaterne.

(25)	Agenturet bør under udførelsen af sine opgaver lette samarbejdet mellem Unionen og medlemsstaterne for at forbedre bevidstheden om net- og informationssikkerhedssituationen i Unionen.

(26)

Agenturet bør lette samarbejdet mellem medlemsstaternes kompetente uafhængige tilsynsmyndigheder, især ved at støtte udvikling, fremme og udveksling af bedste praksis og standarder for uddannelsesprogrammer og bevidstgørelsestiltag. Øget informationsudveksling mellem medlemsstaterne vil fremme sådanne foranstaltninger. Agenturet bør bidrage til at bevidstgøre de enkelte brugere af elektroniske kommunikationsmidler, infrastrukturer og tjenester, herunder ved at bistå medlemsstater, der har valgt at anvende platformen for almennyttig information, jf. Europa-Parlamentets og Rådets direktiv 2002/22/EF af 7. marts 2002 om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester (forsyningspligtdirektivet) (10), med at udarbejde relevant almennyttig information vedrørende net- og informationssikkerhed samt ved at bistå med udarbejdelsen af en sådan information, som skal indgå i leveringen af nyt udstyr til brug i offentlige kommunikationsnet. Agenturet bør også støtte samarbejdet mellem interessenter på EU-plan, blandt andet ved at fremme informationsudveksling, bevidstgørelseskampagner og programmer for almen og erhvervsfaglig uddannelse.

(27)

Agenturet bør bl.a. bistå Unionens relevante institutioner, organer, kontorer og agenturer og medlemsstaterne i oplysningskampagner for slutbrugere med sigte på at fremme en mere sikker individuel adfærd på nettet og øge bevidstheden om de potentielle farer på internettet, navnlig internetkriminalitet, såsom phishingangreb, botnet, økonomisk svig og banksvindel, samt fremme af grundlæggende autentificerings- og databeskyttelsesrådgivning.

(28)

For fuldt ud at opfylde sine mål bør agenturet arbejde sammen med relevante organer, herunder dem, der arbejder med internetkriminalitet, som f.eks. Europol, og myndigheder med ansvar for beskyttelse af privatlivets fred, for at udveksle knowhow og bedste praksis og yde rådgivning om aspekter af net- og informationssikkerhed, der kan have indflydelse på deres arbejde. Agenturet bør sigte mod at opnå synergi mellem disse organers bestræbelser og dets egne bestræbelser på at fremme forbedret net- og informationssikkerhed. Repræsentanter for de myndigheder på nationalt og EU-plan, der har ansvar for retshåndhævelse og beskyttelse af privatlivets fred, bør kunne være repræsenteret i agenturets stående gruppe af interessenter. I sine kontakter med retshåndhævende myndigheder vedrørende aspekter af net- og informationssikkerhed, der kan have indflydelse på disse myndigheders arbejde, bør agenturet respektere de eksisterende informationskanaler og etablerede net.

(29)

Kommissionen har lanceret et europæisk offentlig-privat partnerskab for en robust ikt-infrastruktur som en fleksibel EU-dækkende samarbejdsplatform, der bringer interessenter sammen, så de kan drøfte forvaltningspolitiske mål og økonomiske og markedsmæssige aspekter af udfordringerne og tiltagene for at gøre ikt-infrastrukturen mere robust; agenturet bør spille en formidlende rolle i denne forbindelse.

(30)

For at fremme net- og informationssikkerhed og dens synlighed bør agenturet lette samarbejdet mellem medlemsstaternes kompetente offentlige organer, især ved at støtte udvikling og udveksling af bedste praksis og bevidstgørelsestiltag og ved at styrke deres outreach-aktiviteter. Agenturet bør også støtte samarbejdet mellem interessenter og EU-institutionerne, bl.a. ved at fremme informationsudveksling og bevidstgørelsesaktiviteter.

(31)	For at fremme et højt net- og informationssikkerhedsniveau i Unionen bør agenturet fremme samarbejde og udveksling af oplysninger og bedste praksis mellem relevante organisationer, som f.eks. enheder, der håndterer it-sikkerhedshændelser (CSIRT'er) og it-beredskabsenheder (CERT'er).

(32)

Et EU-system med velfungerende CERT'er bør udgøre hjørnestenen af Unionens net- og informationssikkerhedsinfrastruktur. Agenturet bør understøtte medlemsstaternes CERT'er og EU-CERT'en i driften af et netværk af CERT'er, herunder medlemmerne af European Governmental CERTs Group. For at sikre, at alle CERT'er har tilstrækkelig avanceret kapacitet, og at denne kapacitet så vidt muligt svarer til kapaciteten af de mest avancerede CERT'er, bør agenturet fremme oprettelsen og driften af et fagfællebedømmelsessystem. Agenturet bør endvidere fremme og støtte samarbejdet mellem de relevante CERT'er i tilfælde af hændelser, angreb på eller afbrydelser af net eller infrastruktur, der styres eller beskyttes af CERT'erne, og som berører eller vil kunne berøre mindst to CERT'er.

(33)

Effektive net- og informationssikkerhedsstrategier bør baseres på velgennemtænkte risikovurderingsmetoder, både i den offentlige og den private sektor. Der anvendes risikovurderingsmetoder og procedurer på forskellige niveauer, men der er ingen fælles praksis for, hvordan de anvendes effektivt. Ved at udvikle og fremme bedste praksis for risikovurdering og interoperable risikostyringsløsninger i den offentlige og den private sektors organisationer kan man øge sikkerhedsniveauet i nettene og informationssystemerne i Unionen. Til dette formål bør agenturet støtte samarbejdet mellem interessenter på EU-plan og lette deres bestræbelser på at etablere og indføre europæiske og internationale standarder for risikostyring og for målbar sikkerhed i elektroniske produkter, systemer, net og tjenesteydelser, som sammen med software udgør net- og informationssystemerne.

(34)

Agenturet bør, hvor det er hensigtsmæssigt for, at det kan varetage sine mål og udføre sine opgaver, udveksle erfaringer og generelle oplysninger med Unionens institutioner, organer, kontorer og agenturer, som beskæftiger sig med net- og informationssikkerhed. Agenturet bør bidrage til at identificere forskningsprioriteringerne på EU-plan på områderne netværkers modstandsdygtighed og net- og informationssikkerhed samt tilbyde viden om industriens behov til relevante forskningsinstitutioner.

(35)	Agenturet bør tilskynde medlemsstaterne og serviceydere til at hæve deres generelle sikkerhedsstandarder, så alle internetbrugere tager de nødvendige skridt til at sikre deres egen personlige internetsikkerhed.

(36)

Net- og informationssikkerhedsproblemer er af global karakter. Der er behov for et tættere internationalt samarbejde for at forbedre sikkerhedsstandarderne, herunder definitionen af fælles adfærdsnormer og adfærdskodekser, og informationsudveksling, hvilket vil fremme hurtigere internationalt samarbejde om samt en fælles global tilgang til net- og informationssikkerhedsspørgsmål. Agenturet bør derfor støtte et fortsat EU-engagement og samarbejde med tredjelande og internationale organisationer, ved, hvor det er relevant, at yde den nødvendige ekspertise og analyse til Unionens relevante institutioner, organer, kontorer og agenturer.

(37)

Agenturet bør varetage sine opgaver i overensstemmelse med nærhedsprincippet, idet det sikrer en passende grad af koordinering mellem medlemsstaterne i spørgsmål om net- og informationssikkerhed og forbedrer de nationale politikkers effektivitet og dermed tilføjer dem merværdi, og i overensstemmelse med proportionalitetsprincippet, idet det ikke går ud over, hvad der er nødvendigt for at nå målene i denne forordning. Udførelsen af agenturets opgaver bør styrke, men ikke gribe ind i eller træde i stedet for, hindre eller overlappe de relevante beføjelser og opgaver, der er tildelt nationale tilsynsmyndigheder i overensstemmelse med direktiverne om elektroniske kommunikationsnet og –tjenester, samt de beføjelser og opgaver, der er tillagt sammenslutningen af Europæiske Tilsynsmyndigheder inden for Elektronisk Kommunikation (BEREC), der er oprettet ved Europa-Parlamentets og Rådets forordning (EF) nr. 1211/2009 (11), Kommunikationsudvalget, som er omhandlet i direktiv 2002/21/EF, de europæiske standardiseringsorganisationer, de nationale standardiseringsorganisationer og det stående udvalg, jf. direktiv 98/34/EF (12), samt medlemsstaternes uafhængige tilsynsmyndigheder som fastlagt i direktiv 95/46/EF.

(38)

Det er nødvendigt at gennemføre visse principper om agenturets forvaltning for at overholde den fælles erklæring og fælles tilgang, som den interinstitutionelle arbejdsgruppe om EU's decentrale agenturer nåede til enighed om i juli 2012, og som har til formål at strømline agenturernes aktiviteter og forbedre deres resultater.

(39)	Den fælles erklæring og fælles tilgang bør, alt efter hvad der er relevant, også afspejles i agenturets arbejdsprogrammer, agenturets evalueringer og agenturets rapporterings- og administrationspraksis.

(40)

For at agenturet kan fungere korrekt, bør Kommissionen og medlemsstaterne sikre, at personer, der udpeges til bestyrelsen, har en hensigtsmæssig faglig ekspertise. Kommissionen og medlemsstaterne bør også gøre en indsats for at begrænse udskiftningen af deres respektive repræsentanter i bestyrelsen, så der sikres kontinuitet i bestyrelsens arbejde.

(41)	Det er afgørende, at agenturet skaber og vedligeholder et ry for upartiskhed, integritet og høje faglige standarder. Bestyrelsen bør derfor vedtage omfattende regler, der omfatter hele agenturet, for forebyggelse og håndtering af interessekonflikter.

(42)

I betragtning af agenturets særlige forhold og de vanskelige udfordringer, det står over for, bør agenturets organisatoriske struktur forenkles og styrkes for at sikre større effektivitet. Der bør derfor bl.a. nedsættes et forretningsudvalg, således at bestyrelsen kan fokusere på spørgsmål af strategisk betydning.

(43)	Bestyrelsen bør udnævne en regnskabsfører i overensstemmelse med regler vedtaget i henhold til forordning (EU, Euratom) nr. 966/2012 (13) (finansforordningen).

(44)

For at sikre, at agenturet fungerer effektivt, bør medlemsstaterne og Kommissionen være repræsenteret i bestyrelsen, der bør fastlægge de overordnede retningslinjer for agenturets drift og sikre, at agenturet udfører sine opgaver i overensstemmelse med denne forordning. Bestyrelsen bør have de beføjelser, der er nødvendige, til at fastlægge budgettet, kontrollere dets gennemførelse, vedtage passende finansielle bestemmelser, fastlægge transparente arbejdsprocedurer for agenturets beslutningstagning, vedtage agenturets arbejdsprogram, vedtage sin egen forretningsorden og agenturets interne forretningsgange, udnævne den administrerende direktør og træffe afgørelse om at forlænge den administrerende direktørs mandatperiode efter at have indhentet en udtalelse fra Europa-Parlamentet eller bringe den til ophør. Bestyrelsen bør nedsætte et forretningsudvalg, der kan bistå den i udførelsen af dens administrative og budgetmæssige opgaver

(45)

Et velfungerende agentur kræver, at den administrerende direktør udnævnes på grundlag af kvalifikationer og dokumenterede administrative og ledelsesmæssige færdigheder samt kvalifikationer og erfaring, der er relevante for net- og informationssikkerhed, og at den administrerende direktørs opgaver med hensyn til tilrettelæggelsen af agenturets interne opgaver udføres i fuld uafhængighed. Med henblik herpå bør den administrerende direktør efter høring af Kommissionen udarbejde et forslag til agenturets arbejdsprogram og træffe alle nødvendige foranstaltninger til at sikre, at arbejdsprogrammet gennemføres korrekt. Den administrerende direktør bør hvert år udarbejde en årsberetning, der skal forelægges for bestyrelsen, udfærdige et udkast til overslag over agenturets indtægter og udgifter samt gennemføre budgettet.

(46)

Den administrerende direktør bør kunne nedsætte ad hoc-arbejdsgrupper til at behandle specifikke spørgsmål, særlig af videnskabelig, teknisk, retlig eller samfundsøkonomisk art. Ved nedsættelsen af ad hoc-arbejdsgrupper bør den administrerende direktør trække på den relevante eksterne ekspertise, der er nødvendig, for at agenturet kan få adgang til de seneste nye oplysninger om de sikkerhedsudfordringer, der følger med et informationssamfund i stadig udvikling. Den administrerende direktør bør sikre, at medlemmerne af ad hoc-arbejdsgrupperne udvælges på grundlag af den højeste ekspertisestandard, og tage skridt til at sikre en passende repræsentativ balance, afhængigt af de specifikke spørgsmål, mellem medlemsstaternes offentlige administrationer, EU-institutionerne og den private sektor, herunder erhvervslivet, brugerne og akademiske eksperter i net- og informationssikkerhed. Den administrerende direktør bør, alt efter hvad der er relevant, og fra sag til sag kunne invitere eksperter, der er anerkendt som kompetente på det pågældende område, til at deltage i arbejdsgruppernes arbejde. Deres udgifter bør afholdes af agenturet i overensstemmelse med dets interne regler og i overensstemmelse med regler vedtaget i henhold til finansforordningen.

(47)

Agenturet bør have en stående gruppe af interessenter som et rådgivende organ, der kan sikre en løbende dialog med den private sektor, forbrugerorganisationerne og andre relevante interessenter. Den stående gruppe af interessenter, der nedsættes af bestyrelsen på forslag af den administrerende direktør, bør koncentrere sig om spørgsmål, der er relevante for interessenter, og forelægge dem for agenturet. Den administrerende direktør bør, når det er relevant og under hensyn til dagsordenen for møderne, kunne invitere repræsentanter for Europa-Parlamentet og andre relevante organer til at deltage i gruppens møder.

(48)	Da der er tilstrækkelig repræsentation af interessenter i den stående gruppe af interessenter, og denne gruppe navnlig skal høres vedrørende udkastet til arbejdsprogram, er der ikke længere noget behov for repræsentation af interessenter i bestyrelsen.

(49)

Agenturet bør følge de relevante EU-bestemmelser om aktindsigt som fastlagt i Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 (14). De oplysninger, som agenturet behandler i forbindelse med sit interne arbejde, og de oplysninger, som det behandler under udførelsen af dets opgaver, bør være omfattet af Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (15).

(50)	Agenturet bør overholde de bestemmelser, der gælder for EU-institutionerne samt national lovgivning vedrørende behandling af følsomme dokumenter.

(51)

For at agenturet kan sikres fuld selvstændighed og uafhængighed og for at sætte det i stand til at udføre supplerende og nye opgaver, herunder uforudsete hasteopgaver, bør agenturet råde over et tilstrækkeligt og selvstændigt budget, hvortil indtægterne hovedsagelig kommer fra et bidrag fra Unionen og fra bidrag fra tredjelande, der deltager i agenturets arbejde. Størstedelen af agenturets ansatte bør være direkte involveret i den operationelle gennemførelse af agenturets mandat. Værtsmedlemsstaten og enhver anden medlemsstat bør kunne yde frivillige bidrag til agenturets indtægter. Unionens budgetprocedure bør finde anvendelse på ethvert bidrag, som kommer fra Den Europæiske Unions almindelige budget. Desuden bør revisionen af agenturets regnskaber forestås af Revisionsretten for at sikre gennemsigtighed og ansvarlighed.

(52)

I betragtning af det stadigt skiftende trusselsbillede og udviklingen af Unionens politik for net- og informationssikkerhed, og for at tilpasse sig til den flerårige finansielle ramme, bør agenturets mandatperiode fastsættes for en begrænset periode på syv år med mulighed for en forlængelse af perioden.

(53)

Der bør foretages en uafhængig evaluering af agenturets arbejde. Evalueringen bør tage stilling til, om agenturets mål opfyldes effektivt, om arbejdsmetoderne er effektive, og om dets opgaver er relevante, for at det kan afgøres, om målene stadig er gyldige, og på grundlag heraf, om agenturets mandat bør forlænges og i bekræftende fald for hvilken periode.

(54)	Såfremt Kommissionen hen imod udløbet af agenturets mandatperiode ikke har fremlagt et forslag til en forlængelse af mandatet, bør agenturet og Kommissionen træffe de relevante foranstaltninger, især om spørgsmål i forbindelse med ansættelseskontrakter og budget arrangementer.

(55)

Målet for denne forordning, nemlig at oprette Den Europæiske Unions Agentur for Net- og Informationssikkerhed med henblik på at bidrage til et højt net- og informationssikkerhedsniveau i Unionen og for at hæve oplysningsniveauet om informationssikkerhed og for at udvikle og fremme en net- og informationssikkerhedskultur i samfundet til gavn for borgerne, forbrugerne, virksomhederne og den offentlige sektors organisationer i Unionen og således bidrage til gennemførelsen af et velfungerende indre marked, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan derfor bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå dette mål.

(56)	Forordning (EF) nr. 460/2004 bør ophæves.

(57)	Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 28, stk. 2, i forordning (EF) nr. 45/2001 og vedtog sin udtalelse den 20. december 2010 (16) —

VEDTAGET DENNE FORORDNING:

AFSNIT 1

ANVENDELSESOMRÅDE, MÅL OG OPGAVER

Artikel 1

Genstand og anvendelsesområde

1.   Ved denne forordning oprettes Den Europæiske Unions Agentur for Net- og Informationssikkerhed (i det følgende benævnt »agenturet«), som skal udføre de opgaver, det tildeles med det formål at bidrage til et højt net- og informationssikkerhedsniveau i Unionen og for at hæve oplysningsniveauet om net- og informationssikkerhed og for at udvikle og fremme en net- og informationssikkerhedskultur i samfundet til gavn for borgerne, forbrugerne, virksomhederne og den offentlige sektors organisationer i Den Europæiske Union og således bidrage til gennemførelsen af et velfungerende indre marked.

2.   Agenturets mål og opgaver berører ikke medlemsstaternes beføjelser med hensyn til net- og informationssikkerhed og berører under ingen omstændigheder aktiviteter vedrørende offentlig sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske velfærd for så vidt angår aspekter, der vedrører statens sikkerhed) og statens aktiviteter på det strafferetlige område.

3.   I denne forordning forstås ved »net- og informationssikkerhed«: et nets eller et informationssystems evne til, på et givet tillidsniveau, at modstå uheld, ulovlige og ondsindede handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten og fortroligheden i forbindelse med data, der opbevares eller overføres, og de dermed forbundne tjenester, der tilbydes i eller er tilgængelige via disse net og systemer.

Artikel 2

Mål

1.   Agenturet skal udvikle og opretholde et højt ekspertiseniveau.

2.   Agenturet skal bistå Unionens institutioner, organer, kontorer og agenturer med at udarbejde de nødvendige politikker for net- og informationssikkerhed.

3.   Agenturet skal bistå Unionens institutioner, organer, kontorer og agenturer og medlemsstaterne med at gennemføre de politikker, der er nødvendige for at opfylde de retlige og reguleringsmæssige krav vedrørende net- og informationssikkerhed i henhold til eksisterende og fremtidige EU-retsakter og dermed bidrage til et velfungerende indre marked.

4.   Agenturet skal bistå Unionen og medlemsstaterne med at øge og styrke deres kapacitet og beredskab til at forebygge, opdage og imødegå net- og informationssikkerhedsproblemer og -hændelser.

5.   Agenturet skal bruge sin ekspertise til at fremme et bredt samarbejde mellem aktører fra både den offentlige og den private sektor.

Artikel 3

Opgaver

1.   Med det formål, der er fastsat i artikel, og for at nå de mål, der er fastsat i artikel 2, samt under overholdelse af artikel 1, stk. 2, skal agenturet udføre følgende opgaver:

a)

støtte udviklingen af Unionens politik og lovgivning ved at: i) bistå og rådgive i alle spørgsmål vedrørende Unionens politik og lovgivning om net- og informationssikkerhed ii) foretage forberedende arbejde, rådgivning og analyser vedrørende udviklingen og ajourføringen af Unionens politik og lovgivning om net- og informationssikkerhed iii) analysere offentligt tilgængelige net- og informationssikkerhedsstrategier og fremme offentliggørelse heraf

b)

støtte kapacitetsopbygningen ved at: i) støtte medlemsstaterne, på deres anmodning, i deres bestræbelser på at udvikle og forbedre forebyggelse, opdagelse og analyse af og kapaciteten til at imødegå net- og informationssikkerhedsproblemer og -hændelser, og give dem den nødvendige viden ii) fremme og lette frivilligt samarbejde mellem medlemsstaterne indbyrdes og mellem Unionens institutioner, organer, kontorer og agenturer og medlemsstaterne i deres bestræbelser på at forebygge, opdage og imødegå net- og informationssikkerhedsproblemer og -hændelser, når disse har en virkning på tværs af grænserne iii) bistå Unionens institutioner, organer, kontorer og agenturer i deres bestræbelser på at udvikle forebyggelse, opdagelse og analyse af og kapaciteten til at imødegå net- og informationssikkerhedsproblemer, navnlig ved at støtte driften af en it-beredskabsenhed (CERT) for dem iv) støtte en forøgelse af kapaciteten i nationale og statslige CERT'er og EU-CERT'en, herunder ved at fremme dialog og udveksling af oplysninger for at sikre, at hver CERT opfylder et fælles sæt af minimumskrav med hensyn til det aktuelle tekniske niveau og opererer i overensstemmelse med bedste praksis v) støtte tilrettelæggelsen og gennemførelsen af EU-øvelser vedrørende net- og informationssikkerhed og rådgive medlemsstaterne, efter deres anmodning, om nationale øvelser vi) bistå Unionens institutioner, organer, kontorer og agenturer og medlemsstaterne i deres bestræbelser på at indsamle, analysere og i overensstemmelse med medlemsstaternes sikkerhedskrav formidle oplysninger om net- og informationssikkerhed; og på grundlag af de oplysninger, som fremsendes af Unionens institutioner, organer, kontorer og agenturer og af medlemsstaterne i overensstemmelse med bestemmelser i EU-retten og nationale bestemmelser under overholdelse af EU-retten, holde Unionens institutioner, organer, kontorer og agenturer og medlemsstaterne ajour med den seneste udvikling i net- og informationssikkerhedssituationen i Unionen til gavn for dem vii) støtte udviklingen af en EU-mekanisme for tidlig varsling, der kan supplere medlemsstaternes mekanismer viii) tilbyde uddannelse inden for net- og informationssikkerhed til relevante offentlige organer, eventuelt i samarbejde med interessenter

c)

støtte frivilligt samarbejde mellem de kompetente offentlige organer og mellem interessenter, herunder universiteter og forskningscentre i Unionen, og støtte bevidstgørelse ved bl.a. at: i) fremme samarbejdet mellem nationale og statslige CERT'er eller enheder, der håndterer it-sikkerhedshændelser (CSIRT'er), herunder CERT'en for Unionens institutioner, organer, kontorer og agenturer ii) fremme udvikling og udveksling af bedste praksis med henblik på at nå et højt net- og informationssikkerhedsniveau iii) lette dialogen og bestræbelserne på at udvikle og udveksle bedste praksis iv) fremme bedste praksis inden for udveksling af oplysninger og bevidstgørelse v) støtte Unionens institutioner, organer, kontorer og agenturer og, efter deres anmodning, medlemsstaterne og deres relevante organer med at arrangere bevidstgørelsesaktiviteter, herunder på enkeltbrugerniveau, og andre opsøgende aktiviteter for at øge net- og informationssikkerheden og dens synlighed ved at udarbejde bedste praksis og retningslinjer

d)

støtte forskning og udvikling samt standardisering ved at: i) lette etableringen og indførelsen af europæiske og internationale standarder for risikostyring og for sikkerhed i elektroniske produkter, net og tjenesteydelser ii) rådgive Unionen og medlemsstaterne om forskningsbehov på området net- og informationssikkerhed med henblik på at gøre det muligt effektivt at imødegå nuværende og kommende net- og informationssikkerhedsrisici og -trusler, herunder hvad angår nye og kommende informations- og kommunikationsteknologier, og effektivt bruge teknologier til risikoforebyggelse

e)

samarbejde med Unionens institutioner, organer, kontorer og agenturer, herunder dem, der beskæftiger sig med internetkriminalitet og beskyttelse af privatlivets fred og personoplysninger, med henblik på at behandle spørgsmål af fælles interesse, ved bl.a. at: i) udveksle viden og bedste praksis ii) yde rådgivning om relevante net- og informationssikkerhedsaspekter for at udvikle synergier

f)

bidrage til Unionens indsats for at samarbejde med tredjelande og internationale organisationer for at fremme internationalt samarbejde om net- og informationssikkerhedsforhold, herunder ved at: i) deltage, hvor det er relevant, som observatør og i tilrettelæggelsen af internationale øvelser, og analysere og rapportere om resultatet af sådanne øvelser ii) lette udvekslingen af bedste praksis mellem relevante organisationer iii) yde ekspertise til EU-institutioner.

2.   Unionens institutioner, organer, kontorer og agenturer og medlemsstaternes organer kan anmode om rådgivning fra agenturet i tilfælde af brud på sikkerheden eller tab af integritet, der har en betydelig indvirkning på driften af net og tjenester.

3.   Agenturet udfører opgaver, som det pålægges ved EU-retsakter.

4.   Agenturet fremsætter uafhængigt sine egne konklusioner, retningslinjer og udtalelser i forbindelse med spørgsmål, der ligger inden for denne forordnings anvendelsesområde og mål.

AFSNIT 2

ORGANISATION

Artikel 4

Agenturets sammensætning

1.   Agenturet består af:

a)	en bestyrelse

b)	en administrerende direktør, personale, samt

c)	en stående gruppe af interessenter.

2.   Med henblik på at øge effektiviteten af agenturets drift nedsætter bestyrelsen et forretningsudvalg.

Artikel 5

Bestyrelsen

1.   Bestyrelsen fastlægger de overordnede retningslinjer for agenturets drift og sikrer, at agenturet udfører sine opgaver i overensstemmelse med de regler og principper, der fastlægges i denne forordning. Den sikrer endvidere, at der er sammenhæng mellem agenturets arbejde og aktiviteter, der udføres af medlemsstaterne og på EU-plan.

2.   Bestyrelsen vedtager agenturets årlige arbejdsprogram og det flerårige arbejdsprogram.

3.   Bestyrelsen vedtager en årsberetning om agenturets virksomhed og sender den senest den 1. juli i det følgende år til Europa-Parlamentet, Rådet, Kommissionen og Revisionsretten. Årsberetningen skal indeholde regnskaberne og beskrive, i hvilket omfang agenturet har opfyldt sine præstationsindikatorer. Årsberetningen offentliggøres.

4.   Bestyrelsen vedtager en strategi til bekæmpelse af svig, der skal stå i forhold til risikoen for svig under hensyntagen til en cost-benefit analyse af de påtænkte foranstaltninger.

5.   Bestyrelsen sikrer en behørig opfølgning af resultaterne og henstillingerne fra undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF), og de forskellige interne og eksterne revisionsberetninger og evalueringer.

6.   Bestyrelsen vedtager regler for forebyggelse og håndtering af interessekonflikter.

7.   Bestyrelsen udøver over for agenturets ansatte de beføjelser, som vedtægten for tjenestemænd og ansættelsesvilkårene for øvrige ansatte i Den Europæiske Union (»vedtægten for tjenestemænd« og »ansættelsesvilkårene for øvrige ansatte«), som fastlagt i forordning (EØF, Euratom, EKSF) nr. 259/68 (17), tillægger henholdsvis ansættelsesmyndigheden og den myndighed, der er beføjet til at indgå ansættelseskontrakter.

Bestyrelsen vedtager i overensstemmelse med artikel 110 i vedtægten for tjenestemænd en afgørelse baseret på artikel 2, stk. 1, i vedtægten for tjenestemænd og artikel 6 i ansættelsesvilkårene for øvrige ansatte, der tillægger den administrerende direktør de relevante ansættelsesmyndighedsbeføjelser. Den administrerende direktør kan uddelegere disse beføjelser.

Under helt særlige omstændigheder kan bestyrelsen tilbagekalde delegationen af ansættelsesmyndighedens beføjelser til den administrerende direktør og de beføjelser, denne måtte have uddelegeret. I sådanne tilfælde kan bestyrelsen for en begrænset periode uddelegere dem til et af sine medlemmer eller til en anden medarbejder end den administrerende direktør.

8.   Bestyrelsen vedtager regler for anvendelsen af vedtægten for tjenestemænd og ansættelsesvilkårene for øvrige ansatte i overensstemmelse med artikel 110 i vedtægten for tjenestemænd.

9.   Bestyrelsen udnævner den administrerende direktør og kan forlænge dennes mandatperiode eller afskedige vedkommende i overensstemmelse med artikel 24 i denne forordning.

10.   Bestyrelsen fastsætter sin og forretningsudvalgets forretningsorden efter høring af Kommissionen. Forretningsordenen skal give mulighed for at fremskynde beslutningstagningen, enten ved en skriftlig procedure eller afholdelse af fjernmøder.

11.   Bestyrelsen vedtager agenturets interne forretningsgange efter høring af Kommissionen. Disse forretningsgange offentliggøres.

12.   Bestyrelsen vedtager de finansielle bestemmelser for agenturet. De må ikke afvige fra Kommissionens forordning (EF, Euratom) nr. 2343/2002 af 19. november 2002 om rammefinansforordningen for de organer, der er omhandlet i artikel 185 i Rådets forordning (EF, Euratom) nr. 1605/2002 om finansforordningen vedrørende De Europæiske Fællesskabers almindelige budget (18), medmindre dette er strengt nødvendigt af hensyn til agenturets drift, og Kommissionen forudgående har givet sit samtykke.

13.   Bestyrelsen vedtager en flerårig plan for personalepolitikken efter at have hørt Kommissionens tjenestegrene og underrettet Europa-Parlamentet og Rådet.

Artikel 6

Bestyrelsens sammensætning

1.   Bestyrelsen består af en repræsentant for hver medlemsstat og to repræsentanter, der udnævnes af Kommissionen. Alle repræsentanter har stemmeret.

2.   Hvert medlem af bestyrelsen skal have en suppleant, der repræsenterer medlemmet, når det ikke er til stede.

3.   Medlemmer af bestyrelsen og deres suppleanter udpeges på baggrund af deres kendskab til agenturets opgaver og mål under hensyntagen til ledelsesmæssige, administrative og budgetmæssige kompetencer, der er relevante for at udføre de opgaver, der er nævnt i artikel 5. Kommissionen og medlemsstaterne bør bestræbe sig på at begrænse udskiftningen af deres repræsentanter i bestyrelsen med henblik på at sikre kontinuiteten i bestyrelsens arbejde. Kommissionen og medlemsstaterne tilstræber at opnå en ligelig repræsentation af mænd og kvinder i bestyrelsen.

4.   Mandatperioden for medlemmer af bestyrelsen og deres suppleanter er fire år. Perioden kan forlænges.

Artikel 7

Bestyrelsens formand

1.   Bestyrelsen vælger blandt sine medlemmer en formand og en næstformand for en periode på tre år, der kan fornyes. Næstformanden træder uden videre i stedet for formanden, hvis denne er forhindret i at udøve sit hverv.

2.   Formanden kan indbydes til at give en redegørelse over for Europa-Parlamentets relevante udvalg og besvare spørgsmål fra medlemmerne.

Artikel 8

Møder

1.   Formanden indkalder til bestyrelsesmøder.

2.   Bestyrelsen afholder ordinært møde mindst én gang om året. Den afholder endvidere ekstraordinære møder efter anmodning fra formanden eller mindst en tredjedel af medlemmerne.

3.   Den administrerende direktør deltager uden stemmeret i bestyrelsens møder.

Artikel 9

Afstemning

1.   Bestyrelsen træffer afgørelse med absolut flertal blandt sine medlemmer.

2.   Der kræves et flertal på to tredjedele af bestyrelsens medlemmer for at vedtage bestyrelsens forretningsorden og agenturets interne forretningsgange, budgettet og det årlige og flerårige arbejdsprogram, for at udnævne og afskedige den administrerende direktør eller forlænge dennes mandatperiode og for at udpege formanden for bestyrelsen.

Artikel 10

Forretningsudvalget

1.   Bestyrelsen bistås af et forretningsudvalg.

2.   Forretningsudvalget forbereder udelukkende afgørelser om administrative og budgetmæssige spørgsmål, der skal vedtages af bestyrelsen.

I samarbejde med bestyrelsen sikrer forretningsudvalget passende opfølgning på de resultater og henstillinger, der stammer fra undersøgelser foretaget af OLAF og fra forskellige interne eller eksterne audit- og evalueringsrapporter.

Uden at det berører den administrerende direktørs ansvar, jf. artikel 11, bistår forretningsudvalget den administrerende direktør i gennemførelsen af bestyrelsens afgørelser vedrørende administrative og budgetmæssige spørgsmål.

3.   Forretningsudvalget består af fem medlemmer, der udpeges blandt medlemmerne af bestyrelsen, heriblandt formanden for bestyrelsen, der også kan være formand for forretningsudvalget, og en af repræsentanterne for Kommissionen.

4.   Mandatperioden for medlemmerne af forretningsudvalget er den samme som den i artikel 6, stk. 4, fastsatte for medlemmerne af bestyrelsen.

5.   Forretningsudvalget mødes mindst én gang hver tredje måned. Formanden for forretningsudvalget indkalder til yderligere møder efter anmodning fra udvalgets medlemmer.

Artikel 11

Den administrerende direktørs opgaver

1.   Agenturet ledes af den administrerende direktør, som varetager sit hverv i uafhængighed.

2.   Den administrerende direktør er ansvarlig for:

a)	den daglige ledelse af agenturet

b)	gennemførelse af de beslutninger, der træffes af bestyrelsen

c)	udarbejdelse, efter samråd med bestyrelsen, af det årlige arbejdsprogram og det flerårige arbejdsprogram og forelæggelse heraf for bestyrelsen efter høring af Kommissionen

d)	gennemførelse af det årlige arbejdsprogram og det flerårige arbejdsprogram og aflæggelse af rapport til bestyrelsen om gennemførelsen heraf

e)	udarbejdelse af årsberetningen om agenturets virksomhed og forelæggelse heraf for bestyrelsen til godkendelse

f)	udarbejdelse af en handlingsplan til opfølgning af konklusionerne fra efterfølgende evalueringer og aflæggelse af en statusrapport til Kommissionen hvert andet år

g)

beskyttelse af Unionens finansielle interesser gennem forholdsregler til forebyggelse af svig, korruption og enhver anden ulovlig aktivitet, gennem effektiv kontrol og, hvis der konstateres uregelmæssigheder, gennem inddrivelse af uretmæssigt udbetalte beløb, og om nødvendigt gennem administrative og finansielle sanktioner, der er effektive og forholdsmæssige og har en afskrækkende virkning

h)	udarbejdelse af agenturets strategi for bekæmpelse af svig og forelæggelse heraf for bestyrelsen til godkendelse

i)	sikring af, at agenturet gennemfører sine aktiviteter i overensstemmelse med brugernes krav, navnlig med hensyn til ydelsernes tilstrækkelighed

j)	etablering og opretholdelse af forbindelser med Unionens institutioner, organer, kontorer og agenturer

k)	etablering og opretholdelse af kontakt med erhvervslivet og forbrugerorganisationer med henblik på at sikre en løbende dialog med de relevante interessenter

l)	andre opgaver, som den administrerende direktør pålægges ved denne forordning.

3.   Er det nødvendigt og i overensstemmelse med agenturets formål og opgaver, kan den administrerende direktør nedsætte ad hoc-arbejdsgrupper bestående af eksperter, bl.a. fra medlemsstaternes kompetente myndigheder. Bestyrelsen underrettes på forhånd herom. Procedurerne vedrørende især sammensætning, den administrerende direktørs udnævnelse af eksperterne og ad hoc-arbejdsgruppernes virke fastsættes i agenturets interne forretningsgange.

4.   Den administrerende direktør stiller administrativt personale og andre ressourcer til rådighed for bestyrelsen og forretningsudvalget, hvor det er nødvendigt.

Artikel 12

Den stående gruppe af interessenter

1.   På forslag af den administrerende direktør nedsætter bestyrelsen en stående gruppe af interessenter bestående af anerkendte eksperter, der repræsenterer de relevante interessenter såsom ikt-industrien, udbydere af elektroniske kommunikationsnet og -tjenester til offentligheden, forbrugergrupper, akademiske eksperter i net- og informationssikkerhed og repræsentanter for de nationale tilsynsmyndigheder, der er givet meddelelse om i henhold til direktiv 2002/21/EF, samt myndigheder med ansvar for retshåndhævelse og beskyttelse af privatlivets fred.

2.   Procedurerne vedrørende især antal og sammensætning samt bestyrelsens udnævnelse af medlemmerne af den stående gruppe af interessenter, den administrerende direktørs forslag samt arbejdsgangen i gruppen fastlægges i agenturets interne forretningsgange og offentliggøres.

3.   Den stående gruppe af interessenter ledes af den administrerende direktør eller af en person udpeget af den administrerende direktør på enkeltsagsbasis.

4.   Mandatperioden for medlemmerne af den stående gruppe af interessenter er to et halvt år. Medlemmer af bestyrelsen kan ikke være medlemmer af den stående gruppe af interessenter. Eksperter fra Kommissionen og medlemsstaterne har ret til at være til stede på møderne og deltage i arbejdet i den stående gruppe af interessenter. Repræsentanter for andre organer, som den administrerende direktør skønner er relevante, og som ikke er medlemmer af den stående gruppe af interessenter, kan indbydes til at være til stede på møderne og deltage i arbejdet i den stående gruppe af interessenter.

5.   Den stående gruppe af interessenter rådgiver agenturet med hensyn til udførelsen af dets aktiviteter. Den rådgiver navnlig den administrerende direktør om udarbejdelsen af forslag til agenturets arbejdsprogram samt om varetagelse af kommunikation med de relevante interessenter om alle spørgsmål, der vedrører arbejdsprogrammet.

AFSNIT 3

DRIFT

Artikel 13

Arbejdsprogram

1.   Agenturet udfører sine aktiviteter i overensstemmelse med det årlige og det flerårige arbejdsprogram, der skal indeholde alle planlagte aktiviteter.

2.   Arbejdsprogrammet skal indeholde skræddersyede præstationsindikatorer, der muliggør en effektiv evaluering af de resultater, der opnås i forhold til målene.

3.   Den administrerende direktør er ansvarlig for udarbejdelsen af agenturets arbejdsprogram efter forudgående samråd med Kommissionens tjenestegrene. Senest den 15. marts hvert år forelægger den administrerende direktør et udkast til det følgende års arbejdsprogram for bestyrelsen.

4.   Senest den 30. november hvert år vedtager bestyrelsen efter at have modtaget Kommissionens udtalelse agenturets arbejdsprogram for det følgende år. Arbejdsprogrammet skal omfatte et flerårigt perspektiv. Bestyrelsen sikrer, at arbejdsprogrammet er i overensstemmelse med agenturets formål og med Unionens lovgivningsmæssige og politiske prioriteter på området net- og informationssikkerhed.

5.   Arbejdsprogrammet tilrettelægges i overensstemmelse med princippet om aktivitetsbaseret forvaltning. Det skal være i overensstemmelse med overslaget over agenturets indtægter og udgifter og agenturets budget for samme regnskabsår.

6.   Den administrerende direktør fremsender efter bestyrelsens vedtagelse arbejdsprogrammet til Europa-Parlamentet, Rådet, Kommissionen og medlemsstaterne og offentliggør det. Efter indbydelse fra Europa-Parlamentets relevante udvalg skal den administrerende direktør forelægge og drøfte det vedtagne årlige arbejdsprogram.

Artikel 14

Anmodninger til agenturet

1.   Anmodninger om rådgivning og bistand, der ligger inden for agenturets formål og opgaver, rettes til den administrerende direktør og ledsages af baggrundsoplysninger om det emne, der skal behandles. Den administrerende direktør underretter bestyrelsen og forretningsudvalget om de modtagne anmodninger, de potentielle ressourcemæssige konsekvenser og efterfølgende om, hvordan der er fulgt op på anmodningerne. Afviser agenturet en anmodning, skal det begrunde afvisningen.

2.   Anmodninger i henhold til stk. 1 kan fremsættes af:

a)	Europa-Parlamentet

b)

Rådet

c)	Kommissionen

d)	ethvert kompetent organ udpeget af en medlemsstat såsom en national tilsynsmyndighed som defineret i artikel 2 i direktiv 2002/21/EF.

3.   Bestemmelser for anvendelsen af stk. 1 og 2 i praksis vedrørende navnlig forelæggelse, prioritering og opfølgning af anmodninger til agenturet samt orientering af bestyrelsen og forretningsudvalget fastsættes af bestyrelsen i agenturets interne forretningsgange.

Artikel 15

Interesseerklæring

1.   Medlemmerne af bestyrelsen, den administrerende direktør samt embedsmænd, der midlertidigt er stillet til rådighed af medlemsstaterne, afgiver hver især en loyalitetserklæring og en erklæring, hvori de anfører, hvorvidt der foreligger direkte eller indirekte interesser, der kan anses for at berøre deres uafhængighed. Erklæringerne skal være præcise og fuldstændige og afgives skriftligt hvert år og ajourføres, når det er nødvendigt.

2.   Medlemmerne af bestyrelsen, den administrerende direktør og eksterne eksperter, der deltager i ad hoc-arbejdsgrupper, skal hver især på præcis og fyldestgørende vis senest på hvert møde gøre opmærksom på eventuelle interesser, som kan anses for at berøre deres uafhængighed med hensyn til de punkter, der er på dagsordenen, og skal afholde sig fra at deltage i drøftelserne af og afstemningen om de pågældende punkter.

3.   Agenturet fastsætter i sine interne forretningsgange bestemmelser om, hvordan de i stk. 1 og 2 omhandlede regler om interesseerklæringer gennemføres i praksis.

Artikel 16

Åbenhed

1.   Agenturet gennemfører sine aktiviteter med en høj grad af åbenhed og i overensstemmelse med artikel 17 og 18.

2.   Agenturet sikrer, at offentligheden og eventuelle interesserede parter får passende, objektive, pålidelige og let tilgængelige oplysninger, især vedrørende resultaterne af dets arbejde. Det offentliggør også interesseerklæringer afgivet i overensstemmelse med artikel 15.

3.   Bestyrelsen kan på forslag af den administrerende direktør give interesserede parter tilladelse til at følge procedurerne i forbindelse med nogle af agenturets aktiviteter.

4.   Agenturet fastsætter i sine interne forretningsgange bestemmelser om, hvordan de i stk. 1 og 2 omhandlede regler om åbenhed gennemføres i praksis.

Artikel 17

Fortrolighed

1.   Med forbehold af artikel 18 må agenturet ikke til tredjemand videregive oplysninger, som det behandler eller modtager, og for hvilke der foreligger en begrundet begæring om, at de holdes helt eller delvist fortrolige.

2.   Medlemmerne af bestyrelsen, den administrerende direktør, medlemmerne af den stående gruppe af interessenter, eksterne eksperter, der deltager i ad hoc-arbejdsgrupperne, samt agenturets personale, herunder embedsmænd, der midlertidigt er stillet til rådighed af medlemsstaterne, skal, selv efter at deres hverv er ophørt, overholde forpligtelsen til fortrolighed som fastsat i artikel 339 i traktaten om Den Europæiske Unions funktionsmåde (TEUF).

3.   Agenturet fastsætter i sine interne forretningsgange bestemmelser om, hvordan de i stk. 1 og 2 omhandlede regler om fortrolighed gennemføres i praksis.

4.   Bestyrelse beslutter, såfremt det er nødvendigt for udførelsen af agenturets opgaver, at tillade agenturet at behandle klassificerede oplysninger. I så fald vedtager bestyrelsen efter aftale med Kommissionens tjenestegrene interne forretningsgange baseret på sikkerhedsprincipperne i Kommissionens afgørelse 2001/844/EF, EKSF, Euratom af 29. november 2001 om ændring af dens forretningsorden (19). Disse forretningsgange skal blandt andet indeholde bestemmelser om udveksling, behandling og opbevaring af klassificerede oplysninger.

Artikel 18

Aktindsigt

1.   Forordning (EF) nr. 1049/2001 finder anvendelse på agenturets dokumenter.

2.   Bestyrelsen vedtager de praktiske gennemførelsesbestemmelser til forordning (EF) nr. 1049/2001 senest seks måneder efter, at agenturet er oprettet.

3.   De beslutninger, som agenturet træffer efter artikel 8 i forordning (EF) nr. 1049/2001, kan gøres til genstand for en klage til ombudsmanden i henhold til artikel 228 i TEUF eller en klage indbragt for Den Europæiske Unions Domstol i henhold til artikel 263 i TEUF.

AFSNIT 4

FINANSIELLE BESTEMMELSER

Artikel 19

Vedtagelse af budgettet

1.   Agenturets indtægter består af et bidrag fra Unionens budget, bidrag fra tredjelande, der deltager i agenturets arbejde i henhold til artikel 30, og frivillige bidrag fra medlemsstaterne i form af pengebeløb eller naturalier. Medlemsstater, der yder frivillige bidrag, kan ikke påberåbe sig nogen specifikke rettigheder eller tjenester som et resultat heraf.

2.   Agenturets udgifter omfatter udgifter til personale, administrativ og teknisk bistand, infrastruktur og driftsudgifter, samt udgifter som følge af kontrakter, der er indgået med tredjemand.

3.   Senest den 1. marts hvert år udarbejder den administrerende direktør et udkast til overslag over agenturets indtægter og udgifter for det følgende regnskabsår og forelægger det for bestyrelsen, ledsaget af et udkast til stillingsfortegnelse.

4.   Indtægter og udgifter skal balancere.

5.   Hvert år vedtager bestyrelsen på grundlag af udkastet til overslag over indtægter og udgifter fra den administrerende direktør et overslag over agenturets indtægter og udgifter for det kommende regnskabsår.

6.   Bestyrelsen fremsender senest den 31. marts hvert år dette overslag, der indeholder et udkast til stillingsfortegnelse og et udkast til arbejdsprogram, til Kommissionen og de tredjelande, som Unionen har indgået aftaler med i overensstemmelse med artikel 30.

7.   Kommissionen sender overslaget til Europa-Parlamentet og Rådet sammen med forslaget til Unionens almindelige budget.

8.   På grundlag af dette overslag opfører Kommissionen i forslaget til Unionens budget de overslag, den skønner nødvendige for stillingsfortegnelsen, og de tilskud, der ydes over det almindelige budget, og fremsender forslaget til Europa-Parlamentet og Rådet i overensstemmelse med artikel 314 i TEUF.

9.   Europa-Parlamentet og Rådet godkender bevillingerne til tilskuddet til agenturet.

10.   Europa-Parlamentet og Rådet vedtager agenturets stillingsfortegnelse.

11.   Bestyrelsen vedtager agenturets budget sammen med arbejdsprogrammet. Budgettet bliver endeligt efter den endelige vedtagelse af Unionens almindelige budget. Om nødvendigt afpasser bestyrelsen agenturets budget og dets arbejdsprogram i overensstemmelse med Unionens almindelige budget. Bestyrelsen sender straks budgettet til Europa-Parlamentet, Rådet og Kommissionen.

Artikel 20

Bekæmpelse af svig

1.   For at lette bekæmpelsen af svig, korruption og andre retsstridige handlinger i henhold til forordning (EF) nr. 1073/1999 (20) tiltræder agenturet, senest seks måneder fra den dag, det bliver operationelt, den interinstitutionelle aftale af 25. maj 1999 om de interne undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) (21), og vedtager de nødvendige bestemmelser, som skal finde anvendelse på agenturets medarbejdere, ved anvendelse af den model, der findes i bilaget til nævnte aftale.

2.   Revisionsretten har beføjelse til gennem bilagskontrol og kontrol på stedet at kontrollere alle tilskudsmodtagere, kontrahenter og underkontrahenter, som har modtaget EU-midler fra agenturet.

3.   OLAF kan efter bestemmelserne og procedurerne i forordning (EF) nr. 1073/1999 og Rådets forordning (Euratom, EF) nr. 2185/96 af 11. november 1996 om Kommissionens kontrol og inspektion på stedet med henblik på beskyttelse af De Europæiske Fællesskabers finansielle interesser mod svig og andre uregelmæssigheder (22) foretage undersøgelser, herunder kontrol og inspektion på stedet, med henblik på at fastslå, om der er begået svig, korruption eller andre ulovlige aktiviteter, der berører Unionens finansielle interesser, i forbindelse med tilskud eller en kontrakt, der er finansieret af agenturet.

4.   Med forbehold af stk. 1, 2 og 3 skal samarbejdsaftaler med tredjelande og med internationale organisationer, kontrakter, aftaler om tilskud og afgørelser om ydelse af tilskud indeholde bestemmelser, der udtrykkeligt giver Revisionsretten og OLAF beføjelse til at foretage denne kontrol og undersøgelse i overensstemmelse med deres respektive beføjelser.

Artikel 21

Gennemførelse af budgettet

1.   Den administrerende direktør er ansvarlig for gennemførelsen af agenturets budget.

2.   Kommissionens interne revisor varetager i forhold til agenturet de samme funktioner, som er tildelt denne i forhold til Kommissionens tjenestegrene.

3.   Senest den 1. marts efter hvert afsluttet regnskabsår (1. marts år N + 1) sender agenturets regnskabsfører det foreløbige årsregnskab ledsaget af en beretning om budgetforvaltningen og den økonomiske forvaltning i regnskabsåret til Kommissionens regnskabsfører. Kommissionens regnskabsfører konsoliderer de foreløbige årsregnskaber for institutionerne og de decentraliserede organer i overensstemmelse med artikel 147 i finansforordningen.

4.   Senest den 31. marts år N + 1 sender Kommissionens regnskabsfører agenturets foreløbige årsregnskab ledsaget af beretningen om budgetforvaltningen og den økonomiske forvaltning i regnskabsåret til Revisionsretten. Beretningen om budgetforvaltningen og den økonomiske forvaltning fremsendes ligeledes til Europa-Parlamentet og Rådet.

5.   Ved modtagelsen af Revisionsrettens bemærkninger om agenturets foreløbige årsregnskab opstiller den administrerende direktør, i henhold til artikel 148 i finansforordningen, på eget ansvar agenturets endelige årsregnskab og sender det til bestyrelsen med henblik på udtalelse.

6.   Bestyrelsen afgiver udtalelse om agenturets endelige årsregnskab.

7.   Den administrerende direktør sender senest den 1. juli år N + 1 det endelige årsregnskab, herunder beretningen om budgetforvaltningen og den økonomiske forvaltning og Revisionsrettens bemærkninger, ledsaget af bestyrelsens udtalelse til Europa-Parlamentet, Rådet, Kommissionen og Revisionsretten.

8.   Den administrerende direktør offentliggør det endelige årsregnskab.

9.   Den administrerende direktør sender senest den 30. september år N + 1 Revisionsretten et svar på rettens bemærkninger og sender ligeledes en kopi af svaret til bestyrelsen.

10.   Den administrerende direktør forelægger alle de oplysninger, der er nødvendige for, at dechargeproceduren for det pågældende regnskabsår kan forløbe tilfredsstillende, for Europa-Parlamentet på dettes anmodning, jf. artikel 165, stk. 3, i finansforordningen.

11.   Efter henstilling fra Rådet meddeler Europa-Parlamentet inden den 15. maj i år N + 2 den administrerende direktør decharge for gennemførelsen af budgettet for regnskabsåret N.

AFSNIT 5

PERSONALE

Artikel 22

Generelle bestemmelser

Vedtægten for tjenestemænd og ansættelsesvilkårene for øvrige ansatte og de regler, som EU-institutionerne i fællesskab har vedtaget for anvendelsen af denne vedtægt og disse ansættelsesvilkår, gælder for agenturets personale.

Artikel 23

Privilegier og immuniteter

Protokol nr. 7 vedrørende Den Europæiske Unions privilegier og immuniteter, der er vedhæftet som bilag til traktaten om Den Europæiske Union og til TEUF, gælder for agenturet og dets personale.

Artikel 24

Den administrerende direktør

1.   Den administrerende direktør ansættes i en stilling som midlertidigt ansat ved agenturet i henhold til artikel 2, litra a), i ansættelsesvilkårene for øvrige ansatte.

2.   Den administrerende direktør udnævnes af bestyrelsen på grundlag af en liste over kandidater, som Kommissionen foreslår, efter en åben og gennemsigtig udvælgelsesprocedure.

Med henblik på indgåelsen af kontrakten med den administrerende direktør repræsenteres agenturet af formanden for bestyrelsen.

Før udnævnelsen indbydes den ansøger, bestyrelsen har valgt, til at afgive en redegørelse for Europa-Parlamentets relevante udvalg og besvare spørgsmål fra medlemmerne.

3.   Den administrerende direktørs mandatperiode er fem år. Ved udgangen af denne periode foretager Kommissionen en vurdering, der tager evalueringen af den administrerende direktørs resultater og agenturets fremtidige opgaver og udfordringer i betragtning.

4.   Bestyrelsen kan efter indstilling fra Kommissionen, der tager hensyn til den i stk. 3 omhandlede vurdering, og efter at have indhentet Europa-Parlamentets synspunkter forlænge den administrerende direktørs mandatperiode med højst fem år.

5.   Bestyrelsen underretter Europa-Parlamentet, hvis den har til hensigt at forlænge den administrerende direktørs mandatperiode. Inden for tre måneder inden forlængelsen af mandatperioden afgiver den administrerende direktør, såfremt denne indbydes hertil, en redegørelse for Europa-Parlamentets relevante udvalg og besvarer spørgsmål.

6.   En administrerende direktør, hvis mandatperiode er blevet forlænget, kan ikke deltage i endnu en udvælgelsesprocedure til den samme stilling.

7.   Den administrerende direktør kan kun afskediges i henhold til en afgørelse truffet af bestyrelsen.

Artikel 25

Udstationerede nationale eksperter og andet personale

1.   Agenturet kan gøre brug af udstationerede nationale eksperter og andet personale, der ikke er ansat af agenturet. Vedtægten for tjenestemænd og ansættelsesvilkårene for øvrige ansatte gælder ikke for sådanne ansatte.

2.   Bestyrelsen vedtager en afgørelse, der fastlægger regler for udstationering af nationale eksperter til agenturet.

AFSNIT 6

GENERELLE BESTEMMELSER

Artikel 26

Retlig status

1.   Agenturet er et EU-organ. Det har status som juridisk person.

2.   Agenturet har i hver medlemsstat den videstgående rets- og handleevne, som vedkommende stats lovgivning tillægger juridiske personer. Det kan i særdeleshed erhverve og afhænde fast ejendom og løsøre og optræde som part i retssager.

3.   Agenturet repræsenteres af sin administrerende direktør.

4.   For at forbedre agenturets operationelle effektivitet opretholdes der et filialkontor, som er etableret i Athens storbyområde.

Artikel 27

Erstatningsansvar

1.   Agenturets ansvar i kontraktforhold bestemmes efter den lovgivning, der finder anvendelse på den pågældende kontrakt.

Den Europæiske Unions Domstol har kompetence til at træffe afgørelse i henhold til en voldgiftsbestemmelse i en kontrakt, som agenturet har indgået.

2.   For så vidt angår ansvar uden for kontraktforhold, skal agenturet i overensstemmelse med de almindelige retsgrundsætninger, der er fælles for medlemsstaternes retssystemer, erstatte skader, der er forvoldt af agenturet eller af dets ansatte under udøvelsen af deres hverv.

Den Europæiske Unions Domstol har kompetence til at træffe afgørelse i tvister vedrørende sådanne skadeserstatninger.

3.   De ansattes personlige ansvar over for agenturet fastsættes i de ansættelsesvilkår, der gælder for agenturets personale.

Artikel 28

Sprog

1.   Forordning nr. 1 af 15. april 1958 om den ordning, der gælder for Det Europæiske Økonomiske Fællesskab på det sproglige område (23), gælder for agenturet. Medlemsstaterne og andre organer, der er udpeget af dem, kan henvende sig til agenturet og modtage svar på det af EU-institutionernes officielle sprog, de ønsker.

2.   De oversættelsesopgaver, der er påkrævet i forbindelse med agenturets virksomhed, udføres af Oversættelsescentret for Den Europæiske Unions Organer.

Artikel 29

Beskyttelse af personoplysninger

1.   For så vidt angår agenturets behandling af oplysninger vedrørende enkeltpersoner skal agenturet, navnlig når det udfører sine opgaver, overholde principperne om beskyttelse af personoplysninger og være underlagt bestemmelserne i forordning (EF) nr. 45/2001.

2.   Bestyrelsen vedtager gennemførelsesbestemmelser, som omhandlet i artikel 24, stk. 8, i forordning (EF) nr. 45/2001. Bestyrelsen kan vedtage supplerende foranstaltninger, der er nødvendige med henblik på agenturets anvendelse af forordning (EF) nr. 45/2001.

Artikel 30

Tredjelandes deltagelse

1.   Tredjelande, som har indgået aftaler med Den Europæiske Union, der indebærer, at de har indført og anvender EU-retsakter på de områder, der omfattes af denne forordning, kan deltage i agenturet.

2.   I de relevante bestemmelser i sådanne aftaler fastsættes de nærmere bestemmelser om bl.a. karakteren, omfanget og udformningen af disse landes deltagelse i agenturets arbejde, herunder bestemmelser om deltagelse i initiativer, der iværksættes af agenturet, samt med hensyn til finansielle bidrag og personale.

Artikel 31

Sikkerhedsregler for beskyttelse af klassificerede oplysninger

Agenturet anvender de sikkerhedsprincipper, der er indeholdt i Kommissionens sikkerhedsforskrifter til beskyttelse af EU-klassificerede oplysninger (EUCI) og følsomme ikke-klassificerede oplysninger, som fastsat i bilaget til afgørelse 2001/844/EF, EKSF, Euratom. Dette omfatter blandt andet bestemmelser om udveksling, behandling og opbevaring af sådanne oplysninger.

AFSNIT 7

AFSLUTTENDE BESTEMMELSER

Artikel 32

Evaluering og revision

1.   Senest den 20. juni 2018 bestiller Kommissionen en evaluering for navnlig at vurdere virkningen, effektiviteten og produktiviteten af agenturets arbejde og dets arbejdsmetoder. Der skal ved evalueringen endvidere tages stilling til et eventuelt behov for at ændre agenturets mandat og de finansielle virkninger af en sådan ændring.

2.   Evalueringen i stk. 1 skal tage hensyn til enhver tilbagemelding til agenturet som reaktion på dets aktiviteter.

3.   Kommissionen sender evalueringsrapporten og dens konklusioner til Europa-Parlamentet, Rådet og bestyrelsen. Resultaterne af evalueringen offentliggøres.

4.   Som en del af evalueringen skal der desuden foretages en vurdering af de resultater, som agenturet har opnået, set i lyset af dets formål, mandat og opgaver. Såfremt Kommissionen finder, at videreførelse af agenturet er begrundet under hensyntagen til dets mål, mandat og opgaver, kan den foreslå, at agenturets mandatperiode i henhold til artikel 36 forlænges.

Artikel 33

Værtsmedlemsstatens samarbejde

Agenturets værtsmedlemsstat sikrer de bedst mulige betingelser for, at agenturet kan fungere efter hensigten, herunder stedets tilgængelighed, tilbud om tilstrækkelige uddannelsesfaciliteter for personalets børn, tilstrækkelig adgang til arbejdsmarkedet, social sikring og lægebehandling for såvel børn som ægtefæller.

Artikel 34

Administrativ kontrol

Agenturets virke er underlagt ombudsmandens tilsyn i overensstemmelse med artikel 228 i TEUF.

Artikel 35

Ophævelse og afløsning

1.   Forordning (EF) nr. 460/2004 ophæves.

Henvisninger til forordning (EF) nr. 460/2004 og til ENISA betragtes som henvisninger til nærværende forordning og til agenturet.

2.   Agenturet afløser det agentur, der blev oprettet ved forordning (EF) nr. 460/2004, med hensyn til ethvert ejendomsforhold, enhver aftale, enhver retlig forpligtelse, enhver ansættelseskontrakt, enhver økonomisk forpligtelse og ethvert økonomisk ansvar.

Artikel 36

Varighed

Agenturet oprettes for en periode på syv år fra den 19. juni 2013.

Artikel 37

Ikrafttræden

Denne forordning træder i kraft dagen efter offentliggørelsen i Den Europæiske Unions Tidende.

---

(1)  EUT C 107 af 6.4.2011, s. 58.

(2)  Europa-Parlamentets holdning af 16.4.2013 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 13.5.2013.

(3)  Afgørelse 2004/97/EF, Euratom truffet ved fælles aftale mellem repræsentanterne for medlemsstaterne, forsamlet på stats- og regeringschefniveau, den 13. december 2003 om fastlæggelse af hjemstedet for visse af Den Europæiske Unions kontorer og agenturer (EUT L 29 af 3.2.2004, s. 15).

(4)  Europa-Parlamentets og Rådets forordning (EF) nr. 460/2004 af 10. marts 2004 om oprettelse af et europæisk agentur for net- og informationssikkerhed (EUT L 77 af 13.3.2004, s. 1).

(5)  Europa-Parlamentets og Rådets forordning (EF) Nr. 1007/2008 af 24. september 2008 om ændring af forordning (EF) nr. 460/2004 om oprettelse af et europæisk agentur for net- og informationssikkerhed for så vidt angår agenturets mandatperiode (EUT L 293 af 31.10.2008, s. 1).

(6)  Europa-Parlamentet og Rådet forordning (EU) nr. 580/2011 af 8. juni 2011 om oprettelse af et europæisk agentur for net- og informationssikkerhed for så vidt angår agenturets mandatperiode (EUT L 165 af 24.6.2011, s. 3).

(7)  EFT L 108 af 24.4.2002, s. 33.

(8)  EFT L 201 af 31.7.2002, s. 37.

(9)  EFT L 281 af 23.11.1995, s. 31.

(10)  EFT L 108 af 24.4.2002, s. 51.

(11)  Europa-Parlamentets og Rådets forordning (EF) nr. 1211/2009 af 25. november 2009 om oprettelse af Sammenslutningen af Europæiske Tilsynsmyndigheder inden for Elektronisk Kommunikation (BEREC) og dens støttekontor (EUT L 337 af 18.12.2009, s. 1).

(12)  Europa-Parlamentets og Rådets direktiv 98/34/EF af 22. juni 1998 om en informationsprocedure med hensyn til tekniske standarder og forskrifter samt forskrifter for informationssamfundets tjenester (EFT L 204 af 21.7.1998, s. 37).

(13)  Europa-Parlamentets og Rådets forordning (EU, Euratom) nr. 966/2012 af 25. oktober 2012 om de finansielle regler vedrørende Unionens almindelige budget og om ophævelse af Rådets forordning (EF, Euratom) nr. 1605/2002 (EUT L 298 af 26.10.2012, s. 1).

(14)  Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (EFT L 145 af 31.5.2001, s. 43).

(15)  EFT L 8 af 12.1.2001, s. 1.

(16)  EUT C 101 af 1.4.2011, s. 20.

(17)  EFT L 56 af 4.3.1968, s. 1.

(18)  EFT L 357 af 31.12.2002, s. 72.

(19)  EFT L 317 af 3.12.2001, s. 1.

(20)  Europa-Parlamentets og Rådets forordning (EF) nr. 1073/1999 af 25.maj1999 om undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) (EFT L 136 af 31.5.1999, s. 1).

(21)  Interinstitutionel aftale af 25. maj 1999 mellem Europa-Parlamentet, Rådet for Den Europæiske Union og Kommissionen for De Europæiske Fællesskaber om de interne undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) (EFT L 136 af 31.5.1999, s. 15)

(22)  EFT L 292 af 15.11.1996, s. 2.

(23)  EFT 17 af 6.10.1958, s. 385/58.

---