Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om oprettelse af et europæisk agentur for net- og informationssikkerhed

(forelagt af Kommissionen)

BEGRUNDELSE

1. BAGGRUND

I dag har mere end 90% af virksomhederne i EU en internetforbindelse, og hovedparten driver et websted. En overvældende stor del af de ansatte bruger en mobiltelefon, en bærbar pc eller lignende udstyr til at sende eller indhente oplysninger til arbejdsformål. Disse oplysninger kan f.eks. beskrive en forretningstransaktion eller indeholde teknisk viden og som sådan repræsentere en betydelig værdi.

Også uden for arbejdspladsen er brugen af IT og netværk blevet et væsentligt element i hverdagen. I 2002 havde ca. 40% af husstandene i EU egen internetforbindelse, og mere end 2/3 af befolkningen havde mobiltelefon. Skoler og universiteter er på nettet, og det er blevet helt almindeligt at sætte sig ind i brugen af computere og internet. De offentlige administrationer er i fuld færd med at indføre elektronisk forvaltning. Infrastruktur til f.eks. elektricitets- og vandforsyning og offentlige transportsystemer styres af computere og kommunikationsnet. Siden den 11. september 2001 er disse aspekter også blevet relevante for den nationale sikkerhed.

Da så meget afhænger af net og informationssystemer, er sikkerheden blevet et centralt emne. Ligesom folk er kommet til at betragte elektricitets- og vandforsyning som en selvfølgelighed, forventer de, at telefonen virker, når de løfter røret. De forventer, at computeren fungerer ordentligt, når de har brug for den. De vil have, at der er adgang til information uden urimelige forsinkelser eller afbrydelser. Svigtende netforbindelser og computersammenbrud er ikke længere et isoleret problem for computerspecialister. Fejl i net- og kommunikationssystemer er et problem, der vedrører alle: den enkelte borger, virksomhederne og de offentlige administrationer.

Sikkerhed er blevet et væsentligt aspekt i mange virksomheder, særlig online-virksomheder. Der har derfor udviklet sig et forretningsområde, hvor specialiserede virksomheder sælger sikkerhedsprodukter og -tjenesteydelser: sikkerhed er blevet en handelsvare. Forbrugere køber f.eks. antivirus-software og installerer firewalls på deres computere. Virksomheder investerer i sikkerhed, etablerer beskyttede intranet og krypterer e-mail eller trådløs kommunikation. Fortrolige data sendes krypteret. Nogle brugere er udmærket klar over sårbarhederne og midlerne til at holde dem under kontrol, mens andre er mindre velinformerede eller bekymrede.

Sådan som situationen ser ud i dag, handler net- og informationssikkerhed om at sikre, at tjenester og data altid er til rådighed, forhindre afbrydelse og uautoriseret opfangning af kommunikation, bekræfte, at data, der sendes, modtages og arkiveres, er komplette og uændrede, garantere fortrolig behandling af data, beskytte informationssystemer mod angreb fra bl.a. hærværkssoftware og sikre pålidelig autentificering, dvs. bekræftelse af en enheds eller brugers påståede identitet.

Inden for nær fremtid vil sikkerhedskravene hurtigt ændre sig, i takt med at net- og informationsteknologien videreudvikles og vinder frem overalt. Bred bånds forbindelser vil give folk mulighed for at være koblet op på internettet døgnet rundt, nye trådløse applikationer vil gøre det muligt for brugerne at få adgang til internettet stort set overalt og mulighederne for at tilslutte alt fra printere til køleskabe til internettet vil fortsat udvikle sig: internettets anvendelsesmuligheder udvides hele tiden.

Forvaltning af sikkerheden har vist sig at være en vanskelig og kompleks opgave, der stiller brugerne over for en række spørgsmål om disponibilitet, integritet, autenticitet og fortrolighed, både i forbindelse med data og tjenester. Teknologien er kompleks, mange komponenter og aktører skal spille sammen, og menneskelig adfærd er blevet en afgørende faktor.

Total sikkerhed vil sandsynligvis aldrig kunne opnås, i hvert fald ikke til en rimelig pris. Der vil altid være svage punkter, angreb, uheld og fejl, der medfører skade og underminerer tilliden til systemer og tjenester. Det er nøjagtig ligesom med andre teknologier og aspekter af dagliglivet. Både samfundet som helhed og den enkelte bruger er nødt til at lære at styre de risici, der er forbundet med net og informationssystemer.

2. BEHOV FOR HANDLING

Sikkerhed er blevet et vigtigt politisk emne. Regeringerne oplever, at samfundets ansvar øges, og de sætter i stigende grad ind på at forbedre sikkerheden på deres område, f.eks. ved at støtte grupper, der yder bistand i nødsituationer (computer emergency response teams - CERT), samt forskning og oplysningskampagner. Desuden udruster og uddanner de politiet, så det er i stand til at bekæmpe internetrelateret kriminalitet.

Medlemsstaterne befinder sig imidlertid i forskellige faser af denne proces, og det varierer fra land til land, hvilke aspekter der lægges størst vægt på. Bortset fra administrative net som TESTA er der ikke noget systematisk grænseoverskridende samarbejde mellem medlemsstaterne om net- og informationssikkerhed, selv om sikkerhed ikke er et isoleret problem for det enkelte land. Der er ingen mekanisme til at sikre en effektiv reaktion på trusler mod sikkerheden. Gennemførelsen af lovrammerne varierer fra land til land. Produktcertificering foregår på nationalt plan, mens de vigtigste standarder udvikles af industrien på verdensplan, og operatører og leverandører støder på forskellige holdninger hos regeringerne. Alt dette fører til manglende interoperabilitet, der igen gør det vanskeligt at anvende sikkerhedsprodukterne og -tjenesterne effektivt.

Et øget samarbejde mellem medlemsstaterne om at opnå et tilstrækkeligt højt sikkerhedsniveau i alle medlemsstater vil gavne EU. Dette er målet for Kommissionens meddelelse om net- og informationssikkerhed fra juni 2001 [1], der foreslår en række foranstaltninger, bl.a. oplysningstiltag, forbedrede ordninger for informationsudveksling og støtte til markedsorienteret standardisering og certificering.

[1] Meddelelse fra Kommissionen til Rådet, Europa-Parlamentet, Det Økonomiske og Sociale Udvalg og Regionsudvalget: Net- og informationssikkerhed: Forslag til en europæisk strategi, KOM(2001) 298 endelig udg.

Ifølge meddelelsen bør der også etableres et europæisk varslings- og informationssystem. Rådets resolution af 28. januar 2002 om en fælles strategi og særlige foranstaltninger inden for net- og informationssikkerhed bygger videre på denne ide. Det er blevet tydeligt, at de nuværende institutionelle rammer ikke gør det muligt at takle spørgsmålet om net- og informationssikkerhed tilfredsstillende på europæisk plan.

Rådet bifalder Kommissionens planer om at fremsætte forslag om oprettelse af en taskforce for internetsikkerhed, der skal bygge videre på medlemsstaternes bestræbelser på at øge net- og informationssikkerheden og styrke medlemsstaternes evne til, enkeltvis og i fællesskab, at reagere på større net- og informationssikkerhedsproblemer.

Som svar på Kommissionens forslag har Europa-Parlamentet vedtaget en udtalelse, hvor det klart udtrykker ønske om et europæisk svar på det voksende sikkerhedsproblem.

I juni 2002 vedtog OECD et sæt retningslinjer for sikkerheden i informationssystemer og net, med undertitlen "Mod en sikkerhedskultur". Disse retningslinjer, der understreger, hvor vigtigt det er at anvende fælles principper for informationssikkerhed, danner grundlag for det arbejde, der udføres på europæisk plan.

3. FORSLAGET OM OPRETTELSE AF ET AGENTUR FOR NET- OG INFORMATIONSSIKKERHED

3.1. Baggrund

Europa-Parlamentet, Rådet og Kommissionen taler for en større europæisk koordinering på området informationssikkerhed. Den mest effektive måde at nå dette mål på er ved at oprette et organ med status som juridisk person. Forordnings forslaget går derfor ud på at oprette et europæisk reguleringsorgan i overens stemmelse med bestemmelserne i Kommissionens meddelelse, "Rammer for europæiske reguleringsorganer", KOM(2002) 781 endelig udg. Dette organ benævnes Det Europæiske Agentur for Net- og Informationssikkerhed, i det følgende "agenturet".

Imidlertid tillægger lovgivningen for elektronisk kommunikation, særlig ramedirektivet, de kompetente nationale instanser en vigtig rolle. Derfor skal agenturet ikke blot bistå Kommissionen, men også de nationale tilsynsmyndigheder.

Forslaget afspejler en række bekymringer, der er blevet rejst i løbet af den høring af medlemsstaterne, som Kommissionen har gennemført. Lignende bekymringer er også kommet til udtryk i bidrag fra den private sektor. Sammenfattende er der tale om, at der stilles krav til det påtænkte agentur om fleksibilitet, pålidelighed, effektivitet og en konsekvent fremgangsmåde. Navnlig er følgende krav blevet fremhævet:

a) Da net- og informationssikkerhed er et område i hastig udvikling, vil der muligvis være behov for en anden institutionel løsning om nogle år. Derfor bør agenturet oprettes for en begrænset periode, hvorefter der foretages en evaluering.

b) Det er nødvendigt, at agenturet nyder tillid blandt offentlige organer og institutioner i medlemsstaterne samt i den private sektor.

c) Agenturet bør udgøre et ekspertisecenter, der samler kompetente kræfter fra alle medlemsstater.

d) Agenturet skal være i stand til at handle hurtigt og effektivt. Derfor skal det have tilstrækkelige menneskelige og økonomiske ressourcer til at kunne fungere smidigt og fleksibelt, men samtidig bør det begrænses til en rimelig størrelse.

e) Kommissionen må kunne udstikke retningslinjer for agenturets arbejde.

Disse krav udgør principperne bag den foreslåede forordning. De forklarer, hvorfor forslaget beskriver agenturets opgaver tydeligt, men samtidig rummer mulighed for fleksibilitet. De begrunder en evaluering af agenturets virke efter de første tre år. De gør det klart, at et tæt samarbejde med institutioner og organer i medlemsstaterne samt med Fællesskabets institutioner er afgørende for, at agenturet kan fungere tilfredsstillende.

Agenturet vil kunne trække på videnskabelig støtte via forskningsaktiviteter, der gennemføres af Det Fælles Forskningscenter og som led i Fællesskabets forskningsprogrammer.

3.2. Valg af retsgrundlag

På denne baggrund behandler forslaget to indbyrdes forbundne spørgsmål af interesse for Fællesskabet, nemlig det indre marked og interoperabilitet mellem transeuropæiske elektroniske net. For det første kan indførelsen af teknisk komplekse krav til sikkerheden i net og informationssystemer på medlemsstats- og fællesskabsplan hæmme det indre marked. Og for det andet er det nødvendigt, at der er interoperabilitet mellem sikkerhedsfunktionerne i nettene og informations systemerne, for at det indre marked kan fungere glat.

De følgende afsnit henviser til afsnit 1-5 i forslaget.

3.3. Afsnit 1 - Formål og opgaver

3.3.1. Formål

Agenturets overordnede formål er at skabe en fælles forståelse i Europa af problemerne omkring informationssikkerhed. Dette er nødvendigt, for at nettene og informationssystemerne i EU kan fungere stabilt og sikkert. For at nå dette mål må definitionen af net- og informationssikkerhed være bred og omfatte alle aktiviteter, der kan have negative følger for sikkerheden i net og informationssystemer.

Agenturet skal være i stand til at yde bistand i forbindelse med anvendelsen af fællesskabsforanstaltninger vedrørende net- og informationssikkerhed. Dets indsats skal medvirke til at skabe interoperabilitet mellem sikkerhedsfunktioner i net og informationssystemer, således at det indre marked kan fungere effektivt. Agenturet skal øge både Fællesskabets og medlemsstaternes evne til at reagere på net- og informationssikkerhedsproblemer, og det vil spille en central rolle for sikkerheden i Europas net og informationssystemer samt udviklingen af informationssamfundet generelt.

3.3.2. Opgaver

Agenturet vil have en rådgivende og koordinerende funktion, der omfatter indsamling og analyse af data. I dag indsamler både offentlige og private organisationer med forskellige mål data om IT-hændelser og andre data, der er relevante for informationssamfundet. Der er imidlertid ikke nogen central organisation på europæisk plan, der på en dækkende måde kan indsamle og analysere data, afgive udtalelser og yde rådgivning til støtte for Fællesskabets strategiske arbejde inden for net- og informationssikkerhed. Agenturet skal fungere som et ekspertisecenter, hvor både medlemsstaterne og Fællesskabets institutioner kan søge rådgivning om tekniske spørgsmål vedrørende sikkerhed.

Endvidere skal agenturet bidrage til et bredt samarbejde mellem forskellige aktører på området informationssikkerhed, f.eks. ved at yde bistand til opfølgnings aktiviteterne til støtte for sikker e-business. Et sådant samarbejde er en forudsætning for, at net og informationssystemerne i Europa kan fungere sikkert. Det er nødvendigt, at alle berørte parter inddrages og deltager i samarbejdet.

Agenturet vil fremme en koordineret fremgangsmåde inden for informationssikkerhed ved at yde støtte til medlemsstaterne, f.eks. vedrørende risikovurdering og oplysnings tiltag. For at sikre interoperabilitet mellem net og informationssystemer vil agenturet også afgive udtalelser og yde støtte til harmoniserede processer og procedurer i medlemsstaterne i forbindelse med anvendelse af tekniske krav, der påvirker sikkerheden. Ikke kun retlige krav, men også i vid udstrækning tekniske krav kan påvirke interoperabiliteten og skabe hindringer for det indre marked.

Agenturet vil endvidere spille en støttende rolle med hensyn til at udpege relevante standardiseringsbehov, fremme sikkerhedsstandarder og certificeringsordninger og tilskynde til, at disse anvendes i videst muligt omfang af Kommissionen og medlemsstaterne som støttegrundlag for EU-lovgivningen.

Da net- og informationssikkerhedsspørgsmålene er af global karakter, er der også behov for internationalt samarbejde på dette område. Agenturet vil yde bistand til Fællesskabets forbindelser med relevante parter i tredjelande.

Der opstår hele tiden nye sårbarheder og trusler på området informationssystemer og net. Derfor må Kommissionen have mulighed for - i overensstemmelse med rammerne for europæiske reguleringsorganer - at pålægge agenturet yderligere opgaver, så EU hele tiden kan være på højde med den seneste teknologiske og samfundsmæssige udvikling.

3.4. Afsnit 2 - Organisation

3.4.1. Ledelse

Agenturet bør have en organisationsstruktur, der gør det let at inddrage de forskellige berørte parter, og som medvirker til at sikre agenturets uafhængighed af ydre pres samt dets åbenhed og dets ansvarlighed over for de demokratiske institutioner. Det foreslås derfor, at der nedsættes en bestyrelse, hvis medlemmer udpeges af Rådet og Kommissionen. For eksempel vil Kommissionens repræsentation omfatte et medlem af Sikkerhedsdirektoratet. Desuden skal bestyrelsen ifølge forslaget omfatte repræsentanter for erhvervslivet og forbrugerne, som udpeges af Rådet på forslag af Kommissionen. Repræsentanterne for erhvervslivet og forbrugerne har ikke stemmeret.

Agenturet ledes af en administrerende direktør, der råder over vid uafhængighed og fleksibilitet, og som er ansvarlig for tilrettelæggelsen af agenturets interne drift. Den administrerende direktør vil også være ansvarlig for at forberede og gennemføre agenturets budget og arbejdsprogram og for personaleanliggender. For at give den administrerende direktør den nødvendige legitimitet bør vedkommende udpeges af bestyrelsen på forslag af Kommissionen.

Som et fællesskabsorgan bør agenturet sikre, at dets ekspertise og ressourcer udnyttes bedst muligt under udførelsen af de pålagte opgaver, samtidig med at det overordnede krav om uafhængighed opfyldes. Derfor foreslås det, at agenturet nedsætter et begrænset ekspertpanel, bestående af eksperter, f.eks. databeskyttelseseksperter eller repræsentanter for forskerkredse. Ekspertpanelets opgave er at lette samarbejdet og informationsudvekslingen mellem agenturet og de kompetente institutioner i medlemsstaterne. Panelet har rådgivende funktion og har sammen med den administrerende direktør ansvaret for at udarbejde det årlige arbejdsprogram for agenturet.

3.5. Afsnit 3 - Drift

3.5.1. Arbejdsprogram

Agenturet må have tilstrækkelig fleksibilitet til at kunne omlægge og målrette sine aktiviteter i takt med den hastige teknologiske udvikling. Derfor skal bestyrelsen hvert år vedtage et arbejdsprogram, der godkendes af Kommissionen efter forslag fra den administrerende direktør. Resultaterne af aktiviteterne under arbejdsprogrammet skal fremgå af årsberetningen, der udarbejdes af den administrerende direktør og godkendes af bestyrelsen.

3.5.2. Udtalelser

Der er risiko for, at agenturet overbebyrdes med anmodninger om udtalelser og bistand, og det bør derfor fastsættes, hvem der kan fremsætte anmodninger, og hvordan disse bør behandles.

3.5.3. Arbejdsgrupper

Selv om agenturets personale skal være højt kvalificeret, må det forventes, at der opstår spørgsmål af mere specialiseret karakter, som kræver ekspertbistand. Derfor skal agenturet kunne nedsætte midlertidige arbejdsgrupper bestående af eksperter inden for forskellige områder. I overensstemmelse med politikken om åbenhed vil repræsentanter fra Kommissionen være berettiget til at overvære møderne i disse arbejdsgrupper.

3.5.4. Uafhængighed

Agenturets rådgivning og udtalelser vil kun blive accepteret blandt enkeltpersoner, offentlige administrationer og virksomheder, hvis agenturet handler i fuld uafhængighed. Derfor kræves det, at medlemmerne af bestyrelsen og ekspertpanelet samt de eksterne eksperter, der deltager i arbejdsgrupperne, afgiver en erklæring om, at de ikke har nogen interesser, der kan drage deres uafhængighed i tvivl.

3.5.5. Åbenhed og fortrolighed

Agenturet fastlægger sine regler om åbenhed og aktindsigt i dokumenter i overensstemmelse med Europa-Parlamentets og Rådets afgørelser i forbindelse med EF-traktatens artikel 255, og i overensstemmelse med Kommissionens sikkerhedsforskrifter [2].

[2] Rådets afgørelse af 19. marts 2001 om vedtagelse af Rådets sikkerhedsforskrifter (2001/264/EF) og Kommissionens afgørelse C(2001) 3831.

Selv om en høj grad af åbenhed og vidtgående adgang til de dokumenter, agenturet udarbejder, også er en forudsætning for, at agenturets arbejde accepteres, vil agenturet også indsamle information, der nødvendigvis må behandles fortroligt.

3.6. Afsnit 4 - Finansielle bestemmelser

Agenturets budget for perioden 2004-2008 skal være stort nok til, at agenturet kan ansætte medarbejdere som beskrevet ovenfor, udstyre de ansatte med den nødvendige teknologi til udførelsen af deres opgaver, og fungere smidigt. Finansieringsoversigten gør rede for budgettet.

Agenturets budget finansieres af et bidrag fra Fællesskabet samt bidrag fra de tredjelande, der måtte deltage i agenturets arbejde. Den administrerende direktør har ansvaret for at udarbejde et udkast til overslag over agenturets indtægter og udgifter. Bestyrelsen fremsender dette overslag til Kommissionen med henblik på behandling efter de sædvanlige budgetprocedurer.

Den administrerende direktør er ansvarlig for gennemførelsen af agenturets budget. Europa-Parlamentet meddeler efter henstilling fra Rådet agenturets administrerende direktør decharge for budgettets gennemførelse. Finansrevision foretages af Kommissionens interne revisor. Revisionsretten gennemgår agenturets regnskab og offentliggør en årsberetning.

3.7. Afsnit 5 - Generelle bestemmelser

3.7.1. Retlig status og privilegier

Agenturet har i hver medlemsstat den videstgående rets- og handleevne, som vedkommende stats lovgivning tillægger juridiske personer. Agenturet er omfattet af de privilegier og immuniteter, som er fastsat i De Europæiske Fællesskabers protokol vedrørende privilegier og immuniteter.

3.7.2. Erstatningsansvar

Ordningen for agenturets erstatningsansvar i kontraktforhold og uden for kontraktforhold svarer til den, der gælder for Fællesskabet i henhold til traktatens artikel 288.

3.7.3. Personale

Det er af afgørende betydning for agenturets funktion som ekspertisecenter, at det råder over et tilstrækkeligt antal højt kvalificerede medarbejdere. Der er knaphed på sagkyndige med den ønskede profil i Europa, og konkurrencen om dem er hård. Agenturet skal rekruttere både fra den offentlige og den private sektor. Agenturets personale vil være underkastet vedtægten for tjenestemænd ved De Europæiske Fællesskaber og ansættelsesvilkårene for øvrige ansatte. Personalet vil blive ansat på midlertidige kontrakter med en maksimal varighed på fem år, idet der samtidig tages hensyn til behovet for at have stabile, kvalificerede medarbejdere i tilstrækkeligt antal.

3.7.4. Beskyttelse af personoplysninger

Agenturet vil i forbindelse med sine opgaver også behandle personoplysninger og vil i den henseende anvende de regler, der gælder for fællesskabsinstitutionerne.

3.7.5. Tredjelandes deltagelse

Tredjelande, som har indgået aftaler med Det Europæiske Fællesskab, der indebærer, at de har indført og anvender fællesskabsretten på de områder, der omfattes af denne forordning, kan deltage i agenturet.

3.8. Afsnit 6 - Afsluttende bestemmelser

3.8.1. Revision

Da net- og informationssikkerhed er et højteknologisk emne og dermed et område i hastig udvikling, vil der muligvis være behov for en anden institutionel løsning om nogle år. Senest tre år efter den startdato, der er fastsat i artikel 26, eller tidligere, hvis bestyrelsen finder det nødvendigt, bør der gennemføres en revision med det formål at afgøre, om agenturet skal videreføres ud over den indledende femårsperiode. Om nødvendigt foreslås der ændringer i agenturets fremtidige ansvarsopgaver, mål og mandat.

Som led i revisionen skal det navnlig undersøges, i hvor høj grad det har haft negative følger for agenturets virkning og effektivitet, at der ikke er nogen deltagelse af retshåndhævende myndigheder i agenturet. Hvis der konstateres sådanne negative følger, vil Kommissionen undersøge, om det er rimeligt at fremsætte forslag om at supplere forordningen.

3.8.2. Agenturets sæde

Agenturets sæde bør opfylde følgende kriterier:

- det bør være let tilgængeligt i kommunikationshenseende, særlig hvad angår elektroniske kommunikationsfaciliteter, og have effektive og hurtige transportforbindelser

- det bør gøre det muligt for agenturet at arbejde tæt og effektivt sammen med de institutioner, der beskæftiger sig med net- og informationssikkerheds spørgsmål

- det bør være omkostningseffektivt og tillade agenturet at indlede sit arbejde øjeblikkeligt

- det bør kunne stille den nødvendige infrastruktur til rådighed for agenturets personale.

3.8.3. Varighed

Det foreslås, at agenturet træder i funktion den 1. januar 2004 og drives i en periode på fem år. Hvorvidt agenturet skal fortsætte med at eksistere ud over denne periode afhænger af resultatet af den evaluering, som Kommissionen gennemfører i samarbejde med ekspertpanelet.

2003/0032 (COD)

Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om oprettelse af et europæisk agentur for net- og informationssikkerhed

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR -

under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab, særlig artikel 95 og artikel 156,

under henvisning til forslag fra Kommissionen, [3]

[3] EFT C [...], [...], s. [...].

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg [4],

[4] EFT C [...], [...], s. [...].

under henvisning til udtalelse fra Regionsudvalget [5],

[5] EFT C [...], [...], s. [...].

henhold til proceduren i traktatens artikel 251 [6], og

[6] EFT C [...], [...], s. [...].

ud fra følgende betragtninger:

(1) Kommunikationsnet og informationssystemer er blevet en afgørende faktor i den økonomiske og samfundsmæssige udvikling. Informationsteknologi og net er nu ved at blive en alment tilgængelig ressource på lige fod med f.eks. vand og elektricitet. Sikkerheden i net og informationssystemer, og navnlig deres disponibilitet, får derfor stigende betydning for samfundet.

(2) Net- og informationssikkerhed handler om at sikre, at tjenester og data altid er til rådighed, forhindre afbrydelse og uautoriseret opfangning af kommunikation, sørge for bekræftelse af, at data, der sendes, modtages og arkiveres, er komplette og uændrede, garantere fortrolig behandling af data, beskytte informationssystemer mod angreb fra bl.a. hærværkssoftware og sikre pålidelig autentificering.

(3) Det stigende antal brud på sikkerheden har allerede medført betydelig økonomisk skade, undermineret brugernes tillid og bremset udviklingen af elektronisk handel. Enkeltpersoner, offentlige administrationer og virksomheder har reageret ved at indføre sikkerhedsfremmende teknologi og sikkerhedsprocedurer. Medlemsstaterne har iværksat en række støtteforanstaltninger, bl.a. oplysningskampagner og forskningsprojekter, for at øge net- og informationssikkerheden i hele samfundet.

(4) Medlemsstaternes reaktioner har været spredte og ikke tilstrækkeligt koordinerede til at sikre en effektiv løsning på sikkerhedsproblemerne. På grund af nettenes og informationssystemernes kompleksitet, de mange forskellige indbyrdes forbundne produkter og tjenester og det enorme antal private og offentlige aktører, der hver især har sit eget ansvar at tilgodese, er der endnu ikke udviklet en sammenhængende løsning på sikkerhedsproblemerne på EU-plan. En særligt problem har været manglen på indbyrdes kompatible sikkerhedsprodukter og -tjenesteydelser, der har negative følger for interoperabiliteten mellem nettene. Disse forhold har endvidere betydet, at fællesskabsforanstaltningerne har været genstand for kompleks teknisk analyse og fortolkning, når de skulle anvendes i praksis.

(5) Mangelen på et fælles europæisk svar på informationssikkerhedsproblemerne i forbindelse med anvendelsen af Fællesskabets foranstaltninger risikerer at underminere det indre marked.

(6) Direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet) [7] fastlægger de nationale tilsynsmyndigheders opgaver, der bl.a. består i at anspore til etablering og udvikling af transeuropæiske net og interoperabilitet mellem paneuropæiske tjenester, samarbejde indbyrdes og med Kommissionen på en transparent måde for at sikre udviklingen af en ensartet reguleringspraksis, bidrage til at sikre et højt beskyttelsesniveau for så vidt angår personoplysninger og privatlivets fred, og sikre de offentlige kommunikationsnets integritet og sikkerhed.

[7] EFT L 108, 24.4.2002, s. 33.

(7) Ifølge direktiv 2002/20/EF af 7. marts 2002 om tilladelser til elektroniske kommunikationsnet og -tjenester [8] må medlemsstaterne i forbindelse med generelle tilladelser fastsætte vilkår vedrørende offentlige nets sikkerhed mod ulovlig adgang i overensstemmelse med direktiv 97/66/EF af 15. december 1997 om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren.

[8] EFT L 108, 24.4.2002, s. 21.

(8) Direktiv 2002/22/EF af 7. marts 2002 om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester [9] kræver, at medlemsstaterne træffer de fornødne foranstaltninger for at sikre de offentlige telefonnets integritet og disponibilitet, og at virksomheder, der udbyder offentligt tilgængelige telefonitjenester på et fast sted, træffer de fornødne foranstaltninger for at sikre uafbrudt adgang til alarmtjenester.

[9] EFT L 108, 24.4.2002, s. 51.

(9) Direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor [10] kræver, at udbydere at offentligt tilgængelige elektroniske kommunikationstjenester træffer passende tekniske og organisatoriske foranstaltninger for at beskytte deres tjenester. Desuden stiller direktivet krav om kommunikationshemmelighed, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata. Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger [11] pålægger medlemsstaterne at kræve, at den registeransvarlige skal iværksætte de fornødne tekniske og organisatoriske foranstaltninger mod hændelig eller ulovlig tilintetgørelse, mod hændeligt tab, mod forringelse, ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter fremsendelse af oplysninger i et net, samt mod enhver anden form for ulovlig behandling.

[10] EFT L 201, 31.7.2002, s. 37.

[11] EFT L 281, 23.11.1995, s. 31.

(10) Rammedirektivet og direktiv 1999/93/EF af 13. december 1999 om en fællesskabsramme for elektroniske signaturer [12] indeholder bestemmelser om standarder, der skal offentliggøres i De Europæiske Fællesskabers Tidende. Medlemsstaterne anvender også standarder fra internationale organisationer samt de facto-standarder, der er udviklet af erhvervslivet. Det er nødvendigt for Kommissionen og medlemsstaterne at kunne vurdere, hvilke standarder der opfylder kravene i fællesskabslovgivningen.

[12] EFT L 13, 19.1.2000, s.12.

(11) Disse foranstaltninger vedrørende det indre marked kræver forskellige former for teknisk og organisatorisk anvendelse af medlemsstaterne og Kommissionen. Der er tale om teknisk komplekse opgaver, som der ikke er nogen enkelt, selvindlysende løsning på. Den uensartede anvendelse af reglerne kan føre til ineffektive løsninger og skabe hindringer for det indre marked og for interoperabiliteten mellem informationssikkerhedsfunktioner. Derfor er der brug for et ekspertisecenter på europæisk plan, der kan yde vejledning og bistand samt udtale sig om den tekniske og organisatoriske gennemførelse af kravene, og som Kommissionen og de nationale tilsynsmyndigheder og kompetente instanser i medlemsstaterne kan henvende sig til. De kompetente instanser inden for net- og informationssikkerhed omfatter politiet og domstolene i medlemsstaterne.

(12) Sikkerhedsbehovene kan imødekommes ved at oprette et europæisk organ, Det Europæiske Agentur for Net- og Informationssikkerhed, herefter benævnt "agenturet", der fungerer som et referencepunkt. Agenturet bør skabe tillid i kraft af sin uafhængighed og ved at udsende udtalelser og information af høj kvalitet, skabe åbenhed omkring sine procedurer og virkemåde samt udvise omhu i udførelsen af de pålagte opgaver. Agenturet bør udføre sine opgaver i fuldt samarbejde med medlemsstaterne og være åbent for forbindelser med erhvervslivet og andre berørte grupper.

(13) Sikkerhedsproblemernes stadig mere omfattende følger på EU- og verdensplan betyder, at der må gribes effektivt ind. Imidlertid er der i dag ingen autoriseret instans i Europa, der systematisk indsamler data om net- og informationssikkerhed, som kan anvendes til analyse af brud på sikkerheden.

(14) For at skabe tillid til net og informationssystemer er det nødvendigt, at enkeltpersoner, virksomheder og offentlige administrationer har tilstrækkeligt kendskab til sikkerhedsaspekterne. De offentlige myndigheder har taget skridt til at skabe øget bevidsthed om emnet gennem oplysning af offentligheden. Disse tiltag må dog videreudvikles, særlig med henblik på nye sårbarheder og de medfølgende risici. Øget informationsudveksling mellem medlemsstaterne vil fremme sådanne bevidstgørelses kampagner.

(15) På trods af behovet for pålidelige processer er det ofte vanskeligt at vurdere produkternes og tjenesternes pålidelighed. Der er offentligt og privat organiserede evaluerings- og certificeringstjenester. Men evaluerings- og certificeringsprocesserne er ofte besværlige, dyre og langsomme. Alle involverede parter, herunder de offentlige myndigheder, vil have gavn af en bedre teknisk vejledning under deres bestræbelser på at fremme effektive certificeringssystemer. En teknisk kompetent europæisk instans, der yder objektiv rådgivning om forskellige standarders kvalitet, vil derfor forbedre mulighederne for at fremme pålidelige sikkerhedsstandarder, herunder standarder for teknologier, der styrker kommunikationshemmeligheden, i Europa.

(16) Effektive sikkerhedsstrategier er baseret på velgennemtænkte risikovurderings metoder, både i den offentlige og den private sektor. Der anvendes risikovurderings metoder og procedurer på forskellige niveauer, men der er ingen fælles praksis, der sikrer en effektiv indsats. Ved at udvikle og fremme bedste praksis inden for risikovurdering kan man forbedre interoperabiliteten og øge sikkerhedsniveauet i net- og informationssystemerne i Europa.

(17) Agenturet bør udnytte resultaterne af igangværende forsknings-, udviklings- og teknologi vurderings aktiviteter, særlig aktiviteter, der gennemføres af Det Fælles Forskningscenter og andre fællesskabsinitiativer inden for forskning.

(18) Net- og informationssikkerhedsproblemer er af global karakter og er hverken begrænset til enkelte medlemsstater eller til Fællesskabet. Et sikkerhedsproblem kan have sin oprindelse i et tredjeland. Produkter og tjenester udvikles og evalueres ofte i tredjelande. Når først et sikkerhedsprodukt er indført i Fællesskabet, kan det cirkulere stort set uden restriktioner, og der kan frit tilbydes tjenesteydelser. Der er behov for et tættere samarbejde på globalt plan for at forbedre sikkerhedsstandarderne, øge oplysningsniveauet og udvikle fælles reaktionsmekanismer. En række af Fællesskabets internationale partnere er begyndt at oprette sikkerhedsorganer for bedre at kunne reagere på sikkerhedsproblemerne og udvikle politiske strategier. Et effektivt samarbejde med disse lande og det globale samfund er blevet en opgave, der også må løses på EU-plan.

(19) For effektivt at kunne sikre, at agenturets opgaver fuldføres, bør medlemsstaterne og Kommissionen være repræsenteret i en bestyrelse, som har beføjelse til at fastlægge budgettet, kontrollere dets gennemførelse, vedtage passende finansielle bestemmelser, indføre gennemskuelige beslutningsprocedurer i agenturet, godkende agenturets arbejdsprogram, behandle anmodninger om teknisk bistand fra medlemsstaterne og udpege den administrerende direktør. I betragtning af agenturets stærkt tekniske og videnskabelige mål og opgaver bør medlemmerne af bestyrelsen være i besiddelse af en høj grad af ekspertise i spørgsmål inden for agenturets virkefelt og bør udpeges af Rådet og Kommissionen.

(20) Der bør etableres et ekspertpanel, der rådgiver den administrerende direktør om samarbejde og en passende udveksling af information mellem medlemsstaterne og agenturet. Dette panels rådgivende funktioner omfatter også bistand ved udarbejdelsen af forslaget til agenturets årlige arbejdsprogram. Ved udvælgelsen af medlemmer til ekspertpanelet bør det sikres, at den nødvendige ekspertise, bl.a. inden for databeskyttelse, er til stede.

(21) For at skabe et velfungerende agentur må den administrerende direktør udnævnes på grundlag af fortjeneste og dokumenterede administrative evner og lederevner, såvel som kvalifikationer og erfaring, der er relevant for net- og informationssikkerhed. Endvidere er det nødvendigt, at den administrerende direktør råder over fuld uafhængighed og fleksibilitet i tilrettelæggelsen af agenturets interne opgaver. Den administrerende direktør bør forberede og træffe alle nødvendige foranstaltninger for at sikre, at agenturets arbejdsprogram gennemføres korrekt. Desuden bør han/hun hvert år udarbejde et udkast til en årsberetning, der skal forelægges bestyrelsen, udfærdige overslag over agenturets indtægter og udgifter og gennemføre budgettet.

(22) Agenturet bør følge den relevante fællesskabslovgivning om aktindsigt [13] og om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger [14].

[13] Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter. EFT L 145, 31.5.2001, s. 43.

[14] Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger. EFT L 8, 12.1.2001, s. 1.

(23) I den udstrækning agenturet behandler oplysninger i forbindelse med ulovlige handlinger mod informationssystemer, procedurer for håndtering af sikkerhedshændelser og vurdering af trusler, vil der være behov for en vis overordnet politisk koordinering, både på nationalt plan og på EU-plan. En sådan koordinering bør varetages af ekspertpanelet, jf. artikel 7, og gennemføres uden at tilsidesætte fortrolighedskravene, jf. artikel 13.

(24) For at sikre agenturet fuld selvstændighed og uafhængighed bør det råde over et selvstændigt budget, hvortil indtægterne hovedsageligt kommer fra et bidrag fra Fællesskabet. Fællesskabets budgetprocedure finder anvendelse, for så vidt angår enhver støtte, som kommer fra Den Europæiske Unions almindelige budget. Revisionen af regnskaberne bør forestås af Revisionsretten.

(25) Agenturet bør i første omgang oprettes for en begrænset periode, og dets arbejde bør evalueres for at afgøre, om agenturet skal fortsætte sine aktiviteter ud over denne periode -

UDSTEDT FØLGENDE FORORDNING:

Afsnit 1 Formål og opgaver

Artikel 1 Formål

1. Herved oprettes et europæisk agentur for net- og informationssikkerhed, i det følgende benævnt "agenturet".

2. Agenturet skal fremme anvendelsen af Fællesskabets foranstaltninger inden for net- og informationssikkerhed og medvirke til at sikre interoperabilitet mellem sikkerhedsfunktioner i net- og informationssystemer, således at det indre marked kan fungere effektivt. Det skal styrke Fællesskabets og medlemsstaternes evne til at reagere på sikkerhedsproblemer i net og informationssystemer.

Artikel 2 Opgaver

For at nå målene i artikel 1 skal agenturet varetage følgende opgaver:

a) indsamle og analysere data, herunder information om eksisterende og nye risici, og navnlig risici, der har følger for vigtige kommunikationsnets modstandsdygtighed og for den information, der indhentes og overføres via disse net

b) yde bistand og afgive udtalelser inden for rammerne af agenturets formål til Kommissionen og andre kompetente organer

c) styrke samarbejdet mellem forskellige aktører på området net- og informationssikkerhed, bl.a. ved at skabe et netværk for organisationer på nationalt og EU-plan

d) bidrage til, at alle brugere får adgang til hurtigt tilgængelige, objektive og dækkende oplysninger om net- og informationssikkerheds spørgsmål, bl.a. ved at fremme udveksling af bedste praksis vedrørende metoder til at advare brugerne, bl.a. i forbindelse med systemer til varsling af IT-angreb, og ved at skabe et positivt samspil mellem initiativer i den offentlige og den private sektor

e) på anmodning bistå Kommissionen og de nationale tilsynsmyndigheder med at analysere og gennemføre de net- og informationssikkerhedskrav til operatører og tjenesteydere, der stilles i fællesskabslovgivningen, herunder krav vedrørende databeskyttelse

f) medvirke til vurdering af standarder for net- og informationssikkerhed

g) stimulere risikovurderingsaktiviteter og fremme interoperable risikostyringsløsninger inden for organisationer

h) støtte Fællesskabets strategi for samarbejde med tredjelande, herunder fremme forbindelser med internationale fora

i) påtage sig enhver anden opgave, som Kommissionen måtte pålægge agenturet, og som hører under dets formål.

Artikel 3 Definitioner

I denne forordning forstås ved:

- 'net': transmissionssystemer og, hvor det er relevant, koblings- og dirigeringsudstyr og andre ressourcer, som gør det muligt at overføre signaler ved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, herunder satellitnet, jordbaserede fastnet (kredsløbs- og pakkekoblede, herunder Internettet) og mobilnet, net, som anvendes til radio- og tv-spredning samt kabel-tv-net, uanset hvilken type information der overføres

- 'informationssystem': computere og elektroniske kommunikationsnet samt elektroniske data, som de arkiverer, behandler, kalder frem eller overfører i forbindelse med deres drift, brug, beskyttelse og vedligeholdelse

- 'net- og informationssikkerhed': et nets eller et informationssystems evne til, på et givet tillidsniveau, at modstå uheld, ulovlige handlinger og handlinger i ond hensigt, der er til skade for disponibiliteten, autenticiteten, integriteten og fortroligheden i forbindelse med arkiverede og overførte data og de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via dette net eller system

- 'disponibilitet': data skal være tilgængelige og tjenester funktionsdygtige

- 'autentificering': bekræftelse af en enheds eller brugers påståede identitet

- 'dataintegritet': bekræftelse af, at de data, der sendes, modtages eller gemmes, er komplette og uændrede

- 'datafortrolighed': beskyttelse mod, at kommunikation eller arkiverede data opfanges og læses af uautoriserede personer

- 'risiko': en funktion af sandsynligheden for, at en svaghed i systemet påvirker de behandlede eller overførte datas disponibilitet, autentificering, integritet og fortrolighed, sammenholdt med hvor alvorlig virkningen er, hvis denne svaghed tilsigtet eller utilsigtet anfægtes

- 'risikovurdering': en videnskabeligt og teknologisk baseret proces bestående af fire led: konstatering af trusler, karakterisering af trusler, vurdering af eksponeringen og karakterisering af risikoen

- 'risikostyring': den proces, der til forskel fra risikovurderingen består i en afvejning af de forskellige mulige strategier i samråd med interesserede parter under hensyntagen til risikovurderingen og andre relevante faktorer, samt om nødvendigt valg af passende forebyggelses- og kontrolforanstaltninger.

Afsnit 2 Organisation

Artikel 4 Agenturets struktur

Agenturet består af:

a) en bestyrelse

b) en administrerende direktør og dennes personale

c) et ekspertpanel

d) om nødvendigt arbejdsgrupper.

Artikel 5 Bestyrelsen

1. Bestyrelsen består af seks medlemmer, der udpeges af Rådet, seks medlemmer, der udpeges af Kommissionen, samt to repræsentanter for erhvervslivet og en repræsentant for forbrugerne, der udpeges af Rådet på forslag af Kommissionen, og som ikke har stemmeret.

2. Medlemmerne kan lade sig repræsentere af suppleanter, som udnævnes samtidigt. Medlemmerne udpeges for en periode på 2½ år med mulighed for genudpegelse én gang.

3. Den administrerende direktør deltager i bestyrelsens møder uden stemmeret og varetager sekretariatsforretningerne.

4. Bestyrelsen vælger blandt sine medlemmer en formand for en periode på 2½ år, der kan fornyes.

5. Bestyrelsen vedtager selv sin forretningsorden, som skal være godkendt af Kommissionen. Medmindre andet er fastsat, træffes bestyrelsens beslutninger ved flertalsafgørelse.

6. Bestyrelsen mødes efter indkaldelse fra formanden eller på anmodning af mindst en tredjedel af medlemmerne.

7. Bestyrelsen vedtager agenturets interne driftsregler på grundlag af et forslag fra Kommissionen. Disse regler skal offentliggøres.

8. Bestyrelsen fastlægger de overordnede retningslinjer for agenturets drift og sikrer, at agenturet udfører sine opgaver på en sådan måde, at det kan tjene som et referencepunkt i kraft af sin uafhængighed, kvaliteten af de udtalelser, det afgiver, og af de informationer, det videregiver, samt i kraft af den åbenhed, der er forbundet med dets procedurer og virkemåde, og dets omhu ved udførelsen af de pålagte opgaver.

9. Hvert år før den 31. januar vedtager bestyrelsen, efter at have indhentet Kommissionens godkendelse, agenturets arbejdsprogram for det pågældende år. Bestyrelsen påser, at arbejdsprogrammet er i overensstemmelse med Fællesskabets lovgivningsmæssige og politiske prioriteter på området net- og informations sikkerhed.

10. Hvert år inden den 31. marts vedtager bestyrelsen en årsberetning om agenturets aktiviteter i det forløbne år.

11. De finansielle bestemmelser for agenturet vedtages af bestyrelsen efter høring af Kommissionen. De må ikke afvige fra rammefinansforordningen, der er vedtaget af Kommissionen i henhold til artikel 185 i Rådets forordning (EF, Euratom) nr. 1605/2002 [15] (herefter benævnt "den almindelige finansforordning"), medmindre dette er strengt nødvendigt for agenturets drift og efter Kommissionens forudgående samtykke.

[15] EFT L 248, 16.9.2002, s. 1.

Artikel 6 Den administrerende direktør

1. Agenturet ledes af den administrerende direktør, som udfører sit hverv i uafhængighed.

2. Den administrerende direktør udnævnes af bestyrelsen på basis af en liste over kandidater, som Kommissionen foreslår efter offentliggørelse af en indkaldelse af interessetilkendegivelser i De Europæiske Fællesskabers Tidende og andre steder samt offentligt opslag af stillingen. Inden udnævnelsen indbydes den af bestyrelsen indstillede kandidat straks til at afgive en redegørelse over for Europa-Parlamentet og besvare spørgsmål fra dets medlemmer. Den administrerende direktør kan afsættes af bestyrelsen, efter at denne har indhentet Kommissionens godkendelse.

3. Den administrerende direktørs mandatperiode er 2½ år med mulighed for forlængelse én gang.

4. Den administrerende direktør er ansvarlig for:

a) den daglige ledelse af agenturet

b) udarbejdelse af forslag til agenturets arbejdsprogrammer i samråd med ekspertpanelet

c) gennemførelse af arbejdsprogrammerne og af de beslutninger, der træffes af bestyrelsen

d) sikring af, at agenturet udfører sine opgaver i overensstemmelse med brugernes krav, navnlig med hensyn til ydelsernes tilstrækkelighed

e) udarbejdelse af agenturets indtægts- og udgiftsoversigt samt udførelsen af budgettet

f) alle personalespørgsmål

g) etablering og opretholdelse af forbindelser med Europa-Parlamentet og en løbende dialog med Parlamentets relevante udvalg.

5. Hvert år forelægger den administrerende direktør med henblik på bestyrelsens godkendelse:

a) et udkast til årsberetning om alle agenturets aktiviteter i det forløbne år

b) et udkast til arbejdsprogram.

6. Den administrerende direktør fremsender efter godkendelse i bestyrelsen arbejdsprogrammet til Europa-Parlamentet, Rådet, Kommissionen og medlemsstaterne og sørger for, at det offentliggøres.

7. Den administrerende direktør fremsender efter godkendelse i bestyrelsen agenturets årsberetning til Europa-Parlamentet, Rådet, Kommissionen, Revisionsretten, Det Økonomiske og Sociale Udvalg og Regionsudvalget og sørger for, at den offentliggøres.

Artikel 7 Ekspertpanelet

1. Ekspertpanelet består af ni eksperter, der udpeges af den administrerende direktør på forslag af bestyrelsen. Medlemmerne kan lade sig repræsentere af suppleanter, som udnævnes samtidigt. Repræsentanter for Kommissionen er berettiget til at overvære møderne og deltage i ekspertpanelets arbejde.

2. Medlemmer af ekspertpanelet må ikke være medlemmer af bestyrelsen.

3. Ekspertpanelet har den administrerende direktør som formand. Det mødes efter indkaldelse fra formanden eller på anmodning af mindst en tredjedel af medlemmerne. Procedurer for ekspertpanelets virksomhed fastsættes i agenturets interne driftsregler og offentliggøres.

4. Ekspertpanelets udtalelser kan gøres til genstand for afstemning.

5. Agenturet yder ekspertpanelet den nødvendige tekniske og logistiske bistand og varetager sekretariatsforretningerne i forbindelse med møderne.

6. Ekspertpanelet

a) rådgiver den administrerende direktør under udførelsen af dennes opgaver som fastlagt i denne forordning, navnlig udarbejdelsen af forslag til agenturets arbejdsprogram.

b) rådgiver den administrerende direktør med henblik på at sikre et tæt samarbejde mellem agenturet og de kompetente institutioner og organer i medlemsstaterne, navnlig ved at sørge for sammenhæng mellem agenturets aktiviteter og de aktiviteter, der gennemføres af medlemsstaterne.

7. Den administrerende direktør kan indbyde repræsentanter for Europa-Parlamentet og andre relevante organer til at deltage i ekspertpanelets møder.

Afsnit 3 Drift

Artikel 8 Arbejdsprogram

Agenturet baserer sine aktiviteter på det arbejdsprogram, der vedtages i overensstemmelse med artikel 5, stk. 9. Arbejdsprogrammet forhindrer ikke agenturet i at iværksætte uforudsete aktiviteter, der ligger inden for dets formål og de givne budgetrammer.

Artikel 9 Udtalelser

1. Anmodninger om udtalelser og bistand, der ligger inden for agenturets formål, rettes til den administrerende direktør og ledsages af baggrundsoplysninger, der forklarer det emne, der skal behandles. Den administrerende direktør videresender anmodningen til Kommissionen inden for 10 arbejdsdage.

2. Anmodninger som omtalt i stk. 1 kan fremsættes af:

a) Kommissionen

b) en national tilsynsmyndighed, som defineret i artikel 2 i rammedirektivet, eller et andet kompetent medlemsstatsorgan, der er anerkendt af bestyrelsen til dette formål.

3. Hvis agenturet har problemer med at imødekomme en anmodning, eller hvis en anmodning ikke er fremsat i overensstemmelse med stk. 1, eller hvis der fremsættes forskellige anmodninger om samme emne, rådfører den administrerende direktør sig med bestyrelsen, før han/hun træffer en beslutning. Hvis agenturet afviser en anmodning, skal det begrunde afvisningen. Den administrerende direktør kan også anmode ekspertpanelet om råd med hensyn til prioriteringen af anmodninger om udtalelser.

Artikel 10 Arbejdsgrupper

1. Hvor det er nødvendigt og i overensstemmelse med agenturets formål, kan agenturet nedsætte arbejdsgrupper bestående af eksperter, særlig i forbindelse med tekniske og videnskabelige spørgsmål. Eksperterne udpeges af den administrerende direktør på forslag af bestyrelsen.

2. Arbejdsgrupper nedsættes af ekspertpanelet på forslag af den administrerende direktør, efter at denne har hørt bestyrelsen.

3. Repræsentanter for Kommissionen er berettiget til at overvære arbejdsgruppernes møder.

4. Procedurerne for udnævnelse af eksperter og for arbejdsgruppernes virke fastsættes i agenturets interne regler.

Artikel 11 Uafhængighed

1. Medlemmerne af bestyrelsen, den administrerende direktør og ekspertpanelet forpligter sig til at være uafhængige og handle i almenhedens interesse. De afgiver med henblik herpå en loyalitetserklæring og en interesseerklæring, hvori de anfører, at de ikke har nogen direkte eller indirekte interesser, der kan anses for at berøre deres uafhængighed. Disse erklæringer skal være skriftlige.

2. Eksterne eksperter, der deltager i arbejdsgrupper, skal på hvert møde gøre opmærksom på eventuelle interesser, som kan anses for at berøre deres uafhængighed med hensyn til de punkter, der er på dagsordenen.

Artikel 12 Åbenhed

1. Agenturet sikrer, at der er en høj grad af åbenhed omkring dets aktiviteter og i overensstemmelse med artikel 13 og 14.

2. Agenturet sikrer, at offentligheden og eventuelle interesserede parter får objektive, pålidelige og let tilgængelige oplysninger, især vedrørende resultaterne af dets arbejde, hvor det er rimeligt. Desuden offentliggør agenturet de interesseerklæringer, der afgives af medlemmerne af bestyrelsen, den administrerende direktør og ekspertpanelet, samt de interesseerklæringer, der afgives af eksperter i forbindelse med punkter på dagsordenen for møder i arbejdsgrupperne.

3. Bestyrelsen kan på forslag af den administrerende direktør give andre interesserede parter tilladelse til at følge procedurerne i forbindelse med nogle af agenturets aktiviteter.

4. Agenturet fastsætter i sine interne driftsregler bestemmelser om, hvordan de i stk. 1 og 2 omhandlede regler om åbenhed gennemføres i praksis.

Artikel 13 Fortrolighed

1. Agenturet må ikke til tredjemand videregive fortrolige oplysninger, som det behandler eller modtager, og for hvilke der foreligger en velbegrundet begæring om, at de holdes fortrolige, bortset fra oplysninger, der skal videregives i henhold til national ret, af hensyn til den offentlige sikkerhed eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager.

2. Medlemmerne af bestyrelsen og af ekspertpanelet, den administrerende direktør og eksterne eksperter, der deltager i arbejdsgrupperne, samt agenturets personale, er, selv efter at deres hverv er ophørt, undergivet tavshedspligt som fastsat i EF-traktatens artikel 287.

3. Agenturet fastsætter i sine interne regler bestemmelser om, hvordan de i stk. 1 og 2 omhandlede regler om tavshedspligt gennemføres i praksis.

4. Udtrykket "tredjemand" i stk. 1 omfatter ikke Kommissionen.

Artikel 14 Aktindsigt

1. Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter [16] finder anvendelse på agenturets dokumenter.

[16] EFT L 145, 31.5.2001, s. 43.

2. Bestyrelsen vedtager de praktiske gennemførelsesbestemmelser for forordning (EF) nr. 1049/2001 senest seks måneder efter, at agenturet er trådt i funktion.

3. De beslutninger, som agenturet træffer efter artikel 8 i forordning (EF) nr. 1049/2001, kan gøres til genstand for en klage til ombudsmanden eller indklages for EF-Domstolen efter bestemmelserne i henholdsvis traktatens artikel 195 og artikel 230.

Afsnit 4 Finansielle bestemmelser

Artikel 15 Vedtagelse af budgettet

1. Agenturets indtægter udgøres af et bidrag fra Fællesskabet samt bidrag fra de tredjelande, der måtte deltage i agenturets arbejde i henhold til artikel 22.

2. Agenturets udgifter omfatter udgifter til personale, administrativ og teknisk bistand, infrastruktur og driftsudgifter, samt udgifter i medfør af kontrakter, der er indgået med tredjemand.

3. Senest den 1. marts hvert år udarbejder den administrerende direktør et overslag over agenturets indtægter og udgifter for det kommende regnskabsår og forelægger det for bestyrelsen, ledsaget af en stillingsfortegnelse.

4. Indtægter og udgifter skal balancere.

5. Senest den 31. marts hvert år vedtager bestyrelsen på basis af udkastet fra den administrerende direktør et overslag over agenturets indtægter og udgifter for det kommende regnskabsår. Bestyrelsen fremsender dette overslag, der indeholder en stillingsfortegnelse og det foreløbige arbejdsprogram, til Kommissionen og de lande, som Fællesskabets har indgået aftaler med efter artikel 22.

6. På grundlag af dette overslag opfører Kommissionen de tilsvarende beløb på det foreløbige budgetforslag for De Europæiske Fællesskaber, og dette fremsendes til Europa-Parlamentet og Rådet (herefter kaldet "budgetmyndigheden") i overensstemmelse med traktatens artikel 272.

7. Budgetmyndigheden fastsætter de bevillinger, der er til rådighed i form af tilskud til agenturet.

8. Budgetmyndigheden fastsætter agenturets stillingsfortegnelse.

9. Når budgetmyndigheden har vedtaget De Europæiske Fællesskabers almindelige budget, vedtager bestyrelsen agenturets endelige budget og arbejdsprogram, idet disse om nødvendigt afpasses efter Fællesskabets bidrag. Den sender dem straks til Kommissionen og budgetmyndigheden.

Artikel 16 Bekæmpelse af svig

1. Bestemmelserne i Europa-Parlamentets og Rådets forordning (EF) nr. 1073/1999 af 25. maj 1999 om undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) [17], finder ubegrænset anvendelse i forbindelse med bekæmpelsen af svig, korruption og andre retsstridige handlinger.

[17] EFT L 136, 31.5.1999, s. 1.

2. Agenturet tiltræder den interinstitutionelle aftale af 25. maj 1999 om de interne undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) [18], og udsteder straks de tilsvarende bestemmelser, som finder anvendelse på samtlige af agenturets medarbejdere.

[18] EFT L 136, 31.5.1999, s. 15.

Artikel 17 Gennemførelse af budgettet

1. Den administrerende direktør gennemfører agenturets budget.

2. Kommissionens interne revisor udfører i forhold til agenturet de samme funktioner, som han har fået tildelt i forhold til Kommissionens tjenestegrene.

3. Senest den 31. marts efter det afsluttede regnskabsår sender agenturets regnskabsfører det foreløbige årsregnskab ledsaget af en beretning om budgetforvaltningen og den økonomiske forvaltning i regnskabsåret til Kommissionens regnskabsfører. Kommissionens regnskabsfører konsoliderer de foreløbige årsregnskaber for institutionerne og de decentraliserede organer i overensstemmelse med artikel 128 i den almindelige finansforordning.

4. Senest den 31. marts efter det afsluttede regnskabsår sender Kommissionens regnskabsfører agenturets foreløbige årsregnskab ledsaget af beretningen om budgetforvaltningen og den økonomiske forvaltning i regnskabsåret til Revisionsretten. Beretningen om budgetforvaltningen og den økonomiske forvaltning fremsendes også til Europa-Parlamentet og Rådet.

5. Ved modtagelsen af Revisionsrettens bemærkninger om agenturets foreløbige årsregnskab opstiller den administrerende direktør, i medfør af bestemmelserne i artikel 129 i den almindelige finansforordning, på eget ansvar agenturets endelige årsregnskab og sender det til bestyrelsen med henblik på udtalelse.

6. Bestyrelsen afgiver udtalelse om agenturets endelige årsregnskab.

7. Den administrerende direktør sender senest den 1. juli efter det afsluttede regnskabsår det endelige årsregnskab ledsaget af bestyrelsens udtalelse til Europa-Parlamentet, Rådet, Kommissionen og Revisionsretten.

8. Det endelige årsregnskab offentliggøres.

9. Agenturets administrerende direktør sender senest den 30. september Revisionsretten et svar på dennes bemærkninger. Dette svar sendes ligeledes til bestyrelsen.

10. Efter henstilling fra Rådet, der træffer afgørelse med kvalificeret flertal, meddeler Europa-Parlamentet inden den 30. april i år N + 2 den administrerende direktør decharge for gennemførelsen af budgettet for regnskabsåret N.

Afsnit 5 Generelle bestemmelser

Artikel 18 Retlig status og privilegier

1. Agenturet er et fællesskabsorgan. Det har status som juridisk person.

2. Agenturet har i hver medlemsstat den videstgående rets- og handleevne, som vedkommende stats lovgivning tillægger juridiske personer. Det kan i særdeleshed erhverve og afhænde fast ejendom og løsøre og optræde som part i retssager.

3. Agenturet repræsenteres af sin administrerende direktør.

4. Protokollen vedrørende De Europæiske Fællesskabers Privilegier og Immuniteter gælder for agenturet og dettes personale.

Artikel 19 Erstatningsansvar

1. Agenturets ansvar i kontraktforhold bestemmes efter den lovgivning, der finder anvendelse på den pågældende kontrakt. De Europæiske Fællesskabers Domstol har kompetence til at træffe afgørelse i henhold til voldgiftsbestemmelser i de af agenturet indgåede aftaler.

2. For så vidt angår ansvar uden for kontraktforhold, skal agenturet i overensstemmelse med de almindelige retsgrundsætninger, der er fælles for medlemsstaternes retssystemer, erstatte skader forvoldt af agenturet eller af dets ansatte under udøvelsen af deres hverv. Domstolen har kompetence til at træffe afgørelse i tvister vedrørende sådanne skadeserstatninger.

3. De ansattes personlige ansvar over for agenturet fastsættes i de ansættelsesvilkår, der gælder for agenturets personale.

Artikel 20 Personale

1. Agenturets personale er omfattet af de regler og forskrifter, der gælder for tjenestemænd og øvrige ansatte ved De Europæiske Fællesskaber.

2. Agenturet udøver over for sine ansatte de beføjelser, som vedtægten tillægger ansættelsesmyndigheden, og de beføjelser, som ansættelsesvilkårene for øvrige ansatte tillægger den myndighed, der er beføjet til at indgå kontrakter, jf. dog artikel 5.

Artikel 21 Beskyttelse af personoplysninger

For så vidt angår agenturets behandling af oplysninger vedrørende enkeltpersoner er agenturet er underlagt bestemmelserne i Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger [19].

[19] EFT L 8, 12.1.2001, s. 1.

Artikel 22 Tredjelandes deltagelse

1. Tredjelande, som har indgået aftaler med Det Europæiske Fællesskab, der indebærer, at de har indført og anvender fællesskabsretten på de områder, der omfattes af denne forordning, kan deltage i agenturet.

2. I de relevante bestemmelser i sådanne aftaler fastsættes de nærmere bestemmelser om bl.a. karakteren, omfanget og udformningen af disse landes deltagelse i agenturets arbejde, herunder bestemmelser om deltagelse i de netværk, som agenturet driver, finansielle bidrag og personale.

Afsnit 6 Afsluttende bestemmelser

Artikel 23 Revisionsklausul

1. Senest tre år efter den startdato, der er fastsat i artikel 26, eller tidligere, hvis bestyrelsen finder det nødvendigt, gennemfører Kommissionen i samarbejde med ekspertpanelet en evaluering på grundlag af et kommissorium, der aftales med bestyrelsen. Ved evalueringen skal Kommissionen:

a) vurdere agenturets arbejdsmetoder og dets virkning

b) foretage en grundlæggende revurdering af de fastsatte mål og midler

c) om nødvendigt foreslå passende ændringer i lyset af den institutionelle og retlige udvikling i Den Europæiske Union og med særligt hensyn til bredere sikkerhedsspørgsmål, herunder den offentlige sikkerhed og deltagelse af retshåndhævende myndigheder i agenturet.

2. Evalueringen offentliggøres.

3. Kommissionen gennemfører evalueringen navnlig med det formål at afgøre, om agenturet skal fortsætte med at eksistere ud over den dato, der er fastsat i artikel 26.

Artikel 24 Administrativ kontrol

Agenturets virke er underlagt ombudsmandens tilsyn i overensstemmelse med traktatens artikel 195.

Artikel 25 Sæde

Agenturets sæde fastlægges af de kompetente myndigheder senest seks måneder efter vedtagelsen af denne forordning og på grundlag af et forslag fra Kommissionen.

Artikel 26 Varighed

Agenturet udfører sine aktiviteter i perioden fra den 1. januar 2004 til den 31. december 2008.

Artikel 27 Ikrafttrædelse

Denne forordning træder i kraft på [...]dagen efter offentliggørelsen i De Europæiske Fællesskabers Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den [...]

På Europa-Parlamentets vegne På Rådets vegne

formand formand

FINANSIERINGSOVERSIGT TIL FORSLAGET

Politikområde: Informationssamfundet

Aktivitet: Net- og informationssikkerhed

Titel: Forslag til Europa-Parlamentets og Rådets forordning om oprettelse af et europæisk agentur for net- og informationssikkerhed

1. BUDGETPOST (nummer og betegnelse)

Der vil blive foreslået en ny budgetpost (foranstaltningen indgår i den årlige politikstrategi for 2003).

2. SAMLEDE TAL

2.1. Samlet rammebevilling (del B): ... mio. EUR som forpligtelsesbevilling

24,300 mio. EUR for EU-15 (EU+10 vil kræve yderligere 9 mio. EUR, hvorved de samlede omkostninger til foranstaltningen bliver 33,3 mio. EUR).

Foranstaltningen er et led i Kommissionens årlige strategiplan for 2003 (meddelelse til Europa-Parlamentet og Rådet af 27. februar 2002, SEK (2002)217/9).

2.2. Gennemførelsesperiode

2004 - 2008

2.3. Samlet flerårigt skøn over udgifterne

a) Forfaldsplan for forpligtelses-/betalingsbevillinger (finansieringstilskud)

Millioner euro (med 3 decimaler)

>TABELPOSITION>

b) Teknisk og administrativ bistand samt støtteudgifter

>TABELPOSITION>

>TABELPOSITION>

c) Personale- og andre driftsudgifters samlede budgetvirkninger

>TABELPOSITION>

>TABELPOSITION>

2.4. Forenelighed med den finansielle programmering og de finansielle overslag

Forslaget kræver omprogrammering af de relevante poster i de finansielle overslag.

2.5. Virkninger for budgettets indtægtsside [20]:

[20] Yderligere oplysninger findes i den særskilte forhåndsevaluering.

Ingen (vedrører tekniske aspekter ved en foranstaltnings gennemførelse)

3. BUDGETSPECIFIKATIONER

>TABELPOSITION>

4. RETSGRUNDLAG

Traktatens artikel 95 og artikel 156.

5. BESKRIVELSE OG BEGRUNDELSE

5.1. Behov for EU-foranstaltninger [21]

[21] Yderligere oplysninger findes i den særskilte forhåndsevaluering.

Forhåndsevalueringen viser, at de forskellige alternative muligheder, bl.a. etablering af et internt netværk inden for Kommissionen og etablering af et netværk af kontaktpersoner i medlemsstaterne, hverken opfylder de objektive kvalitetskriterier (åbenhed, omkostningseffektivitet og synlighed) eller giver samme merværdi som oprettelsen af et reguleringsorgan.

Den første mulighed er ikke realistisk, da Kommissionen ikke har den nødvendige ekspertise i net- og informationssikkerhed inden for murene. Den anden mulighed, et netværk af nationale kontaktpersoner, har en række væsentlige ulemper:

* Kommissionen vil miste sin tilsynsfunktion, og et netværk vil således kræve flere økonomiske og menneskelige ressourcer, da tilsynsarbejdet ikke er centraliseret, men skal udføres i hver enkelt medlemsstat.

* Bevidstheden om den tværnationale dimension vil være begrænset, da det må forventes, at de nationale myndigheder hovedsagelig vil lægge vægt på nationale interesser.

* Arbejdet bliver mindre synligt, og der vil ikke være et fælles kontaktpunkt for internationale drøftelser, hvilket er en absolut nødvendighed på dette område.

Derfor følger det aktuelle forslag den strukturskitse, der for nylig blev fastlagt i Kommissionens meddelelse om rammer for europæiske reguleringsorganer (KOM(2002) 718 endelig af 11. december 2002). Det primære mål er at koncentrere aktiviteterne (jf. listen over agenturets opgaver) om reguleringsspørgsmål og samtidig yde støtte til medlemsstaterne og Kommissionen i stærkt tekniske og teknologiske spørgsmål inden for net- og informationssikkerhed.

Efter begivenhederne den 11. september, hvor spørgsmålet om net- og informationssikkerhed har fået øget politisk betydning, er det blevet særlig vigtigt, at EU reagerer mere målrettet og synligt på den stadig voksende sikkerhedstrussel.

5.1.1. Mål

Da så meget afhænger af net og informationssystemer, er sikkerheden blevet et centralt emne. Informationssystemer spiller en altafgørende rolle i hele økonomien - ikke blot i de fleste sektorer af erhvervslivet, men også i den offentlige sektor og for private borgere. Svigt i systemerne er et problem, der berører alle - enkeltpersoner, offentlige administrationer og virksomheder.

Sikkerhed er derfor blevet et vigtigt politisk emne. Regeringerne oplever, at samfundets ansvar øges, og de sætter i stigende grad ind på at forbedre sikkerheden på deres område. Medlemsstaterne befinder sig imidlertid i forskellige faser af denne proces, og det varierer fra land til land, hvilke aspekter der lægges størst vægt på. Selv om sikkerhed ikke er et isoleret problem for det enkelte land, er der ikke noget systematisk grænseoverskridende samarbejde mellem medlemsstaterne om net- og informationssikkerhed. Der er ingen mekanisme til at sikre en effektiv reaktion på trusler mod sikkerheden. Gennemførelsen af lovrammerne varierer fra land til land. Manglende interoperabilitet gør det vanskeligt at anvende sikkerhedsprodukterne effektivt.

Det er ikke nødvendigt at opnå en fuldstændig harmonisering af de forskellige landes politik, men øget samarbejde mellem medlemsstaterne og et tilstrækkeligt højt sikkerhedsniveau i alle medlemsstater vil gavne EU. En koordineret europæisk strategi for net- og informationssikkerhed og kombineret ekspertise fra de forskellige medlemsstater vil styrke det indre marked. Samtidig vil en fælles strategi støtte innovation og de europæiske virksomheders konkurrenceevne på verdensplan.

Formålet med det foreslåede agentur er at øge net- og informationssikkerheden i Europa og styrke medlemsstaternes evne til, enkeltvis og i fællesskab, at reagere på større net- og informationssikkerhedsproblemer.

5.1.2. Dispositioner, der er truffet på grundlag af forhåndsevalueringen

Kommissionens meddelelse om net- og informationssikkerhed: Forslag til en europæisk strategi, KOM(2001) 298 endelig udg., fremlagde en række tiltag for at styrke informationssikkerheden i Europa. Rådets resolution af 28. januar 2002 om en fælles strategi og særlige foranstaltninger inden for net- og informationssikkerhed byggede videre på Kommissionens oplæg. Det er imidlertid blevet tydeligt, at de nuværende institutionelle rammer ikke gør det muligt at takle spørgsmålet om net- og informationssikkerhed ordentligt på europæisk plan.

Derfor udtrykker resolutionen også tilfredshed med Kommissionens forslag om at oprette en taskforce for internetsikkerhed, der tager sig af net- og informationssikkerhedsproblemer. Denne taskforce for internetsikkerhed har nu taget form af et tidsbegrænset reguleringsorgan.

En række alternativer til et agentur har været under overvejelse, men konklusionen var, at ingen af dem var tilfredsstillende i betragtning af de opgaver, agenturet skal løse. En mere detaljeret analyse af overvejelserne bag oprettelsen af et nyt agentur findes i forhåndsevalueringen.

5.2. Forventede indsatsområder

5.2.1. Formål

Agenturets overordnede formål er at skabe en fælles forståelse i Europa af problemerne omkring informationssikkerhed. Dette er nødvendigt, for at nettene og informationssystemerne i EU kan fungere stabilt og sikkert.

Agenturet skal være i stand til at:

- yde bistand i forbindelse med anvendelsen af fællesskabsforanstaltninger vedrørende net- og informationssikkerhed

- medvirke til at skabe interoperabilitet mellem sikkerhedsfunktioner i net og informationssystemer, således at det indre marked kan fungere effektivt

- styrke både Fællesskabets og medlemsstaternes evne til at reagere på sikkerhedsproblemer i net og informationssystemer.

Agenturet vil spille en central rolle for sikkerheden i Europas net og informationssystemer samt udviklingen af informationssamfundet generelt.

5.2.2. Opgaver

Agenturet vil:

- have en rådgivende og koordinerende funktion, der omfatter indsamling og analyse af data om informationssikkerhed. I dag indsamler både offentlige og private organisationer med forskellige mål data om IT-hændelser og andre data, der er relevante for informationssamfundet. Der er imidlertid ikke nogen central organisation på europæisk plan, der på en dækkende måde kan indsamle og analysere data, afgive udtalelser og yde rådgivning til støtte for Fællesskabets strategiske arbejde inden for net- og informationssikkerhed.

- fungere som et ekspertisecenter, hvor både medlemsstaterne og Fællesskabets institutioner kan indhente udtalelser og rådgivning om tekniske spørgsmål vedrørende sikkerhed.

- bidrage til et bredt samarbejde mellem forskellige aktører på området informationssikkerhed, f.eks. ved at yde bistand til opfølgningsaktiviteterne til støtte for sikker e-business. Et sådant samarbejde er en forudsætning for, at net og informationssystemerne i Europa kan fungere sikkert. Det er nødvendigt, at alle berørte parter inddrages og deltager i samarbejdet.

- fremme en koordineret fremgangsmåde inden for informationssikkerhed ved at yde støtte til medlemsstaterne, f.eks. vedrørende risikovurdering og oplysningstiltag.

- sikre interoperabilitet mellem net og informationssystemer, når medlemsstaterne indfører tekniske krav, der påvirker sikkerheden.

- udpege relevante standardiseringsbehov, vurdere eksisterende sikkerhedsstandarder og certificeringsordninger og tilskynde til, at disse anvendes i videst muligt omfang for at støtte gennemførelsen af EU-lovgivningen.

- støtte det internationale samarbejde på dette område, der bliver mere og mere nødvendigt, eftersom net- og informationssikkerhedsspørgsmålene er af global karakter.

5.3. Gennemførelsesmetoder

Det foreslås, at der oprettes et reguleringsorgan, "agenturet", for en indledende periode på fem år. Agenturet skal være uafhængigt af Kommissionen og have status som juridisk person.

Agenturet skal have en bestyrelse, en administrerende direktør og et ekspertpanel. Det overordnede ansvar for det politiske arbejde, ledelsesspørgsmål og udnævnelse af en administrerende direktør ligger hos bestyrelsen.

Ekspertpanelet vil bestå af eksperter og have rådgivende funktion. Det skal sikre, at der skabes et tæt samarbejde med medlemsstaterne og relevante organisationer i medlemsstaterne.

6. FINANSIELLE VIRKNINGER

6.1. Samlede finansielle virkninger for budgettets del B (hele programperioden)

Da agenturets hovedopgave er at fungere som ekspertisecenter, vil personalet i vid udstrækning selv udarbejde udtalelser og yde rådgivning. Dette betyder, at agenturets administrative omkostninger vil udgøre en væsentlig del af det samlede budget.

6.1.1. Finansieringsstøtte

Forpligtelsesbevillinger i mio. EUR (3 decimaler)

>TABELPOSITION>

6.1.2. Teknisk og administrativ bistand, støtteudgifter og IT-udgifter (forpligtelsesbevillinger)

>TABELPOSITION>

6.2. Beregning af omkostningerne pr. foranstaltning i budgettets del B (hele programperioden)

Nedenstående tabel viser fordelingen af omkostningerne til agenturet i den foreslåede driftsperiode. Ved beregningen skelnes der mellem den nuværende situation med 15 EU-medlemslande og situationen med ti nye medlemslande. Tallene forklares nærmere nedenfor i punkt a) - f).

>TABELPOSITION>

a) Forberedende arbejde

Agenturet træder i funktion i januar 2004.

I budgettet for 2003 er der midler til rådighed til denne budgetpost via Modinis-programmet, selv om budgetposten ikke er knyttet direkte til dette program [22]. Under Modinis-programmet er et af hovedindsatsområderne "bedre netværks- og informationssikkerhed" og "forberedelse af oprettelse af internetsikkerheds taskforcen", jf. Rådets resolution af 28. januar 2002 og handlingsplanen eEurope 2005, ved bl.a. at finansiere specifikke rundspørger, undersøgelser og workshopper vedrørende eksempelvis sikkerhedsmekanismer og interoperabilitet mellem disse, netpålidelighed og -beskyttelse, avanceret kryptografi, beskyttelse af privatlivets fred og sikkerhed i forbindelse med trådløs kommunikation.

[22] Rådet nåede til politisk enighed om Modinis-programmet på mødet om telekommunikation den 5. december, og på telekommunikationsmødet i marts 2003 vil programmet blive formelt vedtaget.

b) Personaleressourcer (herunder kontorudgifter og dermed forbundne udgifter til administration)

Agenturet får brug for stærkt specialiseret og højt kvalificeret personale til at løse de forventede opgaver. Der er knaphed på sagkyndige med den nødvendige profil i Europa, og konkurrencen om dem er hård. Agenturet skal rekruttere både fra den offentlige og den private sektor. Når agenturet er i fuld funktion med 15 medlemsstater, vil det have 31 medarbejdere. Fem af disse skal varetage den overordnede forvaltning og administration af agenturet, og 26 vil blive ansat til at udføre de praktiske opgaver, der er nævnt i artikel 2 i forordningsforslaget. Tallene vedrørende forvaltning og administrativ støtte er baseret på erfaringer fra eksisterende fællesskabsagenturer.

Af de 26 medarbejdere, der skal varetage de praktiske opgaver, vil 1 udgøre sekretariatet, og resten vil blive ansat på grundlag af specifikke erfaringer: 6 med erfaring inden for risikoanalyse og risikostyring, 6 inden for netovervågning, 3 inden for tekniske komponenter af net og informationssystemer, 2 inden for information og kommunikation, 4 inden for håndtering af IT-sikkerhedshændelser, og 4 inden for koordinering af de aktiviteter, medlemsstaternes myndigheder gennemfører på området informationssikkerhed. Denne personalesammensætning bygger på en grundig analyse efter drøftelser med nationale myndigheders sikkerhedsdirektorater og lignende sikkerhedsorganer både i den private og den offentlige sektor, bl.a. IT-alarmtjenester (CERT). Der er taget hensyn til den forventede arbejdsmængde, og personale sammen sætningen hænger direkte sammen med agenturets opgaveliste. Personaletallet er holdt på et absolut minimum på grund af budgetmæssige begrænsninger.

Når agenturet er fuldt funktionsdygtigt, vil de samlede årlige personaleudgifter for 15 medlemsstater være 3,348 mio. EUR, baseret på gennemsnitsomkostningerne i Kommissionen på 108.000 EUR pr. embedsmand, inklusive kontorudgifter og dermed forbundne udgifter til administration.

Da det ikke forventes, at man når op på fuld bemanding med det samme, er tabellen i punkt 6.2 baseret på en model med gradvis rekruttering. Der vil således være 10 ansatte i 2004 og 29 ansatte i 2005, og i 2006 vil agenturet være fuldt bemandet med 31 medarbejdere.

Ifølge forordningsforslagets artikel 20 vil agenturets personale være omfattet af de regler og forskrifter, der gælder for tjenestemænd og øvrige ansatte ved De Europæiske Fællesskaber.

>TABELPOSITION>

c) Udgifter til udstyr

Møbler: Indkøb af møbler og kontorudstyr vil beløbe sig til 0,1 mio. EUR det første år og 0,025 mio. EUR de følgende år. Udgifter til kontorlokaler og medfølgende administration dækkes af personale omkostningerne.

IT: Som følge af de opgaver, agenturet pålægges, vil det være et oplagt mål for hackerangreb og andre angreb på sikkerheden. Det skal være tilstrækkeligt beskyttet mod sådanne trusler. Agenturet vil i særlig grad have behov for højt avanceret IT-udstyr med høj sikkerhed. På grund af behovet for at sikre en maksimal beskyttelse skønnes de samlede årlige omkostninger til IT-udstyr pr. ansat at beløbe sig til gennemsnitligt mellem 15.500 og 18.000 EUR. I alt vil udgifterne til IT blive 0,22 mio. EUR for det første år, 0,48 mio. EUR for det andet år og 0,528 mio. EUR for hvert af de følgende år.

Vedligeholdelse af websted: En nøglefaktor i agenturets opgaver bliver at stille information til rådighed for både offentligheden og et mere specifikt publikum. Dette vil hovedsagelig ske via et websted. Minimumsomkostningerne (der kun dækker grundlæggende oplysningsbehov) skønnes til 0,15 mio. EUR det første år og derefter 0,05 mio. EUR årligt.

d) Aktiviteter

Publikationer: Webstedet vil tjene som forum for de fleste publikationer, men agenturet vil dog også i et vist omfang udgive officielle rapporter og information på papir, navnlig til orientering for de relevante fællesskabsinstitutioner. Omkostningerne til sådanne publikationer forventes at blive 35.000 EUR det første år og 50.000 EUR for hvert af de følgende år.

Konferencer: Afholdelse af konferencer forventes at koste 0,1 mio. EUR det første år, 0,15 mio. EUR det andet år og derefter 0,2 mio. EUR årligt. Hovedformålet med disse konferencer vil være at formidle resultaterne af agenturets arbejde til et bredere publikum, både offentlige og private organisationer.

Tjenesterejser: Et centralt led i strategien for agenturet et at skabe et tæt netværk mellem medlemsstaterne og - i betragtning af netsikkerhedsproblemernes globale karakter - med tredjelande. Omkostningerne til tjenesterejser med henblik på at fuldføre denne opgave skønnes til 0,14 mio. EUR for det første år og derefter 0,2 mio. EUR årligt.

Møder: Ifølge forordningsforslaget skal der nedsættes en bestyrelse og et ekspertpanel samt en række arbejdsgrupper. De nærmere bestemmelser om disse instansers arbejde (mødehyppighed mv.) vil blive fastlagt i agenturets interne forretningsorden. På baggrund af almen praksis regnes der imidlertid med 3 årlige møder i bestyrelsen og et månedligt møde i ekspertpanelet.

Det samlede årlige antal møder i bestyrelsen og ekspertpanelet vil således blive 15. Udgifterne til mødelokaler og oversættelse beløber sig til 7000 EUR pr. møde og rejseomkostningerne til yderligere 700 EUR, dvs. i alt 115.000 EUR pr. år.

Arbejdsgrupperne vil sandsynligvis først blive oprettet efter et stykke tid, og det første år vil der ikke blive afholdt så mange ekspertgruppemøder.

Oversættelse: For at holde oversættelsesomkostningerne og -tiden nede vil agenturets interne arbejde og dokumenter til Kommissionen kun være til rådighed på et af arbejdssprogene. Det kan dog blive nødvendigt at oversætte dokumenter til og fra medlemsstaterne. Udgifterne til oversættelse må justeres i lyset af erfaringerne. Et samlet beløb på 0,16 mio. EUR for det første år og 0,2 mio. EUR for de følgende år forventes at dække disse omkostninger.

e) Undersøgelser og forskning

Net- og informationssikkerhed et stærkt specialiseret område, og i betragtning af internetverdenens foranderlige karakter vil der opstå nye og uforudsete udfordringer på globalt plan. Da agenturets personaleressourcer er begrænsede, vil der blive behov for bistand fra eksterne eksperter til at løse visse opgaver. Der vil bl.a. blive anvendt ekstern ekspertise til opgaver såsom undersøgelser, hvor der indsamles data og statistikker, analyse af den teknologiske udviklings konsekvenser for sikkerhedsaspekterne, herunder modeller for risikovurdering og risikostyring, inddragelse af resultater af forskning i fremtidige og nyopdukkende teknologier samt oplysning om netsikkerhedsløsninger, der er udviklet i tredjelande.

På grundlag af de indsamlede oplysninger vil agenturet navnlig yde bistand og levere udtalelser til Kommissionen og andre kompetente organer, fremsætte anbefalinger om, hvordan samarbejdet mellem forskellige aktører forbedres, sørge for hurtigt tilgængelige, objektive og dækkende oplysninger og støtte Fællesskabets strategi for samarbejde med tredjelande.

De samlede udgifter til undersøgelser bliver 3,445 mio. EUR. I de første år vil agenturet muligvis endnu ikke være i fuld funktion, og det skønnes, at der vil blive anvendt 0,42 mio. EUR i 2004 og 0,55 mio. i 2005 til undersøgelser, mens udgifterne vil komme op på 0,825 mio. EUR de følgende år. Gennemsnitsudgifterne til en undersøgelse vil ligge på mellem 0,2 mio. EUR og 0,3 mio. EUR.

f) Beregninger for de 10 nye medlemsstater

Med 10 nye lande vil antallet af medarbejdere stige, da det vil være nødvendigt også at inddrage disse lande og deres ekspertise i agenturets arbejde. En sådan stigning vil blive gennemført gradvis: i 2004 vil der blive ansat 5 ekstra medarbejdere, i 2005 vil man nå op på 9 yderligere ansatte, og endelig vil tallet komme op på 13 ekstra medarbejdere i løbet af perioden 2006-2008. Af disse 13 medarbejdere vil 10 repræsentere de nye lande, og 3 vil have sekretariatsfunktion eller andre forvaltningsfunktioner.

Der vil også være et øget behov for møbler og IT-udstyr til disse mennesker. Udgifterne til udstyr vil stige proportionalt med antallet af nye ansatte, bortset fra det første år, hvor omkostningerne vil være højere (jf. beregningerne ovenfor).

Inddragelsen af de nye lande forventes ikke at kræve yderligere midler til konferencer, men publikationerne skal ud til et større publikum, og dette vil koste flere penge. Der vil også være behov for tjenesterejser til de nye lande med henblik på at inddrage disse i samarbejds- og informationsudvekslingsordninger mv. Der vil være flere deltagere til møderne, og oversættelsesbehovet vil også stige. Beregningerne af disse omkostninger er foretaget på grundlag af de samme forhold som for de eksisterende 15 medlemsstater.

Beløbet til undersøgelser må også øges, da det er vigtigt at skabe et fuldstændigt billede af informationssikkerhedssituationen i disse lande og af, hvilke særlige behov der kan opstå i forbindelse med tiltrædelsen. I 2004 vil det være for tidligt at gennemføre andet end en grundlæggende undersøgelse, men i 2005 er det vigtigt at få et komplet billede af forholdene i de nye lande, og udgifterne til undersøgelser vil blive relativt højere dette år.

7. VIRKNINGER FOR PERSONALERESSOURCER OG ADMINISTRATIONSUDGIFTER

Behovet for personale og administrative ressourcer dækkes af den bevilling, der afsættes til det ansvarlige generaldirektorat som led i bevillingsproceduren.

7.1. Personalemæssige virkninger

>TABELPOSITION>

7.2. Samlede finansielle virkninger af personaleforbruget

>TABELPOSITION>

Beløbene modsvarer de samlede udgifter i en tolvmåneders periode.

7.3. Andre administrative udgifter som følge af foranstaltningen

>TABELPOSITION>

Beløbene modsvarer de samlede udgifter i en tolvmåneders periode.

Det specificeres, hvilken udvalgstype der er tale om, og hvilken gruppe udvalget tilhører.

>TABELPOSITION>

8. RESULTATOPFØLGNING OG EVALUERING

8.1. Resultatopfølgningssystem

For at sikre effektiv anvendelse af EF's midler skal Kommissionen sørge for, at aktiviteterne i henhold til denne forordning først iværksættes efter offentligt udbud, og at de overvåges og evalueres korrekt.

8.2. Hvordan og hvor ofte skal der evalueres?

Kommissionen vil i samarbejde med ekspertpanelet gennemgå agenturets arbejdsmetoder, og hvilken virkning agenturet har. Undersøgelsen gennemføres senest tre år efter startdatoen, dvs. inden den 31. december 2007.

9. FORHOLDSREGLER MOD SVIG

Udbetalinger til enhver tjenesteydelse eller til bestilte undersøgelser forhåndskontrolleres af agenturets tjenestegrene under hensyntagen til eventuelle kontraktlige forpligtelser, principper for god husholdning og god finansiel og forvaltningsmæssig praksis. Alle aftaler og kontrakter mellem agenturet og modtagere af udbetalinger vil indeholde bestemmelser om forholdsregler mod svig (tilsyn, rapporteringskrav m.v.).