52010PC0521

[pic] | EVROPSKÁ KOMISE |

V Bruselu dne 30.9.2010

KOM(2010) 521 v konečném znění

2010/0275 (COD)

Návrh

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY

týkající se Evropské agentury pro bezpečnost sítí a informací (ENISA)

{SEK(2010) 1126} {SEK(2010) 1127}

DŮVODOVÁ ZPRÁVA

SOUVISLOSTI NÁVRHU

Politické souvislosti

Evropská agentura pro bezpečnost sítí a informací (ENISA) byla založena v březnu 2004 pro počáteční období pěti let na základě nařízení (ES) č. 460/2004[1] s hlavním cílem „zajistit vysokou a účinnou bezpečnost sítí a informací v rámci [Unie], […] a vytvořit kulturu bezpečnosti sítí a informací v zájmu občanů, spotřebitelů, podniků a organizací veřejného sektoru v Evropské unii a přispět tím k řádnému fungování vnitřního trhu.“ Nařízením (ES) č. 1007/2008[2] byl mandát agentury ENISA prodloužen do března 2012.

Prodloužením mandátu agentury ENISA v roce 2008 začala také diskuse o obecném zaměření evropského úsilí na bezpečnost sítí a informací (NIS), k němuž Komise přispěla zahájením veřejné konzultace o případných cílech pro posílenou politiku NIS na úrovni Unie. Tato veřejná konzultace probíhala od listopadu 2008 do ledna 2009 a bylo v ní shromážděno téměř 600 příspěvků[3].

Dne 30. března 2009 přijala Komise sdělení o ochraně kritické informační infrastruktury[4] (CIIP) zaměřené na ochranu Evropy před počítačovými útoky a počítačovým narušením zvyšováním připravenosti, bezpečnosti a odolnosti spolu akčním plánem, v němž se ENISA vyzývá, aby hrála významnou roli hlavně v podpoře členských států. Akční plán byl v širokém měřítku schválen v jednání na ministerské konferenci o ochraně kritické informační infrastruktury (CIIP), která se konala v Talinu, v Estonsku, ve dnech 27. – 28. dubna 2009[5]. Závěry předsednictví Evropské unie z konference zdůrazňují důležitost „zvýšení provozní podpory“ agentury ENISA; uvádějí, že ENISA „poskytuje hodnotný nástroj pro podporu úsilí zaměřeného na spolupráci v rámci celé Unie v této oblasti“ a poukazují na potřebu přehodnotit a přeformulovat mandát agentury s cílem „více se soustředit na priority a potřeby EU“ ; dosáhnout pružnější schopnosti reagovat; rozvíjet schopnosti a dovednosti; a podporovat provozní efektivnost a celkový vliv agentury, aby byly agentuře poskytnuty „trvalé prostředky ve prospěch členských států a Evropské unie jako celku“.

Po projednání v Evropské radě pro telekomunikace dne 11. června 2009, kde členské státy vyjádřily podporu prodloužení mandátu agentury ENISA a zvýšení jejích zdrojů s ohledem na důležitost NIS a nově vznikající úkoly v dané oblasti, byly z diskuse vyvozeny závěry pod švédským předsednictvím v Unii. Usnesení Rady ze dne 18. prosince 2009 o společném evropském přístupu k NIS[6] uznává roli a potenciál ENISA a potřebu „tuto agenturu dále rozvíjet, aby se stala účinným orgánem“. Zdůrazňuje rovněž potřebu modernizovat a posílit agenturu za účelem podpory Komise a členských států v překonání rozdílů mezi technologií a politikou s tím, že by měla sloužit jako odborné středisko Unie v záležitostech NIS.

Obecné souvislosti

Informační a komunikační technologie (IKT) se staly páteří evropského hospodářství a společnosti jako celku. IKT jsou citlivé na hrozby, které už nejsou omezeny státními hranicemi a s vývojem technologií a trhu se změnily. Vzhledem k tomu, že IKT jsou globální, provázané s jinými infrastrukturami a vzájemně závislé, nelze jejich bezpečnost a odolnost zaručit výhradně vnitrostátními a nekoordinovanými přístupy. Současně se rychle vyvíjejí úkoly týkající se NIS. Sítě a informační systémy musejí být účinně chráněny před narušením a závadami všeho druhu, včetně útoků provedených člověkem.

Politiky týkající se bezpečnosti sítí a informací (NIS) hrají ústřední roli v Digitální agendě pro Evropu[7], vlajkové iniciativě strategie EU 2020, s cílem využít a rozvinout potenciál IKT a převést ho do udržitelného rozvoje a inovace. Prosazování převzetí IKT a podpora důvěry a víry v informační společnost jsou klíčové priority Digitální agendy.

ENISA byla původně vytvořena s cílem zajistit vysokou a efektivní úroveň bezpečnosti sítí a informací v rámci Unie. Zkušenosti získané s agenturou a úkoly a hrozby podtrhly potřebu modernizovat její mandát, aby lépe odpovídal potřebám Evropské unie vyplývajícím z:

- roztříštěnosti vnitrostátních přístupů ke zvládnutí nově vznikajících úkolů;

- nedostatku společných modelů v provádění politik NIS;

- nedostatečné úrovně připravenosti také v důsledku omezené schopnosti včasného varování a reakce v Evropě;

- nedostatku spolehlivých evropských údajů a omezených znalostí o nově vznikajících problémech;

- nízké úrovně informovanosti o rizicích a úkolech NIS;

- úkolu začlenit aspekty NIS do politik za účelem účinnějšího boje proti počítačové trestné činnosti.

Cíle politiky

Obecným cílem navrženého nařízení je umožnit Unii, členských státům a zúčastněným stranám rozvíjet vysoký stupeň schopnosti a připravenosti pro zamezení problémům NIS, pro jejich zjišťování a pro lepší reakci na ně. Pomůže to vytvořit důvěru, která podporuje rozvoj informační společnosti za účelem zvýšení konkurenceschopnosti evropských podniků a zajištění, aby vnitřní trh efektivně fungoval.

Existující ustanovení v oblasti návrhu

Tento návrh doplňuje politické iniciativy v oblasti právní úpravy a politické iniciativy jiného než regulačního charakteru týkající se bezpečnosti sítí a informací, které se rozvíjejí na úrovni Unie s cílem zvýšit bezpečnost a odolnost IKT:

- Akční plán zahájený sdělením o CIIP řeší vytvoření:

1) jak evropského fóra členských států zaměřeného na podporu diskuse a výměny osvědčených politických postupů za účelem sdílení politických cílů a priorit v bezpečnosti a odolnosti infrastruktury IKT, které má přímý prospěch z práce a podpory poskytované agenturou,

2) tak i Evropského partnerství mezi veřejným a soukromým sektorem pro odolnost (EP3R), což je pružný celoevropský rámec správy a řízení odolnosti infrastruktury IKT, který ve své činnosti podporuje spolupráci mezi veřejným a soukromým sektorem na cílech v oblasti bezpečnosti a odolnosti, na základních požadavcích a osvědčených politických postupech a opatřeních.

- Stockholmský program přijatý Evropskou radou dne 11. prosince 2009 podporuje politiky, které zajišťují bezpečnost sítí a umožňují rychleji reagovat na případy počítačových útoků v Unii.

- Tyto iniciativy přispívají k provádění Digitální agendy pro Evropu. Politiky týkající se NIS hrají ústřední úlohu v té části strategie, která se zaměřuje na prosazování důvěry a bezpečnosti v informační společnosti. Napomáhají také opatřením a politikám Komise na podporu ochrany soukromí (zejména „ochrana soukromí coby aspekt návrhu“) a osobních údajů (přezkum rámce), sítě pro spolupráci v oblasti ochrany spotřebitele (CPC), řízení identity a bezpečnějšího programu internetu.

Vývoj v současné politice bezpečnosti sítí a informací týkající se návrhu

Z podpory a odborných znalostí agentury ENISA těží různé probíhající postupy vývoje v politice NIS, zejména ty, které jsou uvedeny v Digitální agendě pro Evropu. Zahrnuje to:

- posílení spolupráce v politice NIS zintezívněním činností v Evropském fóru členských států (EFMS) , které s přímou podporou ENISA pomůže:

- vymezit způsoby vytvoření efektivní evropské sítě přeshraniční spoluprácí mezi skupinami pro reakci na počítačové hrozby (CERT) na vnitrostátní/vládní úrovni;

- určit dlouhodobé cíle a priority rozsáhlých celoevropských cvičení v bezpečnostních událostech NIS;

- prosazovat minimální požadavky v zadávání veřejných zakázek za účelem podpory bezpečnosti a odolnosti ve veřejných systémech a sítích;

- určit ekonomické a regulační pobídky pro bezpečnost a odolnost;

- vyhodnotit stav NIS v Evropě.

- Posílení spolupráce a partnerství veřejného a soukromého sektoru podporou Evropského partnerství mezi veřejným a soukromým sektorem pro odolnost (EP3R). ENISA hraje čím dál tím větší úlohu v napomáhání zasedáním a činnostem EP3R. Další kroky EP3R budou zahrnovat:

- Posouzení inovačních opatření a nástrojů pro zvýšení bezpečnosti a odolnosti, jako jsou:

1) základní požadavky na bezpečnost a odolnost, zejména v zadávání veřejných zakázek pro produkty nebo služby IKT, za účelem zajištění stejných podmínek a současně odpovídající úrovně připravenosti a prevence;

2) využití otázek odpovědnosti hospodářských subjektů, například když zavádějí minimální požadavky na bezpečnost;

3) ekonomické pobídky pro rozvoj a přijímání postupů řízení rizik a procesů a produktů bezpečnosti;

4) posuzování rizik a systémů řízení za účelem hodnocení a zvládání závažných bezpečnostních událostí na základě společného chápání;

5) spolupráce mezi veřejným a soukromým sektorem v případě rozsáhlých bezpečnostních událostí;

6) uspořádání obchodního summitu o hospodářských překážkách a hybných silách pro bezpečnost a odolnost.

- Zavedení požadavků regulačního balíčku na bezpečnost elektrických komunikací do praxe, u nichž jsou nutné odborné znalosti a pomoc agentury ENISA:

- podporovat členské státy a Komisi, případně s přihlédnutím k názorům soukromého sektoru, při stanovení rámce pravidel a postupů pro provádění ustanovení týkajících se oznamování narušení bezpečnosti (uvedeného v čl. 13 odst. a) revidované rámcové směrnice),

- vytvořit každoroční fórum pro příslušné vnitrostátní orgány/vnitrostátní regulační orgány NIS a zúčastněné strany soukromého sektoru za účelem posouzení získaných poznatků a výměny osvědčených postupů v provádění regulačních opatření pro NIS.

- Napomáhání cvičením v připravenosti na počítačovou bezpečnost v rámci celé EU s podporou Komise a přispěním agentury ENISA s cílem rozšířit tato cvičení později na mezinárodní úrovni.

- Vytvoření CERT (skupina pro reakci na počítačové hrozby) pro instituce EU. Klíčové opatření č. 6 Digitální agendy pro Evropu spočívá v tom, že Komise předloží „opatření zaměřená na posílenou politiku bezpečnosti sítí a informací a její vysokou úroveň, včetně […] opatření umožňující rychlejší reakce v případě počítačových útoků, zahrnující CERT pro instituce EU“[8]. Bude si to vyžadovat, aby Komise a jiné instituce Unie analyzovaly a vytvořily skupinu pro reakci na počítačové hrozby, které ENISA může poskytnout technickou podporu a odborné znalosti.

- Mobilizace a podpora členských států při dokončení a v případě potřeby vytvoření CERT na vnitrostátní/vládní úrovni s cílem zavést dobře fungující síť CERT pokrývající celou Evropu. Tato činnost bude rovněž účelná v dalším rozvoji Evropského systému pro varování a sdílení informací (EISAS) pro občany a malé a střední podniky, který má být vytvořen do konce roku 2012 za pomoci vnitrostátních zdrojů a schopností.

- Zvýšení informovanosti o úkolech NIS, které budou zahrnovat:

- spolupráci Komise s agenturou ENISA na zpracování pokynů na podporu norem NIS, osvědčených postupů a kultury řízení rizik. Bude sestaven první návrh pokynů.

- ENISA ve spolupráci s členskými státy zorganizuje „Evropský měsíc bezpečnosti sítí a informací pro všechny“ se soutěžemi v počítačové bezpečnosti na vnitrostátní/evropské úrovni jako hlavní bod programu.

Soulad s jinými politikami a cíli Unie

Návrh je v souladu s existujícími politikami a cíli Evropské unie a plně ve shodě s cíli podpory řádného fungování vnitřního trhu zvýšením připravenosti a reakce na úkoly bezpečnosti sítí a informací.

VÝSLEDKY KONZULTACÍ A POSOUZENÍ DOPADŮ

Konzultace se zainteresovanými stranami

Tato politická iniciativa je výsledkem široké diskuse uskutečněné s dodržením inkluzívního přístupu a respektováním zásad účasti, otevřenosti, odpovědnosti, efektivnosti a provázanosti. Rozsáhlý proces, který probíhal, zahrnoval hodnocení agentury za období 2006/2007, po němž následovala doporučení správní rady agentury ENISA, dvě veřejné konzultace (v roce 2007 a v letech 2008–2009) a řada seminářů o otázkách týkajících se NIS.

První veřejná konzultace byla zahájena v souvislosti se sdělením Komise o hodnocení agentury ENISA v polovině období. Zaměřila se na budoucnost agentury, probíhala od 13. června do 7. září 2007 a shromáždila celkem 44 příspěvků online a dva příspěvky předložené písemně. Odpovědi pocházely od různých zúčastněných a zainteresovaných stran, včetně ministerstev, regulačních orgánů, odvětvových sdružení a sdružení spotřebitelů, akademických institucí, společností a jednotlivých občanů členských států.

Odpovědi zdůrazňovaly řadu zajímavých otázek týkajících se vývoje scénáře hrozeb; potřebu vysvětlit nařízení a zavést do něj větší pružnost, aby se agentura ENISA mohla přizpůsobit úkolům; důležitost zajištění efektivní vzájemné součinnosti se zúčastněnými stranami; a možnost omezeného zvýšení jejich zdrojů.

Druhá veřejná konzultace, která probíhala od 7. listopadu 2008 do 9. ledna 2009, byla zaměřena na určení prioritních cílů pro posílení politiky NIS na evropské úrovni a prostředků pro dosažení těchto cílů. Bylo obdrženo téměř 600 příspěvků od orgánů, akademických/výzkumných institucí, odvětvových sdružení, soukromých společností a jiných zúčastněných stran členských států, jako jsou např. organizace a poradenské organizace na ochranu dat a soukromí občané.

Převážná většina respondentů[9] podpořila prodloužení mandátu a prosazovala zvýšenou roli agentury v koordinaci s činnostmi NIS na evropské úrovni a navýšení jejích zdrojů. Klíčovými prioritami byla potřeba koordinovanějšího přístupu k počítačovým hrozbám v celé Evropě, mezinárodní spolupráce s cílem reagovat na rozsáhlé počítačové útoky, vytváření důvěry a lepší výměna informací mezi zúčastněnými stranami.

Posouzení dopadů návrhu bylo uskutečněno počínaje zářím 2009 na základě přípravné studie zpracované externím dodavatelem. Bylo zapojeno mnoho zúčastněných stran a odborníků. Příspěvky zahrnovaly orgány NIS, vnitrostátní regulační orgány, telekomunikační operátory a poskytovatele služeb internetu a příslušná odvětvová sdružení, sdružení spotřebitelů, výrobce IKT, skupiny pro reakci na počítačové hrozby (CERT), akademické pracovníky a uživatele z řad společností členských států. Na podporu procesu posouzení dopadů byla vytvořena meziútvarová řídící skupina složená z příslušných generálních ředitelství Komise.

Posouzení dopadů

Udržení agentury bylo označeno za vhodné řešení pro dosažení cílů evropské politiky[10]. Po procesu předběžného prověření bylo pro další analýzu vybráno pěr politických možností:

- možnost 1 – žádná politika;

- možnost 2 – stejná činnost jako dřív, tj. s podobným mandátem a se stejnou úrovní zdrojů;

- možnost 3 – rozšíření úkolů agentury ENISA s doplněním donucovacích orgánů a orgánů na ochranu soukromí jako plnohodnotných zúčastněných stran;

- možnost 4 – doplnění boje proti počítačovým útokům a reakce na počítačové bezpečnostní události do jejích úkolů;

- možnost 5 – doplnění podpory donucovacích a justičních orgánů pro boj s počítačovou trestnou činností do jejích úkolů.

Po srovnávací analýze nákladů a přínosů byla možnost 3 určena jako nejefektivnější a nejúčinnější způsob dosažení cílů politiky.

Možnost 3 předpokládá rozšíření úlohy agentury ENISA za účelem zaměření na:

- vytváření a udržování spojovací sítě mezi zúčastněnými stranami a sítě informací s cílem zajistit, aby ENISA byla důkladně informována o prostředí evropské bezpečnosti sítí a informací (NIS);

- působení jako podpůrné středisko NIS pro rozvoj politiky a její provádění (zejména s ohledem na soukromí a elektronické komunikace, elektronický podpis, elektronickou identifikaci a normy zadávání veřejných zakázek pro NIS);

- podporu CIIP a politiky odolnosti Unie (cvičení, EP3R, Evropský systém pro varování a sdílení informací atd.);

- vytvoření rámce Unie pro sběr údajů NIS, včetně rozvoje metod a postupů pro podávání a sdílení zpráv, které vyplývají z právních předpisů;

- zkoumání ekonomiky NIS;

- stimulování spolupráce se třetími zeměmi a mezinárodními organizacemi za účelem podpory společného globálního přístupu k NIS a vyvíjení vlivu na mezinárodní iniciativy na vysoké úrovni v Evropě;

- plnění neoperativních úkolů týkajících se aspektů NIS v oblasti vymáhání práva a justiční spolupráce v počítačové trestné činnosti.

PRÁVNÍ STRÁNKA NÁVRHU

Shrnutí navrhovaných opatření

Navržené nařízení se zaměřuje na posílení a modernizaci Evropské agentury pro bezpečnost sítí a informací (ENISA) a na stanovení jejího nového mandátu na období pěti let.

Ve srovnání s původním nařízením obsahuje návrh některé klíčové změny:

1) Více pružnosti, přizpůsobivosti a schopnosti zaměření . Úkoly jsou v rozsáhlém měřítku aktualizovány a přeformulovány, aby byl pro činnosti agentury poskytnut větší prostor; jsou dostatečně přesné v popisu prostředků, za pomoci kterých má být dosaženo cílů. Je tím zajištěno lepší zaměření poslání agentury, zvyšuje se její schopnost dosáhnout cíle a posilují se její úkoly na podporu provádění politiky Unie.

2) Lepší zapojení agentury do politiky a regulačního postupu Unie. Evropské instituce a orgány se mohou obrátit na agenturu se žádostí o pomoc a poradenství. Je to v souladu s politickým a regulačním vývojem: Rada se začala v usneseních obracet přímo na agenturu a Evropský parlament a Rada v předpisovém rámci pro elektronické komunikace uložily agentuře úkoly týkající se bezpečnosti sítí a informací.

3) Rozhraní s bojem proti počítačové trestné činnosti. Agentura v dosahovaní svých cílů bere v úvahu boj proti počítačové trestné činnosti. Donucovací orgány a orgány pro ochranu soukromí jsou plnohodnotnými zúčastněnými stranami agentury, především ve stálé skupině zúčastněných stran.

4) Posílená struktura správy a řízení. Návrh zvyšuje úlohu dohledu správní rady agentury, v níž jsou zastoupeny členské státy a Komise. Správní rada může například vydávat obecné pokyny o otázkách zaměstnanců, což dřív spadalo výlučně do úkolů výkonného ředitele. Může rovněž vytvářet pracovní orgány na pomoc plnění svých úkolů, včetně sledování plnění svých rozhodnutí.

5) Zjednodušení postupů. Postupy, u nichž se ukázalo, že představují zbytečnou zátěž, se zjednodušují. Příklady: a) zjednodušený postup pro vnitřní jednací řád správní rady, b) stanovisko k pracovnímu programu agentury ENISA je vydáváno spíše útvary Komise, a ne prostřednictvím rozhodnutí Komise. Správní rada dostává příslušné zdroje, pokud je potřebuje k přijetí rozhodnutí a k jejich plnění (např. podá-li zaměstnanec stížnost na výkonného ředitele nebo na samotnou radu).

6) Postupné zvýšení zdrojů. S cílem plnit posílené evropské priority a zvýšené úkoly, aniž je dotčen návrh víceletého finančního rámce vypracovaný Komisí, předpokládá se, že se budou finanční a lidské zdroje agentury od roku 2012 do roku 2016 postupně zvyšovat. Na základě návrhu nařízení, který předložila Komise a kterým se stanoví víceletý finanční rámec pro období po roce 2013, a při zohlednění závěrů posouzení dopadů, předloží Komise pozměněný legislativní finanční výkaz.

7) Možnost prodloužení funkčního období výkonného ředitele. Správní rada může prodloužit funkční období výkonného ředitele na dobu tří let.

Právní základ

Základem tohoto návrhu je článek 114 Smlouvy o fungování Evropské unie (SFEU)[11].

V souladu s rozsudkem Evropského soudního dvora[12] měl být článek 95 Smlouvy o ES před vstupem Lisabonské smlouvy v platnost považován za příslušný právní základ pro vytvoření orgánu za účelem zajištění vysoké a efektivní úrovně NIS v rámci Unie. Použitím výrazu „opatření pro sbližování“ v článku 95 chtěli autoři smlouvy ponechat na zvážení zákonodárného orgánu Unie, aby zvolil vhodná opatření k dosažení žádoucího výsledku. Zvýšení bezpečnosti a odolnosti infrastruktur IKT je tedy důležitým prvkem, který přispívá k řádnému fungování vnitřního trhu.

Podle Lisabonské smlouvy popisuje článek 114 SFEU[13] – téměř shodně – odpovědnost za vnitřní trh. Z výše uvedených důvodů bude i nadále právním základem pro přijímání opatření ke zlepšení NIS. Odpovědnost za vnitřní trh patří v současné době do sdílené pravomoci Unie a členských států (čl. 4 odst. 2 písm. a) SFEU). To znamená, že Unie a členské státy mohou přijmout (závazná) opatření a členské státy budou jednat, pokud Unie nevykonává svou pravomoc nebo se rozhodne už nejednat (čl. 2 odst. 2 SFEU).

Opatření na základě odpovědnosti za vnitřní trh si vyžádají řádný legislativní postup (článek 289 a 294 SFEU), který je podobný[14] dřívějšímu postupu spolurozhodování (článek 251 Smlouvy o ES).

Lisabonskou smlouvou se vytratil dřívější rozdíl mezi pilíři. Předcházení trestné činnosti a boj s ní se staly sdílenou pravomocí Unie. Tím byla vytvořena možnost, aby ENISA hrála významnou roli jako platforma pro boj proti počítačové trestné činnosti v aspektech NIS a pro výměnu názorů a osvědčených postupů s orgány pro počítačovou ochranu, donucovacími orgány a orgány na ochranu soukromí.

Zásada subsidiarity

Návrh je v souladu se zásadou subsidiarity: politika NIS vyžaduje společný přístup a cíle návrhu nemohou členské státy dosáhnout jednotlivě.

Strategie naprostého nezasahování Unie do vnitrostátních politik NIS by vedla k ponechání úkolu na členských státech bez ohledu na zřejmou vzájemnou závislost mezi existujícími informačními systémy. Opatření, která zabezpečují příslušný stupeň koordinace mezi členskými státy s cílem zajistit, že rizika NIS lze dobře zvládnout v přeshraničním kontextu, v nichž vznikají, proto dodržují zásadu subsidiarity. Evropská opatření dále zvýši účinnost existujících vnitrostátních politik, a tím i jejich přidanou hodnotu.

Kromě toho vytvoření harmonizované a společné politiky NIS bude mít příznivé účinky na ochranu základních práv, a zejména práv na ochranu osobních údajů a soukromí. Potřeba chránit údaje je v současné době velmi důležitá s ohledem na to, že evropští občané čím dál tím víc svěřují své údaje komplexním informačním systémům buď z vlastní vůle, nebo z nutnosti, aniž by byli nezbytně schopni správně posoudit rizika týkající se ochrany dat. Dojde-li k bezpečnostním událostem, nebudou proto nutně způsobilí učinit vhodné kroky, a není ani jisté, že by členské státy mohly účinně řešit jakékoli mezinárodní bezpečnostní události, pokud by neexistovala evropská koordinace NIS.

Zásada proporcionality

Návrh je v souladu se zásadou proporcionality, neboť nepřesahuje rámec toho, co je nutné k dosažení jeho cíle.

Výběr nástrojů

Navržený nástroj: nařízení, které je přímo použitelné ve všech členských státech.

ROZPOČTOVÉ DŮSLEDKY

Návrh bude mít důsledky pro rozpočet Unie.

Jelikož úkoly, které mají být zařazeny do nového mandátu agentury ENISA, jsou stanoveny, očekává se, že agentura dostane zdroje potřebné pro uspokojivé vykonávání svých činností. Hodnocení agentury, rozsáhlý proces konzultací se zúčastněnými stranami na všech úrovních a posouzení dopadů ukazuje všeobecnou shodu v tom, že kapacita agentury je menší, než je nezbytně nutné, a že je třeba zvýšit její zdroje. Důsledky a účinky zvýšení počtu zaměstnanců a zvýšení rozpočtu agentury jsou analyzovány v posouzení dopadů, které je průvodním dokumentem k návrhu.

Financování EU po roce 2013 bude přezkoumáno v kontextu diskuse celé Komise o všech návrzích týkajících se období po roce 2013.

DOPLŇUJÍCÍ POZNÁMKY

Trvání

Nařízení se vztahuje na období pěti let.

Ustanovení o přezkumu

Nařízení stanoví hodnocení agentury pokrývající období od předcházejícího hodnocení v roce 2007. Bude v něm posouzena efektivnost agentury v dosahování jejích cílů stanovených v nařízení, zda je nadále účinným nástrojem a zda by její trvání mělo být dále prodlouženo. Na základě zjištění dá správní rada doporučení Komisi týkající se změn tohoto nařízení, agentury a jejích pracovních postupů. Aby mohla Komise včas připravit návrh na prodloužení mandátu, hodnocení musí být zpracováno do konce druhého roku mandátu stanoveného nařízením.

Přechodné opatření

Komise si je vědoma, že legislativní postup v Evropském parlamentu a v Radě si může vyžádat dlouhou dobu na posouzení návrhu a existuje riziko právního vakua, nebude-li nový mandát agentury přijat včas před ukončením platnosti existujícího mandátu. Komise proto spolu s tímto návrhem navrhuje nařízení, kterým se prodlužuje současný mandát agentury o 18 měsíců, aby byl umožněn dostatečný čas na posouzení a náležitý postup.

2010/0275 (COD)

Návrh

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY

týkající se Evropské agentury pro bezpečnost sítí a informací (ENISA)

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na článek 114 této smlouvy,

s ohledem na návrh Evropské komise,

s ohledem na stanovisko Evropského hospodářského a sociálního výboru[15],

s ohledem na stanovisko Výboru regionů[16],

po předání návrhu vnitrostátním parlamentům,

v souladu s řádným legislativním postupem,

vzhledem k těmto důvodům:

1. Elektronické komunikace, infrastruktura a služby jsou důležitým faktorem hospodářského a sociálního rozvoje. Hrají důležitou roli pro společnost a jsou obecně rozšířené podobně jako zařízení pro dodávku elektřiny a vody. Jejich narušení může způsobit značné hospodářské škody, což zdůrazňuje význam opatření ke zvýšení ochrany a odolnosti zaměřených na zajištění kontinuity klíčových služeb. Bezpečnost elektronických komunikací, infrastruktury a služeb, zejména jejich integrity a dostupnosti, je postavena před úkoly, které se neustále rozšiřují. Obavy společnosti vzrůstají v neposlední řadě kvůli možným problémům z důvodu složitosti systému, nehod, chyb a útoků, které mohou mít důsledky pro fyzickou infrastrukturu zajišťující služby důležité pro blahobyt evropských občanů.

2. Oblast hrozeb se neustále mění a bezpečnostní události mohou podlomit důvěru uživatelů. Vážná narušení elektronických komunikací, infrastruktury a služeb může mít závažný hospodářský a společenský dopad, každodenní narušení bezpečnosti, problémy a obtíže mohou rovněž otřást důvěrou veřejnosti v technologie, sítě a služby.

3. Pravidelné posuzování stavu bezpečnosti sítí a informací v Evropě na základě spolehlivých evropských údajů je proto důležité pro tvůrce politik, odvětví a uživatele.

4. Zástupci členských států rozhodli na zasedání Evropské rady dne 13. prosince 2003, že Evropská agentura pro bezpečnost sítí a informací (ENISA), která byla zřízena na základě návrhu Komise, bude mít sídlo v Řecku ve městě, které určí řecká vláda.

5. Evropský parlament a Rada přijaly v roce 2004 nařízení (ES) č. 460/2004[17] o zřízení Evropské agentury pro bezpečnost sítí a informací za účelem přispět k cílům zajištění vysoké úrovně bezpečnosti sítí a informací v Unii a vytvoření kultury bezpečnosti sítí a informací v zájmu občanů, spotřebitelů, podniků a veřejné správy. V roce 2008 přijaly Evropský parlament a Rada nařízení (ES) č. 1007/2008[18], kterým byl mandát agentury prodloužen do března 2012.

6. Od vytvoření agentury se úkoly v bezpečnosti sítí a informací změnily spolu s technologií, vývojem trhu a sociálně ekonomickým vývojem a byly předmětem dalšího zvažování a diskuse. Unie v reakci na měnící se úkoly aktualizovala v řadě dokumentů své priority pro politiku bezpečnosti sítí a informací, včetně sdělení Komise z roku 2006 – Strategie pro bezpečnou informační společnost – „Dialog, partnerství a posílení účasti“ [19] , usnesení Rady z roku 2007 o strategii pro bezpečnou informační společnost v Evropě[20], sdělení Komise z roku 2009 o ochraně kritické informační infrastruktury – „Ochrana Evropy před rozsáhlými počítačovými útoky a narušením: zvyšujeme připravenost, bezpečnost a odolnost“ [21] , závěrů předsednictví z ministerské konference o ochraně kritické informační infrastruktury (CIIP), usnesení Rady z roku 2009 o společném evropském přístupu k bezpečnosti sítí a informací[22]. Byla uznána potřeba modernizovat a posílit agenturu, aby úspěšně přispívala k úsilím evropských institucí a členských států za účelem rozvoje evropské kapacity pro zvládnutí úkolů v bezpečnosti sítí a informací. Komise nedávno přijala Digitální agendu pro Evropu[23], vlajkovou iniciativu strategie Evropa 2020. Cílem tohoto rozsáhlého programu je využít a rozvinout potenciál IKT a tento potenciál převést do udržitelného růstu a inovací. Podpora důvěry v informační společnost je jedním ze základních cílů tohoto rozsáhlého programu, který zahrnuje řadu činností Komise v této oblasti včetně tohoto návrhu.

7. Opatření vnitřního trhu v oblasti bezpečnosti elektronických komunikací a obecněji v bezpečnosti sítí a informací si vyžadují různé formy technických a organizačních postupů členských států a Komise. Nestejnorodé uplatňování těchto požadavků může vést k neúčinným řešením a vytvářet překážky vnitřního trhu. Je tedy třeba vytvořit odborné středisko na evropské úrovni, které by poskytovalo pokyny, poradenství a na žádost také pomoc v otázkách týkajících se bezpečnosti sítí a informací a které by bylo oporou členských států a evropských institucí. Agentura může reagovat na tyto potřeby rozvojem a udržováním vysoké úrovně odborných znalostí a tím, že bude nápomocná členským státům, Komisi a následně i podnikatelskému sektoru, aby jim pomáhala splňovat právní a regulační požadavky bezpečnosti sítí a informací, a přispívat tím k řádnému fungování vnitřního trhu.

8. Agentura by měla plnit úkoly, které jí byly uloženy současnými právními předpisy Unie v oblasti elektronických komunikací, a celkově přispívat k vyšší úrovni bezpečnosti elektronických komunikací kromě jiného poskytováním odborných znalostí a poradenství a podporou výměny osvědčených postupů.

9. Směrnice Evropského parlamentu a Rady 2002/21/ES ze dne 7. března 2002 o společném předpisovém rámci pro sítě a služby elektronických komunikací (rámcová směrnice)[24] dále požaduje, aby poskytovatelé veřejných elektronických komunikačních sítí nebo veřejně dostupných elektronických komunikačních služeb učinili příslušná opatření k zachování jejich integrity a bezpečnosti a zavádí požadavky na oznamování narušení bezpečnosti a ztráty integrity. Vnitrostátní regulační orgány případně zasílají agentuře rovněž oznámení a musejí Komisi a agentuře také předkládat výroční souhrnnou zprávu o obdržených oznámeních a učiněných opatřeních. Směrnice 2002/21/ES dále vyzývá agenturu, aby poskytováním stanovisek přispívala k harmonizaci příslušných technických a organizačních bezpečnostních opatření.

10. Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích)[25] žádá poskytovatele veřejně dostupných elektronických komunikací, aby přijali vhodná technická a organizační opatření k zajištění bezpečnosti svých služeb, a požaduje také důvěrný charakter sdělení a souvisejících provozních údajů. Pro poskytovatele služeb elektronických komunikací s měrnice 2002/58/ES zavádí požadavky informování o narušení osobních údajů a oznamování. Také žádá Komisi, aby s agenturou konzultovala veškerá technická prováděcí opatření, která mají být přijata, pokud jde o okolnosti nebo formu požadovaných informací a oznámení a postupů vztahujících se na ně. Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů[26] požaduje, aby členské státy stanovily, že správce musí přijmout vhodná technická a organizační opatření na ochranu osobních údajů proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů v síti, jakož i proti jakékoli jiné podobě nedovoleného zpracování.

11. Agentura by měla přispívat k vysoké úrovni bezpečnosti sítí a informací v Unii a vytvářet kulturu bezpečnosti sítí a informací v zájmu občanů, spotřebitelů, podniků a organizací veřejného sektoru v Evropské unii, a napomáhat tak řádnému fungování vnitřního trhu.

12. V souboru úkolů by mělo být uvedeno, jak má agentura plnit své cíle a současně zajistit flexibilitu své činností. Úkoly plněné agenturou by měly obsahovat soubor příslušných informací a údajů potřebných k uskutečnění analýz rizik pro bezpečnost a odolnost elektronických komunikací, infrastruktury a služeb a k posouzení stavu bezpečnosti sítí a informací v Evropě ve spolupráci s členskými státy. Agentura by měla zajistit koordinaci s členskými státy a zvýšit spolupráci mezi zúčastněnými stranami v Evropě zejména zapojením příslušných vnitrostátních orgánů a odborníků soukromého sektoru v oblasti bezpečnosti sítí a informací do svých činností. Agentura by měla být nápomocna Komisi a členským státům v dialogu s průmyslem při řešení bezpečnostních problémů hardwarových a softwarových produktů, a přispívat tím ke společnému přístupu k bezpečnosti sítí a informací.

13. Agentura by měla působit jako referenční bod a budit důvěru díky své nezávislosti, kvalitě poradenství, které poskytuje, a informacím, které šíří, průhlednosti svých postupů a metodám práce a náležité péči při plnění uložených úkolů. Agentura by měla navázat na vnitrostátní úsilí a úsilí Unie a plnit své úkoly v plné spolupráci s členskými státy a měla by být otevřena kontaktům s průmyslem a ostatními zúčastněnými stranami. Agentura by kromě toho měla vycházet ze vstupů soukromého sektoru a spolupráce s ním, což hraje významnou úlohu při zajišťování elektronických komunikací, infrastruktur a služeb.

14. Komise zahájila Evropské partnerství mezi veřejným a soukromým sektorem pro odolnost jako flexibilní celoevropský rámec správy a řízení odolnosti infrastruktury IKT, v němž by agentura měla sehrávat roli usnadňování a spojovat zúčastněné strany veřejného a soukromého sektoru za účelem posuzování priorit veřejné politiky, hospodářských a tržních rozměrů úkolů a opatření pro odolnost infrastruktury IKT a určení odpovědnosti zúčastněných stran.

15. Agentura by měla Komisi poskytovat poradenství ve formě stanovisek a technických a sociálně-ekonomických analýz, a to na žádost Komise nebo z vlastní iniciativy, aby pomohla rozvoji politiky v oblasti bezpečnosti sítí a informací. Agentura by na požádání měla být rovněž nápomocna členským státům a evropským institucím a orgánům v jejich úsilí rozvíjet politiku a způsobilost bezpečnosti sítí a informací.

16. Agentura by měla být rovněž nápomocna členským státům a evropským institucím v jejich úsilí vytvářet a zvyšovat mezinárodní schopnost a připravenost předcházet problémům a incidentům v bezpečnosti sítí a informací, odhalovat je a mírnit a reagovat na ně. Agentura by v tomto ohledu měla usnadňovat spolupráci mezi členskými státy navzájem a mezi členskými státy a Komisí. Agentura by měla za tímto účelem hrát aktivní roli v podpoře členských států v jejich neustálém úsilí zvyšovat schopnost reakce a organizovat a provádět vnitrostátní a evropská cvičení v bezpečnostních událostech.

17. Směrnice 95/46/ES upravuje zpracování osobních údajů uskutečňované podle tohoto nařízení.

18. K lepšímu pochopení úkolů v oblasti bezpečnosti sítí a informací musí Komise analyzovat současná a nově se objevující rizika. Agentura by za tímto účelem měla ve spolupráci s členskými státy a případně statistickými orgány shromáždit příslušné informace. Agentura by měla být rovněž nápomocna členským státům a evropským institucím a orgánům v jejich úsilí zaměřeném na sběr, analýzu a šíření údajů o bezpečnosti sítí a informací.

19. Při vykonávání činností sledování v Unii by agentura měla usnadňovat spolupráci mezi Unií a členskými státy v posuzování stavu bezpečnosti sítí a informací v Evropě a ve spolupráci s členskými státy přispívat k činnostem posuzování.

20. Agentura by měla usnadňovat spolupráci mezi příslušnými veřejnými orgány členských států, zejména podporovat rozvoj a výměnu osvědčených postupů a norem pro vzdělávací programy a programy na zvýšení informovanosti. Rozšířená výměna informací mezi členskými státy tato opatření usnadní. Agentura by měla rovněž podporovat spolupráci mezi zúčastněnými stranami z veřejného a soukromého sektoru na úrovni Unie, zčásti podporou sdílení informací, osvětových kampaní a vzdělávacích a školících programů.

21. Účinné bezpečnostní politiky by měly být založeny na pečlivě vyvinutých metodách posuzování rizika ve veřejném i v soukromém sektoru. Metody a postupy posuzování rizika se používají na různých úrovních, aniž by existoval jednotný systém, který by zaručoval jejich účinné nasazení. Podpora a rozvoj osvědčených postupů posuzování rizika a interoperabilních řešení řízení rizik u organizací veřejného a soukromého sektoru zvýší úroveň bezpečnosti sítí a informačních systémů v Evropě. Agentura by měla za tímto účelem podporovat spolupráci mezi zúčastněnými stranami z veřejného a soukromého sektoru na úrovni Unie a usnadňovat jejich úsilí zaměřené na rozvoj a převzetí standardů řízení rizik a měřitelné bezpečnosti elektronických produktů, systémů, sítí a služeb.

22. Agentura by měla při práci využívat výsledků současného výzkumu, vývoje a technologického hodnocení, a zejména výsledků různých výzkumných iniciativ Evropské unie.

23. Agentura by měla sdílet zkušenosti a obecné informace se subjekty a agenturami zřízenými právními předpisy Evropské unie, které se zabývají bezpečností sítí a informací, je-li to účelné a vhodné pro vykonávání její působnosti, jejích cílů a úkolů.

24. Agentura spolu s donucovacími orgány pro aspekty bezpečnosti počítačové trestné činnosti respektuje existující informační kanály a vytvořené sítě, jako jsou kontaktní místa uvedená v návrhu směrnice Evropského parlamentu a Rady o útocích proti informačním systémům, kterou se zrušuje rámcové rozhodnutí 2005/222/SVV, nebo pracovní skupina vedoucích jednotek Europolu pro potírání trestné činnosti využívající špičkové techniky.

25. Agentura by se za účelem dosažení svých cílů měla spojit s donucovacími orgány a orgány pro ochranu soukromí, aby zdůraznila a náležitě řešila aspekty boje proti počítačové trestné činnosti v oblasti bezpečnosti sítí a informací. Zástupci těchto orgánů by se měli stát plnohodnotnými zúčastněnými stranami agentury a měli by být zastoupeni ve stálé skupině zúčastněných stran agentury.

26. Otázky bezpečnosti sítí a informací jsou globálními tématy. Je nutná užší mezinárodní spolupráce pro zvýšení bezpečnostních standardů, zlepšení výměny informací a na podporu společného globálního přístupu k otázkám bezpečnosti sítí a informací. Agentura by případně spolu s Evropskou službou pro vnější činnost (EEAS) měla za tímto účelem podporovat spolupráci se třetími zeměmi a mezinárodními organizacemi.

27. Plnění úkolů agentury by nemělo být v rozporu s působností těchto orgánů a nemělo by předjímat, omezovat nebo se překrývat s jejich pravomocemi a úkoly: vnitrostátní regulační orgány podle směrnic pro sítě a služby elektronických komunikací a rovněž Sdružení evropských regulačních orgánů v oblasti elektronických komunikací (BEREC) zřízené nařízením Evropského parlamentu a Rady (ES) č. 1211/2009[27] a Komunikační výbor uvedený ve směrnici 2002/21/ES, evropské normalizační orgány, vnitrostátní normalizační orgány a stálý výbor podle směrnice Evropského parlamentu a Rady 98/34/ES ze dne 22. června 1998 o postupu při poskytování informací v oblasti norem a technických předpisů, předpisů pro služby informační společnosti[28] a dozorčí orgány členských států pro oblast ochrany fyzických osob s ohledem na zpracování osobních údajů a volný pohyb těchto údajů.

28. S cílem zajistit, aby agentura byla efektivní, měly by členské státy a Komise být zastoupeny ve správní radě, která by měla vymezit obecné směry činnosti agentury a zaručit, že bude své úkoly plnit v souladu s tímto nařízením. Správní radě by měly být svěřeny pravomoci potřebné pro sestavování rozpočtu, ověřování jeho plnění, schvalování příslušných finančních předpisů, stanovení průhledných pracovních postupů pro přijímání rozhodnutí agentury, schvalování pracovního programu agentury, přijímání svého jednacího řádu a vnitřních organizačních předpisů agentury a jmenování, rozhodování o prodloužení mandátu nebo odvolávání výkonného ředitele. Správní rada by měla mít možnost vytvářet pracovní orgány, které by jí byly nápomocny v plnění úkolů; tyto orgány by například mohly navrhovat její rozhodnutí nebo sledovat jejich provádění.

29. Řádné fungování agentury vyžaduje, aby byl její výkonný ředitel jmenován na základě výkonnosti a doložených administrativních a řídicích schopností a rovněž odbornosti a zkušenosti v oblasti bezpečnosti sítí a informací a aby vykonával své povinnosti v organizaci vnitřního fungování agentury zcela nezávisle. Výkonný ředitel by měl za tímto účelem po předchozích konzultacích s útvary Komise zpracovat návrh pracovního programu agentury a učinit veškeré kroky nezbytné k zajištění jeho řádného plnění. Měl by každý rok zpracovávat návrh souhrnné zprávy, která se předkládá správní radě, návrh odhadu příjmů a výdajů agentury a měl by plnit rozpočet.

30. Výkonný ředitel by měl mít možnost sestavovat pracovní skupiny ad hoc, které by se věnovaly konkrétním otázkám, zejména vědeckým či technickým nebo otázkám právní nebo socioekonomické povahy. Při vytváření pracovních skupin ad hoc by výkonný ředitel měl usilovat o vstup a využití příslušných vnějších odborných znalostí nezbytných k tomu, aby byla agentura schopna získat aktuální dostupné informace o úkolech bezpečnosti souvisejících s rozvojem informační společnosti. Agentura by měla zajistit, aby byly její pracovní skupiny ad hoc odborně způsobilé a reprezentativní a aby v nich byli případně podle odborné příslušnosti zahrnuti zástupci veřejné správy členských států, soukromého sektoru, včetně průmyslu, uživatelů a vědeckých odborníků v oblasti bezpečnosti sítí a informací. Bude-li to nutné, může agentura případ od případu přizvat jednotlivé odborníky uznané jako odborně způsobilé v příslušné oblasti k účasti na jednáních pracovních skupin. Jejich výdaje by měla hradit agentura v souladu se svými vnitřními organizačními předpisy a platnými finančními nařízeními.

31. Pro pravidelný dialog se soukromým sektorem, organizacemi spotřebitelů a ostatními dotčenými zúčastněnými stranami by agentura měla mít stálou skupinu zúčastněných stran. Stálá skupina zúčastněných stran ustavená správní radou na návrh výkonného ředitele by se měla věnovat otázkám, které mají význam pro všechny zúčastněné strany, a měla by je předkládat agentuře. Výkonný ředitel může k jednání skupiny přizvat zástupce Evropského parlamentu a jiných příslušných orgánů, je-li to vhodné a přiměřené vzhledem k pořadu jednání.

32. Agentura by měla pracovat podle i) zásady subsidiarity a zajistit odpovídající míru koordinace mezi členskými státy v otázkách týkajících se NIS, zvyšovat efektivnost vnitrostátních politik a přidávat jím tak hodnotu a ii) zásady proporcionality nepřesahující rámec toho, co je nutné k dosažení cílů vytyčených v tomto nařízení.

33. Agentura by měla uplatňovat odpovídající právní předpisy Unie o přístupu veřejnosti k dokumentům podle nařízení Evropského parlamentu a Rady (ES) č. 1049/2001[29] a o ochraně fyzických osob v souvislosti se zpracováním osobních údajů podle nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2008 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů[30].

34. V rámci své působnosti, cílů a plnění úkolů by agentura měla zejména dodržovat předpisy vztahující se na evropské instituce a rovněž vnitrostátní předpisy o nakládání s citlivými dokumenty. Správní rada by měla mít pravomoc přijímat rozhodnutí, která agentuře umožní zpracovávat utajované informace.

35. Aby byla zaručena plná samostatnost a nezávislost agentury, je třeba, aby měla k dispozici samostatný rozpočet, který je rozhodující měrou financován z příspěvků Unie a z příspěvků třetích stran zúčastněných na práci agentury. Hostitelský nebo jakýkoli jiný členský stát by měl mít možnost poskytnout dobrovolné příspěvky k příjmům agentury. Všechny subvence ze souhrnného rozpočtu Evropské unie podléhají rozpočtovému procesu Unie. Účetní dvůr by měl navíc provádět audit účetnictví.

36. Agentura by měla být nástupcem agentury ENISA zřízené nařízením (ES) č. 460/2004. Podle rozhodnutí zástupců členských států na zasedání Evropské rady dne 13. prosince 2003 by měl hostitelský stát udržovat a rozvíjet současná praktická ujednání, aby zajistil hladký a účinný provoz agentury, zejména pokud jde o spolupráci agentury s Komisí a její pomoc Komisi, členským státům a jejich příslušným orgánům, ostatním institucím a orgánům Unie a zúčastněným stranám veřejného a soukromého sektoru v celé Evropě.

37. Agentura by měla být vytvořena na dobu určitou. Její činnosti by měly být hodnoceny s ohledem na efektivnost v dosahování cílů a v pracovních postupech, aby byla stanovena trvalá platnost cílů agentury a na základě toho případně její činnost prodloužena,

PŘIJALY TOTO NAŘÍZENÍ:

ODDÍL 1 OBLAST PŮSOBNOSTI, CÍLE A ÚKOLY

Článek 1 Předmět a oblast působnosti

1. Tímto nařízením se zřizuje Evropská agentura pro bezpečnost sítí a informací (dále jen „agentura“) pro zajištění vysoké úrovně bezpečnosti sítí a informací v Unii, zvýšení informovanosti a vytvoření kultury bezpečnosti sítí a informací v zájmu občanů, spotřebitelů, podniků a organizací veřejného sektoru v Unii a tím i pro zajištění řádného fungování vnitřního trhu.

2. Úkoly a cíli agentury nejsou dotčeny pravomoci členských států týkající se bezpečnosti sítí a informací a v žádném případě činnosti týkající se veřejné bezpečnosti, obrany, státní bezpečnosti (včetně hospodářského blahobytu státu, když se otázky vztahují na problematiku státní bezpečnosti) ani činnosti státu v oblastech trestního práva.

3. Pro účely tohoto nařízení se „bezpečností sítí a informací“ rozumí schopnost sítě nebo informačního systému odolávat na určitém stupni spolehlivosti náhodným událostem či neoprávněným nebo svévolným zásahům, které narušují dostupnost, pravost, integritu a důvěrnost ukládaných nebo předávaných údajů, a související služby poskytované nebo přístupné prostřednictvím těchto sítí a systémů.

Článek 2 Cíle

1. Agentura je Komisi a členským státům nápomocna při plnění právních a regulačních požadavků na bezpečnost sítí a informací v současných a budoucích právních předpisech Unie, a přispívá tím k řádnému fungování vnitřního trhu.

2. Agentura zvyšuje schopnost a připravenost Unie a členských států předcházet problémům a incidentům v oblasti bezpečnosti sítí a informací, odhalovat je a reagovat na ně.

3. Agentura rozvíjí a udržuje vysokou úroveň odbornosti a využívá ji k tomu, aby podněcovala širokou spolupráci subjektů veřejného a soukromého sektoru.

Článek 3 Úkoly

1. S ohledem na cíl uvedený v článku 1 plní agentura tyto úkoly:

a) pomáhá Komisi na její žádost nebo z vlastní iniciativy při rozvoji politiky bezpečnosti sítí a informací poskytováním poradenství, stanovisek a technických a socioekonomických analýz a vykonáváním přípravných prací pro tvorbu a novelizaci právních předpisů Unie v oblasti bezpečnosti sítí a informací;

b) usnadňuje spolupráci mezi členskými státy navzájem a mezi členskými státy a Komisí v jejich úsilí zaměřeném na šíření mezinárodních informací za účelem předcházení bezpečnostním událostem bezpečnosti sítí a informací, jejich odhalování a reakce na ně;

c) pomáhá členským státům a evropským institucím a orgánům v jejich úsilí zaměřeném na sběr, analýzu a šíření údajů o bezpečnosti sítí a informací;

d) pravidelně posuzuje stav bezpečnosti sítí a informací v Evropě ve spolupráci s členskými státy a evropskými institucemi;

e) podporuje spolupráci mezi příslušnými veřejnými orgány v Evropě, zejména jejich úsilí zaměřené na rozvoj a výměnu osvědčených postupů a norem;

f) pomáhá Unii a členským státům povzbuzovat využívání řízení rizik a osvědčených postupů a norem bezpečnosti pro elektronické produkty, systémy a služby;

g) podporuje spolupráci mezi zúčastněnými stranami veřejného a soukromého sektoru na úrovni Unie, mimo jiné podporou sdílení informací a zvyšování informovanosti a usnadňováním jejich úsilí zaměřeného na rozvoj a přejímání standardů řízení rizik a bezpečnosti elektronických produktů, sítí a služeb;

h) usnadňuje dialog a výměnu osvědčených postupů mezi zúčastněnými stranami veřejného a soukromého sektoru týkajících se bezpečnosti sítí a informací, včetně aspektů boje proti počítačové trestné činnosti; pomáhá Komisi při tvorbě politik, které berou v úvahu aspekty boje proti počítačové trestné činnosti v oblasti bezpečnosti sítí a informací;

i) pomáhá členským státům a evropským institucím a orgánům na jejich žádost v úsilí rozvíjet detekci, analýzu a schopnost reakce v oblasti bezpečnosti sítí a informací;

j) podporuje dialog a spolupráci Unie se třetími zeměmi a mezinárodními organizacemi, případně ve spolupráci s Evropskou službou pro vnější činnost (EEAS), prosazuje mezinárodní spolupráci a globální společný přístup k problematice bezpečnosti sítí a informací;

k) plní úkoly svěřené agentuře legislativními akty Unie.

ODDÍL 2 ORGANIZACE

Článek 4 Orgány agentury

Agentura má:

a) správní radu;

b) výkonného ředitele a zaměstnance a

c) stálou skupinu zúčastněných stran.

Článek 5 Správní rada

1. Správní rada stanoví obecné směry činnosti agentury a zajišťuje, aby agentura pracovala v souladu s předpisy a zásadami stanovenými v tomto nařízení. Rovněž zajišťuje, aby práce agentury byla v souladu s činnostmi členských států a Unie.

2. Správní rada přijímá svůj jednací řád po dohodě s příslušnými útvary Komise.

3. Správní rada přijímá vnitřní organizační předpisy agentury po dohodě s příslušnými útvary Komise. Tyto předpisy se zveřejňují.

4. Správní rada jmenuje výkonného ředitele v souladu s čl. 10 odst. 2 a může ho odvolat. Správní rada vykonává disciplinární pravomoc vůči výkonnému řediteli.

5. Správní rada schvaluje pracovní program agentury v souladu s čl. 13 odst. 3 a souhrnnou zprávu o činnosti agentury za předchozí rok v souladu s čl. 14 odst. 2.

6. Správní rada schvaluje finanční předpisy platné pro agenturu. Tyto předpisy se smějí odchylovat od nařízení Komise (ES, Euratom) č. 2343/2002 ze dne 19. listopadu 2002 o rámcovém finančním nařízení pro subjekty uvedené v článku 185 nařízení Rady (ES, Euratom) č. 1605/2002, kterým se stanoví finanční nařízení o souhrnném rozpočtu Evropských společenství[31], pouze pokud je to nezbytné pro zvláštní potřeby činnosti agentury a s předchozím souhlasem Komise.

7. Správní rada po dohodě s Komisí schvaluje příslušná prováděcí pravidla podle článku 110 služebního řádu.

8. Správní rada může vytvářet pracovní orgány složené z jejich členů na pomoc v plnění svých úkolů, včetně zpracovávání rozhodnutí správní rady a sledování jejich plnění.

9. Správní rada může po konzultaci s útvary Komise a po náležitém informování rozpočtového orgánu přijmout víceletý plán zaměstnanecké politiky.

Článek 6 Složení správní rady

1. Správní rada se skládá z jednoho zástupce každého členského státu, tří zástupců jmenovaných Komisí a tří zástupců jmenovaných Komisí bez hlasovacího práva, z nichž každý zastupuje jednu z těchto skupin:

a) odvětví informačních a komunikačních technologií;

b) skupiny spotřebitelů;

c) vědečtí odborníci v oblasti bezpečnosti sítí a informací.

2. Členové rady a jejich náhradníci jsou jmenováni na základě stupně své zkušenosti a odbornosti v oblasti bezpečnosti sítí a informací.

3. Funkční období zástupců skupin uvedených v bodě 1 písm. a), b) a c) je čtyři roky. Toto funkční období může být jednou prodlouženo. Ukončí-li zástupce spojení s příslušnou zájmovou skupinou, Komise jmenuje náhradu.

Článek 7 Předseda správní rady

Správní rada volí z řad svých členů na dobu třech let předsedu a místopředsedu, kteří mohou být zvoleni opakovaně. Nemůže-li předseda vykonávat své povinnosti, zaujme jeho místo z moci úřední místopředseda.

Článek 8 Zasedání

1. Zasedání správní rady svolává předseda.

2. Správní rada koná pravidelná zasedání dvakrát ročně. Z podnětu předsedy nebo na žádost nejméně jedné třetiny svých členů s hlasovacím právem pořádá rovněž mimořádná zasedání.

3. Výkonný ředitel se účastní zasedání správní rady bez hlasovacího práva.

Článek 9 Hlasování

1. Správní rada rozhoduje většinou svých členů s hlasovacím právem.

2. Pro schválení jednacího řádu, vnitřních organizačních předpisů, rozpočtu, ročního pracovního programu agentury a pro jmenování, prodloužení funkčního období nebo odvolání výkonného ředitele je zapotřebí dvoutřetinové většiny členů správní rady s hlasovacím právem.

Článek 10 Výkonný ředitel

1. Agenturu řídí výkonný ředitel, který je při výkonu svých povinností zcela nezávislý.

2. Výkonného ředitele jmenuje a odvolává správní rada. Výkonný ředitel je jmenován na období pěti let ze seznamu kandidátů navržených Komisí na základě výsledků a doložených administrativních a řídicích schopností a rovněž konkrétní odbornosti a zkušenosti. Před jmenováním může být kandidát zvolený správní radou vyzván, aby před příslušným výborem Evropského parlamentu učinil prohlášení a zodpověděl otázky členů tohoto orgánu.

3. Během devíti měsíců před koncem tohoto období uskuteční Komise hodnocení. Posoudí v něm zejména:

- činnost výkonného ředitele;

- povinnosti agentury a požadavky v nadcházejících letech.

4. Správní rada jednající na návrh Komise může s přihlédnutím k hodnotící zprávě a pouze v těch případech, kdy je to odůvodněno povinnostmi a požadavky agentury, prodloužit funkční období výkonného ředitele maximálně o tři roky.

5. O svém záměru prodloužit funkční období výkonného ředitele informuje správní rada Evropský parlament. Výkonný ředitel může být do jednoho měsíce před prodloužením svého funkčního období vyzván, aby učinil prohlášení před příslušným výborem Evropského parlamentu a zodpověděl otázky jeho členů.

6. Pokud není funkční období prodlouženo, setrvá výkonný ředitel ve své funkci až do jmenování svého nástupce.

7. Výkonný ředitel odpovídá za:

a) běžnou správu agentury;

b) provádění pracovního programu a rozhodnutí přijatých správní radou;

c) zajištění, aby agentura vykonávala své činnosti v souladu s požadavky subjektů využívajících jejích služeb, zejména s ohledem na přiměřenost poskytovaných služeb;

d) všechny specifické zaměstnanecké otázky a zajišťuje dodržování obecných pokynů správní rady a rozhodnutí správní rady obecné povahy;

e) rozvíjení a udržování styků s evropskými institucemi a orgány;

f) rozvíjení a udržování styků s podnikatelským sektorem a organizacemi spotřebitelů pro zajištění pravidelného dialogu s příslušnými zúčastněnými stranami;

g) jiné úkoly, které jsou mu uloženy tímto nařízením.

8. Výkonný ředitel může v případě potřeby a v rámci cílů a úkolů agentury zřizovat pracovní skupiny ad hoc složené z odborníků. Informuje o tom správní radu předem. Postupy týkající se zejména složení těchto skupin, jmenování odborníků výkonným ředitelem a činnosti pracovních skupin ad hoc jsou stanoveny ve vnitřních organizačních předpisech agentury.

9. Výkonný ředitel dá administrativní podpůrný personál a jiné zdroje v případě potřeby k dispozici správní radě.

Článek 11 Stálá skupina zúčastněných stran

1. Správní rada na návrh výkonného ředitele ustaví stálou skupinu zúčastněných stran složenou z odborníků zastupujících příslušné zúčastněné strany, jako je odvětví informačních a komunikačních technologií, skupiny spotřebitelů, vědečtí odborníci v oblasti bezpečnosti sítí a informací a donucovací orgány a orgány pro ochranu soukromí.

2. Postupy týkající se zejména počtu, složení a jmenování členů skupiny správní radou, návrhu výkonného ředitele a činnosti skupiny jsou stanoveny ve vnitřních organizačních předpisech agentury a jsou zveřejněny.

3. Skupině předsedá výkonný ředitel.

4. Funkční období jejích členů je dva a půl roku. Členové správní rady nesmějí být členy skupiny. Zaměstnanci Komise jsou oprávněni účastnit se jednání a podílet se na činnosti skupiny.

5. Skupina poskytuje agentuře poradenství při vykonávání jejich činností. Skupina radí zejména výkonnému řediteli při přípravě návrhu pracovního programu agentury a při zajišťování komunikace s příslušnými zúčastněnými stranami ve všech otázkách souvisejících s pracovním programem.

ODDÍL 3 ČINNOST

Článek 12 Pracovní program

1. Agentura vykonává svou činnost v souladu s pracovním programem, který obsahuje všechny plánované aktivity. Pracovní program nebrání agentuře provádět neplánované činnosti, které odpovídají jejím cílům a úkolům a stanoveným rozpočtovým omezením. Výkonný ředitel informuje správní radu o činnostech agentury, které nejsou uvedeny v pracovním programu.

2. Výkonný ředitel odpovídá za zpracování návrhu pracovního programu agentury po konzultaci s útvary Komise. Výkonný ředitel předkládá správní radě každý rok do 15. března návrh pracovního programu pro příští rok.

3. Do 30. listopadu každého roku schválí správní rada po konzultaci s útvary Komise pracovní program agentury na příští rok. Pracovní program zahrnuje výhled na více let. Správní rada zajistí, aby pracovní program odpovídal cílům agentury a rovněž legislativním a politickým prioritám Unie v oblasti bezpečnosti sítí a informací.

4. Pracovní program je uspořádán v souladu se zásadou řízení podle činností (ABM – Activity-Based Management). Pracovní program odpovídá odhadu příjmů a výdajů agentury a jejímu rozpočtu na daný účetní rok.

5. Výkonný ředitel předloží pracovní program po jeho schválení správní radou Evropskému parlamentu, Radě, Komisi a členským státům a zajistí jeho zveřejnění.

Článek 13 Souhrnná zpráva

1. Výkonný ředitel předkládá správní radě každý rok návrh souhrnné zprávy o všech činnostech agentury v předchozím roce.

2. Do 31. března každého roku schválí správní rada souhrnnou zprávu o činnosti agentury za předchozí rok.

3. Výkonný ředitel předá souhrnnou zprávu agentury po jejím schválení správní radou Evropskému parlamentu, Radě, Komisi, Účetnímu dvoru, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů a zajistí její zveřejnění.

Článek 14 Žádosti podávané agentuře

1. Žádosti o poradenství a pomoc v rámci působnosti, cílů a úkolů agentury jsou podávány výkonnému řediteli a doprovázeny základními informacemi, které objasňují danou otázku. Výkonný ředitel informuje správní radu o obdržených žádostech a ve vhodné době o dalším postupu ve věci žádosti. Pokud agentura žádost zamítne, musí své rozhodnutí odůvodnit.

2. Žádosti podle odstavce 1 může podávat:

a) Evropský parlament;

b) Rada;

c) Komise;

d) jakýkoli příslušný subjekt určený členským státem, například vnitrostátní regulační orgán ve smyslu článku 2 směrnice 2002/21/ES.

3. Správní rada přijme ve vnitřních organizačních předpisech agentury praktická opatření pro uplatňování odstavců 1 a 2, zejména s ohledem na podávání žádostí, stanovení pořadí jejich důležitosti, další postupy a informování správní rady o žádostech podávaných agentuře.

Článek 15 Prohlášení o zájmech

1. Výkonný ředitel a úředníci dočasně přidělení členskými státy učiní písemné prohlášení o závazcích a písemné prohlášení o zájmech, z nichž vyplývá, že neexistují žádné přímé nebo nepřímé zájmy, které by mohly ovlivňovat jejich nezávislost.

2. Externí odborníci, kteří se účastní činnosti pracovních skupin ad hoc, učiní na každém zasedání prohlášení o zájmech, které by mohly ovlivňovat jejich nezávislost vzhledem k bodům na pořadu jednání a zamezit jejich účasti v projednávání těchto bodů.

Článek 16 Průhlednost

1. Agentura zajistí, aby své činnosti vykonávala s vysokou mírou průhlednosti a v souladu s článkem 13 a 14.

2. Agentura zajistí, aby veřejnost a všechny zainteresované strany měly k dispozici objektivní, spolehlivé a snadno dostupné informace, zejména s ohledem na výsledky její činnosti, je-li to vhodné. Rovněž zveřejní prohlášení o zájmech učiněná výkonným ředitelem a úředníky dočasně přidělenými členskými státy a prohlášení o zájmech učiněná odborníky vzhledem k bodům na pořadu jednání na zasedáních pracovních skupin ad hoc.

3. Správní rada může na návrh výkonného ředitele zainteresovaným stranám umožnit, aby se účastnily projednání některých činností agentury jako pozorovatelé.

4. Agentura přijme ve svých vnitřních organizačních předpisech praktická opatření pro dodržování pravidel průhlednosti podle odstavců 1 a 2.

Článek 17 Důvěrnost

1. Aniž je dotčen článek 14, nesděluje agentura třetím osobám informace, které zpracovává, které obdržela a pro které bylo vyžádáno důvěrné zacházení.

2. Členové správní rady, výkonný ředitel, členové stálé skupiny zúčastněných stran, externí odborníci účastnící se pracovních skupin ad hoc a zaměstnanci agentury, včetně úředníků dočasně přidělených členskými státy, jsou povinni i po skončení svých funkcí zachovávat důvěrnost podle článku 339 Smlouvy.

3. Agentura přijme ve svých vnitřních organizačních předpisech praktická opatření pro dodržování pravidel důvěrnosti podle odstavců 1 a 2.

4. Správní rada může rozhodnout, že agentuře umožní zpracovávat utajované informace. Správní rada v tomto případě po dohodě s příslušnými útvary Komise příjme vnitřní organizační předpisy, v nichž se uplatňují bezpečnostní zásady obsažené v rozhodnutí Komise 2001/844/ES, ESVO, Euratom ze dne 29. listopadu 2001, kterým se mění její jednací řád[32]. Vztahuje se to kromě jiného na ustanovení o výměně, zpracování a ukládání utajovaných informací.

Článek 18 Přístup k dokumentům

1. Na dokumenty, které má agentura v držení, se vztahuje nařízení (ES) č. 1049/2001.

2. Správní rada přijme do šesti měsíců od zřízení agentury prováděcí pravidla k nařízení (ES) č. 1049/2001.

3. Proti rozhodnutím přijatým agenturou podle článku 8 nařízení (ES) č. 1049/2001 lze podat stížnost veřejnému ochránci práv nebo žalobu k Soudnímu dvoru Evropské unie za podmínek stanovených v článcích 228 a 263 Smlouvy.

ODDÍL 4 FINANČNÍ USTANOVENÍ

Článek 19 Schvalování rozpočtu

1. Příjmy agentury zahrnují příspěvek z rozpočtu Evropské unie, příspěvky třetích zemí, které se účastní činnosti agentury v souladu s článkem 29, a příspěvky členských států.

2. Výdaje agentury zahrnují výdaje na zaměstnance, správu, technickou podporu, infrastrukturu a provoz a výdaje vyplývající ze smluv uzavřených s třetími stranami.

3. Nejpozději do 1. března každého roku připraví výkonný ředitel návrh odhadu příjmů a výdajů agentury pro následující rozpočtový rok a spolu s návrhem plánu pracovních míst jej předá správní radě.

4. Příjmy a výdaje musejí být vyrovnané.

5. Správní rada na základě návrhu odhadu příjmů a výdajů připraveného výkonným ředitelem sestaví každoročně odhad příjmů a výdajů agentury pro následující rozpočtový rok.

6. Tento odhad, který zahrnuje návrh plánu pracovních míst a předběžný pracovní program, předá správní rada nejpozději do 31. března Komisi a státům, s nimiž Evropská unie uzavřela dohody v souladu s článkem 24.

7. Tento odhad předloží Komise spolu s předběžným návrhem souhrnného rozpočtu Evropské unie Evropskému parlamentu a Radě (dále jen „rozpočtový orgán“).

8. Komise na základě odhadu zanese do předběžného návrhu souhrnného rozpočtu Evropské unie odhady, které považuje za nezbytné pro plán pracovních míst, a výši subvence ze souhrnného rozpočtu a předloží je rozpočtovému orgánu v souladu s článkem 314 Smlouvy.

9. Rozpočtový orgán schvaluje položky subvencí pro agenturu.

10. Rozpočtový orgán přijme plán pracovních míst agentury.

11. Správní rada spolu s pracovním programem přijme rozpočet agentury. Rozpočet se stává konečným po konečném schválení souhrnného rozpočtu Evropské unie. Správní rada případně upraví rozpočet a pracovní program agentury v souladu se souhrnným rozpočtem Evropské unie. Správní rada jej neprodleně předloží Komisi a rozpočtovému orgánu.

Článek 20 Boj proti podvodům

1. V zájmu boje proti podvodům, korupci a ostatním protiprávným činnostem se na agenturu bez omezení vztahuje nařízení Evropského parlamentu a Rady (ES) č. 1073/1999 ze dne 25. května 1999 o vyšetřování prováděném Evropským úřadem pro boj proti podvodům (OLAF)[33].

2. Agentura přistoupí k interinstitucionální dohodě mezi Evropským parlamentem a Radou Evropské unie a Komisí Evropských společenství ze dne 25. května 1999 o vnitřním vyšetřování prováděném Evropským úřadem pro boj proti podvodům (OLAF)[34] a neprodleně vydá vhodné předpisy vztahující se na veškeré zaměstnance agentury.

Článek 21 Plnění rozpočtu

1. Rozpočet agentury plní výkonný ředitel.

2. Interní auditor Komise vykonává ve vztahu k agentuře stejné pravomoci jako ve vztahu k útvarům Komise.

3. Nejpozději do 1. března po ukončení každého rozpočtového roku předá účetní agentury účetnímu Komise prozatímní účty se zprávou o rozpočtovém a finančním řízení za daný rozpočtový rok. Účetní Komise konsoliduje prozatímní účty orgánů a decentralizovaných subjektů podle článku 128 nařízení Rady (ES, Euratom) č. 1605/2002 ze dne 25. června 2002, kterým se stanoví finanční nařízení o souhrnném rozpočtu Evropských společenství[35] (dále jen „obecné finanční nařízení“).

4. Nejpozději 31. března následujícího rozpočtového roku předá účetní Komise prozatímní účty agentury Účetnímu dvoru spolu se zprávou o rozpočtovém a finančním řízení za rozpočtový rok. Zpráva o rozpočtovém a finančním řízení za rozpočtový rok se rovněž předává rozpočtovému orgánu.

5. Po obdržení vyjádření Účetního dvora k prozatímním účtům agentury podle článku 129 obecného finančního nařízení vypracuje výkonný ředitel na vlastní odpovědnost konečnou účetní závěrku agentury a zašle ji správní radě k vyjádření.

6. Správní rada vydá stanovisko ke konečné účetní závěrce agentury.

7. Nejpozději 1. července každého následujícího rozpočtového roku předá výkonný ředitel konečnou účetní závěrku spolu se stanoviskem správní rady Evropskému parlamentu, Radě, Komisi a Účetnímu dvoru.

8. Výkonný ředitel zajistí zveřejnění konečné účetní závěrky.

9. Výkonný ředitel odpoví Účetnímu dvoru na jeho vyjádření nejpozději do 30. září. Zároveň zašle tuto odpověď správní radě.

10. Výkonný ředitel předloží Evropskému parlamentu na jeho žádost veškeré informace nezbytné pro řádný průběh udělení absolutoria za daný rozpočtový rok v souladu s čl. 146 odst. 3 obecného finančního nařízení.

11. Na doporučení Rady udělí Evropský parlament do 30. dubna roku N + 2 výkonnému řediteli absolutorium za plnění rozpočtu za rozpočtový rok N.

ODDÍL 5 OBECNÁ USTANOVENÍ

Článek 22 Právní postavení

1. Agentura je orgánem Unie. Má právní subjektivitu.

2. Ve všech členských státech má agentura nejširší způsobilost k právním úkonům, kterou přiznává právnickým osobám jejich právo. Zejména může nabývat a zcizovat movitý i nemovitý majetek a vystupovat před soudem.

3. Agenturu zastupuje její výkonný ředitel.

Článek 23 Zaměstnanci

1. Na zaměstnance agentury, včetně výkonného ředitele, se vztahují pravidla a předpisy platné pro úředníky a ostatní zaměstnance Evropské unie.

2. Správní rada ve vztahu k výkonnému řediteli vykonává pravomoci svěřené orgánu oprávněnému ke jmenování na základě služebního řádu a orgánu oprávněnému uzavírat smlouvy na základě pracovního řádu.

3. Výkonný ředitel ve vztahu k zaměstnancům agentury vykonává pravomoci svěřené orgánu oprávněnému ke jmenování na základě služebního řádu a orgánu oprávněnému uzavírat smlouvy na základě pracovního řádu.

4. Agentura může zaměstnávat národní odborníky dočasně vyslané členskými státy. Agentura ve svých vnitřních organizačních předpisech stanoví k tomu účelu praktická prováděcí opatření.

Článek 24 Výsady a imunity

Na agenturu a její personál se vztahuje Protokol o výsadách a imunitách Evropských společenství.

Článek 25 Odpovědnost

1. Smluvní odpovědnost agentury se řídí právem rozhodným pro danou smlouvu.

Soudní dvůr Evropské unie má pravomoc rozhodovat na základě jakékoli rozhodčí doložky obsažené ve smlouvě uzavřené agenturou.

2. V případě mimosmluvní odpovědnosti nahradí agentura v souladu s obecnými zásadami, které jsou společné právním řádům členských států, škodu, kterou způsobí ona nebo její zaměstnanci při výkonu své funkce.

Soudní dvůr má pravomoc rozhodovat spory o náhradu škody.

3. Osobní odpovědnost zaměstnanců vůči agentuře se řídí odpovídajícími předpisy vztahujícími se na zaměstnance agentury.

Článek 26 Jazyky

1. Na agenturu se vztahuje nařízení č. 1 ze dne 15. dubna 1958 o užívání jazyků v Evropském hospodářském společenství[36]. Členské státy a ostatní jimi určené subjekty se mohou na agenturu obracet a přijímat odpovědi v libovolném jazyce Evropské unie.

2. Překladatelské služby potřebné pro činnost agentury poskytuje Překladatelské středisko pro instituce Evropské unie.

Článek 27 Ochrana osobních údajů

Při zpracování údajů týkajících se fyzických osob se agentura řídí nařízením (ES) č. 45/2001.

Článek 28 Účast třetích zemí

1. Agentura je otevřena účasti třetích zemí, které uzavřely s Evropskou unii dohody, na jejichž základě přijaly a používají právní předpisy Unie v oblasti, na kterou se vztahuje toto nařízení.

2. Na základě odpovídajících ustanovení těchto dohod budou stanovena pravidla, která určí zejména povahu, rozsah a způsob účasti těchto zemí na činnosti agentury, včetně ustanovení týkajících se účasti na iniciativách agentury, finančních příspěvků a zaměstnanců.

ODDÍL 6 ZÁVĚREČNÁ USTANOVENÍ

Článek 29 Ustanovení o přezkumu

1. Do tří let od data zřízení uvedeného v článku 34 provede Komise s ohledem na stanoviska všech příslušných zúčastněných stran hodnocení na základě mandátu dohodnutého se správní radou. Hodnocení posoudí vliv a efektivnost agentury v dosahování cílů uvedených v článku 2 a pracovních postupů agentury. Komise provádí hodnocení zejména proto, aby mohla určit, zda je agentura stále ještě účinným nástrojem, a rozhodnout, zda má být období činnosti agentury prodlouženo nad rámec období stanoveného v článku 34.

2. Závěry hodnocení předá Komise Evropskému parlamentu a Radě a zveřejní je.

3. Správní rada obdrží hodnocení a Komisi dá doporučení k změnám tohoto nařízení, agentury a jejích pracovních postupů. Správní rada a výkonný ředitel přihlédnou k výsledkům hodnocení při víceletém plánování agentury.

Článek 30 Spolupráce hostitelského členského státu

Hostitelský členský stát agentury zajistí co nejlepší podmínky pro plynulou a účinnou činnost agentury.

Článek 31 Správní kontrola

Činnost agentury je pod dohledem veřejného ochránce práv v souladu s článkem 228 Smlouvy.

Článek 32 Zrušení a nástupnictví

1. Nařízení (ES) č. 460/2004 se zrušuje.

Odkazy na rozhodnutí (ES) č. 460/2004 a na agenturu ENISA se považují za odkazy na toto rozhodnutí a v něm uvedenou agenturu.

2. Agentura je nástupkyní agentury zřízené nařízením (ES) č. 460/2004, pokud jde o veškeré vlastnictví, dohody, právní závazky, pracovní smlouvy, finanční závazky a odpovědnosti.

Článek 33 Trvání

Agentura se zřizuje ke dni […] na dobu pěti let.

Článek 34 Vstup v platnost

Toto nařízení vstupuje v platnost prvním dnem po vyhlášení v Úředním věstníku Evropské unie a použije se ode dne 14. března 2012 nebo prvním dnem po jeho zveřejnění, podle toho, co nastane později.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V […] dne […].

Za Evropský parlament Za Radu

předseda/předsedkyně předseda/předsedkyně

LEGISLATIVNÍ FINANČNÍ VÝKAZ PRO NÁVRHY

RÁMEC NÁVRHU/PODNĚTU

Název návrhu/podnětu

Návrh nařízení Evropského parlamentu a Rady týkající se Evropské agentury pro bezpečnost sítí a informací (ENISA).

Dotčené politické oblasti podle struktury ABM/ABB[37]

Informační společnost a média.

Regulační rámec pro digitální program.

Povaha návrhu/iniciativy

( Návrh/podnět se týká nové akce.

( Návrh/podnět se týká nové akce následující po pilotním projektu / přípravné akci[38]

( Návrh/podnět se týká prodloužení stávající akce

( Návrh/podnět se týká akce přesměrované na novou akci

Cíle

Víceleté strategické cíle Komise sledované návrhem/podnětem

Soulad regulačních přístupů – poskytování návodů a poradenství Komisi a členským státům za účelem aktualizace a rozvoje holistického právního rámce v oblasti NIS.

Prevence, zjišťování a reakce – zlepšení připravenosti přispíváním k evropskému včasnému varování a schopnosti reagovat na bezpečnostní události, celoevropské pohotovostní plány a cvičení.

Zlepšení znalostí tvůrců politik – poskytování pomoci a poradenství Komisi a členským státům s cílem dosáhnout v celé Unii vysoké úrovně znalostí o otázkách týkajících se bezpečnosti sítí a informací (NIS) a jejich uplatňování na zúčastněné strany z odvětví. Zahrnuje to také vytváření, analýzu a zpřístupnění údajů týkajících se ekonomiky a dopadu narušení NIS, stimulů pro zúčastněné strany, aby investovaly do opatření NIS, určení rizik, ukazatelů stavu NIS v Unii atd.

Oprávnění zúčastněných stran – vytváření kultury bezpečnosti a řízení rizik stimulováním sdílení informací a široké spolupráce mezi subjekty veřejného a soukromého sektoru, také za účelem přímého přínosu pro občany a vytváření kultury informovanosti o NIS.

Ochrana Evropy před mezinárodními hrozbami – dosažení vysoké úrovně spolupráce se třetími zeměmi a mezinárodními organizacemi za účelem podpory společného globálního přístupu k NIS a vyvíjení vlivu na mezinárodní iniciativy v Evropě na vysoké úrovni.

Zaměření na společné provádění – usnadňování spolupráce v provádění politik NIS.

Boj s počítačovou trestnou činností – začlenění aspektů NIS týkajících se boje proti počítačové trestné činnosti do diskusí a výměny osvědčených postupů mezi zúčastněnými stranami z veřejného a soukromého sektoru, zejména prostřednictvím spolupráce s orgány (dřívějšího) druhého a třetího pilíře, např. s Europolem.

Specifické cíle a dotčené aktivity ABM/ABB

Specifický cíl č.

Zvýšení bezpečnosti sítí a informací (NIS) za účelem vytváření kultury bezpečnosti sítí a informací v zájmu občanů, spotřebitelů, organizací podnikatelského a veřejného sektoru a stanovení úkolů politiky zadávaných budoucími sítěmi a internetem.

Dotčené aktivity ABM/ABB.

Politika elektronické komunikace a bezpečnost sítí.

Očekávané výsledky a dopady

Očekává se, že iniciativa bude mít tyto ekonomické dopady:

- lepší dostupnost informací o současných a budoucích úkolech a rizicích pro bezpečnost a odolnost,

- úsilí ve shromažďování příslušných informací o rizicích, hrozbách a zranitelnosti každým jednotlivým členským státem nebudou duplicitní,

- zvýšená úroveň informovanosti tvůrců politik, když přijímají rozhodnutí,

- vyšší kvalita ustanovení o politice NIS v členských státech díky šíření osvědčených postupů,

- úspory z rozsahu v reakci na bezpečnostní události na úrovni EU,

- více investicí vyvolaných cíli společných politik a norem pro bezpečnost a odolnost na úrovni EU,

- nižší provozní rizika pro podnikatelský sektor zásluhou vyšší úrovně bezpečnosti a odolnosti,

- ucelenější opatření pro boj s počítačovou trestnou činností.

Očekává se, že iniciativa bude mít tyto sociální dopady:

- vyšší důvěra uživatelů ve služby a systémy informační společnosti;

- zvýšená důvěra ve fungování vnitřního trhu EU dosahováním vyšších úrovní ochrany spotřebitelů;

- zvýšená výměna informací a znalostí s nečlenskými zeměmi EU;

- lepší ochrana základních lidských práv EU zajištěním stejných úrovní ochrany osobních údajů a soukromí občanů EU.

Očekávané dopady na životní prostředí jsou minimální:

- snížený vliv emisí CO2, neboť se bude méně cestovat, což vyplývá z větší důvěry ve využívání systémů a služeb IKT a nižší spotřeby energie zásluhou úspor z rozsahu v plnění závazků bezpečnosti.

Ukazatele výsledků a dopadů

Ukazatelé sledování cílů jsou tyto:

Soulad regulačních přístupů:

- počet členských států, které využily doporučení agentury ve svém postupu tvorby politik,

- počet studií zaměřených na určení rozdílů a rozporů ve stavu normalizace, pokud jde o NIS,

- menší rozdíly v přístupech členských států k NIS.

Prevence, zjišťování a reakce:

- počet uspořádaných školení v bezpečnosti sítí,

- dostupnost funkčního systému včasného varování pro nově vznikající rizika a útoky.

- Počet cvičení NIS na úrovni EU koordinovaných agenturou.

Zlepšení znalostí tvůrců politik:

- počet studií za účelem shromáždění informací o současných a předpokládaných rizicích NIS a technologiích prevence rizik,

- počet konzultací s veřejnými orgány, které se zabývají NIS,

- dostupnost evropského rámce pro organizaci sběru údajů o NIS.

Oprávnění zúčastněných stran:

- počet zjištěných osvědčených postupů pro odvětví,

- úroveň investicí zúčastněných stran ze soukromého sektoru do bezpečnostních opatření.

Ochrana Evropy před mezinárodními hrozbami:

- počet konferencí/zasedání členských států EU za účelem stanovení společně dohodnutých cílů pro NIS,

- počet zasedání za účasti evropských a mezinárodních odborníků NIS.

Zaměření na společné provádění:

- počet právních hodnocení souladu,

- počet postupů NIS v rámci celé EU.

Boj proti počítačové trestné činnosti:

- pravidelnost vzájemné součinnosti s orgány dřívějšího druhého a třetího pilíře,

- počet příkladů poskytnutí odborných stanovisek ve vyšetřování trestné činnosti.

Odůvodnění návrhu/podnětu

Požadavky, které je třeba splnit v krátkodobém nebo dlouhodobém horizontu

ENISA byla v roce 2004 původně vytvořena, aby se zabývala hrozbami narušení NIS a jejich případnými důsledky. Od té doby se úkoly v bezpečnosti sítí a informací změnily s technologií a vývojem trhu a byly předmětem dalších úvah a diskusí, které v současné době umožňují aktualizovat a podrobněji popsat přesně určené problémy a jejich dopad na měnící se prostředí NIS.

Přidaná hodnota účasti EU

Problémy NIS nejsou omezeny státními hranicemi, a proto je nelze efektivně řešit pouze na vnitrostátní úrovni. Současně existují velké rozdíly v tom, jak tento problém řeší veřejné orgány v různých členských státech. Tyto rozdíly mohou vytvářet hlavní překážku v uplatňování příslušného mechanismu v rámci celé Unie na vyšší bezpečnost sítí a informaci (NIS) v Evropě. V důsledku vzájemně propojené povahy infrastruktur IKT, efektivnost opatření přijímaných na vnitrostátní úrovni v jednom členském státě je ještě silně ovlivněna nízkou úrovní opatření v jiných členských státech a nedostatečnou systematickou přeshraniční spoluprací. Nedostatečná opatření NIS, která mají za následek bezpečnostní událost v jednom členském státě, mohou způsobit narušení služeb v jiných členských státech.

Kromě toho znásobení bezpečnostních požadavků má za následek nákladovou zátěž pro podniky, které působí na úrovni celé Evropské unie, a vede k roztříštěnosti a nedostatečné konkurenční schopnosti na evropském vnitřním trhu.

Zatímco závislost na sítích a informačních systémech se zvyšuje, připravenost řešit bezpečnostní události se zdá být nedostatečnou.

Současné vnitrostátní systémy včasného varování a zacházení s bezpečnostními událostmi mají závažné nedostatky. Procesy a postupy pro sledování bezpečnostních událostí sítí a jejich hlášení se však v jednotlivých členských státech značně liší. V některých zemích nejsou procesy formalizovány a v jiných zemích neexistuje příslušný orgán, který by dostával a zpracovával zprávy o bezpečnostních událostech. Evropské systémy neexistují. V důsledku toto by poskytování základních nezbytných věcí mohlo být bezpečnostními událostmi NIS zásadně narušeno a měly by být připraveny odpovídající reakce. Sdělení Komise o CIIP zdůrazňuje rovněž potřebu evropského včasného varování a schopnost reakce na bezpečnostní události eventuálně podpořenou cvičeními v evropském měřítku.

Existuje zřejmá potřeba politických nástrojů s cílem aktivního stanovení rizik a zranitelnosti NIS, které by vytvořily příslušné mechanismy reakce (např. stanovením a šířením osvědčených postupů) a zajistily, aby tyto mechanismy reakce byly známy a uplatňovány zúčastněnými stranami.

Ponaučení z podobných zkušeností v minulosti

Viz bod 1.5.1 a 1.5.2.

Soudržnost a možná synergie s jinými příslušnými nástroji

Iniciativa je v plném souladu s obecnou diskusí o NIS a jinými politickými iniciativami, které se zaměřují na budoucnost NIS. Je jednou z hlavních složek digitálního programu pro Evropu, který je stěžejní iniciativou strategie Evropa 2020.

Doba trvání a finanční dopad

( Časově omezený návrh/podnět

- ( Pětileté prodloužení začne dnem 14. března 2012 nebo v den, kdy nové nařízení vstoupí v platnost, podle toho, co nastane později.

- ( Finanční dopad od roku 2012 do roku 2017.

( Časově neomezený návrh/podnět

- Provádění s obdobím rozběhu od RRRR do RRRR,

- poté plný provoz.

Předpokládaný způsob řízení[39]

( Přímé centralizované řízení Komisí

( Nepřímé centralizované řízení ze strany následujících subjektů pověřených k plnění úkolů:

- ( výkonných agentur

- ( orgánů vytvořených Společenstvími[40]

- ( vnitrostátních subjektů veřejného sektoru / subjektů pověřených veřejnou službou

- ( osob pověřených prováděním určitých opatření podle hlavy V Smlouvy o Evropské unii a určených v příslušném základním právním aktu ve smyslu článku 49 finančního nařízení

( Sdílené řízení s členskými státy

( Decentralizované řízení s třetími zeměmi

( Společné řízení s mezinárodními organizacemi (upřesněte)

OPATŘENÍ V OBLASTI ŘÍZENÍ

Ustanovení v oblasti sledování a podávání zpráv

Výkonný ředitel je odpovědný za účinné sledování a hodnocení výsledků agentury vzhledem k jejím cílům a podává každoročně zprávy správní radě.

Výkonný ředitel připravuje návrh souhrnné zprávy o veškerých činnostech agentury za předchozí rok, a zejména srovnává dosažené výsledky s cíli ročního pracovního programu. Po schválení správní radou předá zprávu Evropskému parlamentu, Radě, Komisi, Účetnímu dvoru, Evropskému hospodářskému a sociálnímu výboru, Výboru regionů a zajistí její zveřejnění.

Řídicí a kontrolní systémy

Zjištěná rizika

Od roku 2004, kdy byla ENISA zřízena, byla podrobena vnějšímu i vnitřnímu hodnocení.

V souladu s článkem 25 nařízení ENISA bylo prvním krokem uvedeného procesu nezávislé hodnocení agentury ENISA provedené externí skupinu odborníků v letech 2006/2007. Zpráva externí skupiny odborníků[41] potvrdila, že původní politické důvody pro zřízení agentury ENISA a její původní cíle zůstávají i nadále v platnosti, a pomohla nastolit některé otázky, které je třeba řešit.

V březnu 2007 předala Komise hodnotící zprávu správní radě, která následně vydala vlastní doporučení týkající se budoucnosti agentury a změn nařízení ENISA[42].

V červnu 2007 předložila Komise ve sdělení Evropskému parlamentu a Radě vlastní posudek výsledků externího hodnocení a doporučení správní rady[43]. Ve sdělení bylo uvedeno, že je třeba rozhodnout, zda je vhodné mandát agentury prodloužit, nebo zda bude agentura nahrazena jinou formou spolupráce, např. stálým fórem zúčastněných stran či sítí bezpečnostních organizací. Sdělení také zahájilo veřejnou konzultaci k uvedenému tématu a pomocí seznamu otázek požádalo evropské zúčastněné strany o příspěvky, které dají diskusím další směr[44].

Předpokládané metody kontroly

Viz výše bod 2.1 a 2.2.1.

Opatření k zamezení podvodů a nesrovnalostí

Platby za veškeré služby nebo požadované studie jsou před jejich provedením kontrolovány zaměstnanci agentury při zohlednění veškerých smluvních závazků, hospodářských zásad a osvědčených finančních nebo řídících postupů. Ustanovení proti podvodům (dohled, požadavky na hlášení atd.) budou začleněny do všech dohod a smluv uzavřených mezi agenturou a příjemci jakýchkoli plateb.

ODHADOVANÝ FINANČNÍ DOPAD NÁVRHU/PODNĚTU*

Okruhy víceletého finančního rámce a rozpočtové linie dotčených výdajů

- Stávající výdajové rozpočtové linie

Okruhy víceletého finančního rámce | Rozpočtová linie | Druh výdajů | Příspěvky |

Číslo/popis | RP/NRP([45]) | ze zemí ESVO[46] | z kandidátských zemí[47] | ze třetích zemí | ve smyslu čl. 18 odst. 1 písm. aa) finančního nařízení |

Pracovní místa podle plánu pracovních míst (místa úředníků a dočasných zaměstnanců) |

XX 01 01 01 (v sídle a v zastoupeních Komise) | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- |

CELKEM | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- |

- b) Lidské zdroje ENISA

1. ledna – 13. března 2012 | 14. března – 31. prosince 2012 | 2013 | 2014 | 2015 | 2016 | 1. ledna – 13. března 2017 |

Plán pracovních míst ENISA (v ekvivalentech plných pracovních úvazků – FTE) |

Ostatní zaměstnanci (ve FTE) |

Smluvní zaměstnanci | 13 | 14 | 14 | -- | -- | -- | -- |

Dočasně přidělení národní experti (SNE – seconded national experts) | 5 | 5 | 5 | -- | -- | -- | -- |

Ostatní zaměstnanci celkem | 18 | 19 | 19 | -- | -- | -- | -- |

CELKEM | 62 | 66 | 66 | -- | -- | -- | -- |

Popis úkolů plněných zaměstnanci agentury:

Úředníci a dočasní zaměstnanci | Agentura bude i nadále: mít poradenskou a koordinační úlohu, v jejímž rámci bude shromažďovat a analyzovat údaje o bezpečnosti informací. V současné době organizace jak z veřejného, tak i soukromého sektoru, shromaždují za různými účely údaje o incidentech v oblasti IT a další údaje týkající se bezpečnosti informací. Neexistuje však žádný centrální evropský orgán, který by uceleným způsobem shromažďoval a analyzoval údaje, poskytoval stanoviska a rady a podporoval politickou práci Unie v oblasti bezpečnosti sítí a informací; sloužit jako odborné středisko, na které se mohou obracet členské státy i instituce pro stanoviska a rady k technickým záležitostem týkajícím se bezpečnosti; přispívat k široké spolupráci mezi různými subjekty v oblasti informační bezpečnosti, např. pomáhat v navazujících činnostech na podporu bezpečného elektronického podnikání (e-business). Tato spolupráce bude důležitým předpokladem pro bezpečné fungování sítí a informačních systémů v Evropě. Účast a zapojení všech zúčastněných stran jsou nezbytné; přispívat ke koordinovanému přístupu k bezpečnosti informací poskytováním podpory členským státům, např. v prosazování činností hodnocení rizik a zvyšování informovanosti; zajišťovat interoperabilitu sítí a informačních systémů v případech, kdy členské státy aplikují technické požadavky, které mají vliv na bezpečnost; identifikovat příslušné potřeby normalizace a hodnotit stávající bezpečnostní normy a programy certifikace a podporovat jejich co nejširší použití pro podporu evropských právních předpisů; podporovat mezinárodní spolupráci v této oblasti, což je stále naléhavější vzhledem ke globální povaze otázek bezpečnosti sítí a informací. |

Externí zaměstnanci | viz výše |

Soulad se stávajícím víceletým finančním rámcem

- ( Návrh/podnět je v souladu se stávajícím víceletým finančním rámcem.

- ( Návrh/podnět si vyžádá úpravu příslušného okruhu víceletého finančního rámce.

- ( Návrh/podnět vyžaduje použití nástroje flexibility nebo změnu víceletého finančního rámce[49].

Financování EU po roce 2013 bude přezkoumáno v kontextu diskuse v rámci celé Komise o všech návrzích na období po roce 2013. Znamená to, že jakmile Komise předloží návrh příštího víceletého finančního rámce, předloží také pozměněný legislativní finanční výkaz, který zohlední závěry posouzení dopadů.

Příspěvky třetích stran

- ( Návrh/podnět nepočítá se spolufinancováním od třetích stran.

- ( Návrh/podnět počítá se spolufinancováním podle následujícího odhadu:

Orientační prostředky v milionech EUR (zaokrouhleno na 3 desetinná místa)

|1. ledna – 13. března 2012 |14. března – 31. prosince 2012 |2013 |2014 |2015 |2016 |1. ledna – 13. března 2017 | 14. března 2012 – 13. března 2017 celkem | | ESVO |0,042 |0,160 |0,206 |-- |-- |-- |-- |-- | |

Odhadovaný finanční dopad na straně příjmů

- ( Návrh/podnět nemá žádný finanční dopad na příjmy.

- ( Návrh/podnět má tento finanční dopad:

- ( dopad na vlastní zdroje

- ( dopad na ostatní příjmy.

[1] Nařízení Evropského parlamentu a Rady (ES) č. 460/2004 ze dne 10. března 2004 o zřízení Evropské agentury pro bezpečnost sítí a informací (Úř. věst. L 77 13.3.2004, s. 1).

[2] Nařízení Evropského parlamentu a Rady (ES) č. 1007/2008 ze dne 24. září 2008, kterým se mění nařízení (ES) č. 460/2004 o zřízení Evropské agentury pro bezpečnost sítí a informací, pokud jde o období její činnosti (Úř. věst. L 293, 31.10.2008, s. 1).

[3] Souhrnná zpráva o výsledcích veřejné konzultace „Zaměření na posílení politiky bezpečnosti sítí a informací v Evropě“ je připojena v příloze 11 posouzení dopadů, které je průvodním dokumentem k tomuto návrhu.

[4] KOM(2009) 149, 30.3.2009.

[5] Diskusní dokument: http://www.tallinnciip.eu/doc/discussion_paper_-_tallinn_ciip_conference.pdf

Závěry předsednictví:http://www.tallinnciip.eu/doc/EU_Presidency_Conclusions_Tallinn_CIIP_Conference.pdf.

[6] Usnesení Rady ze dne 18. prosince 2009 o společném evropském přístupu k bezpečnosti sítí a informací (Úř. věst. C 321, 29.12.2009, s. 1), http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2009:321:0001:0004:EN:PDF.

[7] KOM(2010) 245, 19.5.2010.

[8] Usnesení Rady ze dne 18. prosince 2009 o společném evropském přístupu k bezpečnosti sítí a informací rovněž stanovilo, že: „Rada […] uznává […] důležitost zkoumání strategických účinků, rizik a perspektiv vytvoření CERT pro instituce EU a zvážení případné budoucí role agentury ENISA v této otázce.“

[9] Viz příloha XI posouzení dopadů.

[10] Viz příloha IV posouzení dopadů.

[11] Úř. věst. C 115, 9.5.2008, s. 94.

[12] Rozsudek Evropského soudního dvora ze dne 2. května 2006. Spojené království Velké Británie a Severního Irska proti Evropskému parlamentu a Radě Evropské unie, věc C-217/04.

[13] Srov. výše.

[14] Řádný legislativní postup se odlišuje zejména z hlediska požadavků na většinu v Radě a Evropském parlamentu.

[15] Úř. věst. C , , s. .

[16] Úř. věst. C , , s. .

[17] Úř. věst. L 77 13.3.2004, s. 1.

[18] Úř. věst. L 293, 31.10.2008, s. 1.

[19] KOM(2006) 251, 31.5.2006.

[20] Usnesení Rady ze dne 22. března 2007 o strategii pro bezpečnou informační společnost v Evropě (Úř. věst. C 68, 24.3.2007, s. 1).

[21] KOM(2009) 149, 30.3.2009.

[22] Usnesení Rady ze dne 18. prosince 2009 o společném evropském přístupu k bezpečnosti sítí a informací (Úř. věst. C 321, 29.12.2009, s. 1).

[23] KOM(2010) 245, 19.5.2010.

[24] Úř. věst. L 108, 24.4.2002, s. 33.

[25] Úř. věst. L 201, 31.7.2002, s. 37.

[26] Úř. věst. L 281, 23.11.1995, s. 31.

[27] Úř. věst. L 337, 18.12.2009, s. 1.

[28] Úř. věst. L 204, 21.7.1998, s. 37.

[29] Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43).

[30] Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

[31] Úř. věst. L 357, 31.12.2002, s. 72.

[32] Úř. věst. L 317, 3.12.2001, s. 1.

[33] Úř. věst. L 136, 31.5.1999, s. 1.

[34] Úř. věst. L 136, 31.5.1999, s. 15.

[35] Úř. věst. L 248, 16.9.2002, s. 1.

[36] Úř. věst. 17, 6.10.1958, s. 385/58. Nařízení naposledy pozměněné aktem o přistoupení z roku 1994.

[37] ABM: řízení podle činností (Activity-Based Management) – ABB: sestavování rozpočtu podle činností (Activity-Based Budgeting).

[38] Podle ustanovení čl. 49 odst. 6) písm. a) nebo b) finančního nařízení.

[39] Podrobnosti o způsobech řízení a odkazy na finanční nařízení lze najít na internetové stránce: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[40] Podle ustanovení článku 185 finančního nařízení.

[41] http://ec.europa.eu/dgs/information_society/evaluation/studies/index_en.htm.

[42] Podle ustanovení článku 25 nařízení ENISA. Úplné znění dokumentu přijatého správní radou ENISA, který obsahuje také stanoviska správní rady, je k dispozici na této internetové stránce: http://enisa.europa.eu/pages/03_02.htm.

[43] Sdělení Komise Evropskému parlamentu a Radě ohledně hodnocení Evropské agentury pro bezpečnost sítí a informací (ENISA), KOM(2007) 285 v konečném znění ze dne 1. června .2007: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52007DC0285:EN:NOT.

[44] http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=EnisaFuture&lang=en.

[45] RP = rozlišené prostředky / NRP = nerozlišené prostředky.

[46] ESVO: Evropské sdružení volného obchodu.

[47] Kandidátské země a případně potenciální kandidátské země západního Balkánu.

[48] Příloha k legislativnímu finančnímu výkazu není vyplněna, neboť se nevztahuje na současný návrh.

[49] Viz bod 19 a 24 Interinstitucionální dohody.