[pic] | ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ | Βρυξέλλες, 30.9.2010 COM(2010) 521 τελικό 2010/0275 (COD) Πρόταση ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ σχετικά με τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) {SEC(2010) 1126}{SEC(2010) 1127} ΑΙΤ ΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ 1. ΠΛΑΙΣΙΟ ΤΗΣ ΠΡΟΤΑΣΗΣ 1.1. Πλαίσιο πολιτικής Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) ιδρύθηκε το Μάρτιο του 2004 για αρχική περίοδο πέντε ετών βάσει του κανονισμού (ΕΚ) αριθ. 460/2004[1]με βασικό σκοπό «να εξασφαλιστεί υψηλό και ουσιαστικό επίπεδο ασφάλειας δικτύων και πληροφοριών εντός της Κοινότητας και να αναπτυχθεί η αντίληψη της ασφάλειας δικτύων και πληροφοριών προς όφελος των πολιτών, των καταναλωτών, των επιχειρήσεων και των οργανισμών του δημόσιου τομέα της Ευρωπαϊκής Ένωσης, συμβάλλοντας έτσι στην ομαλή λειτουργία της εσωτερικής αγοράς». Με τον κανονισμό (ΕΚ) αριθ. 1007/2008[2] παρατείνεται η εντολή του ENISA έως το Μάρτιο του 2012. Με την παράταση της εντολής του ENISA το 2008 ξεκίνησε επίσης μια συζήτηση σχετικά με τη γενική κατεύθυνση των ευρωπαϊκών προσπαθειών για την ασφάλεια δικτύων και πληροφοριών (NIS), στην οποία η Επιτροπή συνέβαλε με την έναρξη δημόσιας διαβούλευσης για τους πιθανούς στόχους μιας ενισχυμένης πολιτικής ασφάλειας δικτύων και πληροφοριών σε επίπεδο Ένωσης. Η δημόσια διαβούλευση διήρκεσε από το Νοέμβριο 2008 έως τον Ιανουάριο 2009 και απέφερε περί τις 600 συνεισφορές[3]. Στις 30 Μαρτίου 2009, η Επιτροπή εξέδωσε ανακοίνωση σχετικά με την προστασία υποδομών πληροφοριών ζωτικής σημασίας[4] (CIIP), με επίκεντρο την προστασία της Ευρώπης από επιθέσεις και διαταραχές στον κυβερνοχώρο με ενίσχυση της ετοιμότητας, της ασφάλειας και ανθεκτικότητας, με ένα σχέδιο δράσης που καλεί τον ENISA να αναλάβει ρόλο κυρίως σε υποστήριξη των κρατών μελών. Το σχέδιο δράσης έτυχε ευρείας έγκρισης κατά τη συζήτηση στην Υπουργική Διάσκεψη για την προστασία των υποδομών πληροφοριών ζωτικής σημασίας (CIIP) που πραγματοποιήθηκε στο Ταλίν της Εσθονίας, στις 27 και 28 Απριλίου 2009[5]. Στα συμπεράσματα της Προεδρίας της Ευρωπαϊκής Ένωσης τονίζεται η σημασία της « αξιοποίησης της επιχειρησιακής υποστήριξης » του ENISA· δηλώνεται ότι ο ENISA « συνιστά πολύτιμο εργαλείο για την ενίσχυση των προσπαθειών συνεργασίας στον τομέα αυτό σε ενωσιακή κλίμακα » και επισημαίνεται η ανάγκη να επανεξεταστεί και να αναδιατυπυπωθεί η εντολή του οργανισμού « για καλύτερη εστίαση στις προτεραιότητες και τις ανάγκες της ΕΕ· για την επίτευξη μιας πιο ευέλικτης ικανότητας αντίδρασης· την ανάπτυξη δεξιοτήτων και ικανοτήτων· και για την ενίσχυση της λειτουργικής αποτελεσματικότητας και του συνολικού αντίκτυπου του οργανισμού », προκειμένου ο οργανισμός να καταστεί « μόνιμο κεκτημένο για κάθε κράτος μέλος και την Ευρωπαϊκή Ένωση στο σύνολό της ». Ύστερα από συζήτηση στο Συμβούλιο Τηλεπικοινωνιών της 11ης Ιουνίου 2009, όπου τα κράτη μέλη εξέφρασαν την υποστήριξή τους στην παράταση της εντολής του ENISA και την αύξηση των πόρων του υπό το πρίσμα της σημασίας της ασφάλειας δικτύων και πληροφοριών και τα υπό εξέλιξη προβλήματα στην περιοχή, η συζήτηση ολοκληρώθηκε στο πλαίσιο της Σουηδικής Προεδρίας της Ένωσης. Το ψήφισμα του Συμβουλίου, της 18ης Δεκεμβρίου 2009, σχετικά για μια ευρωπαϊκή συνεργατική προσέγγιση όσον αφορά την ασφάλεια δικτύων και πληροφοριών[6] (ΝΙS), αναγνωρίζει το ρόλο και τις δυνατότητες του ENISA, καθώς και την ανάγκη για « περαιτέρω ανάπτυξη του ENISA ώστε να καταστεί μια αποτελεσματική υπηρεσία ». Υπογραμμίζει επίσης την ανάγκη να εκσυγχρονιστεί και να ενισχυθεί ο οργανισμός για να υποστηρίξει την Επιτροπή και τα κράτη μέλη στη γεφύρωση του χάσματος μεταξύ τεχνολογίας και πολιτικής, χρησιμεύοντας ως κέντρο εμπειρογνωμοσύνης της Ένωσης σε θέματα ασφάλειας δικτύων και πληροφοριών. 1.2. Γενικό πλαίσιο Οι Τεχνολογίες των Πληροφοριών και των Επικοινωνιών (ΤΠΕ) αποτελούν σήμερα τη ραχοκοκαλιά της οικονομίας της ΕΕ και της κοινωνίας στο σύνολό της. Οι ΤΠΕ είναι ευάλωτες σε επιβουλές που δεν ακολουθούν πλέον εθνικά σύνορα και που έχουν μεταβληθεί με τις εξελίξεις στην τεχνολογία και την αγορά. Καθώς οι ΤΠΕ είναι παγκόσμιες, διασυνδεμένες και αλληλοεξαρτώμενες με άλλες υποδομές, η ασφάλεια και η ανθεκτικότητά τους δεν μπορεί να εξασφαλιστεί με αμιγώς εθνικές και ασυντόνιστες προσεγγίσεις. Ταυτόχρονα, οι προκλήσεις που σχετίζονται με την ασφάλεια δικτύων και πληροφοριών εξελίσσονται γρήγορα. Τα δίκτυα και τα συστήματα πληροφοριών πρέπει να προστατεύονται αποτελεσματικά από όλα τα είδη διαταραχών και αστοχιών, συμπεριλαμβανομένων των ανθρωπογενών επιθέσεων. Οι πολιτικές για την ασφάλεια δικτύων και πληροφοριών (NIS) διαδραματίζουν κεντρικό ρόλο στο «Ψηφιακό θεματολόγιο για την Ευρώπη»[7] (DAE), μια εμβληματική πρωτοβουλία στο πλαίσιο της στρατηγικής ΕΕ 2020, για την αξιοποίηση και προώθηση του δυναμικού των ΤΠΕ και τη μετατροπή αυτού του δυναμικού σε αειφόρο ανάπτυξη και καινοτομία. Η ενθάρρυνση της αφομοίωσης των ΤΠΕ και της ενίσχυσης της εμπιστοσύνης στην κοινωνία της πληροφορίας αποτελούν βασικές προτεραιότητες του ψηφιακού θεματολογίου για την Ευρώπη. Ο ENISA δημιουργήθηκε αρχικά για να εξασφαλίσει ένα υψηλό και αποτελεσματικό επίπεδο ασφάλειας των δικτύων και πληροφοριών εντός της Ένωσης. Η πείρα που αποκτήθηκε στο πλαίσιο του Οργανισμού και οι προκλήσεις και απειλές υπογράμμισαν την ανάγκη εκσυγχρονισμού της εντολής του προκειμένου να ανταποκρίνεται καλύτερα στις ανάγκες της Ευρωπαϊκής Ένωσης οι οποίες οφείλονται: - στον κατακερματισμό των εθνικών προσεγγίσεων αντιμετώπισης των αυξανόμενων προκλήσεων· - στην έλλειψη συνεργατικών μοντέλων υλοποίησης των πολιτικών για την ασφάλεια δικτύων και πληροφοριών· - στο ανεπαρκές επίπεδο ετοιμότητας που οφείλεται επίσης στις περιορισμένες ικανότητες της Ευρώπης για έγκαιρη προειδοποίηση και αντίδραση· - στην έλλειψη αξιόπιστων ευρωπαϊκών δεδομένων και στις περιορισμένες γνώσεις σχετικά με τα εξελισσόμενα προβλήματα· - στο χαμηλό επίπεδο ευαισθητοποίησης για τους κινδύνους και τις προκλήσεις που αφορούν την ασφάλεια δικτύων και πληροφοριών· - στην πρόκληση της ενσωμάτωσης των πτυχών ασφάλειας δικτύων και πληροφοριών στις πολιτικές για την αποτελεσματικότερη καταπολέμηση της εγκληματικότητας στον κυβερνοχώρο. 1.3. Οι πολιτικοί στόχοι Γενικός στόχος του προτεινόμενου κανονισμού είναι να δώσει τη δυνατότητα στην Ένωση, στα κράτη μέλη και στους άμεσα ενδιαφερόμενους να αναπτύξουν ένα υψηλό επίπεδο ικανοτήτων και ετοιμότητας για την πρόληψη, τον εντοπισμό και την καλύτερη ανταπόκριση σε προβλήματα ασφάλειας δικτύων και πληροφοριών. Αυτό θα βοηθήσει στην οικοδόμηση εμπιστοσύνης, η οποία υποστηρίζει την ανάπτυξη της κοινωνίας της πληροφορίας, με σκοπό τη βελτίωση της ανταγωνιστικότητας των ευρωπαϊκών επιχειρήσεων και τη διασφάλιση της αποτελεσματικής λειτουργίας της εσωτερικής αγοράς. 1.4. Ισχύουσες διατάξεις στον τομέα της πρότασης Η παρούσα πρόταση συμπληρώνει τις ρυθμιστικές και μη ρυθμιστικές πολιτικές πρωτοβουλίες για την ασφάλεια δικτύων και πληροφοριών που ανελήφθησαν σε επίπεδο Ένωσης με σκοπό την ενίσχυση της ασφάλειας και της ανθεκτικότητας των ΤΠΕ: - Το σχέδιο δράσης που δρομολογήθηκε με την ανακοίνωση CIIP προέβλεπε τη δημιουργία αμφοτέρων των κάτωθι: - Ενός Ευρωπαϊκού Φόρουμ των Κρατών Μελών (EFMS) με σκοπό την προώθηση των διαβουλεύσεων και των ανταλλαγών όσον αφορά τις ορθές πολιτικές πρακτικές με σκοπό την από κοινού επιδίωξη πολιτικών στόχων και προτεραιοτήτων για την ασφάλεια και την ανθεκτικότητα της υποδομής των ΤΠΕ, αντλώντας επίσης άμεσα οφέλη από τις εργασίες και τη στήριξη που παρέχει ο Οργανισμός. - Μιας ευρωπαϊκής σύμπραξης δημόσιου-ιδιωτικού τομέα για την ανθεκτικότητα (EP3R), η οποία θα αποτελεί ένα ευέλικτο πανευρωπαϊκό πλαίσιο διακυβέρνησης για την ανθεκτικότητα της υποδομής των ΤΠΕ, και θα λειτουργεί με σκοπό την προώθηση της συνεργασίας μεταξύ δημόσιου και ιδιωτικού τομέα με αντικείμενο τους στόχους, τις βασικές απαιτήσεις, τις ορθές πολιτικές πρακτικές και μέτρα για την ασφάλεια και την ανθεκτικότητα. - Το πρόγραμμα της Στοκχόλμης, το οποίο εγκρίθηκε από το Ευρωπαϊκό Συμβούλιο στις 11 Δεκεμβρίου 2009, προωθεί πολιτικές οι οποίες διασφαλίζουν την ασφάλεια δικτύων και επιτρέπουν την ταχύτερη αντίδραση σε περίπτωση επιθέσεων στον κυβερνοχώρο εντός της Ένωσης. - Οι εν λόγω πρωτοβουλίες συμβάλλουν στην υλοποίηση του ψηφιακού θεματολογίου για την Ευρώπη. Οι πολιτικές για την ασφάλεια δικτύων και πληροφοριών διαδραματίζουν κεντρικό ρόλο για το μέρος εκείνο της στρατηγικής που επικεντρώνεται στην προώθηση της εμπιστοσύνης και της ασφάλειας στην κοινωνία της πληροφορίας. Υποστηρίζουν επίσης τα μέτρα στήριξης και την πολιτική της Επιτροπής για την προστασία της ιδιωτικής ζωής (κυρίως «προστασία της ιδιωτικής ζωής εκ κατασκευής») και των προσωπικών δεδομένων (επανεξέταση του πλαισίου), το δίκτυο «Συνεργασία για την Προστασία των Καταναλωτών» (CPC), τη διαχείριση της ταυτότητας και το πρόγραμμα για ασφαλέστερη χρήση του Διαδικτύου. 1.5. Εξελίξεις στην υφιστάμενη πολιτική για την ασφάλεια δικτύων και πληροφοριών που σχετίζονται με την πρόταση Ορισμένες από τις τρέχουσες εξελίξεις όσον αφορά την πολιτική για την ασφάλεια δικτύων και πληροφοριών, κυρίως αυτές οι οποίες εξαγγέλθηκαν στο ψηφιακό θεματολόγιο για την Ευρώπη, αξιοποιούν τη στήριξη και την εμπειρογνωσία του ENISA. Σε αυτές συγκαταλέγονται: - η ενίσχυση της πολιτικής συνεργασίας για την ασφάλεια δικτύων και πληροφοριών με εντατικοποίηση των δραστηριοτήτων εντός του Ευρωπαϊκού Φόρουμ των Κρατών Μελών (EFMS) , η οποία, με την άμεση στήριξη του ENISA, θα βοηθήσει: - να προσδιορισθούν τρόποι καθιέρωσης ενός αποτελεσματικού ευρωπαϊκού δικτύου μέσω της διασυνοριακής συνεργασίας μεταξύ εθνικών/κυβερνητικών Ομάδων Αντιμετώπισης Έκτακτων Αναγκών στην Πληροφορική (CERT)· - να προσδιορισθούν οι μακροπρόθεσμοι στόχοι και προτεραιότητες για πανευρωπαϊκές ασκήσεις μεγάλης κλίμακας όσον αφορά περιστατικά σχετικά με την ασφάλεια δικτύων και πληροφοριών· - να προωθηθούν οι ελάχιστες απαιτήσεις στις δημόσιες συμβάσεις για την ενίσχυση της ασφάλειας και της ανθεκτικότητας των δημοσίων συστημάτων και δικτύων· - να προσδιορισθούν οικονομικά και ρυθμιστικά κίνητρα για την ασφάλεια και την ανθεκτικότητα· - να αξιολογηθεί η κατάσταση όσον αφορά την ευρωστία της ασφάλειας δικτύων και πληροφοριών στην Ευρώπη. - η ενίσχυση της συνεργασίας και της σύμπραξης μεταξύ δημόσιου και ιδιωτικού τομέα, στηρίζοντας την Ευρωπαϊκή σύμπραξη δημόσιου-ιδιωτικού τομέα για την ανθεκτικότητα (EP3R) . Ο ENISA διαδραματίζει έναν ολοένα και μεγαλύτερο ρόλο διευκολύνοντας τις συνεδριάσεις και τις δραστηριότητες της EP3R. Στις επόμενες δράσεις της EP3R θα συμπεριληφθούν: - η συζήτηση καινοτόμων μέτρων και μέσων για τη βελτίωση της ασφάλειας και της ανθεκτικότητας, όπως: - οι βασικές απαιτήσεις ασφάλειας και ανθεκτικότητας, ιδίως στις δημόσιες συμβάσεις για προϊόντα ή υπηρεσίες των ΤΠΕ, προκειμένου να διασφαλισθούν ισότιμοι όροι ανταγωνισμού ενώ θα εξασφαλίζεται ένα κατάλληλο επίπεδο ετοιμότητας και πρόληψης· - η διερεύνηση θεμάτων σχετικά με την οικονομική ευθύνη των οικονομικών φορέων, παραδείγματος χάριν όταν αυτοί καθιερώνουν ελάχιστες απαιτήσεις ασφάλειας· - τα οικονομικά κίνητρα για την ανάπτυξη και χρήση πρακτικών διαχείρισης κινδύνου, διαδικασιών και προϊόντων ασφάλειας· - τα προγράμματα εκτίμησης και διαχείρισης του κινδύνου για την εκτίμηση και διαχείριση μειζόνων περιστατικών επί μιας κοινής βάσης κατανόησης· - η συνεργασία μεταξύ ιδιωτικού και δημόσιου τομέα σε περίπτωση συμβάντων μεγάλης κλίμακας· - η διοργάνωση μιας επιχειρηματικής διάσκεψης κορυφής με αντικείμενο τους οικονομικούς φραγμούς και τους μοχλούς προώθησης όσον αφορά την ασφάλεια και την ανθεκτικότητα. - η πρακτική εφαρμογή των απαιτήσεων για την ασφάλεια της δέσμης ρυθμιστικών μέτρων για τις ηλεκτρονικές επικοινωνίες, για την οποία απαιτείται η εμπειρογνωσία και η συνδρομή του ENISA προκειμένου: - να στηρίξει τα κράτη μέλη και την Επιτροπή, λαμβάνοντας υπόψη τις απόψεις του ιδιωτικού τομέα, κατά περίπτωση, θεσπίζοντας ένα πλαίσιο κανόνων και διαδικασιών για την εφαρμογή των διατάξεων για την κοινοποίηση παραβιάσεων της ασφάλειας (προβλέπεται στο άρθρο 13 στοιχείο α) της αναθεωρημένης οδηγίας πλαισίου). - να θεσπίσει ένα ετήσιο φόρουμ για τους αρμόδιους εθνικούς φορείς/τις εθνικές ρυθμιστικές αρχές στον τομέα της ασφάλειας δικτύων και πληροφοριών, καθώς και τους άμεσα ενδιαφερόμενους από τον ιδιωτικό τομέα προκειμένου να συζητούν τα διδάγματα που αντλήθηκαν και να ανταλλάσσουν ορθές πρακτικές για την εφαρμογή των ρυθμιστικών μέτρων όσον αφορά την ασφάλεια δικτύων και πληροφοριών. - η διευκόλυνση ασκήσεων ετοιμότητας όσον αφορά την ασφάλεια στον κυβερνοχώρο σε πανευρωπαϊκό επίπεδο με τη στήριξη της Επιτροπής και τη συμβολή του ENISA, με σκοπό οι εν λόγω ασκήσεις να επεκταθούν σε μεταγενέστερο στάδιο σε διεθνές επίπεδο. - η σύσταση μιας CERT (Ομάδας Αντιμετώπισης Έκτακτων Αναγκών στην Πληροφορική - ΟΑΕΑΠ) για τα θεσμικά όργανα της ΕΕ . Η κεντρική δράση 6 του ψηφιακού θεματολογίου για την Ευρώπη συνίσταται στην παρουσίαση από την Επιτροπή «μέτρων που αποσκοπούν σε μια ενισχυμένη και υψηλού επιπέδου πολιτική ασφάλειας δικτύων και πληροφοριών, όπου συμπεριλαμβάνονται […] μέτρα τα οποία επιτρέπουν ταχύτερη αντίδραση σε περίπτωση επιθέσεων στον κυβερνοχώρο, συμπεριλαμβανομένης μιας ΟΑΕΑΠ για τα θεσμικά όργανα της ΕΕ»[8]. Αυτό θα απαιτήσει από την Επιτροπή και τα άλλα θεσμικά όργανα της Ένωσης να αναλύσουν και να συγκροτήσουν μια Ομάδα Αντιμετώπισης Έκτακτων Αναγκών στην Πληροφορική, στην οποία ο ENISA μπορεί να παράσχει τεχνική στήριξη και εμπειρογνωσία. - η κινητοποίηση και η στήριξη των κρατών μελών προκειμένου να ολοκληρώσουν και, όπου είναι αναγκαίο, να συγκροτήσουν εθνικές/κυβερνητικές ΟΑΕΑΠ προκειμένου να καθιερώσουν ένα αποτελεσματικό δίκτυο ΟΑΕΑΠ το οποίο θα καλύπτει ολόκληρη την Ευρώπη. Η εν λόγω δραστηριότητα θα είναι επίσης αποφασιστικής σημασίας για την περαιτέρω ανάπτυξη του Ευρωπαϊκού Συστήματος Ανταλλαγής Πληροφοριών και Έγκαιρης Προειδοποίησης (EISAS) για τους πολίτες και τις ΜΜΕ, το οποίο πρέπει να δημιουργηθεί με εθνικούς πόρους και ικανότητες έως τα τέλη του 2012. - η ενίσχυση της συνειδητοποίησης των προκλήσεων όσον αφορά την ασφάλεια δικτύων και πληροφοριών, όπου συμπεριλαμβάνονται: - η συνεργασία της Επιτροπής με τον ENISA για την εκπόνηση κατευθυντήριων γραμμών με σκοπό την προώθηση προτύπων ασφάλειας δικτύων και πληροφοριών, ορθών πρακτικών και μιας αντίληψης για τη διαχείριση του κινδύνου. Αναμένεται να εκπονηθεί το πρώτο δείγμα κατευθυντήριων γραμμών. - η διοργάνωση από τον ENISA, σε συνεργασία με τα κράτη μέλη, του « ευρωπαϊκού μήνα για την ασφάλεια δικτύων και πληροφοριών για όλους», κατά τον οποίο προβλέπεται η προκήρυξη εθνικών/ευρωπαϊκών διαγωνισμών για την ασφάλεια στον κυβερνοχώρο. 1.6. Συνοχή με άλλες πολιτικές και στόχους της Ένωσης Η πρόταση είναι σύμφωνη με τις υφιστάμενες πολιτικές και στόχους της Ευρωπαϊκής Ένωσης και εναρμονίζεται πλήρως με τον στόχο της συμβολής στην ομαλή λειτουργία της εσωτερικής αγοράς μέσω της ενίσχυσης της ετοιμότητας και της ικανότητας αντιμετώπισης των προκλήσεων που αφορούν την ασφάλεια δικτύων και πληροφοριών. 2. ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΩΝ ΔΙΑΒΟΥΛΕΥΣΕΩΝ ΚΑΙ ΕΚΤΙΜΗΣΗ ΕΠΙΠΤΩΣΕΩΝ 2.1. Διαβουλεύσεις με τα ενδιαφερόμενα μέρη Η παρούσα πολιτική πρωτοβουλία είναι αποτέλεσμα μιας ευρείας διαβούλευσης η οποία διεξήχθη με βάση μια προσέγγιση χωρίς αποκλεισμούς και η οποία σέβεται τις αρχές της συμμετοχής, της ανοικτής πρόσβασης, της υπευθυνότητας, της αποτελεσματικότητας και της συνοχής. Η ευρεία διαδικασία που έλαβε χώρα συμπεριέλαβε την αξιολόγηση του Οργανισμού τα έτη 2006/2007, ακολούθησαν οι συστάσεις του Διοικητικού Συμβουλίου του ENISA, δύο δημόσιες διαβουλεύσεις (2007 και 2008-2009) και μια σειρά εργομηγύρεων με θέματα σχετικά με την ασφάλεια δικτύων και πληροφοριών. Η πρώτη δημόσια διαβούλευση δρομολογήθηκε σε σχέση με την ανακοίνωση της επιτροπής για την ενδιάμεση αξιολόγηση του ENISA. Επικεντρώθηκε στο μέλλον του Οργανισμού, διεξήχθη από τις 13 Ιουνίου έως τις 7 Σεπτεμβρίου 2007 και συγκέντρωσε συνολικά 44 επιγραμμικές εισηγήσεις, συν δύο που υποβλήθηκαν γραπτώς. Οι απαντήσεις προήλθαν από ένα μεγάλο εύρος άμεσα εμπλεκόμενων και ενδιαφερόμενων, στους οποίους συμπεριλαμβάνονται υπουργεία των κρατών μελών, ρυθμιστικοί φορείς, ενώσεις του κλάδου και καταναλωτών, ακαδημαϊκά ιδρύματα, εταιρείες και ιδιώτες. Οι απαντήσεις ανέδειξαν ορισμένα ενδιαφέροντα θέματα σχετικά με την εξέλιξη του σεναρίου απειλών, την ανάγκη διασάφησης του κανονισμού και μεγαλύτερης ευελιξίας του προκειμένου να δοθεί η δυνατότητα στον ENISA να προσαρμοσθεί στις προκλήσεις, την σημασία της διασφάλισης αποτελεσματικής διάδρασης με τους άμεσα ενδιαφερόμενους και τη δυνατότητα περιορισμένης αύξησης των πόρων του. Η δεύτερη δημόσια διαβούλευση, η οποία πραγματοποιήθηκε από τις 7 Νοεμβρίου 2008 έως τις 9 Ιανουαρίου 2009, είχε σκοπό να προσδιορίσει τους στόχους προτεραιότητας για μια ενισχυμένη πολιτική ασφάλειας δικτύων και πληροφοριών σε ευρωπαϊκό επίπεδο, καθώς και τα μέσα επίτευξης των εν λόγω στόχων. Ελήφθησαν σχεδόν 600 εισηγήσεις από τις αρχές των κρατών μελών, ακαδημαϊκά/ερευνητικά ιδρύματα, ενώσεις του κλάδου, ιδιωτικές εταιρείες και άλλους άμεσα ενδιαφερόμενους, όπως οργανώσεις προστασίας δεδομένων και γραφεία συμβούλων, και από ιδιώτες. Η μεγάλη πλειονότητα των συμμετεχόντων[9] στήριξε την παράταση της θητείας του Οργανισμού και τάχθηκε υπέρ της διεύρυνσης του ρόλου του για τον συντονισμό των δραστηριοτήτων σχετικά με την ασφάλεια δικτύων και πληροφοριών σε ευρωπαϊκό επίπεδο, καθώς και υπέρ της ενίσχυσης των πόρων του. Στις κύριες προτεραιότητες συγκαταλέγονται η ανάγκη μιας πιο συντονισμένης προσέγγισης των απειλών στον κυβερνοχώρο σε ολόκληρη την Ευρώπη, η διακρατική συνεργασία για την αντιμετώπιση μεγάλης κλίμακας επιθέσεων στον κυβερνοχώρο, η οικοδόμηση εμπιστοσύνης και η βελτίωση της ανταλλαγής πληροφοριών μεταξύ των άμεσα ενδιαφερομένων. Διεξήχθη εκτίμηση επιπτώσεων της πρότασης, η οποία άρχισε τον Σεπτέμβριο του 2009, με βάση μια προπαρασκευαστική μελέτη που πραγματοποιήθηκε από εξωτερικό ανάδοχο. Συμμετείχε μεγάλος αριθμός άμεσα ενδιαφερόμενων και εμπειρογνωμόνων. Στους εισηγητές συμπεριλαμβάνονταν φορείς για την ασφάλεια δικτύων και πληροφοριών των κρατών μελών, εθνικές ρυθμιστικές αρχές, τηλεπικοινωνιακοί φορείς και πάροχοι υπηρεσιών Διαδικτύου και σχετικές ενώσεις του κλάδου, ενώσεις καταναλωτών, κατασκευαστές ΤΠΕ, Ομάδες Αντιμετώπισης Έκτακτων Αναγκών στην Πληροφορική (ΟΑΕΑΠ), πανεπιστημιακοί και εταιρικοί χρήστες. Επιπλέον, συστάθηκε μια διυπηρεσιακή ομάδα καθοδήγησης, η οποία απαρτιζόταν από τις αρμόδιες Γενικές Διευθύνσεις της Επιτροπής, με σκοπό τη στήριξη της διαδικασίας εκτίμησης επιπτώσεων. 2.2. Εκτίμηση επιπτώσεων Η ύπαρξη ενός Οργανισμού θεωρήθηκε ως η κατάλληλη λύση για την επίτευξη των στόχων της ευρωπαϊκής πολιτικής[10]. Μετά από διαδικασία προκαταρκτικού ελέγχου επελέγησαν πέντε πολιτικές επιλογές για περαιτέρω ανάλυση: - Επιλογή 1 — Απουσία πολιτικής· - Επιλογή 2 — Διατήρηση της υπάρχουσας κατάστασης, δηλαδή παρόμοια εντολή και ίδιο επίπεδο πόρων· - Επιλογή 3 — Επέκταση των καθηκόντων του ENISA με συμμετοχή των αρχών επιβολής του νόμου και προστασίας της ιδιωτικής ζωής ως ενδιαφερομένων με πλήρη δικαιώματα· - Επιλογή 4 — Προσθήκη στα καθήκοντα του Οργανισμού της καταπολέμησης των επιθέσεων στον κυβερνοχώρο και της αντιμετώπισης περιστατικών στον κυβερνοχώρο· - Επιλογή 5 — Προσθήκη στα καθήκοντα του Οργανισμού της υποστήριξης των αρχών επιβολής του νόμου και των δικαστικών αρχών στην καταπολέμηση της εγκληματικότητας στον κυβερνοχώρο. Μετά από συγκριτική ανάλυση κόστους-οφέλους, η επιλογή 3 θεωρήθηκε ως η πλέον αποτελεσματική ως προς το κόστος και ως ο πλέον αποδοτικός τρόπος επίτευξης των πολιτικών στόχων. Η επιλογή 3 προβλέπει την επέκταση του ρόλου του ENISA για να επικεντρωθεί στα εξής: - συγκρότηση και διατήρηση ενός δικτύου σχέσεων μεταξύ των άμεσα ενδιαφερομένων και ενός δικτύου γνώσεων προκειμένου να διασφαλισθεί ότι ο ENISA ενημερώνεται συνολικά για την κατάσταση όσον αφορά την ασφάλεια δικτύων και πληροφοριών στην Ευρώπη· - λειτουργία του ως κέντρου στήριξης της ασφάλειας δικτύων και πληροφοριών για τη χάραξη πολιτικής και την εφαρμογή πολιτικής (ιδίως όσον αφορά την ηλεκτρονική ασφάλεια, τις ηλεκτρονικές υπογραφές, την ηλεκτρονική ταυτοποίηση και τις προδιαγραφές των προμηθειών για την ασφάλεια δικτύων και πληροφοριών)· - στήριξη της πολιτικής της Ένωσης για την προστασία των Υποδομών Πληροφοριών Ζωτικής Σημασίας (CIIP) και την ανθεκτικότητα (ασκήσεις, EP3R, Ευρωπαϊκό Σύστημα Ανταλλαγής Πληροφοριών και Έγκαιρης Προειδοποίησης, κ.λπ.)· - συγκρότηση πλαισίου της Ένωσης για τη συγκέντρωση δεδομένων σχετικά με την ασφάλεια δικτύων και πληροφοριών, συμπεριλαμβανομένης της ανάπτυξης μεθόδων και πρακτικών κατάρτισης εκθέσεων με νομική ισχύ και ανταλλαγών· - μελέτη των οικονομικών της ασφάλειας δικτύων και πληροφοριών· - ενίσχυση της συνεργασίας με τρίτες χώρες και διεθνείς οργανισμούς για την προώθηση μιας κοινής παγκόσμιας προσέγγισης της ασφάλειας δικτύων και πληροφοριών και την ενθάρρυνση διεθνών πρωτοβουλιών υψηλού επιπέδου στην Ευρώπη· - εκτέλεση μη λειτουργικών καθηκόντων που αφορούν τις πτυχές ασφάλειας δικτύων και πληροφοριών σε σχέση με την επιβολή του νόμου και τη δικαστική συνεργασία για την καταπολέμηση της εγκληματικότητας στον κυβερνοχώρο. 3. ΝΟΜΙΚΑ ΣΤΟΙΧΕΙΑ ΤΗΣ ΠΡΟΤΑΣΗΣ 3.1. Σύνοψη της προτεινόμενης δράσης Ο προτεινόμενος κανονισμός αποσκοπεί στην ενίσχυση και στον εκσυγχρονισμό του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) και στην ανάθεση νέας εντολής για περίοδο πέντε ετών. Η πρόταση περιλαμβάνει ορισμένες κύριες αλλαγές σε σύγκριση με τον αρχικό κανονισμό: 1. Μεγαλύτερη ευελιξία, προσαρμοστικότητα και ικανότητα επικέντρωσης . Τα καθήκοντα επικαιροποιούνται και αναδιατυπώνονται σε μεγάλο βαθμό, προκειμένου να διευρυνθεί το πεδίο δραστηριοτήτων του Οργανισμού· οι εν λόγω δραστηριότητες είναι αρκετά ακριβείς για την περιγραφή των μέσων με τα οποία πρέπει να επιτευχθούν οι στόχοι. Δίνεται έτσι μεγαλύτερο βάρος στην αποστολή του Οργανισμού, βελτιώνεται η ικανότητά του για επίτευξη των στόχων του και ενισχύονται τα καθήκοντά του για τη στήριξη της υλοποίησης της πολιτικής της Ένωσης. 2. Καλύτερη εναρμόνιση του Οργανισμού με την πολιτική και ρυθμιστική διαδικασία της Ένωσης . Τα ευρωπαϊκά θεσμικά όργανα και οργανισμοί μπορούν να απευθύνονται στον Οργανισμό για παροχή συνδρομής και συμβουλών. Αυτό εναρμονίζεται με τις πολιτικές και ρυθμιστικές εξελίξεις: στα ψηφίσματά του το Συμβούλιο έχει αρχίσει να απευθύνεται απευθείας στον Οργανισμό, και το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο έχουν αναθέσει στον Οργανισμό καθήκοντα σχετικά με την ασφάλεια δικτύων και πληροφοριών εντός του ρυθμιστικού πλαισίου για τις ηλεκτρονικές επικοινωνίες. 3. Διάδραση με την καταπολέμηση της εγκληματικότητας στον κυβερνοχώρο . Για την επίτευξη των στόχων του ο Οργανισμός λαμβάνει υπόψη την καταπολέμηση της εγκληματικότητας στον κυβερνοχώρο. Οι αρχές επιβολής του νόμου και προστασίας της ιδιωτικής ζωής καθίστανται πλήρη μέλη του Οργανισμού, ιδίως της Μόνιμης Ομάδας Ενδιαφερομένων. 4. Ενισχυμένη δομή διακυβέρνησης . Η πρόταση ενισχύει τον εποπτικό ρόλο του Διοικητικού Συμβουλίου του Οργανισμού, στο οποίο εκπροσωπούνται τα κράτη μέλη και η Επιτροπή. Παραδείγματος χάριν, το Διοικητικό Συμβούλιο μπορεί να καθορίζει τις γενικές κατευθύνσεις επί θεμάτων προσωπικού, ενώ προηγουμένως αυτό αποτελούσε αποκλειστική ευθύνη του εκτελεστικού διευθυντή. Μπορεί επίσης να συγκροτεί όργανα εργασίας προκειμένου να το συνδράμουν στην εκτέλεση των καθηκόντων του, όπου συμπεριλαμβάνεται η παρακολούθηση της εφαρμογής των αποφάσεών του. 5. Εξορθολογισμός των διαδικασιών . Απλοποιούνται οι διαδικασίες οι οποίες απεδείχθη ότι είναι υπέρμετρα επαχθείς. Παραδείγματος χάριν: α) απλοποίηση της διαδικασίας για τον εσωτερικό κανονισμό του Διοικητικού Συμβουλίου, β) η γνωμοδότηση επί του προγράμματος εργασίας του ENISA παρέχεται από τις υπηρεσίες της Επιτροπής και όχι με απόφαση της Επιτροπής. Το Διοικητικό Συμβούλιο διαθέτει επίσης επαρκείς πόρους σε περίπτωση που χρειαστεί να λάβει εκτελεστικές αποφάσεις και να τις εφαρμόσει (π.χ. εάν κάποιο μέλος του προσωπικού υποβάλλει καταγγελία κατά του εκτελεστικού διευθυντή ή του ίδιου του Διοικητικού Συμβουλίου). 6. Σταδιακή αύξηση των πόρων . Για να αντιμετωπισθούν οι ενισχυμένες ευρωπαϊκές προτεραιότητες και οι αυξανόμενες προκλήσεις, χωρίς να θιγεί η πρόταση της Επιτροπής για το επόμενο πολυετές δημοσιονομικό πλαίσιο, προβλέπεται να αυξηθούν βαθμιαία οι δημοσιονομικοί και οι ανθρώπινοι πόροι του Οργανισμού από το 2012 έως το 2016. Με βάση την πρόταση κανονισμού της Επιτροπής για το πολυετές δημοσιονομικό πλαίσιο μετά το 2013 και λαμβάνοντας υπόψη τα συμπεράσματα της εκτίμησης επιπτώσεων, η Επιτροπή θα υποβάλει τροποποιημένο νομοθετικό δημοσιονομικό δελτίο. 7. Δυνατότητα παράτασης της θητείας του εκτελεστικού διευθυντή . Το Διοικητικό Συμβούλιο μπορεί να παρατείνει τη θητεία του εκτελεστικού διευθυντή κατά μία τριετία. 3.2. Νομική βάση Η παρούσα πρόταση βασίζεται στο άρθρο 114 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης[11] (ΣΛΕΕ). Σύμφωνα με απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης[12], πριν από την έναρξη ισχύος της συνθήκης της Λισαβόνας, το άρθρο 95 της συνθήκης ΕΚ θεωρήθηκε ως η κατάλληλη νομική βάση για την δημιουργία ενός οργανισμού με σκοπό τη διασφάλιση υψηλού και αποτελεσματικού επιπέδου ασφάλειας δικτύων και πληροφοριών εντός της Ένωσης. Χρησιμοποιώντας την έκφραση «μέτρα προσέγγισης» στο άρθρο 95, οι συντάκτες της συνθήκης θέλησαν να παράσχουν στον νομοθέτη της Ένωσης τη διακριτική ευχέρεια να επιλέξει τα κατάλληλα μέτρα για την επίτευξη του επιθυμητού αποτελέσματος. Επομένως, η ενίσχυση της ασφάλειας και της ανθεκτικότητας των υποδομών των ΤΠΕ αποτελεί σημαντικό στοιχείο το οποίο συμβάλλει στην ομαλή λειτουργία της εσωτερικής αγοράς. Δυνάμει της συνθήκης της Λισαβόνας, το άρθρο 114 της ΣΛΕΕ[13] περιγράφει — σχεδόν με ταυτόσημους όρους — την ευθύνη για την εσωτερική αγορά. Για τους λόγους που εκτίθενται ανωτέρω θα εξακολουθήσει να αποτελεί την ισχύουσα νομική βάση για την έγκριση μέτρων βελτίωσης της ασφάλειας δικτύων και πληροφοριών. Η ευθύνη για την εσωτερική αγορά αποτελεί τώρα κοινή αρμοδιότητα μεταξύ της Ένωσης και των κρατών μελών (άρθρο 4 παράγραφος 2 στοιχείο α) της ΣΛΕΕ). Αυτό σημαίνει ότι η Ένωση και τα κράτη μέλη μπορούν να εγκρίνουν (δεσμευτικά) μέτρα και ότι τα κράτη μέλη ασκούν τις αρμοδιότητές τους εάν η Ένωση δεν έχει ασκήσει τις αρμοδιότητές της ή έχει αποφασίσει να παύσει να τις ασκεί περαιτέρω (άρθρο 2 παράγραφος 2 της ΣΛΕΕ). Τα μέτρα στο πλαίσιο της ευθύνης για την εσωτερική αγορά θα απαιτήσουν τη συνήθη νομοθετική διαδικασία (άρθρα 289 και 294 της ΣΛΕΕ), η οποία είναι παρόμοια[14] με την προηγούμενη διαδικασία συναπόφασης (άρθρο 251 της συνθήκης ΕΚ). Με τη συνθήκη της Λισαβόνας έχει πλέον απαλειφθεί η προηγούμενη διάκριση μεταξύ πυλώνων. Η πρόληψη και η καταπολέμηση του εγκλήματος αποτελεί κοινή αρμοδιότητα της Ένωσης. Δόθηκε έτσι η δυνατότητα στον ENISA να παίξει ρόλο πλατφόρμας για τις πτυχές που αφορούν την ασφάλεια δικτύων και πληροφοριών στην καταπολέμηση της εγκληματικότητας τον κυβερνοχώρο και να ανταλλάξει απόψεις και βέλτιστες πρακτικές με τις αρχές που είναι αρμόδιες για την άμυνα στον κυβερνοχώρο, την επιβολή του νόμου και την προστασία της ιδιωτικής ζωής. 3.3. Αρχή της επικουρικότητας Η πρόταση συμμορφώνεται με την αρχή της επικουρικότητας: η πολιτική ασφάλειας δικτύων και πληροφοριών απαιτεί μια συνεργατική προσέγγιση και οι στόχοι της πρότασης δεν μπορούν να επιτευχθούν από τα κράτη μέλη κατά μόνας. Μια απολύτως μη παρεμβατική στρατηγική από πλευράς Ένωσης στις εθνικές πολιτικές για την ασφάλεια δικτύων και πληροφοριών θα ανέθετε καθ’ ολοκληρίαν το καθήκον στα κράτη μέλη, αγνοώντας την προφανή αλληλεξάρτηση μεταξύ των υφιστάμενων συστημάτων πληροφοριών. Συνεπώς, ένα μέτρο το οποίο διασφαλίζει επαρκή βαθμό συντονισμού μεταξύ των κρατών μελών προκειμένου να εξασφαλισθεί ότι οι κίνδυνοι για την ασφάλεια δικτύων και πληροφοριών μπορούν να αποτελέσουν αντικείμενο σωστής διαχείρισης στο διασυνοριακό πλαίσιο εντός του οποίου ανακύπτουν, σέβεται όντως την αρχή της επικουρικότητας. Επιπροσθέτως, η ευρωπαϊκή δράση θα βελτιώσει την αποτελεσματικότητα των υφιστάμενων εθνικών πολιτικών και, συνεπώς, θα επιφέρει προστιθέμενη αξία. Επιπλέον, η χάραξη συντονισμένης και συνεργατικής πολιτικής για την ασφάλεια δικτύων και πληροφοριών θα έχει επωφελείς επιπτώσεις στην προστασία των θεμελιωδών δικαιωμάτων και ειδικά στο δικαίωμα της προστασίας των προσωπικών δεδομένων και της προσωπικής ζωής. Η ανάγκη προστασίας των δεδομένων είναι επί του παρόντος κρίσιμης σημασίας δεδομένου του γεγονότος ότι οι Ευρωπαίοι πολίτες εμπιστεύονται ολοένα και περισσότερο τα δεδομένα τους σε πολύπλοκα συστήματα πληροφορικής, είτε από επιλογή είτε εξ ανάγκης, χωρίς να είναι απαραιτήτως σε θέση να εκτιμήσουν σωστά τους κινδύνους σχετικά με την προστασία των δεδομένων. Συνεπώς, εάν ανακύψει κάποιο περιστατικό δεν είναι απαραιτήτως σε θέση να λάβουν τα κατάλληλα μέτρα, ούτε είναι σίγουρο ότι τα κράτη μέλη είναι σε θέση να αντιμετωπίσουν αποτελεσματικά τυχόν διεθνή περιστατικά εάν απουσιάζει ο ευρωπαϊκός συντονισμός της ασφάλειας δικτύων και πληροφοριών. 3.4. Αρχή της αναλογικότητας Η παρούσα πρόταση συμμορφώνεται με την αρχή της αναλογικότητας δεδομένου ότι δεν υπερβαίνει όσα είναι αναγκαία για την επίτευξη του στόχου της. 3.5. Επιλογή τύπου νομοθετικής πράξης Προτεινόμενος τύπος νομοθετικής πράξης: κανονισμός, ο οποίος ισχύει άμεσα σε όλα τα κράτη μέλη. 4. ΔΗΜΟΣΙΟΝΟΜΙΚΕΣ ΕΠΙΠΤΩΣΕΙΣ Η πρόταση θα έχει επιπτώσεις στον προϋπολογισμό της Ένωσης. Δεδομένου ότι καθορίζονται τα καθήκοντα που πρέπει να συμπεριληφθούν στη νέα εντολή του ENISA, προβλέπεται ότι θα δοθούν στον Οργανισμό οι απαιτούμενοι πόροι για να διεξάγει αποτελεσματικά τις δραστηριότητές του. Η αξιολόγηση του Οργανισμού, η εκτενής διαδικασία διαβουλεύσεων με τους άμεσα ενδιαφερόμενους σε όλα τα επίπεδα και η εκτίμηση των επιπτώσεων καταδεικνύουν ότι υπάρχει γενική ομοφωνία ότι το μέγεθος του Οργανισμού υπολείπεται της κρίσιμης μάζας του και ότι απαιτείται αύξηση των πόρων του. Οι συνέπειες και οι επιπτώσεις της αύξησης του προσωπικού και του προϋπολογισμού του Οργανισμού αναλύονται στην εκτίμηση επιπτώσεων η οποία συνοδεύει την πρόταση. Η χρηματοδότηση της ΕΕ μετά το 2013 θα εξετασθεί στο πλαίσιο διαλόγου στον οποίον θα συμμετάσχουν όλες οι υπηρεσίες της Επιτροπής επί του συνόλου των προτάσεων για την περίοδο μετά το 2013. 5. ΠΡΟΣΘΕΤΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ 5.1. Διάρκεια Ο κανονισμός καλύπτει περίοδο πέντε ετών. 5.2. Ρήτρα αναθεώρησης Ο κανονισμός προβλέπει την αξιολόγηση του Οργανισμού, καλύπτοντας την περίοδο που διανύθηκε μετά την προηγούμενη αξιολόγηση του 2007. Θα αξιολογηθούν η αποτελεσματικότητα του Οργανισμού ως προς την επίτευξη των στόχων του όπως τίθενται στον κανονισμό, κατά πόσο εξακολουθεί να αποτελεί αποτελεσματικό μέσο και κατά πόσο πρέπει να παραταθεί περαιτέρω η θητεία του Οργανισμού. Με βάση τα πορίσματα, το Διοικητικό Συμβούλιο θα υποβάλλει στην Επιτροπή συστάσεις για τροποποιήσεις του παρόντος κανονισμού, για αλλαγές στον Οργανισμό και στις εργασιακές πρακτικές του. Προκειμένου η Επιτροπή να είναι σε θέση να εκπονήσει εγκαίρως πρόταση για παράταση της θητείας, η αξιολόγηση πρέπει να έχει ολοκληρωθεί έως τα τέλη του δεύτερου έτους της θητείας που προβλέπεται από τον κανονισμό. 5.3. Ενδιάμεσο μέτρο Η Επιτροπή γνωρίζει ότι η νομοθετική διαδικασία στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο μπορεί να απαιτήσει εκτενή χρόνο διαβουλεύσεων επί της πρότασης και υπάρχει κίνδυνος νομικού κενού εάν η νέα θητεία του Οργανισμού δεν εγκριθεί εγκαίρως πριν από την εκπνοή της τρέχουσας θητείας. Συνεπώς, η Επιτροπή προτείνει, παράλληλα με την παρούσα πρόταση, κανονισμό ο οποίος παρατείνει την τρέχουσα θητεία του Οργανισμού για 18 μήνες προκειμένου να δοθεί επαρκής χρόνος για τις διαβουλεύσεις και τη δέουσα διαδικασία. 2010/0275 (COD) Πρόταση ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ σχετικά με τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ, Έχοντας υπόψη: τη συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 114, την πρόταση της Ευρωπαϊκής Επιτροπής, τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής[15], τη γνώμη της Επιτροπής των Περιφερειών[16], έπειτα από διαβίβαση της πρότασης στα εθνικά Κοινοβούλια, αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία, Εκτιμώντας τα ακόλουθα: (1) Οι ηλεκτρονικές επικοινωνίες, οι υποδομές και οι υπηρεσίες αποτελούν ουσιαστικό παράγοντα για την ανάπτυξη της οικονομίας και της κοινωνίας. Διαδραματίζουν ζωτικό ρόλο για την κοινωνία και έχουν καταστεί πανταχού παρούσες υπηρεσίες κοινής ωφελείας όπως η ηλεκτροδότηση και η υδροδότηση. Η διακοπή της παροχής τους μπορεί να προκαλέσει σημαντικές οικονομικές ζημίες, γεγονός που υπογραμμίζει τη σημασία λήψης μέτρων για την ενίσχυση της προστασίας και της ανθεκτικότητας τα οποία θα αποσκοπούν στη διασφάλιση της συνέχισης παροχής των κρίσιμης σημασίας υπηρεσιών. Η ασφάλεια των ηλεκτρονικών επικοινωνιών, των υποδομών και των υπηρεσιών, ιδίως η ακεραιότητα και η διαθεσιμότητα τους, αντιμετωπίζουν συνεχώς αυξανόμενες προκλήσεις. Αυτό προκαλεί ολοένα και μεγαλύτερη ανησυχία στην κοινωνία, ιδίως εξαιτίας του ενδεχομένου να ανακύψουν προβλήματα λόγω της πολυπλοκότητας των συστημάτων, λόγω ατυχημάτων, σφαλμάτων και επιθέσεων που μπορούν να έχουν επιπτώσεις στην υλική υποδομή που παρέχει υπηρεσίες ζωτικής σημασίας για την ευημερία των Ευρωπαίων πολιτών. (2) Η φύση των απειλών μεταβάλλεται συνεχώς και τα περιστατικά που σχετίζονται με την ασφάλεια μπορούν να κλονίσουν την εμπιστοσύνη των χρηστών. Ενώ οι σοβαρές διαταραχές των ηλεκτρονικών επικοινωνιών, των υποδομών και των υπηρεσιών μπορούν να επιφέρουν μείζονες οικονομικές και κοινωνικές επιπτώσεις, οι καθημερινές παραβιάσεις της ασφάλειας, τα προβλήματα και οι οχλήσεις κινδυνεύουν επίσης να διαβρώσουν τη εμπιστοσύνη του κοινού στην τεχνολογία, στα δίκτυα και στις υπηρεσίες. (3) Συνεπώς, η τακτική εκτίμηση της κατάστασης της ασφάλειας δικτύων και πληροφοριών στην Ευρώπη με βάση αξιόπιστα ευρωπαϊκά δεδομένα είναι σημαντική για τους υπεύθυνους χάραξης πολιτικής, τον κλάδο και τους χρήστες. (4) Οι εκπρόσωποι των κρατών μελών, κατά τη συνεδρίαση του Ευρωπαϊκού Συμβουλίου της 13ης Δεκεμβρίου 2003, αποφάσισαν ότι ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), ο οποίος επρόκειτο να ιδρυθεί βάσει πρότασης υποβαλλόμενης από την Επιτροπή, θα είχε την έδρα του σε πόλη της Ελλάδας η οποία θα προσδιοριζόταν από την ελληνική κυβέρνηση. (5) Το 2004, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενέκριναν τον κανονισμό (ΕΚ) αριθ. 460/2004[17] για τη δημιουργία του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών με σκοπό να συμβάλει στους στόχους της διασφάλισης υψηλού επιπέδου ασφάλειας των δικτύων και των πληροφοριών εντός της Ένωσης και να διαπλάσσει μια αντίληψη για την ασφάλεια των δικτύων και των πληροφοριών προς όφελος των πολιτών, των καταναλωτών, των επιχειρήσεων και των οργανισμών του δημόσιου τομέα. Το 2008 το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενέκριναν τον κανονισμό (ΕΚ) αριθ. 1007/2008[18] για την παράταση της θητείας του Οργανισμού έως τον Μάρτιο του 2012. (6) Από τη δημιουργία του Οργανισμού και μετέπειτα, οι προκλήσεις όσον αφορά την ασφάλεια δικτύων και πληροφοριών μεταβλήθηκαν λόγω των τεχνολογικών εξελίξεων, των εξελίξεων στην αγορά και των κοινωνικοοικονομικών εξελίξεων, και αποτέλεσαν αντικείμενο περαιτέρω προβληματισμού και διαλόγου. Ανταποκρινόμενη στις μεταβαλλόμενες προκλήσεις, η Ένωση έχει επικαιροποιήσει τις προτεραιότητες της πολιτικής της όσον αφορά την ασφάλεια δικτύων και πληροφοριών σε μια σειρά εγγράφων, όπου συμπεριλαμβάνονται η ανακοίνωση της Επιτροπής του 2006 « Στρατηγική για ασφαλή κοινωνία της πληροφορίας – Διάλογος, πνεύμα συνεργασίας και ενίσχυση των ικανοτήτων» [19], το ψήφισμα του Συμβουλίου του 2007 για μια «Στρατηγική για ασφαλή κοινωνία της πληροφορίας στην Ευρώπη»[20], η ανακοίνωση του 2009 «Προστασία υποδομών πληροφοριών ζωτικής σημασίας - Προστασία της Ευρώπης από επιθέσεις στον κυβερνοχώρο και διαταραχές μεγάλης κλίμακας: αναβάθμιση της ετοιμότητας, της ασφάλειας και της ικανότητας αποκατάστασης» [21], τα συμπεράσματα της προεδρίας της υπουργικής διάσκεψης για την «Προστασία υποδομών πληροφοριών ζωτικής σημασίας» (CIIP), το ψήφισμα του Συμβουλίου του 2009 «για μια ευρωπαϊκή συνεργατική προσέγγιση όσον αφορά την ασφάλεια δικτύων και πληροφοριών»[22]. Αναγνωρίστηκε η ανάγκη εκσυγχρονισμού και ενίσχυσης του Οργανισμού ώστε να συμβάλλει επιτυχώς στις προσπάθειες των ευρωπαϊκών θεσμικών οργάνων και των κρατών μελών να αναπτύξουν ευρωπαϊκά μέσα για την αντιμετώπιση των προκλήσεων που αφορούν την ασφάλεια δικτύων και πληροφοριών. Πιο πρόσφατα, η Επιτροπή ενέκρινε το «Ψηφιακό θεματολόγιο για την Ευρώπη»[23], μια εμβληματική πρωτοβουλία στο πλαίσιο της στρατηγικής «Ευρώπη 2020». Το εν λόγω σφαιρικό θεματολόγιο αποσκοπεί στην εκμετάλλευση και προώθηση των δυνατοτήτων των ΤΠΕ προκειμένου οι εν λόγω δυνατότητες να μετασχηματιστούν σε αειφόρο ανάπτυξη και καινοτομία. Η προώθηση της εμπιστοσύνης και της πίστης στην κοινωνία της πληροφορίας αποτελεί έναν από τους κύριους στόχους του εν λόγω σφαιρικού θεματολογίου, στο πλαίσιο του οποίου αναγγέλθηκαν ορισμένες δράσεις που πρόκειται να αναλάβει η Επιτροπή στο εν λόγω πεδίο, στις οποίες συμπεριλαμβάνεται η παρούσα πρόταση. (7) Τα μέτρα για την εσωτερική αγορά στον τομέα της ασφάλειας των ηλεκτρονικών επικοινωνιών και γενικότερα της ασφάλειας δικτύων και πληροφοριών απαιτούν διαφορετικές μορφές τεχνικών και οργανωτικών εφαρμογών από τα κράτη μέλη και την Επιτροπή. Η ετερόκλητη εφαρμογή των εν λόγω απαιτήσεων μπορεί να οδηγήσει σε έλλειψη αποδοτικότητας και να δημιουργήσει φραγμούς στην εσωτερική αγορά. Υπάρχει ανάγκη δημιουργίας, σε ευρωπαϊκό επίπεδο, ενός κέντρου εμπειρογνωσίας το οποίο θα παρέχει κατευθυντήριες γραμμές, συμβουλές και, εφόσον κληθεί, συνδρομή επί θεμάτων που σχετίζονται με την ασφάλεια δικτύων και πληροφοριών, στο οποίο να μπορούν να στηρίζονται τα κράτη μέλη και τα ευρωπαϊκά θεσμικά όργανα. Ο Οργανισμός μπορεί να ανταποκρίνεται στις εν λόγω ανάγκες αναπτύσσοντας και διατηρώντας ένα υψηλό επίπεδο εμπειρογνωσίας και συνδράμοντας τα κράτη μέλη, την Επιτροπή και, κατά συνέπεια, τον επιχειρηματικό κλάδο, παρέχοντας βοήθεια ώστε να ανταποκριθούν στις νομικές και ρυθμιστικές απαιτήσεις της ασφάλειας δικτύων και πληροφοριών, συμβάλλοντας έτσι στην ομαλή λειτουργία της εσωτερικής αγοράς. (8) Ο Οργανισμός πρέπει να εκτελεί τα καθήκοντα που του ανατίθενται από την ισχύουσα νομοθεσία της Ένωσης στο πεδίο των ηλεκτρονικών επικοινωνιών και, γενικά, να συμβάλλει σε ένα ενισχυμένο επίπεδο ασφάλειας των ηλεκτρονικών επικοινωνιών, μεταξύ άλλων, παρέχοντας εμπειρογνωσία και συμβουλές και προωθώντας την ανταλλαγή ορθών πρακτικών. (9) Η οδηγία 2002/21/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 7ης Μαρτίου 2002, σχετικά με κοινό κανονιστικό πλαίσιο για δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών (οδηγία πλαίσιο)[24] απαιτεί περαιτέρω από τους παρόχους δημοσίων δικτύων ηλεκτρονικών επικοινωνιών ή υπηρεσιών ηλεκτρονικών επικοινωνιών που διατίθενται στο κοινό να λάβουν κατάλληλα μέτρα για τη διασφάλιση της ακεραιότητας και της ασφάλειάς τους και εισάγει απαιτήσεις σχετικά με την κοινοποίηση παραβιάσεων της ασφάλειας και απώλειας ακεραιότητας. Κατά περίπτωση, ο Οργανισμός πρέπει επίσης να ενημερώνεται από τις εθνικές ρυθμιστικές αρχές, οι οποίες οφείλουν επίσης να υποβάλλουν στην Επιτροπή και στον Οργανισμό ετήσια συνοπτική έκθεση για τις κοινοποιήσεις που έλαβαν και τις δράσεις που ανέλαβαν. Η οδηγία 2002/21/EΚ καλεί επιπλέον τον Οργανισμό να συμβάλει στην εναρμόνιση των κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας παρέχοντας γνωμοδοτήσεις. (10) Η οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες)[25] απαιτεί από τον πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών που διατίθενται στο κοινό να λάβει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίσει την ασφάλεια των υπηρεσιών του και απαιτεί επίσης το απόρρητο των επικοινωνιών και των σχετικών δεδομένων κυκλοφορίας. Η οδηγία 2002/58/ΕΚ εισάγει απαιτήσεις σχετικά με την ενημέρωση και κοινοποίηση παραβιάσεων των δεδομένων προσωπικού χαρακτήρα για τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών. Απαιτεί επίσης από την Επιτροπή να συμβουλεύεται τον Οργανισμό για κάθε τεχνικό εκτελεστικό μέτρο που πρόκειται να εγκρίνει σχετικά με τις συνθήκες ή τη μορφή και τις διαδικασίες που ισχύουν για τις απαιτήσεις ενημέρωσης και κοινοποίησης. Η οδηγία 95/46/EΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών[26], απαιτεί από τα κράτη μέλη να μεριμνήσουν ώστε ο ελεγκτής να εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να προστατεύσει τα δεδομένα προσωπικού χαρακτήρα από τυχαία ή παράνομη καταστροφή ή από τυχαία απώλεια, μετατροπή, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση, ιδίως όταν η επεξεργασία περιλαμβάνει τη μετάδοση δεδομένων επί δικτύου, καθώς επίσης και κατά κάθε άλλης παράνομης μορφής επεξεργασίας. (11) Ο Οργανισμός πρέπει να συμβάλλει σε ένα υψηλό επίπεδο ασφάλειας δικτύων και πληροφοριών εντός της Ένωσης και να διαπλάθει μια αντίληψη για την ασφάλεια δικτύων και πληροφοριών προς όφελος των πολιτών, των καταναλωτών, των επιχειρήσεων και των οργανισμών του δημόσιου τομέα στην Ευρωπαϊκή Ένωση, συμβάλλοντας έτσι στην ομαλή λειτουργία της εσωτερικής αγοράς. (12) Για μια σειρά καθηκόντων πρέπει να καταδειχθεί ο τρόπος με τον οποίο Οργανισμός οφείλει να επιτύχει τους στόχους του, παρέχοντάς του παράλληλα ευελιξία στο έργο του. Στα καθήκοντα που εκτελεί ο Οργανισμός πρέπει να συγκαταλέγονται η συλλογή κατάλληλων πληροφοριών και δεδομένων που είναι αναγκαία για τη διεξαγωγή αναλύσεων των κινδύνων που αφορούν την ασφάλεια και την ανθεκτικότητα των ηλεκτρονικών επικοινωνιών, των υποδομών και των υπηρεσιών, καθώς και για την εκτίμηση, σε συνεργασία με τα κράτη μέλη, της κατάστασης όσον αφορά την ασφάλεια δικτύων και πληροφοριών στην Ευρώπη. Ο Οργανισμός πρέπει να διασφαλίζει τον συντονισμό με τα κράτη μέλη και να ενισχύει τη συνεργασία μεταξύ των άμεσα ενδιαφερομένων στην Ευρώπη, ιδίως εμπλέκοντας στις δραστηριότητές του τους αρμόδιους εθνικούς φορείς και εμπειρογνώμονες του ιδιωτικού τομέα στο πεδίο της ασφάλειας δικτύων και πληροφοριών. Ο Οργανισμός πρέπει να παρέχει συνδρομή στην Επιτροπή και στα κράτη μέλη κατά τη διεξαγωγή του διαλόγου με τον κλάδο για την αντιμετώπιση προβλημάτων ασφαλείας σε προϊόντα υλισμικού και λογισμικού, συμβάλλοντας έτσι σε μια συνεργατική προσέγγιση της ασφάλειας δικτύων και πληροφοριών. (13) Ο Οργανισμός πρέπει να λειτουργεί ως σημείο αναφοράς και να εμπνέει εμπιστοσύνη χάρη στην ανεξαρτησία του, την ποιότητα των συμβουλών που παρέχει και των πληροφοριών που διαδίδει, τη διαφάνεια των διαδικασιών και μεθόδων λειτουργίας του και την ταχύτητα με την οποία εκτελεί τα καθήκοντα που του ανατέθηκαν. Ο Οργανισμός πρέπει να έχει ως βάση τις εθνικές προσπάθειες και τις προσπάθειες σε επίπεδο Ένωσης και, επομένως, να εκτελεί τα καθήκοντά του σε στενή συνεργασία με τα κράτη μέλη και να είναι ανοικτός σε επαφές με τον κλάδο και άλλους σχετικούς άμεσα ενδιαφερόμενους. Επιπροσθέτως, ο Οργανισμός πρέπει να αξιοποιεί τις εισροές από τον ιδιωτικό τομέα και τη συνεργασία με αυτόν, καθώς ο εν λόγω τομέας διαδραματίζει σημαντικό ρόλο στη διασφάλιση των ηλεκτρονικών επικοινωνιών, των υποδομών και των υπηρεσιών. (14) Η Επιτροπή δημιούργησε την Ευρωπαϊκή Σύμπραξη Δημόσιου-Ιδιωτικού Τομέα για την Ανθεκτικότητα, η οποία αποτελεί ένα ευέλικτο πανευρωπαϊκό πλαίσιο διαχείρισης της ανθεκτικότητας των υποδομών ΤΠΕ και στην οποία ο Οργανισμός πρέπει να διαδραματίσει διευκολυντικό ρόλο, συνενώνοντας τους άμεσα ενδιαφερόμενους του δημοσίου και του ιδιωτικού τομέα προκειμένου να συζητήσουν τις προτεραιότητες της δημόσιας πολιτικής καθώς και τις οικονομικές και εμπορικές διαστάσεις των προκλήσεων και των μέτρων για την ανθεκτικότητα της υποδομής των ΤΠΕ και να προσδιορίσουν την ευθύνη των άμεσα ενδιαφερομένων. (15) Ο Οργανισμός πρέπει να παρέχει συμβουλές στην Επιτροπή μέσω γνωμοδοτήσεων και τεχνικών και κοινωνικοοικονομικών αναλύσεων, κατόπιν αιτήματος της Επιτροπής ή με δική του πρωτοβουλία, προκειμένου να βοηθήσει τη χάραξη πολιτικής στο πεδίο της ασφάλειας δικτύων και πληροφοριών. Ο Οργανισμός πρέπει επίσης να συνδράμει, κατόπιν αιτήματός τους, τα κράτη μέλη και τα ευρωπαϊκά θεσμικά όργανα και φορείς στις προσπάθειές τους να εκπονήσουν την πολιτική και τα μέσα για την ασφάλεια δικτύων και πληροφοριών. (16) Ο Οργανισμός πρέπει να συνδράμει τα κράτη μέλη και τα ευρωπαϊκά θεσμικά όργανα στις προσπάθειές τους να οικοδομήσουν και να αναπτύξουν διασυνοριακά μέσα και την ετοιμότητα για πρόληψη, εντοπισμό, μετριασμό και αντιμετώπιση προβλημάτων και περιστατικών που αφορούν την ασφάλεια δικτύων και πληροφοριών· εν προκειμένω, ο Οργανισμός πρέπει να διευκολύνει τη συνεργασία μεταξύ των κρατών μελών και μεταξύ κρατών μελών και Επιτροπής. Για το σκοπό αυτό, ο Οργανισμός πρέπει να διαδραματίσει ενεργό ρόλο στη στήριξη των κρατών μελών στις συνεχείς προσπάθειες που καταβάλλουν για βελτίωση της ικανότητας αντίδρασής τους και να διοργανώσει και πραγματοποιήσει εθνικές και ευρωπαϊκές ασκήσεις με αντικείμενο περιστατικά που αφορούν την ασφάλεια. (17) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται σύμφωνα με τον παρόντα κανονισμό διέπεται από την οδηγία 95/46/ΕΚ. (18) Για την καλύτερη κατανόηση των προκλήσεων στο πεδίο της ασφάλειας δικτύων και πληροφοριών, ο Οργανισμός χρειάζεται να αναλύσει τους υφιστάμενους και αναδυόμενους κινδύνους. Για το σκοπό αυτό, ο Οργανισμός πρέπει σε συνεργασία με τα κράτη μέλη και, όπου κρίνεται σκόπιμο, με τις στατιστικές υπηρεσίες να συλλέγει τις σχετικές πληροφορίες. Επιπροσθέτως, ο Οργανισμός πρέπει να συνδράμει τα κράτη μέλη και τα ευρωπαϊκά θεσμικά όργανα και φορείς στις προσπάθειές τους να συλλέξουν, να αναλύσουν και να διαδώσουν τα δεδομένα σχετικά με την ασφάλεια δικτύων και πληροφοριών. (19) Κατά τη διεξαγωγή δραστηριοτήτων παρακολούθησης στην Ένωση, ο Οργανισμός πρέπει να διευκολύνει τη συνεργασία μεταξύ της Ένωσης και των κρατών μελών κατά την εκτίμηση της κατάστασης της ασφάλειας δικτύων και πληροφοριών στην Ευρώπη και να συμβάλλει στις δραστηριότητες εκτίμησης σε συνεργασία με τα κράτη μέλη. (20) Ο Οργανισμός πρέπει να διευκολύνει τη συνεργασία μεταξύ των αρμοδίων δημόσιων οργανισμών των κρατών μελών, ιδίως υποστηρίζοντας την ανάπτυξη και ανταλλαγή ορθών πρακτικών και προτύπων για προγράμματα εκπαίδευσης και μέτρα ευαισθητοποίησης. Η ενίσχυση της ανταλλαγής πληροφοριών μεταξύ των κρατών μελών θα διευκολύνει την εν λόγω δράση. Ο Οργανισμός πρέπει επίσης να υποστηρίξει τη συνεργασία μεταξύ των ενδιαφερομένων του δημόσιου και του ιδιωτικού τομέα σε επίπεδο Ένωσης, κατά ένα μέρος προωθώντας την ανταλλαγή πληροφοριών, τις εκστρατείες ευαισθητοποίησης και τα προγράμματα εκπαίδευσης και επιμόρφωσης. (21) Οι αποδοτικές πολιτικές ασφαλείας πρέπει να βασίζονται σε σωστά εκπονηθείσες μεθόδους εκτίμησης κινδύνου, τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα. Οι μέθοδοι και οι διαδικασίες εκτίμησης κινδύνου χρησιμοποιούνται σε διαφορετικά επίπεδα, και δεν υπάρχουν κοινές πρακτικές όσον αφορά την αποδοτική εφαρμογή τους. Η προώθηση και ανάπτυξη βέλτιστων πρακτικών για την εκτίμηση κινδύνου και για διαλειτουργικές λύσεις διαχείρισης κινδύνου σε οργανισμούς του δημοσίου και του ιδιωτικού τομέα θα βελτιώσει το επίπεδο ασφάλειας των δικτύων και των συστημάτων πληροφοριών στην Ευρώπη. Για το σκοπό αυτό, ο Οργανισμός πρέπει να υποστηρίζει τη συνεργασία μεταξύ των ενδιαφερομένων του δημοσίου και του ιδιωτικού τομέα σε επίπεδο Ένωσης, διευκολύνοντας τις προσπάθειές τους σχετικά με την εκπόνηση και χρήση προτύπων για τη διαχείριση κινδύνου και τη μετρήσιμη ασφάλεια ηλεκτρονικών προϊόντων, συστημάτων, δικτύων και υπηρεσιών. (22) Κατά την εκτέλεση των εργασιών του, ο Οργανισμός θα πρέπει να λαμβάνει υπόψη τις τρέχουσες δραστηριότητες έρευνας, ανάπτυξης και τεχνολογικής αξιολόγησης, ιδίως εκείνες που διεξάγονται στο πλαίσιο διαφόρων ερευνητικών πρωτοβουλιών της Ευρωπαϊκής Ένωσης. (23) Όταν κρίνεται σκόπιμο και χρήσιμο για την εκπλήρωση της αποστολής, των στόχων και των καθηκόντων του, ο Οργανισμός πρέπει να ανταλλάσσει εμπειρίες και γενικές πληροφορίες με οργανισμούς και φορείς που συστάθηκαν δυνάμει του δικαίου της Ευρωπαϊκής Ένωσης και ασχολούνται με την ασφάλεια δικτύων και πληροφοριών. (24) Κατά τις επαφές του με τα όργανα επιβολής του νόμου σχετικά με τις πτυχές ασφάλειας της εγκληματικότητας στον κυβερνοχώρο, ο Οργανισμός αξιοποιεί τους υφιστάμενους διαύλους ενημέρωσης και τα καθιερωμένα δίκτυα όπως τα σημεία επαφής που μνημονεύονται στην πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τις επιθέσεις κατά των πληροφοριακών συστημάτων, η οποία καταργεί την οδηγία πλαίσιο 2005/222/JHA, ή την ομάδα ειδικών καθηκόντων της Ευρωπαϊκής Αστυνομικής Υπηρεσίας (Europol) η οποία απαρτίζεται από προϊσταμένους μονάδων επιφορτισμένων με την εγκληματικότητα υψηλής τεχνολογίας. (25) Προκειμένου να διασφαλίσει την πλήρη επίτευξη των στόχων του, ο Οργανισμός πρέπει να έρχεται σε επαφή με τα όργανα επιβολής του νόμου και τις αρχές προστασίας της ιδιωτικής ζωής για να αναδείξει και να αντιμετωπίσει κατάλληλα τις πτυχές της καταπολέμησης της εγκληματικότητας στον κυβερνοχώρο που αφορούν την ασφάλεια δικτύων και πληροφοριών. Εκπρόσωποι των εν λόγω αρχών πρέπει να καταστούν μέλη του Οργανισμού με πλήρη δικαιώματα και να εκπροσωπούνται στη Μόνιμη Ομάδα Ενδιαφερομένων του Οργανισμού. (26) Τα προβλήματα ασφάλειας δικτύων και πληροφοριών είναι παγκόσμια. Υπάρχει ανάγκη στενότερης διεθνούς συνεργασίας για τη βελτίωση των προτύπων ασφαλείας, τη βελτίωση της ανταλλαγής πληροφοριών και την προώθηση μιας κοινής παγκόσμιας προσέγγισης των θεμάτων ασφάλειας δικτύων και πληροφοριών. Για το σκοπό αυτό, ο Οργανισμός πρέπει να υποστηρίζει τη συνεργασία με τρίτες χώρες και διεθνείς οργανισμούς, συνεργαζόμενος, ενδεχομένως, με την Ευρωπαϊκή Υπηρεσία Εξωτερικής Δράσης (EEAS). (27) Ο Οργανισμός, κατά την άσκηση των καθηκόντων του, δεν πρέπει να προσκρούει στις αρμοδιότητες, ούτε να σφετερίζεται, παρακωλύει ή επικαλύπτει τις σχετικές εξουσίες και καθήκοντα που ανατέθηκαν: στις εθνικές ρυθμιστικές αρχές, όπως προβλέπεται στις οδηγίες για τα δίκτυα και τις υπηρεσίες ηλεκτρονικών επικοινωνιών, καθώς και στον Φορέα Ευρωπαϊκών Ρυθμιστικών Αρχών στις Ηλεκτρονικές Επικοινωνίες (BEREC) που συστάθηκε δυνάμει του κανονισμού 1211/2009[27] του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και της επιτροπής επικοινωνιών που αναφέρεται στην οδηγία 2002/21/ΕΚ, στους ευρωπαϊκούς οργανισμούς τυποποίησης, στους εθνικούς οργανισμούς τυποποίησης και στη μόνιμη επιτροπή που προβλέπεται στην οδηγία 98/34/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 22ας Ιουνίου 1998, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών προτύπων και κανονισμών, και των κανόνων για τις υπηρεσίες της κοινωνίας της πληροφορίας[28], και στις εποπτικές αρχές των κρατών μελών ενόψει της προστασίας των φυσικών προσώπων από την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των εν λόγω δεδομένων. (28) Προκειμένου να διασφαλισθεί ότι ο Οργανισμός είναι αποτελεσματικός, τα κράτη μέλη και η Επιτροπή πρέπει να εκπροσωπούνται στο Διοικητικό Συμβούλιο, το οποίο πρέπει να καθορίσει τη γενική κατεύθυνση των εργασιών του Οργανισμού και να διασφαλίσει ότι ο Οργανισμός εκτελεί τα καθήκοντά του σύμφωνα με τον παρόντα κανονισμό. Πρέπει να εκχωρηθούν στο Διοικητικό Συμβούλιο οι αναγκαίες εξουσίες για την κατάρτιση του προϋπολογισμού, τον έλεγχο της εκτέλεσής του, την έγκριση κατάλληλων δημοσιονομικών κανόνων, τη θέσπιση διαφανών διαδικασιών εργασίας για τη λήψη αποφάσεων από τον Οργανισμό, την έγκριση του προγράμματος εργασίας του Οργανισμού, την έγκριση του εσωτερικού κανονισμού και των εσωτερικών κανόνων λειτουργίας του Οργανισμού καθώς και τον διορισμό και τη λήψη απόφασης για παράταση ή λήξη της θητείας του εκτελεστικού διευθυντή. Το Διοικητικό Συμβούλιο πρέπει να είναι σε θέση να συγκροτεί όργανα εργασίας που θα το συνεπικουρούν στην εκτέλεση των καθηκόντων του· τα εν λόγω όργανα θα μπορούν παραδείγματος χάριν να εκπονούν τις αποφάσεις του ή να παρακολουθούν την εφαρμογή τους. (29) Για την ομαλή λειτουργία του Οργανισμού, ο εκτελεστικός διευθυντής του επιβάλλεται να διορίζεται βάσει προσόντων και αποδεδειγμένων διοικητικών και διευθυντικών ικανοτήτων, καθώς και βάσει ικανοτήτων και πείρας στον τομέα της ασφάλειας δικτύων και πληροφοριών, και να εκτελεί τα καθήκοντά του σε πλήρη ανεξαρτησία ως προς την οργάνωση της εσωτερικής λειτουργίας του Οργανισμού. Για το σκοπό αυτό, ο εκτελεστικός διευθυντής πρέπει να εκπονήσει πρόταση για το πρόγραμμα εργασίας του Οργανισμού, κατόπιν προηγούμενης διαβούλευσης με τις υπηρεσίες της Επιτροπής, και να λάβει όλα τα αναγκαία μέτρα για να διασφαλίσει την ορθή εκτέλεση του προγράμματος εργασίας του Οργανισμού. Κάθε χρόνο πρέπει να καταρτίζει σχέδιο γενικής έκθεσης το οποίο θα υποβάλλει στο Διοικητικό Συμβούλιο, να εκπονεί σχέδιο της κατάστασης των εκτιμώμενων εσόδων και εξόδων του Οργανισμού, και να εκτελεί τον προϋπολογισμό. (30) Ο εκτελεστικός διευθυντής πρέπει να έχει τη δυνατότητα να συγκροτεί ad hoc ομάδες εργασίας για την αντιμετώπιση ειδικών θεμάτων, ιδίως επιστημονικής, τεχνικής, νομικής ή κοινωνικοοικονομικής φύσεως. Κατά τη συγκρότηση των ad hoc ομάδων εργασίας ο εκτελεστικός διευθυντής πρέπει να επιδιώκει να συγκεντρώνει και να λαμβάνει υπόψη τις γνωμοδοτήσεις των σχετικών εξωτερικών εμπειρογνωμόνων οι οποίες είναι αναγκαίες προκειμένου ο Οργανισμός να μπορεί να έχει πρόσβαση στις πλέον επικαιροποιημένες διαθέσιμες πληροφορίες για τις προκλήσεις σε θέματα ασφάλειας που αναδύονται από την αναπτυσσόμενη κοινωνία της πληροφορίας. Ο Οργανισμός πρέπει να διασφαλίζει ότι τα μέλη των ad hoc ομάδων εργασίας επιλέγονται σύμφωνα με τα υψηλότερα πρότυπα εμπειρογνωσίας, λαμβάνοντας δεόντως υπόψη μια ισορροπημένη εκπροσώπηση - όπου κρίνεται σκόπιμο αναλόγως του συγκεκριμένου θέματος- των δημόσιων διοικήσεων των κρατών μελών, του ιδιωτικού τομέα, συμπεριλαμβανομένου του επιχειρηματικού κλάδου, των χρηστών και των πανεπιστημιακών που είναι ειδικοί στο πεδίο της ασφάλειας δικτύων και πληροφοριών. Ο Οργανισμός μπορεί, εάν παραστεί ανάγκη, να προσκαλέσει μεμονωμένους ειδικούς αναγνωρισμένων προσόντων στο σχετικό πεδίο να συμμετάσχουν στις δραστηριότητες των ομάδων εργασίας, κατά περίπτωση. Τα έξοδά τους πρέπει να καλύπτονται από τον Οργανισμό, σύμφωνα με τους εσωτερικούς κανόνες λειτουργίας του και βάσει των υφιστάμενων δημοσιονομικών κανονισμών. (31) Ο Οργανισμός πρέπει να διαθέτει μια μόνιμη ομάδα ενδιαφερομένων ως συμβουλευτικό όργανο, προκειμένου να διασφαλίσει τον τακτικό διάλογο με τον ιδιωτικό τομέα, τις οργανώσεις καταναλωτών και τους άλλους σχετικούς άμεσα ενδιαφερόμενους. Η μόνιμη ομάδα ενδιαφερομένων, η οποία συγκροτείται από το Διοικητικό Συμβούλιο κατόπιν πρότασης του εκτελεστικού διευθυντή πρέπει να επικεντρώνεται σε θέματα που αφορούν όλους τους άμεσα ενδιαφερόμενους και να τα θέτει υπόψη του Οργανισμού. Ο εκτελεστικός διευθυντής μπορεί, κατά περίπτωση και ανάλογα με την ημερήσια διάταξη των συνεδριάσεων, να προσκαλεί εκπροσώπους του Ευρωπαϊκού Κοινοβουλίου και άλλων αρμοδίων φορέων να συμμετάσχουν στις συνεδριάσεις της ομάδας. (32) Ο Οργανισμός λειτουργεί, αντιστοίχως, σύμφωνα με (i) την αρχή της επικουρικότητας, διασφαλίζοντας επαρκή βαθμό συντονισμού μεταξύ των κρατών μελών επί θεμάτων που αφορούν την ασφάλεια δικτύων και πληροφοριών και βελτιώνοντας την αποτελεσματικότητα των εθνικών πολιτικών, προσφέροντας με τον τρόπο αυτό προστιθέμενη αξία σε αυτές και (ii) την αρχή της αναλογικότητας, μη υπερβαίνοντας όσα είναι αναγκαία για την επίτευξη των στόχων που τίθενται στον παρόντα κανονισμό. (33) Ο Οργανισμός πρέπει να εφαρμόζει τη σχετική νομοθεσία της Ένωσης σχετικά με τη δημόσια πρόσβαση σε έγγραφα όπως προβλέπεται στον κανονισμό (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου[29] και την προστασία των φυσικών προσώπων όσον αφορά την επεξεργασία προσωπικών δεδομένων η οποία προβλέπεται στον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών[30]. (34) Στο πλαίσιο της αποστολής του, των στόχων του και για την εκτέλεση των καθηκόντων του, ο Οργανισμός πρέπει να συμμορφώνεται ιδίως με τις διατάξεις που ισχύουν για τα ευρωπαϊκά θεσμικά όργανα, καθώς και με την εθνική νομοθεσία σχετικά με το χειρισμό ευαίσθητων εγγράφων. Πρέπει να εκχωρηθούν στο Διοικητικό Συμβούλιο εξουσίες για λήψη απόφασης με την οποία θα επιτρέπεται στον Οργανισμό να χειρίζεται διαβαθμισμένες πληροφορίες. (35) Προκειμένου να διασφαλισθεί η πλήρης αυτονομία και ανεξαρτησία του Οργανισμού θεωρείται αναγκαίο να του διατεθεί αυτόνομος προϋπολογισμός του οποίου τα έσοδα προέρχονται πρωτίστως από εισφορές της Ένωσης και από εισφορές τρίτων χωρών που συμμετέχουν τις εργασίες του Οργανισμού. Πρέπει να επιτρέπεται στο κράτος μέλος υποδοχής ή σε οποιοδήποτε άλλο κράτος μέλος να συνεισφέρει εθελοντικά στα έσοδα του Οργανισμού. Η δημοσιονομική διαδικασία της Ένωσης παραμένει σε ισχύ όσον αφορά τις επιδοτήσεις που βαρύνουν τον γενικό προϋπολογισμό της Ευρωπαϊκής Ένωσης. Επιπλέον, το Ελεγκτικό Συνέδριο πρέπει να προβαίνει σε έλεγχο των λογαριασμών. (36) Ο Οργανισμός πρέπει να διαδεχθεί τον ENISA όπως συστάθηκε δυνάμει του κανονισμού αριθ. 460/2004. Στο πλαίσιο της απόφασης των εκπροσώπων των κρατών μελών, κατά τη συνεδρίαση του Ευρωπαϊκού Συμβουλίου της 13ης Δεκεμβρίου 2003, το κράτος μέλος υποδοχής πρέπει να διατηρήσει και να αναπτύξει τις υφιστάμενες πρακτικές ρυθμίσεις προκειμένου να διασφαλίσει την ομαλή και αποδοτική λειτουργία του Οργανισμού, λαμβάνοντας ιδιαιτέρως υπόψη τη συνεργασία του Οργανισμού και την παροχή συνδρομής στην Επιτροπή, στα κράτη μέλη και στους αρμόδιους φορείς αυτών, σε άλλα θεσμικά όργανα και φορείς της Ένωσης, και σε ενδιαφερόμενους του δημοσίου και ιδιωτικού τομέα από ολόκληρη την Ευρώπη. (37) Ο Οργανισμός πρέπει να συσταθεί για περιορισμένο χρονικό διάστημα. Το έργο του πρέπει να αξιολογείται με γνώμονα την αποτελεσματικότητα επίτευξης των στόχων και των εργασιακών πρακτικών του, προκειμένου να καθοριστεί κατά πόσο οι στόχοι του Οργανισμού εξακολουθούν να ισχύουν ή όχι και βάσει αυτού κατά πόσο πρέπει να παραταθεί περαιτέρω η διάρκεια λειτουργίας του. ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ: ΤΜΗΜΑ 1 ΑΠΟΣΤΟΛΗ, ΣΤΟΧΟΙ ΚΑΙ ΚΑΘΗΚΟΝΤΑ Άρθρο 1 Αντικείμενο και αποστολή 1. Με τον παρόντα κανονισμό ιδρύεται ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (εφεξής «ο Οργανισμός») με σκοπό να συμβάλει σε ένα υψηλό επίπεδο ασφάλειας των δικτύων και των πληροφοριών εντός της Ένωσης, να ευαισθητοποιήσει την κοινωνία και να προωθήσει μια αντίληψη ασφάλειας των δικτύων και των πληροφοριών προς όφελος των πολιτών, των καταναλωτών, των επιχειρήσεων και των οργανισμών του δημόσιου τομέα της Ένωσης, συμβάλλοντας έτσι στην ομαλή λειτουργία της εσωτερικής αγοράς. 2. Οι στόχοι και τα καθήκοντα του Οργανισμού δεν θίγουν τις αρμοδιότητες των κρατών μελών σχετικά με την ασφάλεια δικτύων και πληροφοριών ούτε, σε κάθε περίπτωση, τις δραστηριότητες που αφορούν τη δημόσια ασφάλεια, την άμυνα, την κρατική ασφάλεια (συμπεριλαμβανομένης της οικονομικής ευημερίας του κράτους όταν πρόκειται για θέματα που αφορούν κρατικά ζητήματα ασφάλειας) ή τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου. 3. Για τους σκοπούς του παρόντος κανονισμού, ως « ασφάλεια δικτύων και πληροφοριών » νοείται η ικανότητα ενός δικτύου ή ενός συστήματος πληροφοριών να ανθίσταται, σε ένα δεδομένο επίπεδο εμπιστοσύνης, σε τυχαία γεγονότα ή σε παράνομες ή κακόβουλες δράσεις που θέτουν σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα και το απόρρητο των αποθηκευμένων ή διαβιβασμένων δεδομένων και των σχετικών υπηρεσιών που προσφέρονται ή καθίστανται προσβάσιμες από τα εν λόγω δίκτυα ή συστήματα. Άρθρο 2 Στόχοι 1. Ο Οργανισμός συνεπικουρεί την Επιτροπή και τα κράτη μέλη στην εκπλήρωση των νομικών και ρυθμιστικών απαιτήσεων της ισχύουσας και μελλοντικής νομοθεσίας της Ευρωπαϊκής Ένωσης σχετικά με την ασφάλεια δικτύων και πληροφοριών, συμβάλλοντας έτσι στην ομαλή λειτουργία της εσωτερικής αγοράς. 2. Ο Οργανισμός ενισχύει την ικανότητα και την ετοιμότητα της Ένωσης και των κρατών μελών να προλαμβάνουν, να εντοπίζουν και αντιμετωπίζουν προβλήματα και περιστατικά που αφορούν την ασφάλεια δικτύων και πληροφοριών. 3. Ο Οργανισμός αναπτύσσει και διατηρεί ένα υψηλό επίπεδο εμπειρογνωσίας και χρησιμοποιεί την εν λόγω εμπειρογνωσία προκειμένου να ενισχύσει την ευρεία συνεργασία μεταξύ φορέων του δημόσιου και ιδιωτικού τομέα. Άρθρο 3 Καθήκοντα 1. Στο πλαίσιο του στόχου που τίθεται στο άρθρο 1, ο Οργανισμός εκτελεί τα ακόλουθα καθήκοντα: α) Συνεπικουρεί την Επιτροπή, κατόπιν αιτήματός της ή με δική του πρωτοβουλία, στη χάραξη πολιτικής για την ασφάλεια δικτύων και πληροφοριών, παρέχοντας συμβουλές και γνωμοδοτήσεις, τεχνικές και κοινωνικοοικονομικές αναλύσεις, καθώς και με προπαρασκευαστικό έργο για την εκπόνηση και επικαιροποίηση της νομοθεσίας της Ένωσης στο πεδίο της ασφάλειας δικτύων και πληροφοριών· β) Διευκολύνει τη συνεργασία μεταξύ των κρατών μελών και μεταξύ κρατών μελών και Επιτροπής στις προσπάθειες που καταβάλλουν σε διασυνοριακό πλαίσιο για την πρόληψη, εντοπισμό και αντιμετώπιση περιστατικών που αφορούν την ασφάλεια δικτύων και πληροφοριών· γ) Συνδράμει τα κράτη μέλη και τα ευρωπαϊκά θεσμικά όργανα και φορείς στις προσπάθειές τους να συλλέξουν, να αναλύσουν και να διαδώσουν δεδομένα σχετικά με την ασφάλεια δικτύων και πληροφοριών· δ) Αξιολογεί σε τακτά χρονικά διαστήματα, σε συνεργασία με τα κράτη μέλη και τα ευρωπαϊκά θεσμικά όργανα, την κατάσταση όσον αφορά την ασφάλεια δικτύων και πληροφοριών στην Ευρώπη· ε) Στηρίζει τη συνεργασία μεταξύ των αρμόδιων δημόσιων οργανισμών στην Ευρώπη, ιδίως υποστηρίζοντας τις προσπάθειές τους να αναπτύξουν και να ανταλλάξουν ορθές πρακτικές και πρότυπα· στ) Συνεπικουρεί την Ένωση και τα κράτη μέλη στην προώθηση της χρήσης ορθών πρακτικών και προτύπων διαχείρισης κινδύνου και ασφάλειας όσον αφορά τα ηλεκτρονικά προϊόντα, συστήματα και υπηρεσίες· ζ) Στηρίζει τη συνεργασία μεταξύ των ενδιαφερομένων του δημόσιου και του ιδιωτικού τομέα σε επίπεδο Ένωσης, μεταξύ άλλων, προωθώντας την ανταλλαγή πληροφοριών και την ευαισθητοποίηση, και διευκολύνοντας τις προσπάθειές τους για ανάπτυξη και χρήση προτύπων για τη διαχείριση κινδύνου και για την ασφάλεια των ηλεκτρονικών προϊόντων, δικτύων και υπηρεσιών· η) Διευκολύνει το διάλογο και την ανταλλαγή ορθών πρακτικών μεταξύ των ενδιαφερομένων του δημόσιου και του ιδιωτικού τομέα για την ασφάλεια δικτύων και πληροφοριών, όπου συμπεριλαμβάνονται πτυχές της καταπολέμησης της εγκληματικότητας στον κυβερνοχώρο· συνδράμει την Επιτροπή στη χάραξη πολιτικών οι οποίες λαμβάνουν υπόψη τις πτυχές ασφάλειας δικτύων και πληροφοριών στην καταπολέμηση της εγκληματικότητας στον κυβερνοχώρο· θ) Συνδράμει τα κράτη μέλη και τα ευρωπαϊκά θεσμικά όργανα και φορείς, κατόπιν αιτήματός τους, στις προσπάθειές τους για την ανάπτυξη μέσων για τον εντοπισμό, την ανάλυση και την αντιμετώπιση επί θεμάτων ασφάλειας δικτύων και πληροφοριών· ι) Στηρίζει τον διάλογο και τη συνεργασία της Ένωσης με τρίτες χώρες και διεθνείς οργανισμούς, σε συνεργασία, κατά περίπτωση, με την Ευρωπαϊκή Υπηρεσία Εξωτερικής Δράσης (EEAS) για την προώθηση της διεθνούς συνεργασίας και μιας παγκόσμιας κοινής προσέγγισης θεμάτων που αφορούν την ασφάλεια δικτύων και πληροφοριών· ια) Εκτελεί τα καθήκοντα που ανατέθηκαν στον Οργανισμό από τις νομοθετικές πράξεις της Ένωσης. ΤΜΗΜΑ 2 ΟΡΓΑΝΩΣΗ Άρθρο 4 Όργανα του Οργανισμού Ο Οργανισμός απαρτίζεται από: α) το Διοικητικό Συμβούλιο· β) τον εκτελεστικό διευθυντή και το προσωπικό· και γ) τη μόνιμη ομάδα ενδιαφερομένων. Άρθρο 5 Διοικητικό Συμβούλιο 1. Το Διοικητικό Συμβούλιο ορίζει τις γενικές κατευθύνσεις λειτουργίας του Οργανισμού και διασφαλίζει ότι ο Οργανισμός λειτουργεί σύμφωνα με τους κανόνες και τις αρχές που θεσπίστηκαν στον παρόντα κανονισμό. Επίσης, διασφαλίζει τη συνοχή των εργασιών του Οργανισμού με τις δραστηριότητες που διεξάγονται από τα κράτη μέλη, καθώς και σε επίπεδο Ένωσης. 2. Το Διοικητικό Συμβούλιο εγκρίνει τον εσωτερικό κανονισμό του κατόπιν συμφωνίας με τις αρμόδιες υπηρεσίες της Επιτροπής. 3. Το Διοικητικό Συμβούλιο εγκρίνει τους εσωτερικούς κανόνες λειτουργίας του Οργανισμού κατόπιν συμφωνίας με τις αρμόδιες υπηρεσίες της Επιτροπής. Οι εν λόγω κανόνες δημοσιοποιούνται. 4. Το Διοικητικό Συμβούλιο διορίζει τον εκτελεστικό διευθυντή σύμφωνα με το άρθρο 10 παράγραφος 2 και μπορεί να τον ανακαλέσει. Το Διοικητικό Συμβούλιο ασκεί πειθαρχική αρμοδιότητα επί του διευθυντή. 5. Το Διοικητικό Συμβούλιο εγκρίνει το πρόγραμμα εργασίας του Οργανισμού σύμφωνα με το άρθρο 13 παράγραφος 3 και τη γενική έκθεση επί των δραστηριοτήτων του Οργανισμού για το προηγούμενο έτος σύμφωνα με το άρθρο 14 παράγραφος 2. 6. Το Διοικητικό Συμβούλιο εγκρίνει τους δημοσιονομικούς κανόνες που ισχύουν για τον Οργανισμό. Οι διατάξεις αυτές δεν πρέπει να αποκλίνουν από τον κανονισμό (ΕΚ, Ευρατόμ) αριθ. 2343/2002 της Επιτροπής, της 19ης Νοεμβρίου 2002, για τη θέσπιση δημοσιονομικού κανονισμού πλαισίου για τους κοινοτικούς οργανισμούς του άρθρου 185 του κανονισμού (ΕΚ, Ευρατόμ) αριθ. 1605/2002 του Συμβουλίου, ο οποίος θεσπίζει το δημοσιονομικό κανονισμό που εφαρμόζεται στον γενικό προϋπολογισμό των Ευρωπαϊκών Κοινοτήτων[31] εκτός εάν μια τέτοια απόκλιση απαιτείται ειδικά για τη λειτουργία του Οργανισμού και αφού η Επιτροπή έχει δώσει προηγουμένως τη συγκατάθεσή της. 7. Το Διοικητικό Συμβούλιο, με τη σύμφωνη γνώμη της Επιτροπής, θεσπίζει τα αναγκαία εκτελεστικά μέτρα, σύμφωνα με το άρθρο 110 του Κανονισμού Υπηρεσιακής Κατάστασης. 8. Το Διοικητικό Συμβούλιο μπορεί να συγκροτεί όργανα εργασίας που απαρτίζονται από τα μέλη της προκειμένου να τη συνδράμουν στην άσκηση των καθηκόντων της, όπου συμπεριλαμβάνονται η εκπόνηση των αποφάσεών της και η παρακολούθηση της εφαρμογής τους. 9. Το Διοικητικό Συμβούλιο μπορεί να εγκρίνει το πολυετές σχέδιο πολιτικής προσωπικού, κατόπιν διαβούλευσης με τις υπηρεσίες της Επιτροπής και εφόσον έχει δεόντως ενημερώσει την αρχή του προϋπολογισμού. Άρθρο 6 Σύνθεση του Διοικητικού Συμβουλίου 1. Το Διοικητικό Συμβούλιο απαρτίζεται από έναν εκπρόσωπο από κάθε κράτος μέλος, τρεις εκπροσώπους που διορίζονται από την Επιτροπή, και τρεις εκπροσώπους χωρίς δικαίωμα ψήφου που διορίζονται από την Επιτροπή, καθένας από τους οποίους προέρχεται από μια από τις ακόλουθες ομάδες: α) κλάδος των τεχνολογιών των πληροφοριών και των επικοινωνιών· β) ενώσεις καταναλωτών· γ) πανεπιστημιακοί, ειδικοί σε θέματα ασφάλειας δικτύων και πληροφοριών. 2. Τα μέλη του Διοικητικού Συμβουλίου και οι αναπληρωτές τους διορίζονται με βάση το βαθμό της σχετικής πείρας και εξειδίκευσής τους στο πεδίο της ασφάλειας δικτύων και πληροφοριών. 3. Η θητεία των εκπροσώπων των ομάδων που αναφέρονται στην παράγραφο 1 στοιχεία α), β) και γ) είναι τετραετής. Η θητεία αυτή μπορεί να παραταθεί άπαξ. Εάν ένας εκπρόσωπος παύσει τη συμμετοχή του στην αντίστοιχη ομάδα συμφερόντων, η Επιτροπή διορίζει αναπληρωτή. Άρθρο 7 Πρόεδρος του Διοικητικού Συμβουλίου Το Διοικητικό Συμβούλιο εκλέγει πρόεδρο και αναπληρωτή πρόεδρο μεταξύ των μελών του για θητεία τριών ετών, η οποία μπορεί να ανανεωθεί. Ο αναπληρωτής πρόεδρος αντικαθιστά ex officio τον πρόεδρο εάν ο τελευταίος δεν είναι σε θέση να εκτελέσει τα καθήκοντά του. Άρθρο 8 Συνεδριάσεις 1. Το Διοικητικό Συμβούλιο συγκαλείται από τον πρόεδρό του. 2. Το Διοικητικό Συμβούλιο συνέρχεται σε τακτική συνεδρίαση δύο φορές ετησίως. Συνέρχεται επίσης σε έκτακτες συνεδριάσεις με πρωτοβουλία του προέδρου ή κατ' αίτηση τουλάχιστον ενός τρίτου των μελών του που διαθέτουν δικαίωμα ψήφου. 3. Ο εκτελεστικός διευθυντής συμμετέχει στις συνεδριάσεις του Διοικητικού Συμβουλίου χωρίς δικαίωμα ψήφου. Άρθρο 9 Ψηφοφορία 1. Το Διοικητικό Συμβούλιο αποφασίζει με την πλειοψηφία των μελών του που διαθέτουν δικαίωμα ψήφου. 2. Απαιτείται πλειοψηφία δύο τρίτων όλων των μελών του Διοικητικού Συμβουλίου που έχουν δικαίωμα ψήφου για την έγκριση του εσωτερικού κανονισμού του, των εσωτερικών κανόνων λειτουργίας του Οργανισμού, του προϋπολογισμού, του ετήσιου προγράμματος εργασίας, καθώς και για τον διορισμό και την παύση του εκτελεστικού διευθυντή. Άρθρο 10 Εκτελεστικός διευθυντής 1. Ο Οργανισμός διοικείται από τον εκτελεστικό διευθυντή του, ο οποίος ενεργεί ανεξάρτητα κατά την άσκηση των καθηκόντων του. 2. Το Διοικητικό Συμβούλιο διορίζει και απολύει τον εκτελεστικό διευθυντή. Ο διορισμός πραγματοποιείται από κατάλογο υποψηφίων που προτάθηκε από την Επιτροπή για θητεία πέντε ετών, με βάση τα προσόντα και τις τεκμηριωμένες διοικητικές και διευθυντικές ικανότητες, καθώς και τις ειδικές ικανότητες και πείρα. Πριν από τον διορισμό, ο επιλεγόμενος από το διοικητικό συμβούλιο υποψήφιος είναι δυνατόν να κληθεί να προβεί σε δήλωση ενώπιον της αρμόδιας επιτροπής του Ευρωπαϊκού Κοινοβουλίου και να απαντήσει σε ερωτήσεις των μελών της. 3. Κατά τη διάρκεια των εννέα μηνών πριν από το τέλος της θητείας αυτής η Επιτροπή προβαίνει σε αξιολόγηση. Κατά την αξιολόγηση, η Επιτροπή εκτιμά κυρίως τα ακόλουθα: - την επίδοση του εκτελεστικού διευθυντή, - τα καθήκοντα και τις ανάγκες του Οργανισμού κατά τα επόμενα έτη. 4. Το Διοικητικό Συμβούλιο, μετά από πρόταση της Επιτροπής, λαμβάνοντας υπόψη την έκθεση αξιολόγησης και μόνο εφόσον δικαιολογείται από τα καθήκοντα και τις ανάγκες του Οργανισμού, δύναται να παρατείνει τη θητεία του εκτελεστικού διευθυντή για διάστημα που δεν υπερβαίνει τα τρία έτη. 5. Το Διοικητικό Συμβούλιο γνωστοποιεί στο Ευρωπαϊκό Κοινοβούλιο την πρόθεσή του να παρατείνει τη θητεία του εκτελεστικού διευθυντή. Εντός ενός μηνός πριν από την παράταση της θητείας του, ο εκτελεστικός διευθυντής είναι δυνατόν να κληθεί να προβεί σε δήλωση ενώπιον της αρμόδιας επιτροπής του Ευρωπαϊκού Κοινοβουλίου και να απαντήσει σε ερωτήσεις των μελών της. 6. Εάν δεν παραταθεί η θητεία του, ο εκτελεστικός διευθυντής εξακολουθεί να ασκεί τα καθήκοντά του μέχρι να διοριστεί ο αντικαταστάτης του. 7. Ο εκτελεστικός διευθυντής είναι υπεύθυνος για: α) την τρέχουσα διοίκηση του Οργανισμού· β) την εκτέλεση του προγράμματος εργασίας και των αποφάσεων που έχουν εγκριθεί από το Διοικητικό Συμβούλιο· γ) τη διασφάλιση ότι ο Οργανισμός ασκεί τις δραστηριότητές του σύμφωνα με τις απαιτήσεις εκείνων που χρησιμοποιούν τις υπηρεσίες του, ιδίως όσον αφορά την καταλληλότητα των παρεχόμενων υπηρεσιών· δ) όλα τα ειδικά θέματα προσωπικού, διασφαλίζοντας τη συμμόρφωση προς τις γενικές κατευθύνσεις του Διοικητικού Συμβουλίου, καθώς και προς τις γενικής φύσεως αποφάσεις του Διοικητικού Συμβουλίου· ε) την ανάπτυξη και διατήρηση των επαφών με τα ευρωπαϊκά θεσμικά όργανα και οργανισμούς· στ) την ανάπτυξη και διατήρηση επαφών με την επιχειρηματική κοινότητα και τις ενώσεις καταναλωτών ώστε να εξασφαλίζεται τακτικός διάλογος με τους σχετικούς άμεσα ενδιαφερόμενους· ζ) άλλα καθήκοντα που του ανατίθενται δυνάμει του παρόντος κανονισμού. 8. Εφόσον κρίνεται αναγκαίο και στο πλαίσιο των στόχων και των καθηκόντων του Οργανισμού, ο εκτελεστικός διευθυντής μπορεί να συγκροτήσει ad hoc ομάδες εργασίες οι οποίες απαρτίζονται από εμπειρογνώμονες. Το Διοικητικό Συμβούλιο ενημερώνεται εκ των προτέρων. Οι διαδικασίες, ιδίως όσον αφορά τη σύνθεση, τον διορισμό των εμπειρογνωμόνων από τον εκτελεστικό διευθυντή και τη λειτουργία των ad hoc ομάδων εργασίας, προσδιορίζονται στους εσωτερικούς κανόνες λειτουργίας του Οργανισμού. 9. Ο εκτελεστικός διευθυντής θέτει στη διάθεση του Διοικητικού Συμβουλίου, εφόσον είναι αναγκαίο, διοικητικό υποστηρικτικό προσωπικό και άλλους πόρους. Άρθρο 11 Μόνιμη Ομάδα Ενδιαφερομένων 1. Το Διοικητικό Συμβούλιο συγκροτεί μια Μόνιμη Ομάδα Ενδιαφερομένων, κατόπιν πρότασης του εκτελεστικού διευθυντή, η οποία απαρτίζεται από εμπειρογνώμονες που αντιπροσωπεύουν τους σχετικούς ενδιαφερόμενους, όπως τον κλάδο των τεχνολογιών των πληροφοριών και των επικοινωνιών, τις ομάδες καταναλωτών, τους πανεπιστημιακούς που είναι ειδικοί στην ασφάλεια δικτύων και πληροφοριών, και τις αρχές επιβολής του νόμου και προστασίας της ιδιωτικής ζωής. 2. Οι διαδικασίες, ιδίως όσον αφορά τον αριθμό, τη σύνθεση και τον διορισμό των μελών από το Διοικητικό Συμβούλιο κατόπιν πρότασης του εκτελεστικού διευθυντή, καθώς και τη λειτουργία της ομάδας καθορίζονται στους εσωτερικούς κανόνες λειτουργίας του Οργανισμού και δημοσιοποιούνται. 3. Πρόεδρος της Ομάδας είναι ο εκτελεστικός διευθυντής. 4. Η διάρκεια της θητείας των μελών της ομάδας είναι δυόμισι έτη. Τα μέλη του Διοικητικού Συμβουλίου δεν επιτρέπεται να είναι μέλη της Ομάδας. Το προσωπικό της Επιτροπής έχει δικαίωμα να παρίσταται στις συνεδριάσεις και να συμμετέχει στις εργασίες της Ομάδας. 5. Η Ομάδα παρέχει συμβουλές στον Οργανισμό κατά την εκτέλεση των δραστηριοτήτων του. Η Ομάδα παρέχει συμβουλές ειδικότερα στον εκτελεστικό διευθυντή κατά την κατάρτιση πρότασης για το πρόγραμμα εργασίας του Οργανισμού και για τη διασφάλιση της επικοινωνίας με τους σχετικούς ενδιαφερόμενους επί όλων των θεμάτων που σχετίζονται με το πρόγραμμα εργασίας. ΤΜΗΜΑ 3 ΛΕΙΤΟΥΡΓΙΑ Άρθρο 1 2 Πρόγραμμα εργασίας 1. Ο Οργανισμός εκτελεί τις εργασίες του σύμφωνα με το πρόγραμμα εργασίας του, το οποίο περιλαμβάνει όλες τις προγραμματισμένες δραστηριότητές του. Το πρόγραμμα εργασίας δεν εμποδίζει τον Οργανισμό να αναλαμβάνει μη προγραμματισμένες δραστηριότητες που εμπίπτουν στους στόχους και στα καθήκοντά του, και εντός των ορίων του προϋπολογισμού. Ο εκτελεστικός διευθυντής ενημερώνει το Διοικητικό Συμβούλιο για τις δραστηριότητες του Οργανισμού που δεν προβλέπονται στο πρόγραμμα εργασίας. 2. Ο εκτελεστικός διευθυντής είναι υπεύθυνος για την κατάρτιση του σχεδίου του προγράμματος εργασίας του Οργανισμού κατόπιν προηγούμενης διαβούλευσης με τις υπηρεσίες της Επιτροπής. Πριν από τις 15 Μαρτίου κάθε έτους ο εκτελεστικός διευθυντής υποβάλλει το σχέδιο του προγράμματος εργασίας του επόμενου έτους στο Διοικητικό Συμβούλιο. 3. Πριν από τις 30 Νοεμβρίου κάθε έτους το Διοικητικό Συμβούλιο εγκρίνει το πρόγραμμα εργασίας του Οργανισμού για το επόμενο έτος κατόπιν διαβουλεύσεων με τις υπηρεσίες της Επιτροπής. Το πρόγραμμα εργασίας περιλαμβάνει τις πολυετείς προοπτικές. Το Διοικητικό Συμβούλιο διασφαλίζει ότι το πρόγραμμα εργασίας συνάδει με τους στόχους του Οργανισμού, καθώς και με τις νομοθετικές και πολιτικές προτεραιότητες της Ένωσης στο πεδίο της ασφάλειας δικτύων και πληροφοριών. 4. Το πρόγραμμα εργασίας διαρθρώνεται σύμφωνα με την αρχή της διαχείρισης βάσει δραστηριοτήτων (ΔΒΔ). Το πρόγραμμα εργασίας εναρμονίζεται με τη δήλωση εκτίμησης εσόδων και εξόδων του Οργανισμού και τον προϋπολογισμό του Οργανισμού για το ίδιο οικονομικό έτος. 5. Ο εκτελεστικός διευθυντής διαβιβάζει το πρόγραμμα εργασίας, μετά από την έγκρισή του από το Διοικητικό Συμβούλιο, στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Επιτροπή και τα κράτη μέλη, και μεριμνά για τη δημοσίευσή του. Άρθρο 1 3 Γενική έκθεση 1. Κάθε έτος, ο εκτελεστικός διευθυντής υποβάλλει στο Διοικητικό Συμβούλιο ένα σχέδιο γενικής έκθεσης το οποίο καλύπτει όλες τις δραστηριότητες του Οργανισμού κατά το προηγούμενο έτος. 2. Πριν από τις 31 Μαρτίου κάθε έτους, το Διοικητικό Συμβούλιο εγκρίνει τη γενική έκθεση δραστηριοτήτων του Οργανισμού για το προηγούμενο έτος. 3. Ο εκτελεστικός διευθυντής διαβιβάζει τη γενική έκθεση του Οργανισμού, μετά από την έγκρισή της από το Διοικητικό Συμβούλιο, στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Επιτροπή, το Ελεγκτικό Συνέδριο, την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών, και μεριμνά για τη δημοσίευσή της. Άρθρο 1 4 Αιτήματα προς τον Οργανισμό 1. Τα αιτήματα παροχής συμβουλών και συνδρομής που εμπίπτουν στους στόχους και τα καθήκοντα του Οργανισμού απευθύνονται στον εκτελεστικό διευθυντή και συνοδεύονται από τεκμηρίωση με την οποία επεξηγείται το θέμα περί του οποίου πρόκειται. Ο εκτελεστικός διευθυντής ενημερώνει το Διοικητικό Συμβούλιο για τα αιτήματα που του υποβλήθηκαν και, εν ευθέτω χρόνω, για τη συνέχεια που δόθηκε σε αυτά. Σε περίπτωση που ο Οργανισμός αρνηθεί ένα αίτημα πρέπει να το αιτιολογήσει. 2. Τα αιτήματα που αναφέρονται στην παράγραφο 1 μπορούν να υποβάλλονται από: α) το Ευρωπαϊκό Κοινοβούλιο· β) το Συμβούλιο· γ) την Επιτροπή· δ) οποιονδήποτε αρμόδιο φορέα που ορίζεται από κράτος μέλος, όπως η εθνική ρυθμιστική αρχή κατά την έννοια του άρθρου 2 της οδηγίας 2002/21/ΕΚ. 3. Οι πρακτικές λεπτομέρειες εφαρμογής των παραγράφων 1 και 2, ιδίως όσον αφορά την υποβολή, ιεράρχηση και παρακολούθηση των αιτημάτων προς τον Οργανισμό, καθώς και την ενημέρωση του Διοικητικού Συμβουλίου, θεσπίζονται από το Διοικητικό Συμβούλιο στους εσωτερικούς κανόνες λειτουργίας του Οργανισμού. Άρθρο 1 5 Δήλωση συμφερόντων 1. Ο εκτελεστικός διευθυντής και οι υπάλληλοι που αποσπώνται προσωρινά από τα κράτη μέλη υποβάλλουν γραπτή δήλωση δεσμεύσεων και γραπτή δήλωση συμφερόντων όπου καταδεικνύεται ότι δεν εξυπηρετούν οιαδήποτε άμεσα ή έμμεσα συμφέροντα, τα οποία μπορούν ενδεχομένως να επηρεάσουν την ανεξαρτησία τους. 2. Οι εξωτερικοί εμπειρογνώμονες που συμμετέχουν στις ad hoc ομάδες εργασίας δηλώνουν σε κάθε συνεδρίαση οιαδήποτε συμφέροντα τα οποία μπορούν ενδεχομένως να επηρεάσουν την ανεξαρτησία τους σε σχέση με τα θέματα της ημερήσιας διάταξης και δεν συμμετέχουν στη συζήτηση των εν λόγω θεμάτων. Άρθρο 1 6 Διαφάνεια 1. Ο Οργανισμός διασφαλίζει ότι οι δραστηριότητές του διεξάγονται με ένα υψηλό επίπεδο διαφάνειας και σύμφωνα με τα άρθρα 13 και 14. 2. Ο Οργανισμός μεριμνά ώστε να παρέχονται στο κοινό και σε κάθε ενδιαφερόμενο μέρος αντικειμενικές, αξιόπιστες και εύκολα προσβάσιμες πληροφορίες, ιδίως όσον αφορά τα αποτελέσματα των εργασιών του, οσάκις ενδείκνυται. Ο Οργανισμός δημοσιοποιεί τις δηλώσεις συμφερόντων που υποβάλλονται από τον εκτελεστικό διευθυντή και τους υπαλλήλους που αποσπώνται προσωρινά από τα κράτη μέλη, καθώς επίσης και τις δηλώσεις συμφερόντων που υποβάλλονται από τους εμπειρογνώμονες σε σχέση με τα θέματα της ημερήσιας διάταξης των συνεδριάσεων των ad hoc ομάδων εργασίας. 3. Το Διοικητικό Συμβούλιο, ενεργώντας κατόπιν προτάσεως του εκτελεστικού διευθυντή, μπορεί να επιτρέπει στα ενδιαφερόμενα μέρη να συμμετέχουν ως παρατηρητές σε ορισμένες δραστηριότητες του Οργανισμού. 4. Ο Οργανισμός θεσπίζει, στους εσωτερικούς κανόνες λειτουργίας του, τα πρακτικά μέτρα εφαρμογής των κανόνων διαφάνειας που αναφέρονται στις παραγράφους 1 και 2. Άρθρο 1 7 Τήρηση απορρήτου 1. Με την επιφύλαξη του άρθρου 14, ο Οργανισμός δεν αποκαλύπτει σε τρίτους πληροφορίες που επεξεργάζεται ή λαμβάνει και για τις οποίες έχει ζητηθεί η τήρηση του απορρήτου. 2. Τα μέλη του Διοικητικού Συμβουλίου, ο εκτελεστικός διευθυντής, τα μέλη της Μόνιμης Ομάδας Ενδιαφερομένων, οι εξωτερικοί εμπειρογνώμονες που συμμετέχουν στις ad hoc ομάδες εργασίας, καθώς και τα μέλη του προσωπικού του Οργανισμού, συμπεριλαμβανομένων των υπαλλήλων που αποσπώνται προσωρινά από τα κράτη μέλη, υπόκεινται, ακόμη και μετά την παύση των καθηκόντων τους, στις απαιτήσεις τήρησης του απορρήτου, σύμφωνα με το άρθρο 339 της συνθήκης. 3. Ο Οργανισμός θεσπίζει, στους εσωτερικούς κανόνες λειτουργίας του, τα πρακτικά μέτρα εφαρμογής των κανόνων περί απορρήτου που προβλέπονται στις παραγράφους 1 και 2. 4. Το Διοικητικό Συμβούλιο μπορεί να αποφασίσει να επιτρέψει στον Οργανισμό να χειρίζεται διαβαθμισμένες πληροφορίες. Σε αυτή την περίπτωση, το Διοικητικό Συμβούλιο, κατόπιν συμφωνίας με τις αρμόδιες υπηρεσίες της Επιτροπής, εγκρίνει τους εσωτερικούς κανόνες λειτουργίας του εφαρμόζοντας τις αρχές ασφαλείας που περιλαμβάνονται στην απόφαση 2001/844/ΕΚ, ΕΚΑΧ, Ευρατόμ της Επιτροπής, της 29ης Νοεμβρίου 2001, για την τροποποίηση του εσωτερικού κανονισμού της[32]. Τούτο καλύπτει, μεταξύ άλλων, τις διατάξεις που έχουν σχέση με την ανταλλαγή, την επεξεργασία και την αποθήκευση διαβαθμισμένων πληροφοριών. Άρθρο 1 8 Πρόσβαση σε έγγραφα 1. Ο κανονισμός (ΕΚ) αριθ. 1049/2001 εφαρμόζεται για τα έγγραφα που τηρεί ο Οργανισμός. 2. Το Διοικητικό Συμβούλιο εγκρίνει διατάξεις για την εφαρμογή του κανονισμού (ΕΚ) αριθ. 1049/2001 εντός έξι μηνών από την ίδρυση του Οργανισμού. 3. Οι αποφάσεις που λαμβάνονται από τον Οργανισμό σύμφωνα με το άρθρο 8 του κανονισμού (ΕΚ) αριθ. 1049/2001 είναι δυνατόν να αποτελέσουν αντικείμενο καταγγελίας στον Διαμεσολαβητή ή προσφυγής ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης, σύμφωνα με τα άρθρα 228 και 263 της συνθήκης, αντιστοίχως. ΤΜΗΜΑ 4 ΔΗΜΟΣΙΟΝΟΜΙΚΕΣ ΔΙΑΤΑΞΕΙΣ Άρθρο 19 Έγκριση του προϋπολογισμού 1. Τα έσοδα του Οργανισμού προέρχονται από εισφορές από τον προϋπολογισμό της Ευρωπαϊκής Ένωσης, εισφορές τρίτων χωρών που συμμετέχουν στις εργασίες του Οργανισμού όπως προβλέπεται στο άρθρο 29 και εισφορές των κρατών μελών. 2. Στα έξοδα του Οργανισμού συγκαταλέγονται οι δαπάνες προσωπικού, οι δαπάνες διοικητικής και τεχνικής υποστήριξης, τα έξοδα υποδομής και τα λειτουργικά έξοδα, καθώς και οι δαπάνες για τη σύναψη συμβάσεων με τρίτους. 3. Το αργότερο έως την 1η Μαρτίου κάθε έτους, ο εκτελεστικός διευθυντής καταρτίζει σχέδιο κατάστασης προβλεπόμενων εσόδων και εξόδων του Οργανισμού για το επόμενο οικονομικό έτος και το διαβιβάζει στο Διοικητικό Συμβούλιο, μαζί με σχέδιο πίνακα προσωπικού. 4. Τα έσοδα και τα έξοδα ισοσκελίζονται. 5. Κάθε έτος, το Διοικητικό Συμβούλιο καταρτίζει, βάσει σχεδίου κατάστασης προβλεπόμενων εσόδων και εξόδων το οποίο εκπονεί ο εκτελεστικός διευθυντής, την κατάσταση προβλεπόμενων εσόδων και εξόδων του Οργανισμού για το επόμενο οικονομικό έτος. 6. Η εν λόγω κατάσταση προβλέψεων, η οποία συμπεριλαμβάνει ένα σχέδιο πίνακα προσωπικού και το προσωρινό πρόγραμμα εργασίας, διαβιβάζεται από το Διοικητικό Συμβούλιο το αργότερο έως τις 31 Μαρτίου στην Επιτροπή και στα κράτη με τα οποία η Ευρωπαϊκή Ένωση έχει συνάψει συμφωνίες βάσει του άρθρου 24. 7. Η κατάσταση προβλέψεων διαβιβάζεται από την Επιτροπή στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο (εφεξής «αρμόδια για τον προϋπολογισμό αρχή») μαζί με το προσχέδιο του γενικού προϋπολογισμού της Ευρωπαϊκής Ένωσης. 8. Βάσει της εν λόγω κατάστασης προβλέψεων, η Επιτροπή εγγράφει στο προσχέδιο του γενικού προϋπολογισμού της Ευρωπαϊκής Ένωσης τις προβλέψεις που κρίνει αναγκαίες για τον πίνακα προσωπικού και το ποσό της επιδότησης που θα βαρύνει τον γενικό προϋπολογισμό, τα οποία υποβάλλει στην αρμόδια για τον προϋπολογισμό αρχή, σύμφωνα με το άρθρο 314 της συνθήκης. 9. Η αρμόδια για τον προϋπολογισμό αρχή εγκρίνει τις πιστώσεις για την επιδότηση του Οργανισμού. 10. Η αρμόδια για τον προϋπολογισμό αρχή εγκρίνει τον πίνακα προσωπικού του Οργανισμού. 11. Παράλληλα με το πρόγραμμα εργασίας, το Διοικητικό Συμβούλιο εγκρίνει τον προϋπολογισμό του Οργανισμού. Ο προϋπολογισμός καθίσταται οριστικός μετά την τελική έγκριση του γενικού προϋπολογισμού της Ευρωπαϊκής Ένωσης. Εφόσον κρίνεται σκόπιμο, το Διοικητικό Συμβούλιο προσαρμόζει τον προϋπολογισμό και το πρόγραμμα εργασίας του Οργανισμού σύμφωνα με τον γενικό προϋπολογισμό της Ευρωπαϊκής Ένωσης. Το Διοικητικό Συμβούλιο τον διαβιβάζει αμελλητί στην Επιτροπή και στην αρμόδια για τον προϋπολογισμό αρχή. Άρθρο 2 0 Καταπολέμηση της απάτης 1. Για την καταπολέμηση της απάτης, της διαφθοράς και άλλων παράνομων πράξεων, εφαρμόζονται, χωρίς κανένα περιορισμό, οι διατάξεις του κανονισμού (ΕΚ) αριθ. 1073/1999 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Μαΐου 1999, σχετικά με τις έρευνες που πραγματοποιούνται από την Ευρωπαϊκή Υπηρεσία Καταπολέμησης της Απάτης (OLAF)[33]. 2. Ο Οργανισμός προσχωρεί στη διοργανική συμφωνία της 25ης Μαΐου 1999 μεταξύ του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου της Ευρωπαϊκής Ένωσης και της Επιτροπής των Ευρωπαϊκών Κοινοτήτων σχετικά με τις εσωτερικές έρευνες που πραγματοποιούνται από την Ευρωπαϊκή Υπηρεσία Καταπολέμησης της Απάτης (OLAF)[34] και εκδίδει αμελλητί τις ενδεδειγμένες διατάξεις που εφαρμόζονται σε όλους τους υπαλλήλους του Οργανισμού. Άρθρο 2 1 Εκτέλεση του προϋπολογισμού 1. Ο προϋπολογισμός του Οργανισμού εκτελείται από τον εκτελεστικό διευθυντή. 2. Ο εσωτερικός ελεγκτής της Επιτροπής ασκεί τις ίδιες εξουσίες έναντι του Οργανισμού όπως και έναντι των υπηρεσιών της Επιτροπής. 3. Έως την 1η Μαρτίου το αργότερο μετά τη λήξη κάθε οικονομικού έτους, ο υπόλογος της υπηρεσίας κοινοποιεί τους προσωρινούς λογαριασμούς στον υπόλογο της Επιτροπής μαζί με έκθεση σχετικά με τη δημοσιονομική και χρηματοοικονομική διαχείριση για το εν λόγω οικονομικό έτος. Ο υπόλογος της Επιτροπής ενοποιεί τους προσωρινούς λογαριασμούς των θεσμικών οργάνων και των αποκεντρωμένων οργανισμών σύμφωνα με το άρθρο 128 του κανονισμού (ΕΚ, Ευρατόμ) αριθ. 1605/2002 του Συμβουλίου, της 25ης Ιουνίου 2002, για τον δημοσιονομικό κανονισμό που εφαρμόζεται στον γενικό προϋπολογισμό των Ευρωπαϊκών Κοινοτήτων[35] (εφεξής «γενικός δημοσιονομικός κανονισμός»). 4. Το αργότερο έως τις 31 Μαρτίου μετά τη λήξη κάθε οικονομικού έτους, ο υπόλογος της Επιτροπής διαβιβάζει τους προσωρινούς λογαριασμούς του Οργανισμού στο Ελεγκτικό Συνέδριο, συνοδευόμενους από την έκθεση για τη δημοσιονομική και χρηματοοικονομική διαχείριση για το εν λόγω οικονομικό έτος. Η έκθεση για τη δημοσιονομική και χρηματοοικονομική διαχείριση του εν λόγω οικονομικού έτους διαβιβάζεται επίσης στην αρμόδια για τον προϋπολογισμό αρχή. 5. Μετά την παραλαβή των παρατηρήσεων του Ελεγκτικού Συνεδρίου επί των προσωρινών λογαριασμών του Οργανισμού, σύμφωνα με το άρθρο 129 του γενικού δημοσιονομικού κανονισμού, ο εκτελεστικός διευθυντής καταρτίζει με δική του ευθύνη τους οριστικούς λογαριασμούς του Οργανισμού και τους διαβιβάζει στο Διοικητικό Συμβούλιο για γνωμοδότηση. 6. Το Διοικητικό Συμβούλιο γνωμοδοτεί επί των τελικών λογαριασμών του Οργανισμού. 7. Ο εκτελεστικός διευθυντής διαβιβάζει, το αργότερο έως την 1η Ιουλίου μετά τη λήξη κάθε οικονομικού έτους, στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Επιτροπή και το Ελεγκτικό Συνέδριο τους τελικούς λογαριασμούς, συνοδευόμενους από τη γνώμη του Διοικητικού Συμβουλίου. 8. Ο εκτελεστικός διευθυντής δημοσιεύει τους τελικούς λογαριασμούς. 9. Ο εκτελεστικός διευθυντής αποστέλλει στο Ελεγκτικό Συνέδριο απάντηση στις παρατηρήσεις του έως τις 30 Σεπτεμβρίου το αργότερο. Αποστέλλει επίσης την απάντηση αυτή στο Διοικητικό Συμβούλιο. 10. Ο εκτελεστικός διευθυντής υποβάλλει στο Ευρωπαϊκό Κοινοβούλιο, κατόπιν αιτήματος του τελευταίου, κάθε πληροφορία που απαιτείται για την ομαλή εφαρμογή της διαδικασίας απαλλαγής για το συγκεκριμένο οικονομικό έτος, σύμφωνα με το άρθρο 146 παράγραφος 3 του γενικού δημοσιονομικού κανονισμού. 11. Έπειτα από σύσταση του Συμβουλίου, το Ευρωπαϊκό Κοινοβούλιο προβαίνει έως τις 30 Απριλίου του έτους N + 2 σε απαλλαγή του εκτελεστικού διευθυντή για την εκτέλεση του προϋπολογισμού του οικονομικού έτους Ν. ΤΜΗΜΑ 5 ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ Άρθρο 2 2 Νομικό καθεστώς 1. Ο Οργανισμός αποτελεί οργανισμό της Ένωσης. Έχει νομική προσωπικότητα. 2. Σε κάθε κράτος μέλος, ο Οργανισμός διαθέτει την ευρύτερη δυνατή νομική ικανότητα που παρέχεται στα νομικά πρόσωπα βάσει του εθνικού δικαίου. Δύναται ιδίως να αποκτά και να διαθέτει κινητή και ακίνητη περιουσία και να παρίσταται ενώπιον δικαστηρίου. 3. Ο Οργανισμός εκπροσωπείται από τον εκτελεστικό διευθυντή του. Άρθρο 2 3 Προσωπικό 1. Οι κανόνες και οι κανονισμοί που ισχύουν για τους υπαλλήλους και το λοιπό προσωπικό της Ευρωπαϊκής Ένωσης εφαρμόζονται και στο προσωπικό του Οργανισμού, συμπεριλαμβανομένου του εκτελεστικού διευθυντή του. 2. Το Διοικητικό Συμβούλιο ασκεί, όσον αφορά τον εκτελεστικό διευθυντή, τις εξουσίες που ανατίθενται στην αρμόδια για τους διορισμούς αρχή από τον κανονισμό υπηρεσιακής κατάστασης των υπαλλήλων και στην αρμόδια για τη σύναψη συμβάσεων αρχή από το καθεστώς επί του λοιπού προσωπικού. 3. Ο εκτελεστικός διευθυντής ασκεί, όσον αφορά το προσωπικό του Οργανισμού, τις εξουσίες που ανατίθενται στην αρμόδια για τους διορισμούς αρχή από τον κανονισμό υπηρεσιακής κατάστασης των υπαλλήλων και στην αρμόδια για τη σύναψη συμβάσεων αρχή από το καθεστώς επί του λοιπού προσωπικού. 4. Ο Οργανισμός μπορεί να απασχολεί εθνικούς εμπειρογνώμονες από τα κράτη μέλη με απόσπαση. Ο Οργανισμός θεσπίζει στους εσωτερικούς κανόνες λειτουργίας του τις πρακτικές λεπτομέρειες εφαρμογής αυτής της διάταξης. Άρθρο 2 4 Προνόμια και ασυλίες Το πρωτόκολλο περί προνομίων και ασυλιών των Ευρωπαϊκών Κοινοτήτων εφαρμόζεται στον Οργανισμό και στο προσωπικό του. Άρθρο 2 5 Ευθύνη 1. Η συμβατική ευθύνη του Οργανισμού διέπεται από το εφαρμοστέο στην οικεία σύμβαση δίκαιο. Το Δικαστήριο της Ευρωπαϊκής Ένωσης είναι αρμόδιο να αποφαίνεται δυνάμει ρήτρας διαιτησίας που περιλαμβάνεται σε σύμβαση που συνάπτει ο Οργανισμός. 2. Σε περίπτωση μη συμβατικής ευθύνης, ο Οργανισμός αποκαθιστά, σύμφωνα με τις γενικές αρχές που είναι κοινές στο δίκαιο των κρατών μελών, οποιαδήποτε ζημία προκαλείται από αυτόν ή από τους υπαλλήλους του κατά την εκτέλεση των καθηκόντων τους. Το Δικαστήριο είναι αρμόδιο για την εκδίκαση οποιασδήποτε διαφοράς η οποία συνδέεται με την αποκατάσταση αυτών των ζημιών. 3. Η προσωπική ευθύνη των υπαλλήλων έναντι του Οργανισμού διέπεται από τους σχετικούς όρους που ισχύουν για το προσωπικό του Οργανισμού. Άρθρο 2 6 Γλώσσες 1. Οι διατάξεις του κανονισμού αριθ. 1, της 15ης Απριλίου 1958, για τον καθορισμό των γλωσσών που πρέπει να χρησιμοποιούνται στην Ευρωπαϊκή Οικονομική Κοινότητα[36], ισχύουν όσον αφορά τον Οργανισμό. Τα κράτη μέλη και οι άλλοι φορείς τους οποίους ορίζουν μπορούν να απευθύνονται στον Οργανισμό και να λαμβάνουν απάντηση στη γλώσσα της Ευρωπαϊκής Ένωσης της επιλογής τους. 2. Οι μεταφραστικές υπηρεσίες που απαιτούνται για τη λειτουργία του Οργανισμού παρέχονται από το Μεταφραστικό Κέντρο των Οργάνων της Ευρωπαϊκής Ένωσης. Άρθρο 2 7 Προστασία δεδομένων προσωπικού χαρακτήρα Κατά την επεξεργασία δεδομένων που αφορούν φυσικά πρόσωπα, ο Οργανισμός υπόκειται στις διατάξεις του κανονισμού (EΚ) αριθ. 45/2001. Άρθρο 2 8 Συμμετοχή τρίτων χωρών 1. Ο Οργανισμός είναι ανοικτός στη συμμετοχή τρίτων χωρών που έχουν συνάψει συμφωνίες με την Ευρωπαϊκή Ένωση, δυνάμει των οποίων έχουν υιοθετήσει και εφαρμόζουν τη νομοθεσία της Ένωσης στο πεδίο που καλύπτει ο παρών κανονισμός. 2. Στο πλαίσιο των σχετικών διατάξεων των εν λόγω συμφωνιών, θεσπίζονται ρυθμίσεις οι οποίες προσδιορίζουν ιδίως τη φύση, το εύρος και τον τρόπο με τον οποίο οι εν λόγω χώρες συμμετέχουν στις εργασίες του Οργανισμού, συμπεριλαμβανομένων διατάξεων σχετικά με τη συμμετοχή στις πρωτοβουλίες που αναλαμβάνει ο Οργανισμός, τις χρηματοδοτικές συνεισφορές και το προσωπικό. ΤΜΗΜΑ 6 ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ Άρθρο 29 Ρήτρα αναθεώρησης 1. Εντός τριών ετών από την ημερομηνία σύστασης που αναφέρεται στο άρθρο 34, η Επιτροπή, λαμβάνοντας υπόψη τις απόψεις όλων των σχετικών άμεσα ενδιαφερομένων, διεξάγει αξιολόγηση με βάση την εντολή καθηκόντων που συμφωνήθηκε με το Διοικητικό Συμβούλιο. Κατά την αξιολόγηση εκτιμώνται οι επιπτώσεις και η αποτελεσματικότητα του Οργανισμού ως προς την επίτευξη των στόχων που τίθενται στο άρθρο 2, και η αποτελεσματικότητα των μεθόδων εργασίας του Οργανισμού. Η Επιτροπή προβαίνει στην αξιολόγηση κυρίως προκειμένου να καθορίσει κατά πόσο ο Οργανισμός εξακολουθεί να αποτελεί ένα αποτελεσματικό μέσο και κατά πόσο η θητεία του Οργανισμού πρέπει να παραταθεί πέραν του χρονικού διαστήματος που ορίζεται στο άρθρο 34. 2. Τα συμπεράσματα της αξιολόγησης διαβιβάζονται από την Επιτροπή στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο και δημοσιοποιούνται. 3. Το Διοικητικό Συμβούλιο παραλαμβάνει την αξιολόγηση και διατυπώνει συστάσεις σχετικά με τροποποιήσεις επί του παρόντος κανονισμού, τον Οργανισμό και τις μεθόδους εργασίας του, και τις υποβάλλει στην Επιτροπή. Το Διοικητικό Συμβούλιο και ο εκτελεστικός διευθυντής λαμβάνουν υπόψη τα αποτελέσματα της αξιολόγησης στον πολυετή προγραμματισμό του Οργανισμού. Άρθρο 3 0 Συνεργασία του κράτους μέλους υποδοχής Το κράτος μέλος υποδοχής του Οργανισμού εξασφαλίζει τις βέλτιστες δυνατές συνθήκες για την εύρυθμη και αποδοτική λειτουργία του Οργανισμού. Άρθρο 3 1 Διοικητικός έλεγχος Οι δραστηριότητες του Οργανισμού υπόκεινται στην εποπτεία του διαμεσολαβητή, σύμφωνα με τις διατάξεις του άρθρου 228 της συνθήκης. Άρθρο 3 2 Κατάργηση και διαδοχή 1. Ο κανονισμός (ΕΚ) αριθ. 460/2004 καταργείται. Οι παραπομπές στον κανονισμό (ΕΚ) αριθ. 460/2004 και στον ENISA θεωρείται ότι αποτελούν παραπομπές στον παρόντα κανονισμό και στον Οργανισμό. 2. Ο Οργανισμός διαδέχεται τον Οργανισμό που συστάθηκε δυνάμει του κανονισμού (ΕΚ) αριθ. 460/2004 όσον αφορά όλα τα δικαιώματα ιδιοκτησίας, τις συμφωνίες, τις νομικές υποχρεώσεις, τις συμβάσεις εργασίας, τις οικονομικές δεσμεύσεις και ευθύνες. Άρθρο 3 3 Διάρκεια λειτουργίας Ο Οργανισμός ιδρύεται στις […] για θητεία πέντε ετών. Άρθρο 3 4 Έναρξη ισχύος Ο παρών κανονισμός αρχίζει να ισχύει την επομένη της δημοσίευσής του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης , και εφαρμόζεται από τις 14 Μαρτίου 2012 ή από την επομένη της δημοσίευσής του, αναλόγως με το ποια ημερομηνία είναι μεταγενέστερη. Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος. Έγινε στ […], Για το Ευρωπαϊκό Κοινοβούλιο Για το Συμβούλιο Ο Πρόεδρος Ο Πρόεδρος ΝΟΜΟΘΕΤΙΚΟ ΔΗΜΟΣΙΟΝΟΜΙΚΟ ΔΕΛΤΙΟ ΓΙΑ ΠΡΟΤΑΣΕΙΣ 1. ΠΛΑΙΣΙΟ ΤΗΣ ΠΡΟΤΑΣΗΣ/ΠΡΩΤΟΒΟΥΛΙΑΣ 1.1. Τίτλος της πρότασης/πρωτοβουλίας Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA)) 1.2. Σχετικός(-οί) τομέας(-είς) πολιτικής στη διάρθρωση ΔΒΔ/ΠΒΔ[37] Κοινωνία της Πληροφορίας και Μέσα Ενημέρωσης. Κανονιστικό πλαίσιο για το ψηφιακό θεματολόγιο. 1.3. Φύση της πρότασης/πρωτοβουλίας ( Η πρόταση/πρωτοβουλία αφορά νέα δράση ( Η πρόταση/πρωτοβουλία αφορά νέα δράση μετά από πιλοτικό έργο/προπαρασκευαστική δράση[38] . ( Η πρόταση/πρωτοβουλία αφορά την παράταση υφιστάμενης δράσης ( Η πρόταση/πρωτοβουλία αφορά δράση προσανατολισμένη προς νέα δράση 1.4. Στόχοι 1.4.1. Ο(οι) στρατηγικός(-οί) πολυετής(-είς) στόχος(-οι) της Επιτροπής που επιδιώκεται(-ονται) από την πρόταση/πρωτοβουλία Συνοχή των κανονιστικών προσεγγίσεων – παροχή κατευθυντήριων γραμμών και συμβουλών στην Επιτροπή και στα κράτη μέλη για την επικαιροποίηση και ανάπτυξη ενός ολιστικού κανονιστικού πλαισίου στο πεδίο της ασφάλειας δικτύων και πληροφοριών. Πρόληψη, εντοπισμός και αντιμετώπιση – βελτίωση της ετοιμότητας, συμβάλλοντας στην ανάπτυξη ευρωπαϊκών μέσων έγκαιρης προειδοποίησης και αντιμετώπισης περιστατικών, πανευρωπαϊκών σχεδίων και ασκήσεων επείγουσας επέμβασης. Ενίσχυση των γνώσεων των υπευθύνων χάραξης πολιτικής – παροχή συνδρομής και συμβουλών στην Επιτροπή και στα κράτη μέλη προκειμένου να επιτύχουν ένα υψηλό επίπεδο γνώσεων, σε ολόκληρη την Ένωση, επί θεμάτων που σχετίζονται με την ασφάλεια δικτύων και πληροφοριών και την εφαρμογή της στις επιχειρήσεις του κλάδου. Συμπεριλαμβάνονται επίσης η παραγωγή, η ανάλυση και η διαθεσιμότητα δεδομένων σχετικά με τις οικονομικές πτυχές και τις επιπτώσεις των παραβιάσεων της ασφάλειας δικτύων και πληροφοριών, τα κίνητρα για τους ενδιαφερόμενους να επενδύσουν σε μέτρα για την ασφάλεια δικτύων και πληροφοριών, ο εντοπισμός κινδύνων, οι δείκτες της κατάστασης της ασφάλειας δικτύων και πληροφοριών στην Ένωση, κ.λπ. Ευαισθητοποίηση των άμεσα ενδιαφερομένων – ανάπτυξη μιας αντίληψης για την ασφάλεια και τη διαχείριση κινδύνου, με ενθάρρυνση της ανταλλαγής πληροφοριών και της ευρείας συνεργασίας μεταξύ φορέων του δημόσιου και του ιδιωτικού τομέα, επίσης προς άμεσο όφελος των πολιτών, και ανάπτυξη μιας αντίληψης για την ευαισθητοποίηση στην ασφάλεια δικτύων και πληροφοριών. Προστασία της Ευρώπης από διεθνείς απειλές – επίτευξη υψηλού επιπέδου συνεργασίας με τρίτες χώρες και με διεθνείς οργανισμούς για την προώθηση μιας κοινής παγκόσμιας προσέγγισης της ασφάλειας δικτύων και πληροφοριών και για την υλοποίηση διεθνών πρωτοβουλιών υψηλού επιπέδου στην Ευρώπη). Επιδίωξη ή υλοποίηση σε πλαίσιο συνεργασίας – διευκόλυνση της συνεργασίας κατά την εφαρμογή πολιτικών για την ασφάλεια δικτύων και πληροφοριών. Καταπολέμηση της εγκληματικότητας στον κυβερνοχώρο – ενσωμάτωση των σχετικών με την ασφάλεια δικτύων και πληροφοριών πτυχών της καταπολέμησης της εγκληματικότητας στον κυβερνοχώρο στις συνομιλίες και στην ανταλλαγή ορθών πρακτικών μεταξύ των ενδιαφερομένων του δημόσιου και ιδιωτικού τομέα, ιδίως μέσω της συνεργασίας με τις αρχές του (πρώην) δεύτερου και τρίτου πυλώνα, π.χ. με την Ευρωπαϊκή Αστυνομική Υπηρεσία (Europol). 1.4.2. Συγκεκριμένος(-οι) στόχος(-οι) και σχετική(-ές) δραστηριότητα(-ες) ΔΒΔ/ΠΒΔ Ειδικός στόχος Ενίσχυση της ασφάλειας δικτύων και πληροφοριών (NIS), ανάπτυξη μιας αντίληψης για την ασφάλεια δικτύων και πληροφοριών προς όφελος των πολιτών, των καταναλωτών, των επιχειρήσεων και των οργανισμών του δημόσιου τομέα, και εντοπισμός των πολιτικών προκλήσεων που θα αναδυθούν από μελλοντικά δίκτυα και από το Ίντερνετ. Σχετική(-ές) δραστηριότητα(-ες) ΔΒΔ/ΠΒΔ Πολιτική για τις ηλεκτρονικές επικοινωνίες και την ασφάλεια δικτύων 1.4.3. Αναμενόμενο(-α) αποτέλεσμα(αποτελέσματα) και επίπτωση Η πρωτοβουλία αναμένεται να επιφέρει τις ακόλουθες οικονομικές επιπτώσεις: - αύξηση της διαθεσιμότητας πληροφοριών σχετικά με τις σημερινές και μελλοντικές προκλήσεις και κινδύνους για την ασφάλεια και την ανθεκτικότητα - αποφυγή περιττών προσπαθειών κατά τη συλλογή σχετικών πληροφοριών για τους κινδύνους, τις απειλές και τα τρωτά σημεία από κάθε επιμέρους κράτος μέλος - αύξηση του επιπέδου ενημέρωσης των υπευθύνων χάραξης πολιτικής κατά τη λήψη αποφάσεων - βελτίωση της ποιότητας των προβλέψεων για την πολιτική ασφάλειας δικτύων και μεταφορών στα κράτη μέλη χάρη στη διάδοση βέλτιστων πρακτικών - οικονομίες κλίμακας κατά την αντιμετώπιση περιστατικών σε επίπεδο ΕΕ - περισσότερες επενδύσεις οι οποίες ευνοούνται από τους κοινούς στόχους πολιτικής και τα πρότυπα ασφαλείας, και από την ανθεκτικότητα σε επίπεδο ΕΕ - μικρότερος επιχειρηματικός κίνδυνος για τις επιχειρήσεις χάρη στο υψηλότερο επίπεδο ασφάλειας και ανθεκτικότητας - συνεκτικότερα μέτρα για την καταπολέμηση της εγκληματικότητας στον κυβερνοχώρο Η πρωτοβουλία αναμένεται να επιφέρει τις ακόλουθες κοινωνικές επιπτώσεις: - μεγαλύτερη εμπιστοσύνη των χρηστών στις υπηρεσίες και τα συστήματα της κοινωνίας της πληροφορίας· - μεγαλύτερη εμπιστοσύνη στη λειτουργία της εσωτερικής αγοράς της ΕΕ με την επίτευξη υψηλότερων επιπέδων προστασίας των καταναλωτών· - ενίσχυση της ανταλλαγής πληροφοριών και γνώσεων εντός των χωρών μη μελών της ΕΕ· - καλύτερη διασφάλιση των θεμελιωδών ανθρωπίνων δικαιωμάτων στην ΕΕ μέσω της εξασφάλισης ίδιου επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής για τους πολίτες της ΕΕ. Οι αναμενόμενες περιβαλλοντικές επιπτώσεις είναι ελάχιστες: - μειωμένος αντίκτυπος των εκπομπών CO2 λόγω π.χ. των λιγότερων μετακινήσεων που προκύπτουν από την υψηλότερη εμπιστοσύνη στη χρήση των συστημάτων και υπηρεσιών ΤΠΕ και μικρότερη κατανάλωση ενέργειας η οποία προκύπτει από οικονομίες κλίμακας κατά την εφαρμογή των υποχρεώσεων ασφαλείας. 1.4.4. Δείκτες αποτελεσμάτων και επίπτωσης Οι δείκτες παρακολούθησης ανά στόχο είναι οι ακόλουθοι: Συνοχή των ρυθμιστικών προσεγγίσεων : - Αριθμός κρατών μελών που χρησιμοποίησαν τις συστάσεις του Οργανισμού στην οικεία διαδικασία χάραξης πολιτικής - Αριθμός μελετών που αποσκοπούν στον εντοπισμό των κενών και των ασυνεπειών στο πεδίο της τυποποίησης σχετικά με την ασφάλεια δικτύων και πληροφοριών - Μεγαλύτερη σύγκλιση των προσεγγίσεων των κρατών μελών όσον αφορά την ασφάλεια δικτύων και πληροφοριών. Πρόληψη, εντοπισμός και αντιμετώπιση : - Αριθμός επιμορφώσεων που διοργανώθηκαν με αντικείμενο την ασφάλεια δικτύων - Διαθεσιμότητα ενός λειτουργικού συστήματος έγκαιρης προειδοποίησης για αναδυόμενους κινδύνους και επιθέσεις - Αριθμός ασκήσεων με αντικείμενο την ασφάλεια δικτύων και πληροφοριών σε επίπεδο ΕΕ τις οποίες συντόνισε ο Οργανισμός Ενίσχυση των γνώσεων των υπευθύνων χάραξης πολιτικής : - Αριθμός μελετών με σκοπό τη συγκέντρωση πληροφοριών σχετικά με τους σημερινούς και τους προβλεπόμενους κινδύνους που αφορούν την ασφάλεια δικτύων και πληροφοριών, και τις τεχνολογίες πρόληψης κινδύνου - Αριθμός διαβουλεύσεων με δημόσιους φορείς που ασχολούνται με την ασφάλεια δικτύων και πληροφοριών - Διαθεσιμότητα ενός ευρωπαϊκού πλαισίου για την οργάνωση της συγκέντρωσης δεδομένων που αφορούν την ασφάλεια δικτύων και πληροφοριών Ευαισθητοποίηση των άμεσα ενδιαφερομένων : - Αριθμός καθορισμένων ορθών πρακτικών για τον κλάδο - Επίπεδο επενδύσεων σε μέτρα ασφάλειας από ιδιώτες ενδιαφερομένους Προστασία της Ευρώπης από διεθνείς απειλές : - Αριθμός διασκέψεων/συνεδριάσεων μεταξύ των κρατών μελών της ΕΕ για τον καθορισμό από κοινού συμφωνηθέντων στόχων για την ασφάλεια δικτύων και πληροφοριών - Αριθμός συνεδριάσεων μεταξύ Ευρωπαίων και διεθνών ειδικών σε θέματα ασφάλειας δικτύων και πληροφοριών Επιδίωξη η υλοποίηση σε πλαίσιο συνεργασίας : - Αριθμός εκτιμήσεων της συμμόρφωσης προς τις ρυθμιστικές διατάξεις - Αριθμός πανευρωπαϊκών πρακτικών που αφορούν την ασφάλεια δικτύων και πληροφοριών Καταπολέμηση της εγκληματικότητας στον κυβερνοχώρο: - Τακτικές αλληλεπιδράσεις με τους οργανισμούς των πρώην δεύτερου και τρίτου πυλώνα - Αριθμός υποθέσεων για τις οποίες παρασχέθηκε εμπειρογνωσία σε ποινικές έρευνες 1.5. Αιτιολογία της πρότασης/πρωτοβουλίας 1.5.1. Απαίτηση(-εις) που πρέπει να καλυφθεί(-ούν) βραχυπρόθεσμα ή μακροπρόθεσμα Ο ENISA ιδρύθηκε αρχικά το 2004 για να αντιμετωπίσει τις απειλές και τις πιθανές επακόλουθες παραβιάσεις της ασφάλειας δικτύων και πληροφοριών. Έκτοτε, οι προκλήσεις που αφορούν την ασφάλεια δικτύων και πληροφοριών μεταβλήθηκαν λόγω των τεχνολογικών εξελίξεων και των εξελίξεων στην αγορά, και αποτέλεσαν αντικείμενο περαιτέρω προβληματισμού και διαλόγου, οδηγώντας σήμερα στην επικαιροποίηση και λεπτομερέστερη περιγραφή των συγκεκριμένων προβλημάτων που διαπιστώθηκαν και του τρόπου με τον οποίο αυτά επηρεάζονται από το μεταβαλλόμενο περιβάλλον στην ασφάλεια δικτύων και πληροφοριών. 1.5.2. Προστιθέμενη αξία της συμμετοχής της ΕΕ Τα προβλήματα σχετικά με την ασφάλεια δικτύων και πληροφοριών δεν περιορίζονται στα εθνικά σύνορα και, ως εκ τούτου, δεν μπορούν να αντιμετωπισθούν αποτελεσματικά μόνο σε εθνικό επίπεδο. Συγχρόνως, οι τρόποι με τους οποίους αντιμετωπίζεται το πρόβλημα από τις δημόσιες αρχές των διαφόρων κρατών μελών είναι πολύ διαφορετικοί. Οι εν λόγω διαφορές είναι δυνατόν να αποτελέσουν μείζον εμπόδιο στην εφαρμογή κατάλληλων πανευρωπαϊκών μηχανισμών για την ενίσχυση της ασφάλειας δικτύων και πληροφοριών στην Ευρώπη. Εξαιτίας της διασύνδεσης των υποδομών ΤΠΕ, η αποτελεσματικότητα των μέτρων που λαμβάνονται σε εθνικό επίπεδο σε ένα κράτος μέλος επηρεάζεται ακόμη σε μεγάλο βαθμό από το χαμηλότερο επίπεδο μέτρων σε άλλα κράτη μέλη και την έλλειψη συστηματικής διασυνοριακής συνεργασίας. Η ανεπάρκεια των μέτρων ασφάλειας δικτύων και πληροφοριών μπορεί να σταθεί η αιτία ενός περιστατικού σε ένα κράτος μέλος και να προκαλέσει ενδεχομένως διαταραχές στις υπηρεσίες άλλων κρατών μελών. Επιπροσθέτως, ο πολλαπλασιασμός των απαιτήσεων ασφαλείας συνεπάγεται οικονομική επιβάρυνση για τις επιχειρήσεις οι οποίες δραστηριοποιούνται σε επίπεδο Ευρωπαϊκής Ένωσης, και οδηγεί σε κατακερματισμό και έλλειψη ανταγωνιστικότητας στην εσωτερική αγορά της Ευρώπης. Ενώ αυξάνει η εξάρτηση από συστήματα δικτύων και πληροφοριών, η ετοιμότητα για την αντιμετώπιση περιστατικών αποδεικνύεται ανεπαρκής. Τα σημερινά εθνικά συστήματα έγκαιρης προειδοποίησης και αντιμετώπισης περιστατικών παρουσιάζουν σημαντικές ελλείψεις. Οι διαδικασίες και οι πρακτικές παρακολούθησης και κοινοποίησης περιστατικών που αφορούν την ασφάλεια δικτύου διαφέρουν σημαντικά μεταξύ κρατών μελών. Σε ορισμένες χώρες οι διαδικασίες χρήζουν τυποποίησης, ενώ σε άλλες χώρες δεν υπάρχει κάποια αρμόδια αρχή για την παραλαβή και επεξεργασία των κοινοποιήσεων των περιστατικών. Δεν υπάρχουν ευρωπαϊκά συστήματα. Αυτό έχει ως αποτέλεσμα να μπορεί να διαταραχθεί σημαντικά η κάλυψη βασικών αναγκών εξαιτίας περιστατικών στην ασφάλεια δικτύων και πληροφοριών και, επομένως, είναι σκόπιμο να προετοιμασθεί η κατάλληλη αντιμετώπιση. Στην ανακοίνωση της Επιτροπής σχετικά με την προστασία των υποδομών πληροφοριών ζωτικής σημασίας (CIIP) τονίζεται επίσης η ανάγκη δημιουργίας ευρωπαϊκών μέσων έγκαιρης προειδοποίησης και αντιμετώπισης περιστατικών, τα οποία ενδεχομένως θα υποστηρίζονται από ασκήσεις σε ευρωπαϊκή κλίμακα. Υπάρχει σαφής ανάγκη πολιτικών μέσων τα οποία θα αποσκοπούν στον εκ των προτέρων προσδιορισμό των κινδύνων που αφορούν την ασφάλεια δικτύων και πληροφοριών και των τρωτών σημείων, καθιέρωσης κατάλληλων μηχανισμών αντιμετώπισης (π.χ. μέσω του εντοπισμού και της διάδοσης ορθών πρακτικών), και διασφάλισης ότι οι εν λόγω μηχανισμοί αντιμετώπισης είναι γνωστοί και εφαρμόζονται από τους άμεσα ενδιαφερόμενους. 1.5.3. Διδάγματα από ανάλογες εμπειρίες του παρελθόντος Βλέπε σημεία 1.5.1 και 1.5.2 1.5.4. Συνοχή και δυνατότητα συνέργειας με άλλα συναφή μέσα Η παρούσα πρωτοβουλία είναι πλήρως σύμφωνη με τον γενικό διάλογο για την ασφάλεια δικτύων και πληροφοριών και τις άλλες πολιτικές πρωτοβουλίες που επικεντρώνονται στο μέλλον της ασφάλειας δικτύων και πληροφοριών. Αποτελεί μία από τις κύριες συνιστώσες του ψηφιακού θεματολογίου για την Ευρώπη, το οποίο αποτελεί εμβληματική πρωτοβουλία της στρατηγικής «Ευρώπη 2020». 1.6. Διάρκεια και δημοσιονομική επίπτωση ( Πρόταση/πρωτοβουλία περιορισμένης διάρκειας - ( Η ημερομηνία έναρξης της πενταετούς παράτασης είναι η 14/03/2012 ή η ημερομηνία κατά την οποία ο νέος κανονισμός αρχίζει να ισχύει, αναλόγως ποια ημερομηνία είναι μεταγενέστερη. - ( Δημοσιονομική επίπτωση από το 2012 έως το 2017 ( Πρόταση/πρωτοβουλία απεριόριστης διάρκειας - Περίοδος σταδιακής εφαρμογής από το ΕΕΕΕ έως το ΕΕΕΕ - και στη συνέχεια λειτουργία με κανονικό ρυθμό. 1.7. Προβλεπόμενη(-ες) μέθοδος(-οι) διαχείρισης[39] ( Κεντρική άμεση διαχείριση από την Επιτροπή ( Κεντρική έμμεση διαχείριση με ανάθεση καθηκόντων εκτέλεσης σε: - ( εκτελεστικούς οργανισμούς - ( οργανισμούς που δημιουργούνται από τις Κοινότητες[40] - ( εθνικούς δημόσιους οργανισμούς/οργανισμούς με αποστολή δημόσιας υπηρεσίας - ( πρόσωπα τα οποία είναι επιφορτισμένα με την εφαρμογή συγκεκριμένων δράσεων σύμφωνα με τον τίτλο V της συνθήκης για την Ευρωπαϊκή Ένωση και προσδιορίζονται στη σχετική βασική πράξη, σύμφωνα με το άρθρο 49 του δημοσιονομικού κανονισμού ( Επιμερισμένη διαχείριση με τα κράτη μέλη ( Αποκεντρωμένη διαχείριση με τρίτες χώρες ( Από κοινού διαχείριση με διεθνείς οργανισμούς ( να προσδιορισθεί ) 2. ΜΕΤΡΑ ΔΙΑΧΕΙΡΙΣΗΣ 2.1 Κανόνες παρακολούθησης και υποβολής εκθέσεων Ο εκτελεστικός διευθυντής είναι υπεύθυνος για την αποτελεσματική παρακολούθηση και αξιολόγηση των επιδόσεων του Οργανισμού ως προς τους στόχους του και υποβάλλει ετησίως έκθεση στο Διοικητικό Συμβούλιο. Ο εκτελεστικός διευθυντής εκπονεί γενική έκθεση που καλύπτει όλες τις δραστηριότητες του Οργανισμού κατά το προηγούμενο έτος, στην οποία ειδικότερα γίνεται σύγκριση των επιτευχθέντων αποτελεσμάτων ως προς τους στόχους του ετήσιου προγράμματος εργασίας. Αφού εγκριθεί από το Διοικητικό Συμβούλιο, η εν λόγω έκθεση διαβιβάζεται στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Επιτροπή, το Ελεγκτικό Συνέδριο, την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών, και δημοσιεύεται. 2.2. Σύστημα διαχείρισης και ελέγχου 2.2.1 Αναγνωρισμένος(-οι) κίνδυνος(-οι) Μετά από την ίδρυσή του το 2004, ο ENISA έχει αποτελέσει αντικείμενο εξωτερικών και εσωτερικών αξιολογήσεων. Σύμφωνα με το άρθρο 25 του κανονισμού για τον ENISA, το πρώτο βήμα σε αυτή τη διαδικασία ήταν η ανεξάρτητη αξιολόγηση του ENISA από ομάδα εξωτερικών εμπειρογνωμόνων το 2006/2007. Στην έκθεση της ομάδας εξωτερικών εμπειρογνωμόνων[41] επιβεβαιώνεται ότι εξακολουθούν να ισχύουν το αρχικό πολιτικό σκεπτικό που οδήγησε στην ίδρυση του Οργανισμού και οι αρχικοί του σκοποί. Η έκθεση συνετέλεσε επίσης αποφασιστικά στην επισήμανση ορισμένων θεμάτων που χρήζουν αντιμετώπισης. Τον Μάρτιο του 2007, η Επιτροπή κοινοποίησε την αξιολόγηση στο Διοικητικό Συμβούλιο, το οποίο στη συνέχεια διατύπωσε τις συστάσεις του για το μέλλον του Οργανισμού και τις τροποποιήσεις του κανονισμού για τον ENISA[42]. Τον Ιούνιο του 2007, η Επιτροπή υπέβαλε τη δική της αξιολόγηση για τα αποτελέσματα της εξωτερικής αξιολόγησης και τις συστάσεις του Διοικητικού Συμβουλίου σε ανακοίνωση προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο[43]. Η Επιτροπή δήλωσε ότι χρειάζεται να ληφθεί απόφαση σχετικά με το αν θα παραταθεί η θητεία του Οργανισμού ή αν θα αντικατασταθεί ο Οργανισμός από άλλον φορέα, όπως ένα μόνιμο φόρουμ άμεσα ενδιαφερομένων ή ένα δίκτυο οργανισμών επιφορτισμένων με θέματα ασφαλείας. Με την ανακοίνωση ξεκίνησε επίσης μια δημόσια διαβούλευση επί του θέματος και ζητήθηκε από τους Ευρωπαίους ενδιαφερόμενους να συμβάλουν απαντώντας σε έναν κατάλογο ερωτήσεων ώστε να προσανατολισθούν οι περαιτέρω συζητήσεις[44]. 2.2.2. Προβλεπόμενη(-ες) μέθοδος(-οι) ελέγχου Βλέπε σημείο 2.1 και σημείο 2.2.1 ανωτέρω. 2.3. Μέτρα για την πρόληψη της απάτης και των παρατυπιών Πριν καταβληθούν οι πληρωμές για κάθε απαιτούμενη υπηρεσία ή μελέτη ελέγχονται από το προσωπικό του Οργανισμού, λαμβάνοντας υπόψη τις συμβατικές υποχρεώσεις, τις οικονομικές αρχές και τις ορθές οικονομικές και διαχειριστικές πρακτικές. Οι διατάξεις περί καταπολέμησης της απάτης (εποπτεία, απαιτήσεις υποβολής εκθέσεων, κ.λπ.) περιλαμβάνονται σε όλες τις συμφωνίες και συμβάσεις που συνάπτει ο Οργανισμός με τους δικαιούχους των πληρωμών. 3. ΕΚΤΙΜΩΜΕΝΗ ΔΗΜΟΣΙΟΝΟΜΙΚΗ ΕΠΙΠΤΩΣΗ ΤΗΣ ΠΡΟΤΑΣΗΣ/ΠΡΩΤΟΒΟΥΛΙΑΣ* 3.1. Επηρεαζόμενος(-οι) τομέας(-είς) του πολυετούς δημοσιονομικού πλαισίου και γραμμή(-ές) προϋπολογισμού για τις δαπάνες - Υπάρχουσες γραμμές προϋπολογισμού για τις δαπάνες Τομέας πολυετούς δημοσιονομικού πλαισίου | Γραμμή προϋπολογισμού | Είδος δαπάνης | Συνεισφορά | Αριθμός/Περιγραφή | ΔΠ/ΜΔΠ ([45]) | από χώρες ΕΖΕΣ[46] | από υποψήφιες χώρες[47] | από τρίτες χώρες | σύμφωνα με το άρθρο 18 παράγραφος 1 στοιχείο αα) του δημοσιονομικού κανονισμού | 1.α Ανταγωνιστικότητα για την ανάπτυξη και την απασχόληση | 09 02 03 01 Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών – Επιδότηση στο πλαίσιο των τίτλων 1 και 2 | ΔΠ | ΝΑΙ | ΟΧΙ | ΟΧΙ | ΟΧΙ | 09 02 03 02 Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών – Επιδότηση στο πλαίσιο του τίτλου 3 | ΔΠ | ΝΑΙ | ΟΧΙ | ΟΧΙ | ΟΧΙ | 5 Διοικητικές δαπάνες | 09 01 01 Δαπάνες σχετικές με το εν ενεργεία προσωπικό του τομέα πολιτικής «Κοινωνία της πληροφορίας και μέσα επικοινωνίας» | ΜΔΠ | ΟΧΙ | ΟΧΙ | ΟΧΙ | ΟΧΙ | 09 01 02 11 Άλλες δαπάνες διαχείρισης | ΜΔΠ | ΟΧΙ | ΟΧΙ | ΟΧΙ | ΟΧΙ | * Η εκτιμώμενη δημοσιονομική επίπτωση της πρότασης για την περίοδο που εκτείνεται πέραν της τρέχουσας περιόδου δημοσιονομικού προγραμματισμού 2007-2013 δεν καλύπτεται από το παρόν νομοθετικό δημοσιονομικό δελτίο. Η Επιτροπή θα υποβάλει τροποποιημένο νομοθετικό δημοσιονομικό δελτίο με βάση την πρόταση κανονισμού της Επιτροπής για τη θέσπιση του πολυετούς δημοσιονομικού πλαισίου για την περίοδο μετά το 2013 και λαμβάνοντας υπόψη τα συμπεράσματα της εκτίμησης επιπτώσεων. 3.2. Εκτιμώμενη επίπτωση στις δαπάνες 3.2.1. Συνοπτική παρουσίαση της εκτιμώμενης επίπτωσης στις δαπάνες εκατ. ευρώ (με 3 δεκαδικά ψηφία) Τομέας πολυετούς δημοσιονομικού πλαισίου: | 1.α | Ανταγωνιστικότητα για την ανάπτυξη και την απασχόληση | Θέσεις απασχόλησης του πίνακα προσωπικού (θέσεις μόνιμων και έκτακτων υπαλλήλων) | ΧΧ 01 01 01 (Έδρα και γραφεία αντιπροσωπείας της Επιτροπής) | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- | ΣΥΝΟΛΟ | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- | - β) Ανθρώπινοι πόροι του ENISA 1 Ιανουαρίου -13 Μαρτίου 2012 | 14 Μαρτίου -31 Δεκεμβρίου 2012 | 2013 | 2014 | 2015 | 2016 | 1 Ιανουαρίου -13 Μαρτίου 2017 | Πίνακας προσωπικού του ENISA (σε ισοδύναμο πλήρους απασχόλησης (ΙΠΑ)) | Λοιπό προσωπικό (σε ΙΠΑ) | Συμβασιούχοι | 13 | 14 | 14 | -- | -- | -- | -- | Αποσπασμένοι εθνικοί εμπειρογνώμονες (ΑΕΕ) | 5 | 5 | 5 | -- | -- | -- | -- | Σύνολο λοιπού προσωπικού | 18 | 19 | 19 | -- | -- | -- | -- | ΣΥΝΟΛΟ | 62 | 66 | 66 | -- | -- | -- | -- | Περιγραφή καθηκόντων που πρέπει να εκτελεσθούν από το προσωπικό του Οργανισμού: Μόνιμοι και έκτακτοι υπάλληλοι | Ο Οργανισμός θα εξακολουθήσει: να έχει συμβουλευτικό και συντονιστικό ρόλο κατά τη συγκέντρωση και ανάλυση δεδομένων για την ασφάλεια των πληροφοριών. Σήμερα, τόσο οι δημόσιοι όσο και οι ιδιωτικοί οργανισμοί, με διαφορετικούς στόχους, συγκεντρώνουν δεδομένα για περιστατικά στο πεδίο της τεχνολογίας των πληροφοριών (ΤΠ), καθώς και άλλα δεδομένα σχετικά με την ασφάλεια των πληροφοριών. Ωστόσο, δεν υπάρχει κάποιος κεντρικός φορέας σε ευρωπαϊκό επίπεδο ο οποίος να είναι σε θέση, συγκεντρωτικά, να συλλέγει και να αναλύει δεδομένα και να παρέχει γνωμοδοτήσεις και συμβουλές για τη στήριξη του πολιτικού έργου της Ένωσης σε θέματα ασφάλειας δικτύων και πληροφοριών· να χρησιμεύει ως κέντρο εμπειρογνωσίας στο οποίο μπορούν να απευθύνονται τα κράτη μέλη και τα ευρωπαϊκά θεσμικά όργανα για γνωμοδότηση και παροχή συμβουλών σε τεχνικά θέματα ασφάλειας· να συμβάλλει στην ευρύτερη συνεργασία μεταξύ διαφόρων παραγόντων στο πεδίο της ασφάλειας των πληροφοριών, παραδείγματος χάριν παρέχοντας συνδρομή στις δραστηριότητες πλαισίωσης για την ενίσχυση της ασφάλειας του ηλεκτρονικού επιχειρείν. Η εν λόγω συνεργασία θα αποτελέσει προαπαιτούμενο ζωτικής σημασίας για την ασφαλή λειτουργία των δικτύων και των συστημάτων πληροφοριών στην Ευρώπη. Είναι αναγκαία η συμμετοχή και η σύμπραξη όλων των άμεσα ενδιαφερομένων· να συμβάλλει σε συντονισμένη προσέγγιση της ασφάλειας των πληροφοριών, παρέχοντας στήριξη στα κράτη μέλη, παραδείγματος χάριν για την προώθηση της εκτίμησης του κινδύνου και των δράσεων ευαισθητοποίησης· να εξασφαλίζει τη διαλειτουργικότητα δικτύων και συστημάτων πληροφοριών, όταν τα κράτη μέλη εφαρμόζουν τεχνικές απαιτήσεις οι οποίες επηρεάζουν την ασφάλεια· να καταγράφει τις σχετικές ανάγκες τυποποίησης και να αξιολογεί τα υφιστάμενα πρότυπα ασφαλείας και συστήματα πιστοποίησης, καθώς και να προάγει την ευρύτερη δυνατή χρήση τους για τη στήριξη της ευρωπαϊκής νομοθεσίας· να υποστηρίζει τη διεθνή συνεργασία στο εν λόγω πεδίο, η οποία καθίσταται όλο και περισσότερο αναγκαία, δεδομένης της παγκόσμιας διάστασης της ασφάλειας δικτύων και πληροφοριών. | Εξωτερικό προσωπικό | Βλέπε ανωτέρω. | - 3.2.4. Συμβατότητα με το τρέχον πολυετές δημοσιονομικό πλαίσιο - ( Η πρόταση/πρωτοβουλία είναι συμβατή με το ισχύον πολυετές δημοσιονομικό πλαίσιο. - ( Η πρόταση/πρωτοβουλία απαιτεί επαναπρογραμματισμό του σχετικού τομέα του πολυετούς δημοσιονομικού πλαισίου. - ( Η πρόταση/πρωτοβουλία απαιτεί εφαρμογή του μέσου ευελιξίας ή της αναθεώρησης του πολυετούς δημοσιονομικού πλαισίου[49]. Η χρηματοδότηση της ΕΕ μετά το 2013 θα εξετασθεί στο πλαίσιο διαλόγου στον οποίο θα συμμετάσχουν όλες οι υπηρεσίες της Επιτροπής επί του συνόλου των προτάσεων για την περίοδο μετά το 2013. Αυτό σημαίνει ότι μετά την υποβολή από την Επιτροπή της πρότασής της για το επόμενο πολυετές δημοσιονομικό πλαίσιο, η Επιτροπή θα υποβάλει τροποποιημένο νομοθετικό δημοσιονομικό δελτίο, λαμβάνοντας υπόψη τα συμπεράσματα της εκτίμησης επιπτώσεων. 3.2.5. Συνεισφορές τρίτων - ( Η πρόταση/πρωτοβουλία δεν προβλέπει συγχρηματοδότηση από τρίτα μέρη - ( Η πρόταση/πρωτοβουλία προβλέπει τη χρηματοδότηση που εκτιμάται παρακάτω: Ενδεικτικές πιστώσεις σε εκατ. ευρώ (με τρία δεκαδικά ψηφία) |1 Ιανουαρίου-13 Μαρτίου 2012 |14 Μαρτίου-31 Δεκεμβρίου 2012 |2013 |2014 |2015 |2016 |1 Ιανουαρίου -13 Μαρτίου 2017 | Σύνολο 14 Μαρτίου 2012 – 13 Μαρτίου 2017 | | ΕΖΕΣ |0,042 |0,160 |0,206 |-- |-- |-- |-- |-- | | 3.3. Εκτιμώμενη επίπτωση στα έσοδα - ( Η πρόταση/πρωτοβουλία δεν έχει κανένα δημοσιονομικό αντίκτυπο στα έσοδα. - ( Η πρόταση/πρωτοβουλία έχει τον δημοσιονομικό αντίκτυπο που περιγράφεται κατωτέρω: - ( στους ιδίους πόρους - ( στα διάφορα έσοδα [1] Κανονισμός (ΕΚ) αριθ. 460/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 10ης Μαρτίου 2004, για τη δημιουργία του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών ( ΕΕ L 77 της 13.3.2004, σ. 1). [2] Κανονισμός (ΕΚ) αριθ. 1007/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Σεπτεμβρίου 2008 , περί τροποποιήσεως του κανονισμού (ΕΚ) αριθ. 460/2004 για τη δημιουργία του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών ως προς τη διάρκειά του (EE L 293 της 31.10.2008, σ.1). [3] Η συνοπτική έκθεση των αποτελεσμάτων της δημόσιας διαβούλευσης με τίτλο «Προς μια πολιτική ενισχυμένης ασφάλεια δικτύων και πληροφοριών στην Ευρώπη» επισυνάπτεται ως παράρτημα 11 της εκτίμησης του αντίκτυπου που συνοδεύει την παρούσα πρόταση. [4] COM(2009) 149 της 30.3.2009. [5] Έγγραφο συζήτησης: http://www.tallinnciip.eu/doc/discussion_paper_-_tallinn_ciip_conference.pdf Συμπεράσματα της Προεδρίας http://www.tallinnciip.eu/doc/EU_Presidency_Conclusions_Tallinn_CIIP_Conference.pdf. [6] Ψήφισμα του Συμβουλίου, της 18ης Δεκεμβρίου 2009 , για μια ευρωπαϊκή συνεργατική προσέγγιση όσον αφορά την ασφάλεια δικτύων και πληροφοριών (ΕΕ C 321 της 29.12.2009, σ. 1). [7] COM(2010) 245 της 19.05.2010. [8] Το ψήφισμα του Συμβουλίου, της 18ης Δεκεμβρίου 2009, για μια ευρωπαϊκή συνεργατική προσέγγιση της ασφάλειας δικτύων και πληροφοριών προέβλεπε επίσης ότι: «Το Συμβούλιο […] αναγνωρίζει τη σημασία της διερεύνησης των στρατηγικών αποτελεσμάτων, κινδύνων και προοπτικών συγκρότησης διαφόρων ΟΑΕΑΠ για τα θεσμικά όργανα της ΕΕ και της εξέτασης του πιθανού μελλοντικού ρόλου του ENISA εν προκειμένω». [9] Βλέπε παράρτημα XI της εκτίμησης επιπτώσεων. [10] Βλέπε παράρτημα IV της εκτίμησης επιπτώσεων. [11] ΕΕ C 115 της 9.5.2008, σ. 94. [12] Απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης της 2.5.2006, υπόθεση C-217/04, Ηνωμένο Βασίλειο της Μεγάλης Βρετανίας και Βορείου Ιρλανδίας κατά Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου της Ευρωπαϊκής Ένωσης. [13] Πρβλ. ανωτέρω. [14] Η συνήθης νομοθετική διαδικασία διαφέρει ιδίως ως προς τις απαιτήσεις περί πλειοψηφίας στο Συμβούλιο και στο Ευρωπαϊκό Κοινοβούλιο. [15] ΕΕ C […], […], σ. […]. [16] ΕΕ C […], […], σ. […]. [17] ΕΕ L 077 της 13.03.2004, σ. 1 [18] ΕΕ L 293 της 31.10.2008, σ. 1 [19] COM(2006) 251 της 31.05.2006. [20] Ψήφισμα του Συμβουλίου, της 22ας Μαρτίου 2007, για μια στρατηγική για ασφαλή κοινωνία της πληροφορίας στην Ευρώπη (ΕΕ C 68 της 24.3.2007, σ. 1). [21] COM(2009) 149 της 30.3.2009. [22] Ψήφισμα του Συμβουλίου, της 18ης Δεκεμβρίου 2009, για μια ευρωπαϊκή συνεργατική προσέγγιση όσον αφορά την ασφάλεια δικτύων και πληροφοριών (ΕΕ C 321 της 29.12.2009, σ. 1). [23] COM(2010)245, 19.5.2010. [24] ΕΕ L 108 της 24.04.2002, σ. 33. [25] ΕΕ L 201 της 31.07.2002, σ. 37. [26] ΕΕ L 281 της 23.11.1995, σ. 31. [27] ΕΕ L 337, 18.12.2009, σ.1. [28] ΕΕ L 204 της 21.07.1998, σ. 37. [29] Κανονισμός (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 30ής Μαΐου 2001, για την πρόσβαση του κοινού στα έγγραφα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής (ΕΕ L 145 της 31.5.2001, σ. 43). [30] Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της 12.1.2001, σ. 1). [31] ΕΕ L 357 της 31.12.2002, σ. 72. [32] ΕΕ L 317 03.12.2001 σ. 1. [33] ΕΕ L 136 της 31.5.1999, σ. 1. [34] ΕΕ L 136 της 31.5.1999, σ. 15. [35] ΕΕ L 248 της 16.9.2002, σ. 1. [36] ΕΕ 17 της 6.10.1958, σ. 385/58. Κανονισμός όπως τροποποιήθηκε τελευταία από την πράξη προσχώρησης του 1994. [37] ΔΒΔ: διαχείριση βάσει δραστηριοτήτων – ΠΒΔ: προϋπολογισμός βάσει δραστηριοτήτων. [38] Όπως προβλέπονται στο άρθρο 49 παράγραφος 6 στοιχεία α) ή β) του δημοσιονομικού κανονισμού. [39] Οι εξηγήσεις σχετικά με τους τρόπους διαχείρισης καθώς και οι παραπομπές στον δημοσιονομικό κανονισμό διατίθενται στον ιστότοπο BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_fr.html [40] Όπως αναφέρονται στο άρθρο 185 του δημοσιονομικού κανονισμού. [41] http://ec.europa.eu/dgs/information_society/evaluation/studies/index_en.htm [42] Όπως προβλέπεται στο άρθρο 25 του κανονισμού ENISA. Το πλήρες κείμενο που εγκρίθηκε από το Διοικητικό Συμβούλιο του ENISA, το οποίο περιλαμβάνει επίσης τους προβληματισμούς του Συμβουλίου, διατίθεται στον ακόλουθο ιστότοπο: http://enisa.europa.eu/pages/03_02.htm [43] Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο σχετικά με την αξιολόγηση του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), COM(2007) 285 τελικό της 1.6.2007: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52007DC0285:FR:NOT [44] http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=EnisaFuture&lang=en [45] ΔΠ= Διαχωριζόμενες πιστώσεις / ΜΔΠ= Μη διαχωριζόμενες πιστώσεις [46] EFTA: Ευρωπαϊκή Ζώνη Ελεύθερων Συναλλαγών. [47] Υποψήφιες χώρες και, κατά περίπτωση, εν δυνάμει υποψήφιες χώρες των Δυτικών Βαλκανίων. [48] Το παράρτημα του νομοθετικού δημοσιονομικού δελτίου δεν συμπληρώνεται διότι είναι άνευ αντικειμένου στην παρούσα πρόταση. [49] Βλέπε σημεία 19 και 24 της διοργανικής συμφωνίας.