[pic] | EUROPA-KOMMISSIONEN | Bruxelles, den 30.9.2010 KOM(2010) 521 endelig 2010/0275 (COD) Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA) {SEK(2010) 1126}{SEK(2010) 1127} BEGRUNDELSE 1. BAGGRUND FOR FORSLAGET 1.1. Politisk baggrund Det Europæiske Agentur for Net- og Informationssikkerhed (i det følgende benævnt agenturet) blev oprettet ved forordning (EF) nr. 460/2004[1] i marts 2004 for en indledende periode på fem år. Ifølge forordningen er det centrale mål for agenturet " at sikre et højt og effektivt net- og informationssikkerhedsniveau i [Unionen] " og " at udvikle en net- og informationssikkerhedskultur til gavn for borgerne, forbrugerne, virksomhederne og den offentlige sektors organisationer i Den Europæiske Union og dermed bidrage til et velfungerende indre marked ". Ved forordning (EF) 1007/2008[2] blev agenturets mandat forlænget frem til marts 2012. Forlængelsen af agenturets mandat i 2008 udløste en debat om, hvordan EU's bestræbelser på at forbedre net- og informationssikkerheden skal forme sig fremover. Kommissionen bidrog til denne debat ved at iværksætte en offentlig høring om målene for en styrket net- og informationssikkerhedspolitik på EU-plan. Høringen strakte sig fra november 2008 til januar 2009 og resulterede i næsten 600 bidrag[3]. Den 30. marts 2009 vedtog Kommissionen en meddelelse om beskyttelse af kritisk informationsinfrastruktur[4], der satte fokus på beskyttelsen af Europa mod cyberangreb og sammenbrud gennem øget beredskab, sikkerhed og robusthed. Meddelelsen indeholdt en handlingsplan og opfordrede agenturet til at spille en rolle heri, hovedsagelig ved at yde bistand til medlemsstaterne. Handlingsplanen mødte bred opbakning under drøftelserne på ministerkonferencen om beskyttelse af kritisk informationsinfrastruktur, der blev afholdt i Tallinn, Estland, den 27. og 28. april 2009[5]. EU-formandskabets konklusioner af konferencen understreger, at det er vigtigt at udnytte agenturets operationelle støtte bedst muligt. Det fastslås, at agenturet er et værdifuldt redskab til at styrke de EU-dækkende samarbejdsbestræbelser på dette område, og der peges på behovet for at revurdere og omformulere agenturets mandat med det formål i højere grad at rette fokus mod EU's prioriteter og behov, opnå en mere fleksibel reaktionsevne, udvikle kvalifikationer og kompetencer og forbedre agenturets operationelle effektivitet og dets samlede gennemslagskraft, for at agenturet kan gøres til et permanent aktiv for de enkelte medlemsstater og for EU som helhed. Efter drøftelserne på rådsmødet om telekommunikation den 11. juni 2009, hvor medlemsstaterne udtrykte støtte til at udvide agenturets mandat og øge dets ressourcer i betragtning af net- og informationssikkerhedens betydning og de nye udfordringer, der hele tiden viser sig på området, blev debatten afsluttet under det svenske formandskab. Rådets resolution af 18. december 2009 om en samordnet europæisk strategi for net- og informationssikkerhed[6] anerkender agenturets rolle og potentiale og behovet for at "videreudvikle ENISA, således at det bliver et effektivt organ". Resolutionen understreger også behovet for at modernisere og styrke agenturet, så det kan bistå Kommissionen og medlemsstaterne ved at bygge bro over kløften mellem teknologi og politik og fungere som EU's ekspertisecenter i net- og informationssikkerhedsspørgsmål. 1.2. Generel baggrund Informations- og kommunikationsteknologi (ikt) er blevet rygraden i den europæiske økonomi og i samfundet som helhed. Men informations- og kommunikationsteknologien er sårbar over for en række trusler, der ikke længere holder sig inden for landegrænserne, og som ændrer sig i takt med teknologi- og markedsudviklingen. Da informations- og kommunikationsnettene er verdensomspændende, indbyrdes forbundne og tæt sammenknyttet med andre infrastrukturer, kan deres sikkerhed og modstandsdygtighed ikke garanteres ved rent nationale og ukoordinerede strategier. Desuden dukker der hele tiden nye net- og informationssikkerhedsproblemer op. Net- og informationssystemerne skal beskyttes effektivt mod alle former for afbrydelser og svigt, herunder bevidste angreb. Strategierne for net- og informationssikkerhed spiller en central rolle i den digitale dagsorden for Europa[7], et flagskibsinitiativ under Europa 2020-strategien, der har til formål at udnytte og styrke informations- og kommunikationsteknologiens potentiale og omsætte det i bæredygtig vækst og innovation. At fremme brugen af ikt og styrke tilliden til informationssamfundet er centrale aspekter i den digitale dagsorden. Agenturet blev oprindelig oprettet med det mål at sikre et højt og effektivt net- og informationssikkerhedsniveau i EU. Erfaringerne fra driften af agenturet og de hidtidige udfordringer og trusler har gjort det tydeligt, at det er nødvendigt at ajourføre agenturets mandat, så det svarer bedre til Den Europæiske Unions behov, der udspringer af følgende omstændigheder: - forskellige nationale måder at takle de stadigt skiftende udfordringer på - mangel på samarbejdsmodeller i gennemførelsen af net- og informationssikkerhedspolitikker - utilstrækkeligt beredskab på grund af den begrænsede europæiske varslings- og reaktionskapacitet - mangel på pålidelige europæiske data og begrænset viden om nye problemer, der udvikler sig - ringe bevidsthed om net- og informationssikkerhedsrisici og -udfordringer - behovet for at integrere net- og informationssikkerhedsaspekter i strategierne for en mere effektiv bekæmpelse af internetkriminalitet. 1.3. Politiske målsætninger Det overordnede mål for den foreslåede forordning er at sætte EU, medlemsstaterne og de berørte parter i stand til at udvikle et effektivt beredskab med henblik på at forebygge, opdage og reagere bedre på net- og informationssikkerhedsproblemer. Dette vil medvirke til at opbygge tillid som grundlag for informationssamfundets videre udvikling, styrke de europæiske virksomheders konkurrenceevne og sikre, at det indre marked fungerer effektivt. 1.4. Gældende bestemmelser på det område, som forslaget vedrører Dette forslag supplerer lovgivningsmæssige og andre politiske initiativer vedrørende net- og informationssikkerhed, der er truffet på EU-plan for at gøre kommunikationsnettene sikrere og mere robuste: - Handlingsplanen, der blev iværksat med meddelelsen om beskyttelse af kritisk informationsinfrastruktur, omfattede etablering af to organer: 1) Et europæisk forum for medlemsstaterne (EFMS), der skal fremme debat og udveksling af god forvaltningspraksis med det formål at nå frem til fælles mål og prioriteter for sikkerhed og robusthed i ikt-infrastrukturen; dette forum vil også nyde direkte fordel af agenturets arbejde og støtte. 2) Et europæisk offentlig-privat partnerskab for en robust ikt-infrastruktur (EP3R), som er en fleksibel fælleseuropæisk forvaltningsramme, der skal fremme samarbejdet mellem den offentlige og den private sektor om målene for sikkerhed og robusthed, de grundlæggende krav og god praksis mht. politik og foranstaltninger. - Stockholmprogrammet, der blev vedtaget af Rådet den 11. december 2009, støtter politikker, der går ud på at styrke netsikkerheden og sætte EU i stand til at reagere hurtigere på internetangreb. - Disse initiativer bidrager til gennemførelsen af den digitale dagsorden for Europa. Politikker for net- og informationssikkerhed spiller en central rolle i den del af strategien, der sigter mod at styrke sikkerheden og tilliden til informationssamfundet. De bidrager desuden til Kommissionens støtteforanstaltninger og politik vedrørende beskyttelse af privatlivets fred (især "privacy by design") og personoplysninger (revision af regelsættet), netværket for forbrugerbeskyttelsessamarbejde, identitetsforvaltning og programmet for et sikrere internet. 1.5. Tendenser i den gældende politik for net- og informationssikkerhed, der er relevante for forslaget En række af de igangværende tiltag under net- og informationssikkerhedspolitikken, især dem, der er led i gennemførelsen af den digitale dagsorden for Europa, drager fordel af agenturets støtte og ekspertise. Det drejer sig bl.a. om følgende: - Indsatsen for at styrke det politiske samarbejde om net- og informationssikkerhed gennem intensivering af aktiviteterne i det europæiske forum for medlemsstaterne (EFMS) , der med direkte støtte fra agenturet vil medvirke til at: - finde frem til, hvordan der kan etableres et effektivt europæisk netværk ved hjælp af samarbejde på tværs af grænserne mellem nationale/statslige it-beredskabsenheder (CERT) - udpege langsigtede mål og prioriteter for fælleseuropæiske storstilede it-beredskabsøvelser - anvende minimumskrav i offentlige indkøb til at øge sikkerheden i offentlige systemer og net og gøre dem mere robuste - finde økonomiske og lovgivningsmæssige incitamenter til at øge sikkerheden og robustheden - evaluere net- og informationssikkerhedssituationen i Europa. - Indsatsen for at styrke samarbejdet og partnerskabet mellem den offentlige og den private sektor gennem støtte til det europæiske offentlig-private partnerskab for en robust ikt-infrastruktur (EP3R) . Agenturet spiller en voksende formidlende rolle i forbindelse med EP3R's møder og aktiviteter. EP3R's næste skridt vil omfatte: - drøftelser om innovative tiltag og midler til at forbedre sikkerheden og robustheden, f.eks. om: 1) grundlæggende krav til sikkerhed og robusthed, særlig i forbindelse med offentlige indkøb af ikt-produkter og –tjenesteydelser, der kan skabe lige konkurrencevilkår og samtidig sikre et tilstrækkeligt beredskabs- og forebyggelsesniveau 2) spørgsmål om virksomheders ansvar, f.eks. når de indfører minimumssikkerhedskrav 3) økonomiske incitamenter til udvikling og indførelse af risikostyringsmetoder, sikkerhedsprocesser og -produkter 4) risikovurderings- og risikostyringssystemer til vurdering og styring af større sikkerhedsrelaterede problemer på grundlag af en fælles forståelse 5) samarbejde mellem den private og den offentlige sektor i forbindelse med sikkerhedsproblemer i stor skala 6) tilrettelæggelse af et erhvervstopmøde om økonomiske barrierer og drivkræfter for sikkerhed og robusthed. - Den praktiske gennemførelse af sikkerhedskravene i regelsættet for elektronisk kommunikation, hvor agenturets ekspertise og bistand er nødvendig for at: - hjælpe medlemsstaterne og Kommissionen – under hensyntagen til den private sektors synspunkter, hvor det er relevant – til at opstille en ramme af regler og procedurer for gennemførelse af bestemmelserne om indberetning af brud på sikkerheden (artikel 13a i det reviderede rammedirektiv). - etablere et årligt forum for de kompetente nationale myndigheder/nationale tilsynsmyndigheder med ansvar for net- og informationssikkerhed samt interessenter i den private sektor, hvor parterne kan udveksle erfaringer og god praksis for anvendelse af reglerne for net- og informationssikkerhed. - Fremme af EU-dækkende internetsikkerheds- og beredskabsøvelser med støtte fra Kommissionen og bidrag fra agenturet, som det er hensigten senere at udvide til internationalt plan. - Etablering af en it-beredskabsenhed (CERT) for EU-institutionerne . Nøgletiltag 6 i den digitale dagsorden for Europa går ud på, at Kommissionen vil forelægge "initiativer, der sigter mod en styrket og højt profileret net- og informationssikkerhedspolitik, herunder […] foranstaltninger, der skal gøre det muligt at gribe hurtigere ind i tilfælde af angreb på internettet, bl.a. en it-beredskabsenhed for EU-institutionerne"[8]. Dette kræver, at Kommissionen og de øvrige EU-institutioner analyserer spørgsmålet og opretter en it-beredskabsenhed, og til det formål kan agenturet yde teknisk bistand og ekspertise. - Mobilisering af og støtte til medlemsstaterne i indsatsen for at oprette nationale/statslige it-beredskabsenheder, så der kan etableres et velfungerende net af sådanne enheder, der dækker hele Europa . Dette vil også bidrage til den videre udvikling af et europæisk informationsudvekslings- og varslingssystem (EISAS) for borgere og smv'er, der skal opbygges med nationale ressourcer og kompetencer inden udgangen af 2012. - Tiltag for at skabe øget bevidsthed om net- og informationssikkerhedsproblemer, der bl.a. vil omfatte: - Kommissionens samarbejde med agenturet om udarbejdelse af vejledning om fremme af standarder for net- og informationssikkerhed, god praksis og en risikostyringskultur. Der vil blive udarbejdet et første eksempel på vejledning. - Agenturets tilrettelæggelse i samarbejde med medlemsstaterne af en " europæisk måned for net- og informationssikkerhed for alle", med konkurrencer vedrørende internetsikkerhed på medlemsstats-/EU-plan. 1.6. Overensstemmelse med andre EU-politikker og -mål Forslaget er i overensstemmelse med de eksisterende EU-politikker og -mål og fuldt i tråd med målsætningen om at bidrage til et velfungerende indre marked ved at forbedre beredskabet over for net- og informationssikkerhedsproblemer. 2. HØRINGER OG KONSEKVENSANALYSE 2.1. Høring af interesserede parter Dette politiske initiativ er resultatet af en bred debat, der er ført på et inklusivt grundlag og ud fra principperne om deltagelse, åbenhed, ansvarliggørelse, effektivitet og sammenhæng. Processen omfattede en evaluering af agenturet i 2006/2007, fulgt af anbefalinger fra agenturets bestyrelse, to offentlige høringer (i 2007 og 2008-2009) og en række workshopper om net- og informationssikkerhedsrelaterede spørgsmål. Den første høring blev iværksat i forbindelse med Kommissionens meddelelse om midtvejsevalueringen af agenturet. Denne høring, som først og fremmest vedrørte agenturets fremtid, strakte sig fra den 13. juni til den 7. september 2007 og resulterede i i alt 44 online-bidrag og to skriftlige bidrag. Svarene kom fra et bredt udvalg af interessenter og berørte parter, herunder medlemsstaternes ministerier og myndigheder, erhvervssammenslutninger og forbrugerorganisationer, akademiske institutioner, virksomheder og private borgere. Høringssvarene fremhævede en række interessante spørgsmål om udviklingen i trusselsscenariet, behovet for at tydeliggøre forordningen og indbygge større fleksibilitet for at give agenturet mulighed for at tilpasse sig udfordringerne, vigtigheden af at sørge for en effektiv kommunikation med interessenterne og muligheden for en begrænset forøgelse af agenturets ressourcer. Den anden offentlige høring, der fandt sted fra den 7. november 2008 til den 9. januar 2009, havde til formål at udpege de vigtigste mål for en styrket politik for net- og informationssikkerhed på europæisk plan samt midlerne til at nå disse mål. Kommissionen modtog næsten 600 bidrag fra medlemsstaternes myndigheder, universiteter/forskningsinstitutioner, erhvervssammenslutninger, private virksomheder og andre interessenter såsom databeskyttelsesorganisationer og konsulentvirksomheder samt private borgere. Et stort flertal af respondenterne[9] gik ind for at give agenturet et udvidet mandat og en større rolle i koordineringen af net- og informationssikkerhed på europæisk plan samt for at forøge dets ressourcer. Hovedprioriteterne var behovet for en bedre koordinering af indsatsen mod trusler mod internettet i Europa, tværnationalt samarbejde for at imødegå storstilede angreb på internettet, opbygning af tillid og forbedret informationsudveksling mellem interessenterne. Fra starten af september 2009 blev der gennemført en konsekvensanalyse på grundlag af en forberedende undersøgelse, der var foretaget af en ekstern kontrahent. En bred vifte af interessenter og eksperter bidrog til analysen, bl.a. medlemsstaternes net- og informationssikkerhedsorganer, nationale tilsynsmyndigheder, teleoperatører, internetudbydere, sektororganisationer, forbrugerorganisationer, ikt-producenter, it-beredskabsenheder, akademikere og erhvervsmæssige brugere. En tværtjenstlig styringsgruppe bestående af de relevante generaldirektorater i Kommissionen havde til opgave at støtte arbejdet med konsekvensanalysen. 2.2. Konsekvensanalyse At bevare agenturet blev betragtet som en passende løsning med henblik på at nå EU's politiske mål[10]. Efter en forundersøgelse blev der udvalgt 5 politiske valgmuligheder til yderligere analyse: - Mulighed 1 — ingen politik. - Mulighed 2 — fortsætte som hidtil, dvs. med et lignende mandat og samme ressourceniveau. - Mulighed 3 — udvide agenturets opgaver og lade myndigheder med ansvar for retshåndhævelse og beskyttelse af privatlivets fred blive fuldgyldige interessenter. - Mulighed 4 — tilføje bekæmpelse af internetangreb og andre trusler mod internettets sikkerhed til agenturets opgaver - Mulighed 5 — tilføje støtte til retshåndhævende og retlige myndigheder i kampen mod internetkriminalitet til agenturets opgaver Efter en sammenlignende cost-benefit-analyse blev mulighed 3 valgt som den mest omkostningseffektive måde at nå de politiske mål på. Mulighed 3 går ud på at udvide agenturets rolle, så det navnlig får til opgave at: - opbygge og vedligeholde et kontaktnetværk mellem interessenter samt et vidennetværk for at sikre, at agenturet holdes fuldt orienteret om udviklingen inden for net- og informationssikkerhed i Europa - fungere som et center for støtte til udvikling og gennemførelse af net- og informationssikkerhedspolitikken (særlig mht. privatlivsbeskyttelse i forbindelse med elektronisk kommunikation, e-signatur, e-id og standarder for offentlige indkøb) - yde støtte til EU's politik for beskyttelse af kritisk informationsinfrastruktur og robusthed (øvelser, EP3R, europæisk informationsudvekslings- og varslingssystem mv.) - skabe en EU-ramme for indsamling af data om net- og informationssikkerhed, herunder udvikle metoder og praksis for indberetning og udveksling af data i overensstemmelse med lovgivningen - undersøge de økonomiske aspekter af net- og informationssikkerhed - fremme samarbejdet med tredjelande og internationale organisationer for at fremme en fælles verdensomspændende strategi for net- og informationssikkerhed og sikre, at initiativer på højt internationalt plan får virkning i Europa. - udføre ikke-operationelle opgaver i forbindelse med net- og informationssikkerhedsaspekterne af retshåndhævelse og retligt samarbejde i kampen mod internetkriminalitet. 3. FORSLAGETS RETLIGE ASPEKTER 3.1. Resumé af forslaget Den foreslåede forordning har til formål at styrke og modernisere Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA) og give det et nyt mandat for en periode på 5 år. Forslaget indeholder en række centrale ændringer i forhold til den oprindelige forordning: 1) Øget fleksibilitet, tilpasningsevne og målretningsevne . Opgaverne er ajourført og mere bredt formuleret for at skabe større spillerum for agenturets aktiviteter, men samtidig er de tilstrækkeligt præcise til at give et billede af, hvordan målene skal nås. Derved målrettes agenturets opgave bedre, dets evne til at nå målene styrkes, og dets aktiviteter til støtte for gennemførelsen af Unionens politik styrkes. 2) Tilpasning af agenturet til Unionens politikudformnings- og lovgivningsproces . Unionens institutioner og organer kan bede agenturet om bistand og rådgivning. Dette er i tråd med den politiske og lovgivningsmæssige udvikling: Rådet er begyndt at henvende sig direkte til agenturet i resolutioner, og Europa-Parlamentet og Rådet har pålagt agenturet opgaver vedrørende net- og informationssikkerhed i regelsættet for elektronisk kommunikation. 3) Formidlerrolle i kampen mod internetkriminalitet . Under gennemførelsen af sine opgaver tager agenturet hensyn til kampen mod internetkriminalitet. Myndigheder med ansvar for retshåndhævelse og beskyttelse af privatlivets fred bliver fuldgyldige interessenter, navnlig i den stående gruppe af interessenter. 4) Styrkede forvaltningsrammer . Forslaget styrker den tilsynsrolle, der er tildelt agenturets bestyrelse, hvor medlemsstaterne og Kommissionen er repræsenteret. For eksempel kan bestyrelsen udstede generelle retningslinjer i personalespørgsmål, der tidligere var den administrerende direktørs eneansvar. Den kan også nedsætte arbejdsgrupper til at bistå den ved udførelsen af dens opgaver, herunder overvågning af gennemførelsen af dens beslutninger. 5) Strømlinede procedurer . Procedurer, der har vist sig unødigt tunge, forenkles. For eksempel a) indføres der en forenklet procedure for bestyrelsens interne forretningsgange, og b) udarbejdes udtalelsen om agenturets arbejdsprogram af Kommissionens tjenestegrene i stedet for i form af en kommissionsafgørelse. Bestyrelsen får også tilstrækkelige ressourcer til eventuelt at træffe eksekutivafgørelser og gennemføre dem (f.eks. hvis et medlem af personalet indgiver klage over den administrerende direktør eller bestyrelsen selv). 6) Gradvis forøgelse af ressourcerne . For at agenturet kan opfylde de styrkede europæiske mål og takle de voksende udfordringer, forventes der en gradvis forøgelse af agenturets økonomiske ressourcer og personale i tidsrummet 2012 – 2016, uden at dette dog foregriber Kommissionens forslag om den kommende flerårige finansielle ramme. På grundlag af Kommissionens forordningsforslag om en flerårig finansiel ramme for perioden efter 2013 og under hensyn til konklusionerne af konsekvensanalysen vil Kommissionen forelægge en ændret finansieringsoversigt. 7) Mulighed for forlængelse af den administrerende direktørs mandatperiode . Bestyrelsen kan forlænge den administrerende direktørs mandatperiode med tre år. 3.2. Retsgrundlag Retsgrundlaget for dette forslag er artikel 114 i traktaten om Den Europæiske Unions funktionsmåde (TEUF)[11]. Før Lissabontraktaten trådte i kraft, ansås I henhold til EU-Domstolens dom[12] EF-traktatens artikel 95 for at være det korrekte retsgrundlag for oprettelse af et organ med det formål at sikre et højt og effektivt net- og informationssikkerhedsniveau i EU. Ved at bruge formuleringen "foranstaltninger med henblik på indbyrdes tilnærmelse" i artikel 95 ville traktatens forfattere give EU's lovgivningsmyndighed mulighed for frit at vælge de foranstaltninger, der er bedst egnede til at opnå det tilsigtede mål. Et tiltag for at forbedre sikkerheden og robustheden i ikt-infrastrukturen er således et vigtigt element, der bidrager til et velfungerende indre marked. Efter Lissabontraktaten beskriver artikel 114 i TEUF[13] — næsten på identisk vis — opgaverne vedrørende det indre marked. Af ovennævnte grunde vil denne artikel fortsat være det relevante retsgrundlag for foranstaltninger til forbedring af net- og informationssikkerheden. Det indre marked er nu et af de områder, hvor der er delt kompetence mellem Unionen og medlemsstaterne (artikel 4, stk. 2, litra a), i TEUF). Dette betyder, at Unionen og medlemsstaterne kan vedtage (bindende) retsakter, og at medlemsstaterne udøver deres kompetence, i det omfang Unionen ikke har udøvet sin kompetence eller har besluttet at ophøre med at udøve sin kompetence (artikel 2, stk. 2, i TEUF). Foranstaltninger vedrørende det indre marked kræver anvendelse af den almindelige lovgivningsprocedure (artikel 289 og 294 i TEUF), der ligner[14] den tidligere fælles beslutningsprocedure (artikel 251 i EF-traktaten). Med Lissabontraktaten er den tidligere opdeling i søjler afskaffet. Forebyggelse og bekæmpelse af internetkriminalitet er blevet et område, hvor der er delt kompetence mellem Unionen og medlemsstaterne. Dette har skabt mulighed for, at agenturet kan spille en rolle som platform, når det gælder net- og informationssikkerhedsaspekterne af kampen mod internetkriminalitet, og udveksle synspunkter og bedste praksis med de myndigheder, der har ansvar for bekæmpelse af internetkriminalitet, retshåndhævelse og beskyttelse af privatlivets fred. 3.3. Subsidiaritetsprincippet Forslaget er i overensstemmelse med subsidiaritetsprincippet: Politikken for net- og informationssikkerhed kræver en samordnet strategi, og målene for forslaget kan ikke nås af medlemsstaterne hver for sig. Hvis EU slet ikke blander sig i de nationale politikker for net- og informationssikkerhed, overlades opgaven til de enkelte medlemsstater, og dermed tages der ikke hensyn til den indbyrdes afhængighed mellem de eksisterende informationssystemer. En foranstaltning, der sikrer en passende grad af koordinering mellem medlemsstaterne med det formål at gribe net- og informationssikkerhedsrisici effektivt an i den tværnationale sammenhæng, hvori de opstår, er derfor i overensstemmelse med subsidiaritetsprincippet. Desuden vil handling på EU-plan øge de eksisterende nationale politikkers virkning og dermed tilføje dem merværdi. En samordnet og samarbejdsorienteret net- og informationssikkerhedspolitik vil endvidere styrke beskyttelsen af grundlæggende rettigheder, især retten til beskyttelse af personoplysninger og privatlivets fred. Databeskyttelse er blevet et afgørende aspekt i betragtning af, at europæerne i stigende grad overlader deres data til komplekse informationssystemer, enten efter eget valg eller af nød, uden at de nødvendigvis er i stand til at vurdere risikoen herved korrekt. Når der opstår sikkerhedsproblemer, vil de derfor ikke altid kunne træffe passende forholdsregler, og det er heller ikke sikkert, at medlemsstaterne vil være i stand til at gribe internationale sikkerhedsproblemer effektivt an uden en koordineret europæisk net- og informationssikkerhedspolitik. 3.4. Proportionalitetsprincippet Forslaget er i overensstemmelse med proportionalitetsprincippet, da det ikke går ud over, hvad der er nødvendigt for at nå målet. 3.5. Reguleringsmiddel/reguleringsform Foreslået reguleringsmiddel: en forordning, der gælder umiddelbart i alle medlemsstater. 4. BUDGETMÆSSIGE KONSEKVENSER Forslaget får konsekvenser for EU's budget. Da det ligger fast, hvilke opgaver agenturets nye mandat skal omfatte, forventes det, at agenturet vil få tildelt de ressourcer, der er nødvendige, for at det kan udføre sine aktiviteter på tilfredsstillende vis. Evalueringen af agenturet, den omfattende høring af interessenter på alle niveauer og konsekvensanalysen viser bred enighed om, at agenturet i sin nuværende størrelse ikke har den nødvendige kritiske masse, og at en forøgelse af ressourcerne er nødvendig. Konsekvenserne og virkningerne af en forøgelse af agenturets personale og budget analyseres i konsekvensanalysen, der ledsager dette forslag. EU's bidrag efter 2013 vil blive drøftet som led i en debat i Kommissionen som helhed om samtlige forslag for perioden efter 2013. 5. YDERLIGERE OPLYSNINGER 5.1. Varighed Forordningen gælder i en periode på 5 år. 5.2. Revisionsklausul Ifølge forslaget skal der gennemføres en evaluering af agenturet, der dækker perioden siden den foregående evaluering i 2007. Det skal således vurderes, om agenturet har nået sine mål som fastlagt i forordningen, om det stadig er et effektivt instrument, og om dets mandat bør forlænges yderligere. På grundlag af resultaterne af evalueringen forelægger bestyrelsen sine anbefalinger om ændring af forordningen, agenturet og dets arbejdsmetoder for Kommissionen. For at Kommissionen kan udarbejde et forslag om forlængelse af agenturets mandat i god tid, skal evalueringen være gennemført inden udgangen af det andet år af det mandat, som forordningen fastlægger. 5.3. Overgangsforanstaltning Kommissionen er klar over, at lovgivningsproceduren i Europa-Parlamentet og Rådet vedrørende dette forslag kan kræve lang debat, og der er risiko for, at der opstår et retligt tomrum, hvis det nye mandat til agenturet ikke bliver vedtaget, før det nuværende udløber. Derfor fremsætter Kommissionen sammen med nærværende forslag et forordningsforslag om forlængelse af agenturets nuværende mandat med 18 måneder, så der bliver tilstrækkelig tid til drøftelserne og behandlingen af forslaget om en ny forordning. 2010/0275 (COD) Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA) EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR — under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114, under henvisning til forslag fra Europa-Kommissionen, under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg[15], under henvisning til udtalelse fra Regionsudvalget[16], efter fremsendelse af forslaget til de nationale parlamenter, efter den almindelige lovgivningsprocedure og ud fra følgende betragtninger: (1) Elektronisk kommunikation, infrastruktur og tjenester er en afgørende faktor i den økonomiske og samfundsmæssige udvikling. De elektroniske kommunikationssystemer spiller en central rolle i samfundet og er blevet en alment tilgængelig ressource på lige fod med f.eks. vand og elektricitet. Sammenbrud i systemerne kan få alvorlige økonomiske konsekvenser, og derfor er det særlig vigtigt at tage skridt til at beskytte systemerne bedre og gøre dem mere robuste for at sikre kritiske tjenesters kontinuitet. De sikkerhedsmæssige udfordringer i forbindelse med elektronisk kommunikation, infrastruktur og tjenester, særlig systemernes integritet og disponibilitet, vokser hele tiden. Dette er et anliggende af stigende betydning for samfundet, ikke mindst på grund af risikoen for problemer som følge af systemernes kompleksitet, uheld, fejl og angreb, der kan få konsekvenser for den fysiske infrastruktur, som sikrer tjenesteydelser af stor betydning for EU-borgernes trivsel. (2) Der opstår hele tiden nye risici, og sikkerhedsproblemer kan skade brugernes tillid. Alvorlige sammenbrud i elektronisk kommunikation, infrastruktur og tjenester kan have større økonomiske og samfundsmæssige følger, men almindelige dagligdags brud på sikkerheden og sikkerhedsrelaterede problemer og besværligheder risikerer også at nedbryde offentlighedens tillid til teknologi, net og tjenester. (3) Det er derfor vigtigt for politikerne, erhvervslivet og brugerne, at der jævnligt foretages en vurdering af net- og informationssikkerhedssituationen i Europa på grundlag af pålidelige europæiske data. (4) Repræsentanterne for medlemsstaterne, forsamlet i Det Europæiske Råd den 13. december 2003, besluttede, at Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA), der skulle oprettes på grundlag af Kommissionens forslag, skulle have sit sæde i en by i Grækenland, som skulle fastlægges nærmere af den græske regering. (5) I 2004 vedtog Europa-Parlamentet og Rådet forordning (EF) nr. 460/2004[17] om oprettelse af et europæisk agentur for net- og informationssikkerhed med det formål at bidrage til målet om at sikre et højt net- og informationssikkerhedsniveau i Unionen og udvikle en net- og informationssikkerhedskultur til gavn for borgerne, forbrugerne, virksomhederne og de offentlige administrationer. I 2008 vedtog Europa-Parlamentet og Rådet forordning (EF) nr. 1007/2008[18] om forlængelse af agenturets mandat frem til marts 2012. (6) Siden agenturet blev oprettet, har udfordringerne i forbindelse med net- og informationssikkerhed udviklet sig i takt med den teknologiske, markedsmæssige og samfundsøkonomiske udvikling, og de har været genstand for yderligere overvejelser og debat. Som reaktion herpå har Unionen ajourført sine mål for net- og informationssikkerhedspolitikken i en række dokumenter, herunder Kommissionens meddelelse af 2006, En strategi for et sikkert informationssamfund – "Dialog, partnerskab og myndiggørelse" [19], Rådets resolution af 2007 om en strategi for et sikkert informationssamfund i Europa[20], meddelelsen af 2009, Beskyttelse mod storstilede cyberangreb og sammenbrud: øget beredskab, sikkerhed og robusthed [21] , formandskabets konklusioner fra ministerkonferencen om beskyttelse af kritisk informationsinfrastruktur og Rådets Resolution af 2009 om en samordnet europæisk strategi for net- og informationssikkerhed[22]. Det er anerkendt, at agenturet må moderniseres og styrkes, for at det kan bidrage effektivt til EU-institutionernes og medlemsstaterne bestræbelser på at udvikle et europæisk beredskab til at imødegå net- og informationssikkerhedsproblemer. For nylig vedtog Kommissionen en digital dagsorden for Europa[23] som et flagskibsinitiativ under Europa 2020-strategien. Denne omfattende dagsorden sigter mod at udnytte og styrke informations- og kommunikationsteknologiens potentiale og omsætte det i bæredygtig vækst og innovation. At styrke tilliden til informationssamfundet er et af hovedmålene for den digitale dagsorden, der bebuder en række foranstaltninger, som Kommissionen vil træffe på dette område, herunder nærværende forslag. (7) Foranstaltninger for det indre marked, der vedrører sikkerhed i forbindelse med elektronisk kommunikation og mere generelt net- og informationssikkerhed, kræver, at medlemsstaterne og Kommissionen iværksætter forskellige tekniske og organisatoriske tiltag. En uensartet anvendelse af kravene kan føre til ineffektivitet og skabe hindringer for det indre marked. Derfor er der behov for et ekspertisecenter på europæisk plan, der kan yde vejledning, rådgive og efter anmodning yde bistand i spørgsmål om net- og informationssikkerhed, og som medlemsstaterne og EU-institutionerne kan støtte sig til. Agenturet kan opfylde disse behov ved at udvikle og opretholde et højt niveau af ekspertise og bistå medlemsstaterne, Kommissionen og dermed også erhvervslivet med at opfylde de retlige og reguleringsmæssige krav vedrørende net- og informationssikkerhed og således bidrage til et velfungerende indre marked. (8) Agenturet bør udføre de opgaver, det pålægges i kraft af den nuværende EU-lovgivning for elektronisk kommunikation, og bidrage generelt til øget sikkerhed inden for elektronisk kommunikation ved blandt andet at yde ekspertbistand og rådgivning samt ved at fremme udveksling af god praksis. (9) Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet)[24] kræver endvidere, at udbydere af offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester træffer passende foranstaltninger for at beskytte nettenes og tjenesternes integritet og sikkerhed, og direktivet indfører krav om indberetning af brud på sikkerheden og tab af integritet. Hvor det er relevant, skal de nationale tilsynsmyndigheder også underrette agenturet og en gang om året forelægge en sammenfattende rapport for Kommissionen og agenturet om de indberetninger, de har modtaget, og de foranstaltninger, der er truffet. I henhold til direktiv 2002/21/EF bør agenturet desuden bidrage til at harmonisere relevante tekniske og organisatoriske sikkerhedsforanstaltninger ved at yde ekspertrådgivning. (10) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation)[25] kræver, at udbydere af offentligt tilgængelige elektroniske kommunikationstjenester træffer passende tekniske og organisatoriske foranstaltninger til at beskytte deres tjenester, og det stiller desuden krav om kommunikationshemmelighed, for så vidt angår både selve kommunikationen og de dermed forbundne trafikdata. Direktivet indfører informations- og underretningskrav over for udbydere af elektroniske kommunikationstjenester i forbindelse med brud på persondatasikkerheden. Det kræver endvidere, at Kommissionen rådfører sig med agenturet, inden den vedtager tekniske gennemførelsesforanstaltninger om, under hvilke omstændigheder informations- og underretningskravene gælder, samt hvilke former og procedurer der skal anvendes. Ifølge Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger[26] skal medlemsstaterne kræve, at den registeransvarlige iværksætter de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, forringelse, ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter fremsendelse af oplysninger i et net, samt mod enhver anden form for ulovlig behandling. (11) Agenturet bør bidrage til et højt net- og informationssikkerhedsniveau i Unionen og til at tilvejebringe en net- og informationssikkerhedskultur til gavn for borgerne, forbrugerne, virksomhederne og den offentlige sektors organisationer i Den Europæiske Union og således bidrage til et velfungerende indre marked. (12) Som grundlag for, hvordan agenturet skal nå sine mål, bør der opstilles et sæt opgaver, der samtidig giver agenturet fleksibilitet i dets aktiviteter. Agenturets opgaver bør omfatte indsamling af information og data, der er nødvendige for at gennemføre analyser af de risici, der er for sikkerheden og robustheden i elektronisk kommunikation, infrastruktur og tjenester, og for at agenturet i samarbejde med medlemsstaterne kan vurdere net- og informationssikkerhedssituationen i Europa. Agenturet bør koordinere sin indsats med medlemsstaterne og styrke samarbejdet mellem de berørte parter i Europa, navnlig ved at inddrage de nationale instanser og net- og informationssikkerhedseksperter fra den private sektor i aktiviteterne. Det bør bistå Kommissionen og medlemsstaterne i deres dialog med erhvervslivet med henblik på at imødegå sikkerhedsrelaterede problemer i hardware- og softwareprodukter og derved bidrage til en samordnet tilgang til net- og informationssikkerhed. (13) Agenturet bør fungere som et referencepunkt og skabe tillid i kraft af sin uafhængighed, kvaliteten af den rådgivning, det yder, og af de informationer, det videregiver, samt i kraft af den åbenhed, der er forbundet med dets procedurer og drift, og dets omhu ved udførelsen af de pålagte opgaver. Agenturet bør bygge på medlemsstaternes og Unionens indsats og derfor udføre sine opgaver i fuldt samarbejde med medlemsstaterne og være åbent for forbindelser med erhvervslivet og andre relevante interessenter. Desuden bør det bygge på bidrag fra og samarbejde med den private sektor, der spiller en vigtig rolle i indsatsen for at gøre elektronisk kommunikation, infrastruktur og tjenester sikre. (14) Kommissionen har lanceret et europæisk offentlig-privat partnerskab for en robust ikt-infrastruktur som en fleksibel fælleseuropæisk forvaltningsramme, der bringer interessenter fra den offentlige og den private sektor sammen, så de kan drøfte forvaltningspolitiske mål og økonomiske og markedsmæssige aspekter af udfordringerne og tiltagene for at gøre ikt-infrastrukturen mere robust, og så de kan fastlægge, hvad der er interessenternes ansvar; agenturet bør spille en formidlende rolle i denne forbindelse. (15) Agenturet bør bistå Kommissionen i politikudviklingen på net- og informationssikkerhedsområdet ved at yde rådgivning, enten på Kommissionens anmodning eller på eget initiativ, i form af udtalelser og tekniske og samfundsøkonomiske analyser. Agenturet bør også efter anmodning bistå medlemsstaterne og Unionens institutioner og organer med at udvikle deres politik og kompetence inden for net- og informationssikkerhed. (16) Agenturet bør bistå medlemsstaterne og EU-institutionerne med at opbygge og forbedre deres kompetence og beredskab på tværs af grænserne til at forebygge, opdage, afbøde og imødegå sikkerhedsproblemer og sikkerhedsrelaterede hændelser i net og informationssystemer; således bør agenturet lette samarbejdet mellem medlemsstaterne indbyrdes og mellem medlemsstaterne og Kommissionen. Til dette formål bør agenturet spille en aktiv rolle og støtte medlemsstaterne i deres vedvarende indsats for at forbedre deres beredskab og for at tilrettelægge og gennemføre nationale og europæiske øvelser i håndtering af sikkerhedsproblemer. (17) Direktiv 95/46/EF finder anvendelse på behandlingen af personoplysninger i medfør af denne forordning. (18) For bedre at forstå udfordringerne på net- og informationssikkerhedsområdet må agenturet analysere både eksisterende risici og nye risici, der dukker op. Til det formål bør agenturet i samarbejde med medlemsstaterne og, hvor det er hensigtsmæssigt, med statistiske kontorer indsamle relevante oplysninger. Desuden bør agenturet bistå medlemsstaterne og Unionens institutioner og organer i deres indsats for at indsamle, analysere og formidle oplysninger om net- og informationssikkerhed. (19) Som led i overvågningsaktiviteterne i Unionen bør agenturet lette samarbejdet mellem Unionen og medlemsstaterne om at vurdere net- og informationssikkerhedssituationen i Europa, og det bør bidrage til vurderingsaktiviteter i samarbejde med medlemsstaterne. (20) Agenturet bør lette samarbejdet mellem medlemsstaternes kompetente offentlige organer, især ved at støtte udvikling og udveksling af god praksis og standarder for uddannelsesprogrammer og bevidstgørelsestiltag. Øget informationsudveksling mellem medlemsstaterne vil fremme sådanne foranstaltninger. Agenturet bør også støtte samarbejdet mellem offentlige og private interessenter på EU-plan, blandt andet ved at fremme informationsudveksling, bevidstgørelseskampagner og programmer for almen og erhvervsfaglig uddannelse. (21) Effektive sikkerhedsstrategier bør baseres på velgennemtænkte risikovurderingsmetoder, både i den offentlige og den private sektor. Der anvendes risikovurderingsmetoder og -procedurer på forskellige niveauer, men der er ingen fælles praksis, der sikrer en effektiv indsats. Ved at udvikle og fremme bedste praksis for risikovurdering og interoperable risikostyringsløsninger i den offentlige og den private sektors organisationer kan man øge sikkerhedsniveauet i nettene og informationssystemerne i Europa. Til dette formål bør agenturet støtte samarbejdet mellem offentlige og private interessenter på EU-plan og lette deres bestræbelser på at udvikle og indføre standarder for risikostyring og for målbar sikkerhed i elektroniske produkter, systemer net og tjenesteydelser. (22) Agenturet bør udnytte resultaterne af igangværende forsknings-, udviklings- og teknologivurderingsaktiviteter, særlig aktiviteter, der gennemføres som led i de forskellige EU-initiativer inden for forskning. (23) Agenturet bør, hvor det er hensigtsmæssigt for, at det kan varetage sit kompetenceområde og formål og udføre sine opgaver, udveksle erfaringer og generelle oplysninger med organer og agenturer, der er oprettet i henhold til EU-lovgivningen, og som beskæftiger sig med net- og informationssikkerhed. (24) I sine kontakter med retshåndhævende myndigheder vedrørende sikkerhedsaspekterne af internetkriminalitet respekterer agenturet de eksisterende informationskanaler og etablerede net såsom de kontaktpunkter, der er nævnt i forslaget til Europa-Parlamentets og Rådets direktiv om angreb på informationssystemer og om ophævelse af Rådets rammeafgørelse 2005/222/RIA, og Europols taskforce til bekæmpelse af højteknologisk kriminalitet. (25) For fuldt ud at opfylde sine mål bør agenturet etablere kontakt med de myndigheder, der har ansvar for retshåndhævelse og beskyttelse af privatlivets fred, med det formål at sætte fokus på net- og informationssikkerhedsaspekterne af internetkriminalitet og gribe dem effektivt an. Repræsentanter for disse myndigheder bør regnes blandt agenturets fuldgyldige interessenter og bør være repræsenteret i agenturets stående gruppe af interessenter. (26) Net- og informationssikkerhedsproblemerne er af global karakter. Der er behov for et tættere internationalt samarbejde for at forbedre sikkerhedsstandarderne, forbedre informationsudvekslingen og fremme en fælles global tilgang til net- og informationssikkerhedsspørgsmål. Agenturet bør derfor støtte samarbejdet med tredjelande og internationale organisationer, hvor det er relevant i samarbejde med EU-Udenrigstjenesten. (27) Udøvelsen af agenturets opgaver bør ikke gribe ind i og bør ikke træde i stedet for, hindre eller overlappe de relevante beføjelser og opgaver, der er tildelt de nationale tilsynsmyndigheder i overensstemmelse med direktiverne om elektroniske kommunikationsnet og –tjenester, Sammenslutningen af Europæiske Tilsynsmyndigheder inden for Elektronisk Kommunikation (BEREC), der er oprettet ved Europa-Parlamentets og Rådets forordning (EF) nr. 1211/2009[27], Kommunikationsudvalget, som er omhandlet i direktiv 2002/21/EF, de europæiske standardiseringsorganisationer, de nationale standardiseringsorganisationer og det stående udvalg, jf. Europa-Parlamentets og Rådets direktiv 98/34/EF af 22. juni 1998 om en informationsprocedure med hensyn til tekniske standarder og forskrifter samt forskrifter for informationssamfundets tjenester[28], samt medlemsstaternes tilsynsmyndigheder for så vidt angår beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og fri bevægelighed for sådanne oplysninger. (28) For at sikre, at agenturet fungerer effektivt, bør medlemsstaterne og Kommissionen være repræsenteret i en bestyrelse, der bør fastlægge de overordnede retningslinjer for agenturets drift og sikre, at agenturet udfører sine opgaver i overensstemmelse med denne forordning. Bestyrelsen bør have beføjelse til at fastlægge budgettet, kontrollere dets gennemførelse, vedtage passende finansielle bestemmelser, fastlægge transparente arbejdsprocedurer for agenturets beslutningstagning, vedtage agenturets arbejdsprogram, vedtage sin egen forretningsorden og agenturets interne forretningsgange, udnævne den administrerende direktør og træffe afgørelse om at forlænge direktørens mandat eller bringe det til ophør. Bestyrelsen bør kunne nedsætte arbejdsgrupper, der kan bistå den i udførelsen af dens opgaver; sådanne grupper kunne f.eks. formulere bestyrelsens afgørelser og overvåge gennemførelsen deraf. (29) For at skabe et velfungerende agentur må den administrerende direktør udnævnes på grundlag af kvalifikationer og dokumenterede administrative og ledelsesmæssige færdigheder samt kvalifikationer og erfaring, der er relevante for net- og informationssikkerhed, og det er endvidere nødvendigt, at den administrerende direktør kan tilrettelægge agenturets interne opgaver i fuld uafhængighed. Med henblik herpå bør den administrerende direktør efter høring af Kommissionens tjenestegrene udarbejde et forslag til agenturets arbejdsprogram og træffe alle nødvendige foranstaltninger til at sikre, at arbejdsprogrammet gennemføres korrekt. Den administrerende direktør bør hvert år udarbejde et udkast til en årsberetning, der skal forelægges for bestyrelsen, udfærdige et udkast til overslag over agenturets indtægter og udgifter samt gennemføre budgettet. (30) Den administrerende direktør bør kunne nedsætte ad hoc-arbejdsgrupper til at behandle specifikke spørgsmål, særlig af videnskabelig, teknisk, retlig eller samfundsøkonomisk art. Ved nedsættelsen af ad hoc-arbejdsgrupper bør den administrerende direktør trække på den relevante eksterne ekspertise, der er nødvendig, for at agenturet kan få adgang til de seneste nye oplysninger om de sikkerhedsudfordringer, der følger med et informationssamfund i stadig udvikling. Agenturet bør sikre, at medlemmerne af ad hoc-arbejdsgrupperne udvælges på grundlag af den højeste ekspertisestandard, og tage skridt til at sikre en passende repræsentativ balance, afhængigt af de specifikke spørgsmål, mellem medlemsstaternes offentlige administrationer, den private sektor, herunder erhvervslivet, brugerne og akademiske eksperter i net- og informationssikkerhed. Agenturet kan om nødvendigt og fra sag til sag invitere eksperter, der er anerkendt som kompetente på det pågældende område, til at deltage i arbejdsgruppernes arbejde. Deres udgifter bør afholdes af agenturet i overensstemmelse med dets interne regler og i overensstemmelse med de gældende finansforordninger. (31) Agenturet bør have en stående gruppe af interessenter som et rådgivende organ, der kan sørge for en løbende dialog med den private sektor, forbrugerorganisationerne og andre relevante interessenter. Den stående gruppe af interessenter, der nedsættes af bestyrelsen på forslag af den administrerende direktør, bør koncentrere sig om spørgsmål, der er relevante for samtlige interessenter, og forelægge dem for agenturet. Den administrerende direktør kan, når det er relevant og under hensyn til dagsordenen for møderne, invitere repræsentanter for Europa-Parlamentet og andre relevante organer til at deltage i gruppens møder. (32) Agenturet skal varetage sine opgaver i overensstemmelse med i) subsidiaritetsprincippet, idet det sørger for en passende grad af koordinering mellem medlemsstaterne i spørgsmål om net- og informationssikkerhed, øger de nationale politikkers virkning og dermed tilføjer dem merværdi, og ii) proportionalitetsprincippet, idet det ikke går ud over, hvad der er nødvendigt for at nå målene for denne forordning. (33) Agenturet bør følge den relevante EU-lovgivning om aktindsigt som fastlagt i Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001[29] og om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger som fastsat i Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger[30]. (34) Agenturet bør inden for sit kompetenceområde og sine formål og i udførelsen af sine opgaver navnlig overholde de bestemmelser, der gælder for EU-institutionerne samt national lovgivning vedrørende behandling af følsomme dokumenter. Bestyrelsen bør have beføjelse til at træffe afgørelse om at lade agenturet behandle klassificerede oplysninger. (35) For at agenturet kan sikres fuld selvstændighed og uafhængighed, bør det råde over et selvstændigt budget, hvortil indtægterne hovedsagelig kommer fra et bidrag fra Unionen og fra bidrag fra tredjelande, der deltager i agenturets arbejde. Værtsmedlemsstaten og enhver anden medlemsstat bør kunne yde frivillige bidrag til agenturets indtægter. Unionens budgetprocedure finder anvendelse på ethvert bidrag, som kommer fra Den Europæiske Unions almindelige budget. Desuden bør revisionen af regnskaberne forestås af Revisionsretten. (36) Agenturet bør afløse det agentur, der er oprettet ved forordning (EF) nr. 460/2004. Inden for rammerne af den afgørelse, som repræsentanterne for medlemsstaterne, forsamlet i Det Europæiske Råd den 13. december 2003, har truffet, bør værtsmedlemsstaten opretholde og videreudvikle de nuværende praktiske ordninger for at sikre, at agenturet kan fungere problemfrit og effektivt, idet der navnlig tages hensyn til agenturets samarbejde med og bistand til Kommissionen, medlemsstaterne og deres kompetente organer, andre EU-institutioner og –organer og offentlige og private interessenter i hele Europa. (37) Agenturet bør oprettes for en begrænset periode. Der bør foretages en evaluering af agenturets arbejde, herunder af, om målene opfyldes, og om arbejdsmetoderne er effektive, for at det kan afgøres, om målene stadig er gyldige, og på grundlag heraf, om agenturets mandat bør forlænges — VEDTAGET DENNE FORORDNING: AFSNIT 1 KOMPETENCEOMRÅDE, FORMÅL OG OPGAVER ARTIKEL 1 Genstand og kompetenceområde 1. Ved denne forordning oprettes der et europæisk agentur for net- og informationssikkerhed (i det følgende benævnt "agenturet") med det sigte at bidrage til et højt niveau af net- og informationssikkerhed i Unionen og for at hæve oplysningsniveauet og udvikle en net- og informationssikkerhedskultur i samfundet til gavn for borgerne, forbrugerne, virksomhederne og den offentlige sektors organisationer i Den Europæiske Union og således bidrage til et velfungerende indre marked. 2. Agenturets formål og opgaver berører ikke medlemsstaternes beføjelser med hensyn til net- og informationssikkerhed og berører under ingen omstændigheder aktiviteter vedrørende offentlig sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske velfærd for så vidt angår aspekter, der vedrører statens sikkerhed) og statens aktiviteter på det strafferetlige område. 3. I denne forordning forstås ved "net- og informationssikkerhed": et nets eller et informationssystems evne til, på et givet tillidsniveau, at modstå uheld, ulovlige og chikanøse handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten og fortroligheden i forbindelse med data, der opbevares eller overføres, og de dermed forbundne tjenester, der tilbydes i eller er tilgængelige via dette net eller system Artikel 2 Mål 1. Agenturet skal bistå Kommissionen og medlemsstaterne med at opfylde de retlige og reguleringsmæssige krav vedrørende net- og informationssikkerhed i den nuværende og fremtidige EU-lovgivning og dermed bidrage til et velfungerende indre marked. 2. Agenturet skal styrke Unionens og medlemsstaternes evne og beredskab til at forebygge, opdage og imødegå sikkerhedsproblemer og sikkerhedsrelaterede hændelser i net og informationssystemer. 3. Agenturet skal tilvejebringe og opretholde et højt niveau af ekspertise og udnytte denne ekspertise til at fremme et bredt samarbejde mellem den offentlige og den private sektors aktører. Artikel 3 Opgaver 1. Med det sigte, der er fastlagt i artikel 1, varetager agenturet følgende opgaver: a) Det bistår Kommissionen, enten på dennes anmodning eller på eget initiativ, i udviklingen af net- og informationssikkerhedspolitikken ved at bidrage med rådgivning og udtalelser, tekniske og samfundsøkonomiske analyser og forberedende arbejde med henblik på udvikling og ajourføring af EU-lovgivningen på området net- og informationssikkerhed. b) Det letter samarbejdet mellem medlemsstaterne indbyrdes og mellem medlemsstaterne og Kommissionen i bestræbelserne på tværs af grænserne for at forebygge, opdage og imødegå sikkerhedsproblemer i net og informationssystemer. c) Det bistår medlemsstaterne og Unionens institutioner og organer i deres indsats for at indsamle, analysere og formidle oplysninger om net- og informationssikkerhed. d) Det vurderer jævnligt net- og informationssikkerhedssituationen i Europa i samarbejde med medlemsstaterne og EU-institutionerne. e) Det støtter samarbejdet mellem de kompetente offentlige instanser i Europa, navnlig deres bestræbelser på at udvikle og udveksle god praksis og standarder. f) Det bistår Unionen og medlemsstaterne med at fremme god praksis inden for risikostyring og sikkerhed samt brugen af standarder for elektroniske produkter, systemer og tjenesteydelser. g) Det støtter samarbejdet mellem offentlige og private interessenter på EU-plan, bl.a. ved at fremme informationsudveksling og oplysning og ved at lette parternes bestræbelser på at udvikle og indføre standarder for risikostyring og for sikkerhed i elektroniske produkter, net og tjenesteydelser. h) Det letter dialogen og udvekslingen af god praksis på området net- og informationssikkerhed, herunder vedrørende indsatsen mod internetkriminalitet, mellem offentlige og private parter; det bistår Kommissionen i udviklingen af politikker, der tager hensyn til net- og informationssikkerhedsaspekterne af indsatsen mod internetkriminalitet. i) Efter anmodning bistår det medlemsstaterne og Unionens institutioner og organer med at opbygge kompetence til at opdage, analysere og imødegå sikkerhedsproblemer i net og informationssystemer. j) Det støtter Unionens dialog og samarbejde med tredjelande og internationale organisationer, om relevant i samarbejde med EU-Udenrigstjenesten, for at fremme internationalt samarbejde og en verdensomspændende fælles strategi for net- og informationssikkerhed. k) Det udfører opgaver, som det pålægges ved lovgivningsmæssige EU-retsakter. AFSNIT 2 ORGANISATION ARTIKEL 4 Agenturets organer Agenturet består af: a) en bestyrelse b) en administrerende direktør og personalet og c) en stående gruppe af interessenter. Artikel 5 Bestyrelsen 1. Bestyrelsen fastlægger de overordnede retningslinjer for agenturets drift og sikrer, at agenturet udfører sine opgaver i overensstemmelse med de regler og principper, der fastlægges i denne forordning. Den sikrer endvidere, at der er sammenhæng mellem agenturets arbejde og aktiviteter, der udføres af medlemsstaterne og på EU-plan. 2. Bestyrelsen fastsætter selv sin forretningsorden efter aftale med de relevante tjenestegrene i Kommissionen. 3. Bestyrelsen vedtager agenturets interne forretningsgange efter aftale med de relevante tjenestegrene i Kommissionen. Disse regler offentliggøres. 4. Bestyrelsen udnævner den administrerende direktør i overensstemmelse med artikel 10, stk. 2, og kan afsætte vedkommende. Bestyrelsen udøver disciplinærmyndighed over den administrerende direktør. 5. Bestyrelsen vedtager agenturets arbejdsprogram i overensstemmelse med artikel 13, stk. 3, og årsberetningen om agenturets aktiviteter i det forløbne år i overensstemmelse med artikel 14, stk. 2. 6. Bestyrelsen vedtager de finansielle bestemmelser for agenturet. De må kun afvige fra Kommissionens forordning (EF, Euratom) nr. 2343/2002 af 19. november 2002 om rammefinansforordningen for de organer, der er omhandlet i artikel 185 i Rådets forordning (EF, Euratom) nr. 1605/2002 om finansforordningen vedrørende De Europæiske Fællesskabers almindelige budget[31], hvis det er nødvendigt på grund af de særlige forhold, der karakteriserer agenturets drift, og Kommissionen på forhånd giver sit samtykke. 7. Bestyrelsen vedtager efter aftale med Kommissionen de nødvendige gennemførelsesbestemmelser i overensstemmelse med artikel 110 i tjenestemandsvedtægten. 8. Bestyrelsen kan nedsætte arbejdsgrupper bestående af dens medlemmer til at bistå den i udførelsen af dens opgaver, herunder udarbejdelse af dens afgørelser og overvågning af gennemførelsen deraf. 9. Bestyrelsen kan vedtage en flerårig plan for personalepolitikken efter at have hørt Kommissionens tjenestegrene og underrettet budgetmyndigheden. Artikel 6 Bestyrelsens sammensætning 1. Bestyrelsen består af en repræsentant for hver medlemsstat, tre repræsentanter, der udnævnes af Kommissionen, samt tre repræsentanter uden stemmeret, der udnævnes af Kommissionen, og som hver repræsenterer en af følgende grupper: a) informations- og kommunikationsteknologiindustrien b) forbrugergrupper c) akademiske eksperter i net- og informationssikkerhed. 2. Medlemmerne af bestyrelsen og deres suppleanter udpeges på grundlag af deres erfaring og ekspertise inden for net- og informationssikkerhed. 3. Repræsentanterne for de grupper, der er nævnt i stk. 1, litra a), b) og c), udnævnes for en periode på fire år. Mandatperioden kan forlænges én gang. Hvis et bestyrelsesmedlems tilknytning til den interessegruppe, som vedkommende repræsenterer, ophører, udnævner Kommissionen en anden repræsentant. Artikel 7 Bestyrelsens formand Bestyrelsen vælger blandt sine medlemmer en formand og en næstformand for en periode på 3 år, der kan fornyes. Næstformanden træder uden videre i stedet for formanden, hvis denne er forhindret i at udøve sit hverv. Artikel 8 Møder 1. Bestyrelsen træder sammen efter indkaldelse fra formanden. 2. Bestyrelsen afholder et ordinært møde to gange om året. Den træder endvidere sammen til ekstraordinære møder efter indkaldelse fra formanden eller på anmodning af mindst en tredjedel af de stemmeberettigede medlemmer. 3. Den administrerende direktør deltager i bestyrelsens møder uden stemmeret. Artikel 9 Afstemning 1. Bestyrelsen træffer afgørelse ved almindeligt flertal blandt de stemmeberettigede medlemmer. 2. Der kræves et flertal på to tredjedele af bestyrelsens stemmeberettigede medlemmer for at vedtage bestyrelsens forretningsorden og agenturets interne forretningsgange, budget og årlige arbejdsprogram samt for at udnævne og afsætte den administrerende direktør eller forlænge dennes mandat. Artikel 10 Den administrerende direktør 1. Agenturet ledes af den administrerende direktør, som varetager sit hverv i uafhængighed. 2. Den administrerende direktør udnævnes og afsættes af bestyrelsen. Udnævnelsen sker på grundlag af en liste over kandidater, som Kommissionen foreslår, for en periode på fem år og på grundlag af kvalifikationer og dokumenterede administrative og ledelsesmæssige færdigheder samt specifikke kvalifikationer og erfaring. Før udnævnelsen kan den ansøger, bestyrelsen har valgt, indbydes til at afgive en redegørelse for Europa-Parlamentets kompetente udvalg og besvare spørgsmål fra udvalgsmedlemmerne. 3. Inden for de sidste ni måneder af denne periode foretager Kommissionen en evaluering. I den forbindelse vurderer Kommissionen især følgende: - den administrerende direktørs arbejde - agenturets opgaver og behov i de følgende år. 4. Bestyrelsen kan efter indstilling fra Kommissionen og under hensyn til evalueringsrapporten, og kun såfremt det kan begrundes ud fra agenturets opgaver og behov, forlænge den administrerende direktørs mandatperiode med højst tre år. 5. Bestyrelsen underretter Europa-Parlamentet, hvis den har til hensigt at forlænge den administrerende direktørs mandatperiode. Inden for en måned inden forlængelsen af mandatperioden kan den administrerende direktør indbydes til at afgive en redegørelse for Europa-Parlamentets kompetente udvalg og besvare spørgsmål fra udvalgsmedlemmerne. 6. Hvis den administrerende direktørs mandatperiode ikke forlænges, forbliver direktøren i embedet, indtil der er udnævnt en efterfølger. 7. Den administrerende direktør er ansvarlig for: a) den daglige ledelse af agenturet b) gennemførelse af arbejdsprogrammet og af de beslutninger, der træffes af bestyrelsen c) sikring af, at agenturet gennemfører sine aktiviteter i overensstemmelse med brugernes krav, navnlig med hensyn til ydelsernes tilstrækkelighed d) alle specifikke personalespørgsmål, idet bestyrelsens generelle retningslinjer og beslutninger af almen karakter følges e) etablering og opretholdelse af forbindelser med Unionens institutioner og organer f) etablering og opretholdelse af kontakt med erhvervslivet og forbrugerorganisationer med henblik på at sikre en løbende dialog med de relevante interessenter g) andre opgaver, som den administrerende direktør pålægges ved denne forordning. 8. Hvis det er nødvendigt og i overensstemmelse med agenturets formål og opgaver, kan den administrerende direktør nedsætte ad hoc-arbejdsgrupper bestående af eksperter. Bestyrelsen underrettes på forhånd herom. Procedurerne vedrørende især sammensætning, den administrerende direktørs udnævnelse af eksperterne og ad hoc-arbejdsgruppernes virke fastsættes i agenturets interne forretningsgange. 9. Den administrerende direktør stiller administrativt personale og andre ressourcer til rådighed for bestyrelsen, hvor det er nødvendigt. Artikel 11 Den stående gruppe af interessenter 1. På forslag af den administrerende direktør nedsætter bestyrelsen en stående gruppe af interessenter bestående af eksperter, der repræsenterer de relevante interessenter såsom informations- og kommunikationsteknologiindustrien, forbrugergrupper, akademiske eksperter i net- og informationssikkerhed og myndigheder med ansvar for retshåndhævelse og beskyttelse af privatlivets fred. 2. Procedurerne vedrørende især gruppens størrelse og sammensætning samt bestyrelsens udnævnelse af gruppens medlemmer fastlægges i agenturets interne forretningsgange og offentliggøres. 3. Gruppen ledes af den administrerende direktør. 4. Medlemmernes mandatperiode er to et halvt år. Medlemmer af bestyrelsen kan ikke være medlemmer af gruppen. Repræsentanter for Kommissionen kan overvære gruppens møder og deltage i dens arbejde. 5. Gruppen rådgiver agenturet i udførelsen af dets aktiviteter. Gruppen rådgiver navnlig den administrerende direktør om udarbejdelsen af forslag til agenturets arbejdsprogram samt om varetagelse af kommunikation med de relevante interessenter om alle spørgsmål, der vedrører arbejdsprogrammet. AFSNIT 3 DRIFT ARTIKEL 12 Arbejdsprogram 1. Agenturet udfører sine aktiviteter i overensstemmelse med arbejdsprogrammet, der skal indeholde alle planlagte aktiviteter. Arbejdsprogrammet forhindrer ikke agenturet i at iværksætte uforudsete aktiviteter, der ligger inden for dets formål og opgaver og inden for de givne budgetrammer. Den administrerende direktør underretter bestyrelsen om de af agenturets aktiviteter, der ikke er opført i arbejdsprogrammet. 2. Den administrerende direktør er ansvarlig for udarbejdelsen af agenturets arbejdsprogram efter forudgående samråd med Kommissionens tjenestegrene. Hvert år inden den 15. marts forelægger den administrerende direktør et udkast til det følgende års arbejdsprogram for bestyrelsen. 3. Hvert år inden den 30. november vedtager bestyrelsen i samråd med Kommissionens tjenestegrene agenturets arbejdsprogram for det følgende år. Arbejdsprogrammet skal omfatte et flerårigt perspektiv. Bestyrelsen sikrer, at arbejdsprogrammet er i overensstemmelse med agenturets formål og med Unionens lovgivningsmæssige og politiske prioriteter på området net- og informationssikkerhed. 4. Arbejdsprogrammet tilrettelægges i overensstemmelse med princippet om aktivitetsbaseret forvaltning (ABM). Det skal være i overensstemmelse med overslaget over agenturets indtægter og udgifter og agenturets budget for samme regnskabsår. 5. Den administrerende direktør fremsender efter godkendelse i bestyrelsen arbejdsprogrammet til Europa-Parlamentet, Rådet, Kommissionen og medlemsstaterne og sørger for, at det offentliggøres. Artikel 13 Årsberetning 1. Den administrerende direktør forelægger hvert år et udkast til årsberetning om alle agenturets aktiviteter i det forløbne år for bestyrelsen. 2. Hvert år inden den 30. marts vedtager bestyrelsen årsberetningen om agenturets aktiviteter i det forløbne år. 3. Den administrerende direktør fremsender efter godkendelse i bestyrelsen agenturets årsberetning til Europa-Parlamentet, Rådet, Kommissionen, Revisionsretten, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget og sørger for, at den offentliggøres. Artikel 14 Anmodninger til agenturet 1. Anmodninger om rådgivning og bistand, der ligger inden for agenturets formål og opgaver, rettes til den administrerende direktør og ledsages af baggrundsoplysninger om det emne, der skal behandles. Den administrerende direktør underretter bestyrelsen om de modtagne anmodninger og efterfølgende om, hvordan der er fulgt op på dem. Hvis agenturet afviser en anmodning, skal det begrunde afvisningen. 2. Anmodninger i henhold til stk. 1 kan fremsættes af: a) Europa-Parlamentet b) Rådet c) Kommissionen d) ethvert kompetent organ udpeget af en medlemsstat såsom en national tilsynsmyndighed som defineret i artikel 2 i direktiv 2002/21/EF. 3. De praktiske bestemmelser for anvendelsen af stk. 1 og 2 vedrørende navnlig forelæggelse, prioritering og opfølgning af anmodninger til agenturet samt orientering af bestyrelsen fastsættes af bestyrelsen i agenturets interne forretningsgange. Artikel 15 Interesseerklæring 1. Den administrerende direktør samt embedsmænd, der midlertidigt er stillet til rådighed af medlemsstaterne, afgiver skriftligt en loyalitetserklæring og en interesseerklæring, hvori de anfører, at de ikke har nogen direkte eller indirekte interesser, der kan anses for at berøre deres uafhængighed. 2. Eksterne eksperter, der deltager i ad hoc-arbejdsgrupper, skal på hvert møde gøre opmærksom på eventuelle interesser, som kan anses for at berøre deres uafhængighed med hensyn til de punkter, der er på dagsordenen, og de afholder sig fra at deltage i drøftelserne af de pågældende punkter. Artikel 16 Åbenhed 1. Agenturet gennemfører sine aktiviteter med en høj grad af åbenhed og i overensstemmelse med artikel 13 og 14. 2. Agenturet sikrer, at offentligheden og eventuelle interesserede parter får objektive, pålidelige og let tilgængelige oplysninger, især vedrørende resultaterne af dets arbejde, hvor det er relevant. Desuden offentliggør agenturet de interesseerklæringer, der afgives af den administrerende direktør og embedsmænd, der midlertidigt er stillet til rådighed af medlemsstaterne, samt de interesseerklæringer, der afgives af eksperter i forbindelse med punkter på dagsordenen for møder i ad hoc-arbejdsgrupperne. 3. Bestyrelsen kan på forslag af den administrerende direktør give interesserede parter tilladelse til at følge procedurerne i forbindelse med nogle af agenturets aktiviteter. 4. Agenturet fastsætter i sine interne forretningsgange bestemmelser om, hvordan de i stk. 1 og 2 omhandlede regler om åbenhed gennemføres i praksis. Artikel 17 Fortrolighed 1. Med forbehold af artikel 14 må agenturet ikke til tredjemand videregive fortrolige oplysninger, som det behandler eller modtager, og for hvilke der foreligger en begæring om, at de holdes fortrolige. 2. Medlemmerne af bestyrelsen, den administrerende direktør, medlemmerne af den stående gruppe af interessenter, eksterne eksperter, der deltager i ad hoc-arbejdsgrupperne, samt agenturets personale, herunder embedsmænd, der midlertidigt er stillet til rådighed af medlemsstaterne, er, selv efter at deres hverv er ophørt, undergivet tavshedspligt som fastsat i traktatens artikel 339. 3. Agenturet fastsætter i sine interne forretningsgange bestemmelser om, hvordan de i stk. 1 og 2 omhandlede regler om fortrolighed gennemføres i praksis. 4. Bestyrelsen kan beslutte at tillade agenturet at behandle klassificerede oplysninger. I så fald vedtager bestyrelsen efter aftale med de relevante tjenestegrene i Kommissionen interne forretningsgange baseret på sikkerhedsprincipperne i Kommissionens afgørelse 2001/844/EF, EKSF, Euratom af 29. november 2001 om ændring af dens forretningsorden[32]. De interne forretningsgange skal blandt andet indeholde bestemmelser om udveksling, behandling og opbevaring af klassificerede oplysninger. Artikel 18 Aktindsigt 1. Forordning (EF) nr. 1049/2001 finder anvendelse på agenturets dokumenter. 2. Bestyrelsen vedtager de praktiske gennemførelsesbestemmelser til forordning (EF) nr. 1049/2001 senest seks måneder efter, at agenturet er oprettet. 3. De beslutninger, som agenturet træffer efter artikel 8 i forordning (EF) nr. 1049/2001, kan påklages til ombudsmanden eller indbringes for Den Europæiske Unions Domstol efter bestemmelserne i traktatens artikel 228 og artikel 263. AFSNIT 4 FINANSIELLE BESTEMMELSER ARTIKEL 19 Vedtagelse af budgettet 1. Agenturets indtægter består af et bidrag fra Den Europæiske Unions budget, bidrag fra tredjelande, der deltager i agenturets arbejde i henhold til artikel 29, og bidrag fra medlemsstaterne. 2. Agenturets udgifter omfatter udgifter til personale, administrativ og teknisk bistand, infrastruktur og driftsudgifter, samt udgifter som følge af kontrakter, der er indgået med tredjemand. 3. Senest den 1. marts hvert år udarbejder den administrerende direktør et udkast til overslag over agenturets indtægter og udgifter for det følgende regnskabsår og forelægger det for bestyrelsen, ledsaget af et udkast til stillingsfortegnelse. 4. Indtægter og udgifter skal balancere. 5. Hvert år vedtager bestyrelsen på grundlag af udkastet til overslag over indtægter og udgifter fra den administrerende direktør et overslag over agenturets indtægter og udgifter for det kommende regnskabsår. 6. Bestyrelsen fremsender senest den 31. marts dette overslag, der indeholder et udkast til stillingsfortegnelse og et udkast til arbejdsprogram, til Kommissionen og de stater, som Den Europæiske Union har indgået aftaler med i overensstemmelse med artikel 24. 7. Kommissionen sender overslaget til Europa-Parlamentet og Rådet (herefter under ét benævnt "budgetmyndigheden") sammen med forslaget til Den Europæiske Unions almindelige budget. 8. På grundlag af dette overslag opfører Kommissionen i forslaget til Den Europæiske Unions almindelige budget de overslag, den skønner nødvendige for stillingsfortegnelsen, og de tilskud, der ydes over det almindelige budget, og fremsender forslaget til budgetmyndigheden i overensstemmelse med traktatens artikel 314. 9. Budgetmyndigheden godkender bevillingerne til tilskuddet til agenturet. 10. Agenturets stillingsfortegnelse vedtages af budgetmyndigheden. 11. Bestyrelsen vedtager agenturets budget sammen med arbejdsprogrammet. Budgettet bliver endeligt efter den endelige vedtagelse af Den Europæiske Unions almindelige budget. Om nødvendigt afpasser bestyrelsen agenturets budget og dets arbejdsprogram i overensstemmelse med Den Europæiske Unions almindelige budget. Bestyrelsen sender straks budgettet til Kommissionen og budgetmyndigheden. Artikel 20 Bekæmpelse af svig 1. Europa-Parlamentets og Rådets forordning (EF) nr. 1073/1999 af 25. maj 1999 om undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF)[33], finder ubegrænset anvendelse i forbindelse med bekæmpelsen af svig, korruption og andre retsstridige handlinger. 2. Agenturet tiltræder den interinstitutionelle aftale af 25. maj 1999 mellem Europa-Parlamentet, Rådet for Den Europæiske Union og Kommissionen for De Europæiske Fællesskaber om de interne undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF)[34], og udsteder straks de relevante bestemmelser, som skal finde anvendelse på agenturets personale. Artikel 21 Gennemførelse af budgettet 1. Den administrerende direktør gennemfører agenturets budget. 2. Kommissionens interne revisor varetager i forhold til agenturet de samme funktioner, som er tildelt denne i forhold til Kommissionens tjenestegrene. 3. Senest den 1. marts efter hvert afsluttet regnskabsår sender agenturets regnskabsfører det foreløbige årsregnskab ledsaget af en beretning om budgetforvaltningen og den økonomiske forvaltning i regnskabsåret til Kommissionens regnskabsfører. Kommissionens regnskabsfører konsoliderer de foreløbige årsregnskaber for institutionerne og de decentraliserede organer i overensstemmelse med artikel 128 i Rådets forordning (EF, Euratom) nr. 1605/2002 af 25. juni 2002 om finansforordningen vedrørende De Europæiske Fællesskabers almindelige budget[35] (i det følgende benævnt "den almindelige finansforordning"). 4. Senest den 31. marts efter hvert afsluttet regnskabsår sender Kommissionens regnskabsfører agenturets foreløbige årsregnskab ledsaget af beretningen om budgetforvaltningen og den økonomiske forvaltning i regnskabsåret til Revisionsretten. Beretningen om budgetforvaltningen og den økonomiske forvaltning fremsendes ligeledes til budgetmyndigheden. 5. Ved modtagelsen af Revisionsrettens bemærkninger om agenturets foreløbige årsregnskab opstiller den administrerende direktør, i henhold til artikel 129 i den almindelige finansforordning, på eget ansvar agenturets endelige årsregnskab og sender det til bestyrelsen med henblik på udtalelse. 6. Bestyrelsen afgiver udtalelse om agenturets endelige årsregnskab. 7. Den administrerende direktør sender senest den 1. juli efter hvert afsluttet regnskabsår det endelige årsregnskab ledsaget af bestyrelsens udtalelse til Europa-Parlamentet, Rådet, Kommissionen og Revisionsretten. 8. Den administrerende direktør offentliggør det endelige årsregnskab. 9. Den administrerende direktør sender senest den 30. september Revisionsretten et svar på dennes bemærkninger. Dette svar sendes ligeledes til bestyrelsen. 10. Den administrerende direktør forelægger alle de oplysninger, der er nødvendige for, at dechargeproceduren for det pågældende regnskabsår kan forløbe tilfredsstillende, for Europa-Parlamentet på dettes anmodning, jf. artikel 146, stk. 3, i den almindelige finansforordning. 11. Efter henstilling fra Rådet meddeler Europa-Parlamentet inden den 30. april i år N + 2 den administrerende direktør decharge for gennemførelsen af budgettet for regnskabsåret N. AFSNIT 5 GENERELLE BESTEMMELSER ARTIKEL 22 Retlig status 1. Agenturet er et EU-organ. Det har status som juridisk person. 2. Agenturet har i hver medlemsstat den videst mulige rets- og handleevne, som vedkommende stats lovgivning tillægger juridiske personer. Den kan i særdeleshed erhverve og afhænde fast ejendom og løsøre og optræde som part i retssager. 3. Agenturet repræsenteres af sin administrerende direktør. Artikel 23 Personale 1. Agenturets personale, herunder dets administrerende direktør, er omfattet af de regler og forskrifter, der gælder for tjenestemænd og øvrige ansatte i Den Europæiske Union. 2. Bestyrelsen udøver over for den administrerende direktør de beføjelser, som tjenestemandsvedtægten tillægger ansættelsesmyndigheden, og de beføjelser, som ansættelsesvilkårene for øvrige ansatte tillægger den myndighed, der er beføjet til at indgå kontrakter. 3. Agenturet udøver over for sine ansatte de beføjelser, som vedtægten tillægger ansættelsesmyndigheden, og de beføjelser, som ansættelsesvilkårene for øvrige ansatte tillægger den myndighed, der er beføjet til at indgå kontrakter. 4. Agenturet kan anvende udstationerede nationale eksperter fra medlemsstaterne. Agenturet fastsætter i sine interne forretningsgange bestemmelser om gennemførelsen heraf i praksis. Artikel 24 Privilegier og immuniteter Protokollen vedrørende De Europæiske Fællesskabers privilegier og immuniteter gælder for agenturet og dets personale. Artikel 25 Erstatningsansvar 1. Agenturets ansvar i kontraktforhold bestemmes efter den lovgivning, der finder anvendelse på den pågældende kontrakt. Den Europæiske Unions Domstol har kompetence til at træffe afgørelse i henhold til en voldgiftsbestemmelse i en kontrakt, som agenturet har indgået. 2. For så vidt angår ansvar uden for kontraktforhold, skal agenturet i overensstemmelse med de almindelige retsgrundsætninger, der er fælles for medlemsstaternes retssystemer, erstatte skader, der er forvoldt af agenturet eller af dets ansatte under udøvelsen af deres hverv. Domstolen har kompetence til at træffe afgørelse i tvister vedrørende sådanne skadeserstatninger. 3. De ansattes personlige ansvar over for agenturet fastsættes i de ansættelsesvilkår, der gælder for agenturets personale. Artikel 26 Sprog 1. Bestemmelserne i forordning nr. 1 af 15. april 1958 om den ordning, der gælder for Det Europæiske Økonomiske Fællesskab på det sproglige område[36], gælder for agenturet. Medlemsstaterne og andre organer, der er udpeget af dem, kan henvende sig til agenturet og modtage svar på det EU-sprog, de ønsker. 2. De oversættelsesopgaver, der er påkrævet i forbindelse med agenturets virksomhed, udføres af Oversættelsescentret for Den Europæiske Unions Organer. Artikel 27 Beskyttelse af personoplysninger For så vidt angår agenturets behandling af oplysninger vedrørende enkeltpersoner er agenturet underlagt bestemmelserne i forordning (EF) nr. 45/2001. Artikel 28 Tredjelandes deltagelse 1. Tredjelande, som har indgået aftaler med Den Europæiske Union, der indebærer, at de har indført og anvender EU-retten på de områder, der omfattes af denne forordning, kan deltage i agenturet. 2. I de relevante bestemmelser i sådanne aftaler fastsættes de nærmere bestemmelser om bl.a. karakteren, omfanget og udformningen af disse landes deltagelse i agenturets arbejde, herunder bestemmelser om deltagelse i initiativer, der iværksættes af agenturet, samt med hensyn til finansielle bidrag og personale. AFSNIT 6 AFSLUTTENDE BESTEMMELSER ARTIKEL 29 Revisionsklausul 1. Senest tre år efter den oprettelsesdato, der er fastlagt i artikel 34, gennemfører Kommissionen under hensyntagen til alle de relevante interessenters synspunkter en evaluering på grundlag af et kommissorium, der aftales med bestyrelsen. Som led i evalueringen vurderes agenturets resultater og effektivitet set i forhold til de mål, der er fastlagt i artikel 2, samt effektiviteten i agenturets arbejdsmetoder. Kommissionen gennemfører evalueringen navnlig med det formål at afgøre, om agenturet stadig er et effektivt instrument, og om det fortsat skal bestå efter den periode, der er fastsat i artikel 34. 2. Kommissionen sender resultaterne af evalueringen til Europa-Parlamentet og Rådet, og de offentliggøres. 3. Evalueringen forelægges for bestyrelsen, som fremsætter anbefalinger til Kommissionen vedrørende ændringer i denne forordning, agenturet og dets arbejdsform. Bestyrelsen og den administrerende direktør tager hensyn til resultaterne af evalueringen i agenturets flerårige planlægning. Artikel 30 Værtsmedlemsstatens samarbejde Agenturets værtsmedlemsstat sikrer de bedst mulige betingelser for, at agenturet kan fungere problemfrit og effektivt. Artikel 31 Administrativ kontrol Agenturets virke er underlagt ombudsmandens tilsyn i overensstemmelse med traktatens artikel 228. Artikel 32 Ophævelse og afløsning 1. Forordning (EF) nr. 460/2004 ophæves. Henvisninger til forordning (EF) nr. 460/2004 og til ENISA betragtes som henvisninger til nærværende forordning og til agenturet. 2. Agenturet afløser det agentur, der blev oprettet ved forordning (EF) nr. 460/2004, for så vidt angår ethvert ejendomsforhold, enhver aftale, enhver retlig forpligtelse, enhver ansættelseskontrakt, enhver økonomisk forpligtelse og ethvert økonomisk ansvar. Artikel 33 Varighed Agenturet oprettes fra den […] for en periode på fem år. Artikel 34 Ikrafttræden Denne forordning træder i kraft på dagen efter offentliggørelsen i Den Europæiske Unions Tidende og anvendes med virkning fra den 14. marts 2012 eller fra dagen efter offentliggørelsen, alt efter hvilken af disse datoer der kommer senest. Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat. Udfærdiget i […], På Europa-Parlamentets vegne På Rådets vegne Formand Formand FINANSIERINGSOVERSIGT TIL FORSLAGET 1. FORSLAGETS/INITIATIVETS RAMME 1.1. Forslagets/initiativets betegnelse Forslag til Europa-Parlamentets og Rådets forordning om oprettelse af et europæisk agentur for net- og informationssikkerhed (ENISA) 1.2. Berørt(e) politikområd(er) i ABM/ABB-strukturen [37] Informationssamfundet og medier Lovgrundlaget for den digitale dagsorden 1.3. Forslagets/initiativets art ( Forslaget/initiativet drejer sig om en ny foranstaltning ( Forslaget/initiativet drejer sig om en ny foranstaltning til opfølgning af et pilotprojekt/en forberedende foranstaltning[38] ( Forslaget/initiativet drejer sig om forlængelse af en eksisterende foranstaltning ( Forslaget/initiativet drejer sig om omlægning af en foranstaltning til en ny foranstaltning 1.4. Mål 1.4.1. Kommissionens flerårige strategiske mål med forslaget/initiativet Sammenhængende lovgivningsstrategier – at vejlede og rådgive Kommissionen og medlemsstaterne med henblik på udvikling og ajourføring af et helhedsorienteret sæt normative rammer for net- og informationssikkerhed. Forebyggelse, opdagelse og indsats – at styrke beredskabet ved at bidrage til et europæisk forvarslings- og beredskabssystem samt fælleseuropæiske katastrofeplaner og -øvelser. Videnopbygning til støtte for de politiske beslutningstagere – at yde bistand og rådgivning til Kommissionen og medlemsstaterne med henblik på at nå et højt niveau af viden i EU om spørgsmål vedrørende net- og informationssikkerhed og at formidle denne viden til de berørte parter i erhvervslivet. Dette aspekt omfatter også indsamling, analyse og formidling af oplysninger om de økonomiske konsekvenser af brud på net- og informationssikkerheden, der kan anspore de berørte parter til at investere i sikkerhedsfremmende foranstaltninger, samt endvidere identifikation af risici, statusindikatorer for net- og informationssikkerhed i EU mm. Ansvarliggørelse af de berørte parter – at udvikle en sikkerheds- og risikostyringskultur ved at fremme informationsformidling og samarbejde mellem aktører fra den offentlige og den private sektor, hvilket også direkte vil gavne borgerne, og ved at skabe øget bevidsthed om net- og informationssikkerhed. Afskærmning af Europa mod internationale trusler – at etablere et tæt samarbejde med tredjelande og internationale organisationer for at fremme en fælles verdensomspændende strategi for net- og informationssikkerhed og sikre, at initiativer på højt internationalt plan får virkning i Europa. Samordnet gennemførelse – at fremme samarbejdet om gennemførelsen af politikker for net- og informationssikkerhed. Bekæmpelse af internetkriminalitet – at integrere net- og informationssikkerhedsaspekterne af kampen mod internetkriminalitet i drøftelserne og udvekslingen af god praksis mellem offentlige og private interesseparter, særlig gennem samarbejde med myndigheder under (forhenværende) anden og tredje søjle, f.eks. Europol. 1.4.2. Berørte specifikke mål og ABM/ABB-aktiviteter Specifikt mål At styrke net- og informationssikkerheden, at udvikle en net- og informationssikkerhedskultur til gavn for borgere, forbrugere, virksomheder og organisationer i den offentlige sektor og at pege på de politiske udfordringer, som fremtidige net og internettet skaber. Berørte ABM/ABB-aktiviteter Politik for elektronisk kommunikation og netsikkerhed. 1.4.3. Forventede resultater og virkninger Initiativet forventes at få følgende økonomiske virkninger: - der vil være øget information til rådighed om de nuværende og fremtidige udfordringer og risici for nettenes sikkerhed og robusthed - der undgås overlapning i medlemsstaternes indsamling af relevante oplysninger om risici, trusler og sårbarheder - de politiske beslutningstagere vil kunne træffe afgørelser på et mere velinformeret grundlag - kvaliteten af medlemsstaternes politiske bestemmelser vedrørende net- og informationssikkerhed vil stige som følge af formidling af bedste praksis - der vil kunne opnås stordriftsfordele ved at reagere på sikkerhedsrelaterede hændelser på EU-plan - fælles politiske mål og standarder for sikkerhed og robusthed på EU-plan vil medføre øgede investeringer - øget sikkerhed og robusthed vil medføre lavere driftsrisici for virksomhederne - indsatsen mod internetkriminalitet vil blive mere sammenhængende. Initiativet forventes at få følgende sociale virkninger: - øget brugertillid til informationssamfundstjenester og -systemer - øget tillid til det indre marked i kraft af et højere niveau af forbrugerbeskyttelse - øget udveksling af information og viden med tredjelande - bedre beskyttelse af de grundlæggende menneskerettigheder i EU i kraft af en ensartet beskyttelse af EU-borgernes personoplysninger og privatliv. De forventede miljømæssige virkninger er minimale: - mindre CO2-udledning, fordi øget tillid til og dermed brug af ikt-systemer og –tjenester fører til nedsat rejseaktivitet, og lavere el-forbrug som følge af stordriftsfordele i gennemførelsen af sikkerhedskrav . 1.4.4. Virknings- og resultatindikatorer Overvågningsindikatorerne for de enkelte mål er følgende: Sammenhængende lovgivningsstrategier : - antallet af medlemsstater, der følger agenturets anbefalinger i deres politiske beslutningsproces - antallet af undersøgelser, der sigter mod at finde huller og uoverensstemmelser i standardiseringsrammerne for net- og informationssikkerhed - fald i omfanget af afvigelser mellem medlemsstaternes strategier for net- og informationssikkerhed. Forebyggelse, opdagelse og indsats : - antallet af uddannelsestiltag vedrørende net- og informationssikkerhed, der tilrettelægges - tilstedeværelse af et fungerende system til tidlig varsling af nye risici og angreb - antallet af net- og informationssikkerhedsøvelser på EU-plan, der koordineres af agenturet. Videnopbygning til støtte for de politiske beslutningstagere : - antallet af undersøgelser, der har til formål at indsamle information om eksisterende og forventede net- og informationssikkerhedsrisici samt teknologier til risikoforebyggelse - antallet af høringer af offentlige organer, der beskæftiger sig med net- og informationssikkerhed - tilstedeværelse af en europæisk ramme for tilrettelæggelse af indsamling af data om net- og informationssikkerhed. Ansvarliggørelse af de berørte parter : - antallet af anbefalinger om god praksis til virksomhederne - omfanget af private parters investeringer i sikkerhedsforanstaltninger. Afskærmning af Europa mod internationale trusler : - antallet af konferencer/møder mellem EU's medlemsstater med henblik på at vedtage fælles mål for net- og informationssikkerhed - antallet af møder mellem europæiske og internationale net- og informationssikkerhedseksperter. Samordnet gennemførelse : - antallet af vurderinger af, om lovgivningen overholdes - omfanget af EU-dækkende praksis på net- og informationssikkerhedsområdet. Bekæmpelse af internetkriminalitet: - regelmæssighed i forbindelserne med agenturer under forhenværende anden og tredje søjle - antallet af tilfælde, hvor agenturet har ydet ekspertbistand i efterforskningen af kriminalsager. 1.5. Forslagets/initiativets begrundelse 1.5.1. Behov, der skal dækkes på kort eller lang sigt Agenturet blev oprettet i 2004 med det formål at reagere på trusler mod net- og informationssikkerheden og eventuelle efterfølgende brud på sikkerheden. Siden da har udfordringerne udviklet sig i takt med teknologi- og markedsudviklingen, og de har været genstand for yderligere overvejelser og debat, der har resulteret i en ajourført og mere detaljeret beskrivelse af problemerne og af følgerne af forandringerne på net- og informationssikkerhedsområdet. 1.5.2. Merværdi som følge af EU-foranstaltningen Net- og informationssikkerhedsproblemer holder sig ikke inden for de nationale grænser og kan derfor ikke løses effektivt på nationalt plan alene. Samtidig er der stor forskel på, hvordan problemerne gribes an i de forskellige medlemsstater. Disse forskelle kan være en væsentlig hindring for at iværksætte EU-dækkende ordninger til forbedring af net- og informationssikkerheden i Europa. Ikt-nettenes indbyrdes sammenhæng betyder, at virkningen af foranstaltninger, der træffes på nationalt plan i en medlemsstat, påvirkes kraftigt af mindre virkningsfulde foranstaltninger i en anden medlemsstat og af manglen på systematisk samarbejde på tværs af grænserne. Utilstrækkelige net- og informationssikkerhedsforanstaltninger, der fører til tjenesteafbrydelser i én medlemsstat, kan også påvirke tjenesterne i en anden medlemsstat. Desuden medfører de mange forskellige sikkerhedskrav ekstra omkostninger for virksomheder, der handler på europæisk plan, og de fører til opsplitning og manglende konkurrenceevne på det indre marked. Afhængigheden af net og informationssystemerne vokser, men beredskabet til at gribe sikkerhedsproblemerne an synes utilstrækkeligt. De nuværende nationale varslings- og beredskabssystemer har alvorlige mangler. Procedurerne og praksis for overvågning og rapportering af netsikkerhedsrelaterede hændelser varierer stærkt fra medlemsstat til medlemsstat. I nogle lande er procedurerne ikke formaliseret, og i andre er der ikke nogen myndighed, der har kompetence til at modtage og behandle meldinger om sikkerhedshændelser. Der findes ikke noget europæisk system. Dette betyder, at net- og informationssikkerhedsproblemer kan føre til alvorlige afbrydelser i forsyningerne med basale fornødenheder. Der bør derfor tilrettelægges et passende beredskab. Kommissionens meddelelse om beskyttelse af kritisk informationsinfrastruktur understregede også behovet for et europæisk forvarslings- og beredskabssystem, eventuelt støttet af øvelser på europæisk plan. Der er et klart behov for politiske instrumenter, der sigter mod proaktivt at kortlægge net- og informationssikkerhedsrisici og -sårbarheder, etablere passende beredskabssystemer (f.eks. gennem kortlægning og formidling af god praksis) og sikre, at de berørte parter kender og anvender disse systemer. 1.5.3. Erfaringer fra lignende, tidligere gennemførte foranstaltninger Se punkt 1.5.1 og 1.5.2. 1.5.4. Sammenhæng med andre relevante instrumenter og mulig synergivirkning Dette initiativ er fuldt i tråd med den almindelige debat om net- og informationssikkerhed og andre politiske initiativer, der sætter fokus på net- og informationssikkerhed i fremtiden. Det udgør et af hovedelementerne i den digitale dagsorden for Europa, som er et flagskibsinitiativ under Europa 2020-strategien. 1.6. Foranstaltningens varighed og finansielle virkning ( Forslag/initiativ af begrænset varighed - ( Den femårige forlængelse løber fra den 14. marts 2012 eller fra den dato, hvor den nye forordning træder i kraft, alt efter hvilken af disse datoer der kommer senest. - ( Finansiel virkning fra 2012 – 2017. ( Forslag/initiativ af ubegrænset varighed - Gennemførelse med en indkøringsperiode fra ÅÅÅÅ til ÅÅÅÅ - derefter implementering i fuldt omfang 1.7. Planlagt(e) forvaltningsmåde(r) [39] ( Direkte central forvaltning ved Kommissionen ( Indirekte central forvaltning ved uddelegering af gennemførelsesopgaver til: - ( gennemførelsesorganer - ( organer oprettet af Fællesskaberne[40] - ( nationale offentligretlige organer/organer med offentlige tjenesteydelsesopgaver - ( personer, der er pålagt at gennemføre specifikke aktioner i henhold til afsnit V i traktaten om Den Europæiske Union, og som er identificeret i den relevante basisretsakt, jf. artikel 49 i finansforordningen ( Delt forvaltning i samarbejde med medlemsstaterne ( Decentral forvaltning i samarbejde med tredjelande ( Fælles forvaltning i samarbejde med internationale organisationer (angives nærmere) 2. FORVALTNINGSFORANSTALTNINGER 2.1. Bestemmelser vedrørende opfølgning og rapportering Den administrerende direktør er ansvarlig for en effektiv overvågning og evaluering af agenturets arbejde set i forhold til dets mål og aflægger årligt beretning til bestyrelsen. Den administrerende direktør udarbejder en årsberetning om alle agenturets aktiviteter i det forløbne år, som navnlig sammenholder de opnåede resultater med målene i årets arbejdsprogram. Når bestyrelsen har vedtaget årsberetningen, fremsendes den til Europa-Parlamentet, Rådet, Kommissionen, Revisionsretten, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget, og den offentliggøres. 2.2. Forvaltnings- og kontrolordning 2.2.1. Konstaterede risici Siden oprettelsen i 2004 har ENISA været genstand for både interne og eksterne evalueringer. I overensstemmelse med artikel 25 i ENISA-forordningen var det første skridt i denne proces en uafhængig evaluering af ENISA, som blev gennemført af et panel af eksterne eksperter i 2006/2007. Ekspertpanelets rapport[41] bekræftede, at det oprindelige politiske ræsonnement for at oprette agenturet og dets oprindelige mål stadig er gyldige, og den fremhævede også nogle af de problemer, der skal tages op. I marts 2007 aflagde Kommissionen beretning om evalueringen til bestyrelsen, som herefter vedtog sine egne anbefalinger om agenturets fremtid og om ændringer af ENISA-forordningen[42]. I juni 2007 forelagde Kommissionen sin egen vurdering af den eksterne evaluerings resultater og bestyrelsens anbefalinger i en meddelelse til Europa-Parlamentet og Rådet[43]. Kommissionen fastslog, at der må tages stilling til, om agenturets mandat skal forlænges, eller om agenturet skal erstattes af en anden mekanisme som f.eks. et stående forum af interessenter eller et netværk af sikkerhedsorganisationer. Meddelelsen igangsatte også en offentlig høring om spørgsmålet, idet europæiske interesseparter blev opfordret til at fremsætte deres bemærkninger på grundlag af en række spørgsmål, som skulle forme den videre debat[44]. 2.2.2. Planlagt(e) kontrolredskab(er) Se punkt 2.1 og 2.2.1. 2.3. Foranstaltninger til forebyggelse af svig og uregelmæssigheder Udbetalinger til tjenesteydelser eller bestilte undersøgelser forhåndskontrolleres af agenturets tjenestegrene under hensyntagen til eventuelle kontraktlige forpligtelser, økonomiske principper og god finansiel og forvaltningsmæssig praksis. Alle aftaler og kontrakter mellem agenturet og modtagere af udbetalinger vil indeholde bestemmelser om forholdsregler mod svig (tilsyn, rapporteringskrav m.v.). 3. FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNING* 3.1. Udgiftsområde(e) i den flerårige finansielle ramme og berørt(e) budgetpost(er) - Eksisterende udgiftsposter i budgettet Udgiftsområde i den flerårige finansielle ramme | Budgetpost | Udgiftens art | Deltagelse | Nummer/beskrivelse | OB/IOB ([45]) | fra EFTA-lande[46] | fra kandidatlande[47] | fra tredjelande | i.h.t. artikel 18, stk. 1, litra aa), i finansforordningen | 1.a Konkurrenceevne for vækst og beskæftigelse | 09 02 03 01 Det Europæiske Agentur for Net- og Informationssikkerhed – Tilskud til afsnit 1 og 2 | OB | JA | NEJ | NEJ | NEJ | 09 02 03 02 Det Europæiske Agentur for Net- og Informationssikkerhed – Tilskud til afsnit 3 | OB | JA | NEJ | NEJ | NEJ | 5 Administrationsudgifter | 09 01 01 Udgifter vedrørende tjenstgørende personale inden for politikområdet informationssamfundet og medier | IOB | NEJ | NEJ | NEJ | NEJ | 09 01 02 11 Andre administrationsudgifter | IOB | NEJ | NEJ | NEJ | NEJ | * Denne finansieringsoversigt omfatter ikke de anslåede finansielle virkninger ud over indeværende finansielle programmeringsperiode, 2007-2013. På grundlag af Kommissionens forslag til forordning om den flerårige finansielle ramme for perioden efter 2013 og under hensyn til konklusionerne af konsekvensanalysen vil Kommissionen forelægge en ændret finansieringsoversigt. 3.2. Anslået virkning for udgifterne 3.2.1. Sammenfatning af den anslåede virkning for udgifterne i mio. EUR (tre decimaler) Udgiftsområde i den flerårige finansielle ramme: | 1.a | Konkurrenceevne for vækst og beskæftigelse | Stillinger i stillingsfortegnelsen (tjenestemænd og midlertidigt ansatte) | XX 01 01 01 (i hovedsædet og i Kommissionens repræsentationskontorer) | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- | I ALT | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- | - b) Personaleressourcer til ENISA 1. jan. – 13. marts 2012 | 14. marts – 31. dec. 2012 | 2013 | 2014 | 2015 | 2016 | 1. jan. – 13. marts 2017 | ENISA's stillingsfortegnelse (i fuldtidsækvivalenter: FTE) | Andet personale (i FTE) | Kontraktansatte | 13 | 14 | 14 | -- | -- | -- | -- | Udstationerede nationale eksperter | 5 | 5 | 5 | -- | -- | -- | -- | Andet personale i alt | 18 | 19 | 19 | -- | -- | -- | -- | I ALT | 62 | 66 | 66 | -- | -- | -- | -- | Beskrivelse af de arbejdsopgaver, der skal udføres af agenturets personale: Tjenestemænd og midlertidigt ansatte | Agenturet vil fortsat: have en rådgivende og koordinerende funktion, der omfatter indsamling og analyse af data om informationssikkerhed. I dag indsamler både offentlige og private organisationer med forskellige mål data om it-hændelser og andre data, der er relevante for informationssamfundet. Der er imidlertid ikke nogen central organisation på europæisk plan, der på en dækkende måde kan indsamle og analysere data, afgive udtalelser og yde rådgivning til støtte for EU's strategiske arbejde inden for net- og informationssikkerhed fungere som et ekspertisecenter, hvor både medlemsstaterne og EU's institutioner kan indhente udtalelser og rådgivning om tekniske spørgsmål vedrørende sikkerhed bidrage til et bredt samarbejde mellem forskellige aktører på området informationssikkerhed, f.eks. ved at yde bistand til opfølgningsaktiviteterne til støtte for sikker e-business. Et sådant samarbejde er en forudsætning for, at net- og informationssystemerne i Europa kan fungere sikkert. Det er nødvendigt, at alle berørte parter inddrages og deltager i samarbejdet fremme en koordineret fremgangsmåde inden for informationssikkerhed ved at yde støtte til medlemsstaterne, f.eks. vedrørende fremme af risikovurdering og oplysningstiltag sikre interoperabilitet mellem net og informationssystemer, når medlemsstaterne indfører tekniske krav, der berører sikkerheden udpege relevante standardiseringsbehov, vurdere eksisterende sikkerhedsstandarder og certificeringsordninger og tilskynde til, at disse anvendes i videst muligt omfang til at støtte gennemførelsen af EU-lovgivningen støtte det internationale samarbejde på dette område, der bliver mere og mere nødvendigt, eftersom net- og informationssikkerhedsspørgsmålene er af global karakter. | Eksternt personale | Se ovenfor. | - 3.2.4. Forenelighed med den nuværende flerårige finansielle ramme - ( Forslaget/initiativet er foreneligt med den nuværende flerårige finansielle ramme. - ( Forslaget/initiativet kræver en omlægning af det relevante udgiftsområde i den flerårige finansielle ramme. - ( Forslaget/initiativet kræver, at fleksibilitetsinstrumentet anvendes, eller, at den flerårige finansielle ramme revideres[49]. EU's bidrag efter 2013 vil blive drøftet som led i en debat i Kommissionen som helhed om samtlige forslag for perioden efter 2013. Derfor vil Kommissionen, når den har fremsat sit forslag til forordning om den kommende flerårige finansielle ramme, forelægge en ændret finansieringsoversigt, hvor der tages hensyn til konklusionerne af konsekvensanalysen. 3.2.5. Tredjeparts deltagelse i finansieringen - ( Forslaget/initiativet tillader ikke samfinansiering med deltagelse af tredjepart. - ( Forslaget/initiativet samfinansieres som anslået nedenfor: Vejledende bevillinger i mio. EUR (tre decimaler) |1. jan. – 13. marts 2012 |14. marts – 31. dec. 2012 |2013 |2014 |2015 |2016 |1. jan. – 13. marts 2017 | I ALT 14. marts 2012 – 13. marts 2017 | |EFTA |0,042 |0,160 |0,206 |-- |-- |-- |-- |-- | | 3.3. Anslået virkning for indtægterne - ( Forslaget/initiativet har ingen finansiel virkning for indtægterne. - ( Forslaget/initiativet har følgende finansielle virkning: - ( på egne indtægter - ( på diverse indtægter [1] Europa-Parlamentets og Rådets forordning (EF) nr. 460/2004 af 10. marts 2004 om oprettelse af et europæisk agentur for net- og informationssikkerhed (EUT L 77 af 13.3.2004, s. 1). [2] Europa-Parlamentets og Rådets forordning (EF) nr. 1007/2008 af 24. september 2008 om ændring af forordning (EF) nr. 460/2004 om oprettelse af et europæisk agentur for net- og informationssikkerhed for så vidt angår agenturets mandatperiode (EUT L 293 af 31.10.2008, s. 1). [3] Den sammenfattende rapport om resultaterne af den offentlige høring, "Towards a Strengthened Network and Information Security Policy in Europe", er knyttet som bilag 11 til den konsekvensanalyse, der ledsager dette forslag. [4] KOM(2009) 149 af 30.3.2009. [5] Diskussionsoplæg: http://www.tallinnciip.eu/doc/discussion_paper_-_tallinn_ciip_conference.pdf Formandskabets konklusioner:http://www.tallinnciip.eu/doc/EU_Presidency_Conclusions_Tallinn_CIIP_Conference.pdf. [6] Rådets resolution af 18. december 2009 om en samordnet europæisk strategi for net- og informationssikkerhed (EUT C 321 af 29.12.2009, s. 1).http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2009:321:0001:0004:EN:PDF. [7] KOM(2010) 245 af 19.5.2010. [8] Rådets resolution af 18. december 2009 om en samordnet europæisk strategi for net- og informationssikkerhed fastslår også, at: "Rådet […] anerkender […] vigtigheden af at undersøge de strategiske virkninger, risici og udsigter ved at oprette CERT’er for EU-institutionerne og overveje ENISA's mulige fremtidige rolle på dette område". [9] Se bilag XI til konsekvensanalysen. [10] Se bilag IV til konsekvensanalysen. [11] EUT C 115 af 9.5.2008, s. 94. [12] C-217/04, Det Forenede Kongerige Storbritannien og Nordirland mod Europa-Parlamentet og Rådet for Den Europæiske Union , EU-Domstolen, 2.5.2006. [13] Jf. ovenfor. [14] Forskellen mellem de to procedurer ligger navnlig i kravene vedrørende flertal i Rådet og Parlamentet. [15] EUT C […] af […], s. […]. [16] EUT C […] af […], s. […]. [17] EUT L 77 af 13.3.2004, s. 1. [18] EUT L 293 af 31.10.2008, s. 1. [19] KOM(2006) 251 af 31.5.2006. [20] Rådets resolution af 22. marts 2007 om en strategi for et sikkert informationssamfund i Europa (EUT C 68 af 24.3.2007, s. 1). [21] KOM(2009) 149 af 30.3.2009. [22] Rådets resolution af 18. december 2009 om en samordnet europæisk strategi for net- og informationssikkerhed (EUT C 321 af 29.12.2009, s. 1). [23] KOM(2010) 245 af 19.5.2010. [24] EFT L 108 af 24.4.2002, s. 33. [25] EFT L 201 af 31.7.2002, s. 37. [26] EFT L 281 af 23.11.1995, s. 31. [27] EUT L 337, 18.12.2009, s. 1. [28] EFT L 204 af 21.7.1998, s. 37. [29] Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30.5.2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (EFT L 145 af 31.5.2001, s. 43). [30] Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1). [31] EFT L 357 af 31.12.2002, s. 72. [32] EFT L 317 af 3.12.2001, s. 1. [33] EFT L 136 af 31.5.1999, s. 1. [34] EFT L 136 af 31.5.1999, s. 15. [35] EFT L 248 af 16.9.2002, s. 1. [36] EFT 17 af 6.10.1958, s. 385. Senest ændret ved tiltrædelsestraktaten af 1994. [37] ABM: Activity-Based Management (aktivitetsbaseret forvaltning) – ABB: Activity-Based Budgeting (opstilling af budgettet efter aktivitetsområder). [38] Jf. artikel 49, stk. 6, litra a) og b), i finansforordningen. [39] Forklaringer vedrørende forvaltningsmåder og referencer til finansforordningen findes på webstedet BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html [40] Organer som omhandlet i finansforordningens artikel 185. [41] http://ec.europa.eu/dgs/information_society/evaluation/studies/index_en.htm. [42] I overensstemmelse med artikel 25 i ENISA-forordningen. Det dokument, som ENISA-bestyrelsen vedtog, og som også indeholder bestyrelsens betragtninger, findes på: http://enisa.europa.eu/pages/03_02.htm. [43] Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet om evaluering af Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA), KOM(2007) 285 endelig af 1.6.2007.http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52007DC0285:EN:NOT. [44] http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=EnisaFuture&lang=en. [45] OB = opdelte bevillinger / IOB = ikke-opdelte bevillinger. [46] EFTA: Den Europæiske Frihandelssammenslutning. [47] Kandidatlande og eventuelle kandidatlande på Vestbalkan. [48] Bilaget til finansieringsoversigten er ikke udfyldt, da det ikke er relevant for det aktuelle forslag. [49] Jf. punkt 19 og 24 i den interinstitutionelle aftale.