52003PC0063

Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zur Gründung der Europäischen Agentur für Netz- und Informationssicherheit

(von der Kommission vorgelegt)

BEGRÜNDUNG

1. HINTERGRUND

Über 90 % der Unternehmen in der Europäischen Union verfügen heute über einen Internetanschluss, und die Mehrzahl von ihnen über eine Internetpräsenz. Überwältigend viele Beschäftigte verwenden ein Mobiltelefon, einen Laptop oder ein vergleichbares Gerät zum Senden und Abrufen von Informationen für ihre Arbeit. Diese Informationen können einen erheblichen Wert darstellen, wenn sie z.B. eine geschäftliche Transaktion beschreiben oder technische Kenntnisse enthalten.

Abgesehen von der Arbeit, sind Computer und Netze zu einem wesentlichen Bestandteil des Lebens der Menschen geworden. Im Jahr 2002 verfügten über 40 % der Haushalte über ihren eigenen Internetanschluss und mehr als zwei Drittel der Bevölkerung über ein Mobiltelefon. Schulen und Hochschulen haben Internetzugang; Lernen und Studieren im Internet und am Computer ist allgemein üblich. Öffentliche Verwaltungen stellen zügig auf elektronische Behördendienste um. Infrastrukturen wie Elektrizitäts- und Wasserversorgung oder öffentliche Verkehrs- und Kommunikationssysteme werden von Computern und Kommunikationsnetzen gesteuert. Seit dem 11. September 2001 sind diese Aspekte auch zu einer Frage der Staatssicherheit geworden.

Da so viel von Netz- und Informationssystemen abhängt, ist deren sichere Funktionsweise zu einem Hauptanliegen geworden. Ebenso wie bei der Elektrizitäts- oder Wasserversorgung erwartet wird, setzt man als selbstverständlich voraus, dass ein Telefon funktioniert, wenn man es abhebt, dass ein Computer einwandfrei läuft, wenn er gebraucht wird. Der Nutzer wünscht Zugang zu gespeicherten Informationen ohne lästige Verzögerungen oder Unterbrechungen. Netzausfälle und Computer pannen sind kein ausschließliches Problem der Computerfachleute mehr. Funktionsstörungen in Netz- und Informationssystemen betreffen uns alle: Bürger, Unternehmen und Verwaltungen.

Sicherheit ist ein wesentlicher Aspekt vieler, insbesondere im Internet präsenter Unternehmen geworden. Sie hat sich daher zu einer eigenen Branche entwickelt, in der spezialisierte Unternehmen Produkte und Dienste verkaufen und kommerzielle Vereinbarungen getroffen werden. Verbraucher kaufen beispielsweise Antiviren-Software und installieren Firewalls auf ihren Computern. Unternehmen investieren in Sicherheit, entwickeln geschützte Intranets, verschlüsseln elektronische Nachrichten oder drahtlose Kommunikation. Sensible Daten werden verschlüsselt übermittelt. Einige Nutzer scheinen über Schwachstellen und Mittel zu deren Behandlung gut unterrichtet zu sein, andere sind weniger informiert oder besorgt.

Aus heutiger Sicht bietet Netz- und Informationssicherheit die Gewähr, dass Dienste und Daten verfügbar, Unterbrechungen und unbefugtes Abhören von Gesprächen ausgeschlossen sind, dass versandte, empfangene oder gespeicherte Daten vollständig und unverändert bleiben, die Vertraulichkeit von Daten gewahrt ist, Informationssysteme gegen unberechtigten Zugang und gegen Angriffe durch bösartige Software geschützt werden und eine zuverlässige Authentifizierung, d.h. die Bestätigung einer behaupteten Identität von Unternehmen oder Nutzern, sichergestellt ist.

In naher Zukunft werden sich die Sicherheitsanforderungen mit der Weiterentwicklung von Netzen und Rechnern und der verstärkten Präsenz von Computern rasch verändern. Das bedeutet, dass Breitbandverbindungen die Möglichkeit eines jederzeitigen Internetanschlusses bieten, neue drahtlose Anwendungen den Internetzugang von nahezu überall aus gestatten, dass sich die Möglichkeiten, beliebige Geräte, vom Drucker bis zum Kühlschrank, an das Internet anzuschließen, weiter entwickeln und damit die Formen der Internetnutzung zunehmen werden.

Sicherheitsmanagement hat sich als schwierige und komplexe Aufgabe erwiesen, da sich der Nutzer mit der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Daten und Diensten auseinander setzen muss. Angesichts der technologischen Komplexität müssen viele Komponenten und Akteure zusammenwirken und ist das menschliche Verhalten zu einem maßgebenden Faktor geworden.

Vollständige Sicherheit wird wahrscheinlich nie erreichbar sein, zumindest nicht zu vertretbaren Kosten. Es wird immer Schwachstellen, Angriffe, Vorfälle und Ausfälle geben, die Schaden anrichten und das Vertrauen in Systeme und Dienste untergraben. Darin besteht kein Unterschied zu anderen Technologien und Aspekten des täglichen Lebens. Die Gesellschaft insgesamt sowie die einzelnen Nutzer müssen lernen, mit den Risiken von Netz- und Informationssystemen umzugehen.

2. HANDLUNGSBEDARF

Sicherheit ist zu einem wesentlichen politischen Anliegen geworden. Die Regierungen sehen sich mit einer erweiterten Verantwortung für die Gesellschaft konfrontiert und sind zunehmend bestrebt, die Sicherheit in ihrem Land zu verbessern. Sie suchen die Sicherheit zu erhöhen, indem sie z.B. Computer-Notdienste, Forschungsarbeiten und Aufklärungskampagnen unterstützen. Sie sorgen ferner für die Ausstattung und Schulung bei der Durchsetzung von Rechtsvorschriften gegenüber Computer- und Internetkriminalität.

Die Mitgliedstaaten stehen jedoch in unterschiedlichen Phasen dieser Arbeit und widmen ihre Aufmerksamkeit verschiedenen Schwerpunkten. Abgesehen von Verwaltungsnetzen wie TESTA gibt es keine systematische grenzüberschreitende Zusammenarbeit zwischen den Mitgliedstaaten im Bereich der Netz- und Informationssicherheit, obwohl Sicherheitsfragen kein isoliertes Thema lediglich eines Landes sein können. Es gibt kein Verfahren, das wirksame Reaktionen auf Sicherheitsbedrohungen gewährleistet. Die Rechtsvorschriften sind in unterschiedlichem Maße umgesetzt. Die Produktzertifizierung erfolgt auf nationaler Ebene, während die wichtigsten Normen von der weltweiten Industrie entwickelt werden; Betreiber und Hersteller sind mit unterschiedlichen Haltungen der Regierungen konfrontiert. Die Folge ist ein Mangel an Interoperabilität, der den sachgerechten Einsatz von Sicherheitsprodukten und -diensten behindert.

Die Europäische Gemeinschaft könnte von einer verstärkten Koordinierung der Mitgliedstaaten profitieren, um ein hinreichendes Maß an Sicherheit in allen Mitgliedstaaten zu erreichen. Dieses Ziel wird mit der Mitteilung der Kommission über die Sicherheit der Netze und Informationen vom Juni 2001 [1] angestrebt, die Vorschläge für verschiedene Maßnahmen enthält, u.a. Sensibilisierungsinitiativen, verbesserter Austausch von Informationsmechanismen und Unterstützung der marktorientierten Normung und Zertifizierung.

[1] Mitteilung der Kommission an das Europäische Parlament, den Rat, den Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Sicherheit der Netze und Informationen: Vorschlag für einen europäischen Politikansatz, KOM(2001) 298 endgültig.

Ferner wurde in der Mitteilung die Einführung eines europäischen Warn- und Informationssystems vorgeschlagen. In der Entschließung des Rates vom 28. Januar 2002 zu einem gemeinsamen Ansatz und spezifischen Maßnahmen im Bereich der Netz- und Informationssicherheit wurde dieses Konzept weiterentwickelt. Es hat sich herausgestellt, dass Fragen der Netz- und Informationssicherheit bei den derzeitigen institutionellen Vorkehrungen auf europäischer Ebene nicht angemessen behandelt werden können.

In der Entschließung wird die Absicht der Kommission begrüßt, Vorschläge für die Einrichtung eines Sonderstabs für Computer- und Netzsicherheit zu unterbreiten. Dieser soll, aufbauend auf den einzelstaatlichen Bemühungen, die Netz- und Informationssicherheit erhöhen und die Mitgliedstaaten besser befähigen, einzeln und gemeinsam erheblichen Problemen auf diesem Gebiet zu begegnen.

Als Reaktion auf die Vorschläge der Kommission forderte das Europäische Parlament in einer Stellungnahme nachdrücklich eine europäische Antwort auf das zunehmende Sicherheitsproblem.

Im Juni 2002 verabschiedete die OECD ihre ,Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security" (Leitlinien zur Sicherheit von Informationssystemen und -netzen: Entwicklung einer Sicherheitskultur). Darin wird auf die Bedeutung gemeinsamer Grundsätze für die Informationssicherheit hingewiesen und die Arbeit unterstützt, die derzeit auf europäischer Ebene stattfindet.

3. DER VORSCHLAG ZUR GRÜNDUNG EINER AGENTUR FÜR NETZ- UND INFORMATIONSSICHERHEIT

3.1. Hintergrund

Das Europäische Parlament, der Rat und die Kommission befürworten eine engere europäische Koordinierung in Fragen der Informationssicherheit. Die Schaffung einer Stelle mit Rechtspersönlichkeit wäre der beste Weg zur Erreichung dieses Ziels. Daher soll mit der vorgeschlagenen Verordnung eine europäische Regulierungsagentur gemäß Rahmenbedingungen für die europäischen Regulierungsagenturen, KOM(2002) 718 endg., die Europäische Agentur für Netz- und Informationssicherheit, nachstehend ,die Agentur" genannt, gegründet werden.

Die spezifischen Regelungen zur elektronischen Kommunikation, insbesondere die Rahmenrichtlinie über elektronische Kommunikation weisen den zuständigen nationalen Behörden eine wichtige Rolle zu. Daher wird die Agentur nicht nur der Kommission sondern auch den nationalen Regulierungsbehörden Hilfestellung leisten.

Der Vorschlag trägt verschiedenen Anliegen Rechnung, die während der Konsultation der Mitgliedstaaten gegenüber der Kommission geäußert wurden. Auch in Beiträgen der Privatwirtschaft wurde auf entsprechende Belange hingewiesen, die insgesamt Flexibilität, Vertrauenswürdigkeit, Kompetenz, Effizienz und Kohärenz der vorgeschlagenen Agentur erfordern. Vor allem wurden folgende Anforderungen hervorgehoben:

a) Da die Netz- und Informationssicherheit eine rasche Entwicklung durchläuft, können sich auch die besten institutionellen Vorkehrungen mit der Zeit ändern. Daher sollte die Agentur für einen begrenzten Zeitraum tätig sein; anschließend sollte eine Überprüfung stattfinden.

b) Die Agentur muss das Vertrauen öffentlicher Stellen und Institutionen der Mitgliedstaaten sowie des Privatsektors genießen.

c) Sie sollte ein Fachzentrum unter Beteiligung kompetenter Fachleute aus allen Mitgliedstaaten sein.

d) Die Agentur muss effizient und rasch handeln können. Daher werden hinreichende Human- und Finanzressourcen benötigt, die sich allerdings in angemessenen Grenzen halten, um eine reibungslose und flexible Arbeitsweise zu gewährleisten, und

e) Die Kommission muss die Arbeit der Agentur lenken können.

Diese Anforderungen dienen als Richtschnur für die vorgeschlagene Verordnung. Sie verdeutlichen, warum die Aufgaben der Agentur eindeutig erläutert werden und gestatten gleichzeitig einen flexiblen Ansatz. Sie geben Anlass zu einer Bewertung der Tätigkeiten der Agentur nach drei Jahren und verdeutlichen, dass eine enge Zusammenarbeit mit den Institutionen und Gremien der Mitgliedstaaten sowie mit den Gemeinschaftsorganen eine wesentliche Voraussetzung für die einwandfreie Arbeitsweise der Agentur ist.

Die Agentur erhält wissenschaftliche Unterstützung durch die Tätigkeiten der Gemeinsamen Forschungsstelle und die anderen Forschungsprogramme der Gemeinschaft.

3.2. Wahl der Rechts0grundlage

Vor diesem Hintergrund behandelt der Vorschlag zwei eng verknüpfte Fragen von Gemeinschaftsinteresse, d.h. das einwandfreie Funktionieren des Binnenmarktes und die Interoperabilität transeuropäischer elektronischer Netze. Zum einen könnte die Einführung technisch komplexer Anforderungen an die Sicherheit von Netzen und Informationssystemen in den Mitgliedstaaten und auf Gemeinschaftsebene die uneingeschränkte Anwendung der Grundsätze des Binnenmarktes behindern; zum anderen hängt das reibungslose Funktionieren des Binnenmarktes auch von der Interoperabilität von Sicherheitsfunktionen in Netzen und Informationssystemen ab.

Nachstehend werden die Abschnitte 1 - 5 des Vorschlags erläutert.

3.3. Abschnitt 1 - Ziele und Aufgaben

3.3.1. Ziele

Hauptziel der Agentur ist es, in Europa eine gemeinsame Sicht der Fragen der Informationssicherheit zu erreichen, die notwendig ist, um die Verfügbarkeit und Sicherheit von Netzen und Informationssystemen in der Union zu gewährleisten. Die Verwirklichung dieses Ziels erfordert eine breite Definition der Netz- und Informationssicherheit. Sie muss alle Tätigkeiten abdecken, die sich auf die Sicherheit von Netz- und Informationssystemen nachteilig auswirken können.

Die Agentur muss bei der Durchführung von Gemeinschaftsmaßnahmen im Bereich der Netz- und Informationssicherheit Amtshilfe leisten können. Durch ihren Beistand sorgt sie für die Interoperabilität der Sicherheitsfunktionen in Netzen und Informationssystemen und leistet damit einen Beitrag zum Funktionieren des Binnenmarktes. Sie befähigt die Gemeinschaft und die Mitgliedstaaten, gezielt auf Probleme der Netz- und Informationssicherheit zu reagieren. Die Agentur spielt eine wichtige Rolle für die Sicherheit europäischer Netze und Informationssysteme und die Entwicklung der Informationsgesellschaft insgesamt.

3.3.2. Aufgaben

Die Agentur hat beratende und koordinierende Funktion, indem sie Daten über Informationssicherheit sammelt und auswertet. Sowohl öffentliche als auch private Unternehmen bzw. Einrichtungen mit unterschiedlichen Zielsetzungen sammeln heute Daten über Computervorfälle und andere Daten, die für die Informationssicherheit relevant sind. Es gibt jedoch keine zentrale Stelle auf europäischer Ebene, die auf breiter Basis Daten erfassen und auswerten, Stellungnahmen abgeben und Rat erteilen kann, um die politische Arbeit der Gemeinschaft im Bereich der Netz- und Informationssicherheit zu unterstützen. Die Agentur wird als Fachzentrum dienen, bei dem sowohl die Mitgliedstaaten als auch die Gemeinschaftsorgane Rat in sicherheitstechnischen Fragen einholen können.

Sie wird ferner zu einer breit angelegten Zusammenarbeit zwischen verschiedenen Akteuren der Informationssicherheit beitragen, z.B. bei den Maßnahmen zur Unterstützung des sicheren elektronischen Geschäftsverkehrs. Diese Zusammenarbeit ist eine wesentliche Voraussetzung für die sichere Funktionsweise von Netzen und Informationssystemen in Europa. Sie erfordert die Mitwirkung aller Beteiligten.

Die Agentur leistet einen Beitrag zu einem koordinierten Konzept der Informationssicherheit, indem sie z.B. die Mitgliedstaaten bei der Förderung von Risikobewertungs- und Sensibilisierungsmaßnahmen unterstützt. Um die Interoperabilität von Netzen und Informationssystemen zu gewährleisten, wird die Agentur ferner Stellungnahmen abgeben und harmonisierte Abläufe und Verfahren in den Mitgliedstaaten in Bezug auf sicherheitstechnische Anforderungen unterstützen. Nicht nur rechtliche, sondern weitgehend auch technische Vorschriften können die Interoperabilität beeinflussen und das reibungslose Funktionieren des Binnenmarktes behindern.

Die Agentur wird ferner die Ermittlung des entsprechenden Normungsbedarfs unterstützen. Sie wird Sicherheitsnormen und Zertifizierungspläne sowie deren weitestgehende Anwendung durch die Kommission und die Mitgliedstaaten als Grundlage des europäischen Rechts fördern.

Da es sich bei Netz- und Informationssicherheit um globale Fragen handelt, bedarf es auch einer internationalen Zusammenarbeit auf diesem Gebiet. Die Agentur fördert Kontakte der Gemeinschaft zu entsprechenden Akteuren in Drittländern.

Im Bereich der Informationssysteme und -netze entstehen ständig neue Schwachstellen und Bedrohungen. Die Kommission sollte der Agentur weitere Aufgaben übertragen können, um - in Übereinstimmung mit den Rahmenbedingungen für die europäischen Regulierungsagenturen - mit der derzeitigen technologischen und gesellschaftlichen Entwicklung Schritt zu halten

3.4. Abschnitt 2 - Organisation

3.4.1. Management

Die Organisation muss die Beteiligung der verschiedenen Akteure der Agentur, die Unabhängigkeit von äußeren Einfluessen, die Transparenz und Rechenschaftspflicht gegenüber den demokratischen Einrichtungen unterstützen. Daher wird ein Verwaltungsrat vorgeschlagen, dessen Mitglieder vom Rat und von der Kommission benannt werden. Die Kommission wird beispielsweise u.a. durch ein Mitglied der Direktion Sicherheit vertreten. Ferner sind dem Vorschlag zufolge Vertreter der Industrie und der Verbraucher in den Verwaltungsrat aufzunehmen, die von der Kommission vorgeschlagen und vom Rat benannt werden. Die Vertreter der Unternehmen und Verbraucher werden kein Stimmrecht haben.

Die Agentur wird von einem Direktor geleitet, der in hohem Maße unabhängig und flexibel und für die Organisation der internen Arbeitsweise der Agentur zuständig ist. Der Direktor ist ferner für die Erstellung und Ausführung des Haushaltsplans und des Arbeitsprogramms der Agentur sowie für Personalfragen verantwortlich. Um ihn entsprechend zu legitimieren, ist der Direktor vom Verwaltungsrat auf Vorschlag der Kommission zu benennen.

Als Gremium der Gemeinschaft sollte die Agentur bei der Wahrnehmung ihrer Aufgaben ihre Fachkenntnisse und Ressourcen optimal nutzen und dabei stets unabhängig handeln. Daher wird ein Beirat aus Sachverständigen für die Agentur vorgeschlagen, dessen Aufgabe es ist, die Zusammenarbeit und den Informationsaustausch zwischen der Agentur und den zuständigen Institutionen und Einrichtungen in den verschiedenen Mitgliedstaaten zu fördern. Diesem Beirat könnten etwa ein Datenschutzexperte oder ein Vertreter einer Forschungseinrichtung angehören. Der Beirat hat beratende Aufgaben und entwirft zusammen mit dem Direktor das jährliche Arbeitsprogramm der Agentur.

3.5. Abschnitt 3 - Arbeitsweise

3.5.1. Arbeitsprogramm

Die Agentur muss flexibel genug sein, um ihre Arbeit der rasch fortschreitenden Technologie anzupassen und ständig neu auszurichten. Daher legt der Verwaltungsrat ein jährliches Arbeitsprogramm fest, das auf Vorschlag des Direktors von der Kommission genehmigt wird. Die Ergebnisse der Tätigkeiten aufgrund der jährlichen Arbeitsprogramme sind im Gesamtbericht zusammenzufassen, der vom Direktor erstellt und vom Verwaltungsrat genehmigt wird.

3.5.2. Stellungnahmen

Es besteht die Gefahr, dass die Agentur mit Anträgen auf Stellungnahmen und Amtshilfe überlastet wird; daher sollte festgelegt werden, wer Anträge stellen kann und wie diese zu bearbeiten sind.

3.5.3. Arbeitsgruppen

Das Personal der Agentur wird zwar hoch qualifiziert sein, dennoch könnten sich speziellere Fragen ergeben. Daher kann die Agentur auch vorübergehend Arbeitsgruppen aus Experten der verschiedenen Fachgebiete bilden. Nach dem Grundsatz der Transparenz können Vertreter der Kommission an den Sitzungen der Arbeitsgruppen teilnehmen.

3.5.4. Unabhängigkeit

Die Unabhängigkeit der Agentur ist für die Akzeptanz von Ratschlägen und Stellungnahmen durch Einzelne, Verwaltungen und Unternehmen maßgebend. Daher müssen die Mitglieder des Verwaltungsrats und des Beirats, der Direktor und die externen Sachverständigen der Arbeitsgruppen erklären, dass sie keinerlei Interessen vertreten, die ihre Unabhängigkeit in Frage stellen könnten.

3.5.5. Transparenz und Vertraulichkeit

Die Agentur legt im Einklang mit den Beschlüssen des Europäischen Parlaments und des Rates gemäß Artikel 255 EG-Vertrag ihre Bestimmungen über die Transparenz und den Zugang zu Dokumenten fest und stützt sich dabei auf die Sicherheitsvorschriften der Kommission [2].

[2] Beschluss 2001/264/EG des Rates über die Annahme der Sicherheitsvorschriften des Rates und Beschluss C(2001) 3831 der Kommission.

Wenngleich die Akzeptanz der Arbeit der Agentur auch ein hohes Maß an Transparenz sowie einen breiten Zugang zu den Dokumenten erfordert, die sie herausgibt, erfasst sie auch Informationen, die vertraulich zu behandeln sind.

3.6. Abschnitt 4 - Finanzbestimmungen

Die Agentur benötigt für 2004-2008 ausreichende Haushaltsmittel, um wie erwähnt Personal einzustellen, ihm angemessene technische Einrichtungen für die Wahrnehmung seiner Aufgaben zur Verfügung zu stellen und reibungslos zu funktionieren. Die Haushaltsmittel sind im Finanzbogen im Einzelnen aufgeführt.

Der Haushalt der Agentur wird durch einen Beitrag der Gemeinschaft und gegebenenfalls aus Beiträgen von Drittländern finanziert, die sich an der Arbeit der Agentur beteiligen. Der Direktor ist für die Aufstellung eines Haushaltsvoranschlags zuständig. Der Verwaltungsrat liefert der Kommission den Voranschlag der Einnahmen und Ausgaben, der dann nach den üblichen Haushaltsverfahren bearbeitet wird.

Der Direktor ist für die Aufstellung des Haushaltsplans zuständig. Das Europäische Parlament erteilt dem Direktor der Agentur auf Empfehlung des Rates Entlastung für die Ausführung des Haushaltsplans. Der Rechnungsprüfer der Kommission übernimmt die Finanzkontrolle. Der Rechnungshof prüft die Bücher der Agentur und veröffentlicht einen Jahresbericht.

3.7. Abschnitt 5 - Allgemeine Bestimmungen

3.7.1. Rechtspersönlichkeit und Vorrechte

Die Agentur wird in jedem Mitgliedstaat über eine umfassende Rechtspersönlichkeit verfügen und die Vorrechte und Befreiungen genießen, die im Protokoll über die Vorrechte und Befreiungen der Europäischen Gemeinschaften festgelegt sind.

3.7.2. Haftung

Die Regelung der vertraglichen und außervertraglichen Haftung der Agentur entspricht der Regelung für die Gemeinschaft nach Artikel 288 EG-Vertrag.

3.7.3. Personal

Als Fachzentrum muss die Agentur über eine hinreichende Zahl an hoch qualifizierten Mitarbeitern verfügen. Fachkräfte mit dem entsprechenden Profil sind derzeit selten und werden in ganz Europa gesucht. Die Agentur wird sowohl aus dem öffentlichen als auch dem privaten Sektor Personal einstellen. Für das Personal der Agentur werden das Statut der Beamten der Europäischen Gemeinschaften und die Beschäftigungsbedingungen der sonstigen Bediensteten gelten. Ungeachtet des Bedarfs an solidem, qualifiziertem Personal in ausreichender Zahl werden die Mitarbeiter auf der Basis von Zeitverträgen mit einer Hoechstdauer von fünf Jahren beschäftigt.

3.7.4. Schutz personenbezogener Daten

Die Agentur verarbeitet im Rahmen ihrer Aufgaben auch personenbezogene Daten und hält dabei als Gemeinschaftseinrichtung die geltenden Regelungen hierfür ein.

3.7.5. Beteiligung von Drittländern

Es können sich Drittländer an der Arbeit der Agentur beteiligen, die mit der Europäischen Gemeinschaft Abkommen dahingehend abgeschlossen haben, dass sie auf dem unter diese Verordnung fallenden Gebiet die Gemeinschaftsvorschriften übernommen haben und anwenden.

3.8. Abschnitt 6 - Schlussbestimmungen

3.8.1. Überprüfung

Da die Netz- und Informationssicherheit ein stark technologisch geprägter Bereich ist und sich somit rasch weiterentwickelt, können sich auch die besten institutionellen Vorkehrungen mit der Zeit ändern. Innerhalb von drei Jahren nach dem in Artikel 25 vorgegebenen Beginn der Arbeiten oder zu einem früheren Zeitpunkt, wenn der Verwaltungsrat dies für notwendig hält, sollte eine Überprüfung beginnen, bei der sich herausstellt, ob eine Fortsetzung der Tätigkeiten nach dieser fünfjährigen Anfangsphase sinnvoll ist. Bei Bedarf sollten Änderungen der künftigen Zuständigkeiten, Zielsetzungen und Aufgaben vorgenommen werden.

Zu prüfen ist insbesondere, inwieweit sich die mangelnde Beteiligung an der Durchsetzung von Rechtsvorschriften negativ auf die Wirksamkeit und Effizienz der Arbeit der Agentur ausgewirkt hat. Falls sich bei der Bewertung nachteilige Auswirkungen herausstellen, prüft die Kommission, ob sich ein Vorschlag zum Ersatz dieser Verordnung empfiehlt.

3.8.2. Standort

Der Standort der Agentur sollte folgenden Kriterien entsprechen:

- kommunikationstechnisch - insbesondere über elektronische Kommunikationseinrichtungen - leicht zugänglich, und mit effizienten und schnellen Verkehrsverbindungen ausgestattet;

- Möglichkeit für die Agentur, eng und effizient mit den Dienststellen zusammenzuarbeiten, die Fragen der Netz- und Informationssicherheit behandeln;

- Kosteneffizienz und Möglichkeit für die Agentur, ihre Arbeit unverzüglich aufzunehmen;

- erforderliche Infrastruktur für das Personal der Agentur.

3.8.3. Dauer des Bestehens

Dem Vorschlag zufolge soll die Agentur ihre Arbeit am 1. Januar 2004 aufnehmen und fünf Jahre lang tätig sein. Eine Fortsetzung der Tätigkeit der Agentur richtet sich nach dem Ergebnis der Bewertung, die die Kommission zusammen mit dem Beirat vornimmt.

2003/0032 (COD)

Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zur Gründung der Europäischen Agentur für Netz- und Informationssicherheit

(Text von Bedeutung für den EWR)

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION -

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel 95 Absatz 156,

auf Vorschlag der Kommission [3],

[3] ABl. C [...] vom [...], S. [...].

nach Stellungnahme des Europaïschen Wirtschafts- und Sozialausschusses [4],

[4] ABl. C [...] vom [...], S. [...].

nach Stellungnahme des Ausschusses der Regionen [5],

[5] ABl. C [...] vom [...], S. [...].

gemäß dem Verfahren in Artikel 251 EG-Vertrag [6],

[6] ABl. C [...] vom [...], S. [...].

in Erwägung nachstehender Gründe:

(1) Kommunikationsnetze und Informationssysteme sind zu einem wesentlichen Faktor der wirtschaftlichen und gesellschaftlichen Entwicklung geworden. Computer und Netze werden wie Elektrizitäts- und Wasserversorgung zu unentbehrlichen Einrichtungen des täglichen Lebens. Daher gewinnt die Sicherheit, vor allem aber die Verfügbarkeit von Kommunikationsnetzen und Informationssystemen, für die Gesellschaft mehr und mehr an Bedeutung.

(2) Netz- und Informationssicherheit bietet die Gewähr, dass Dienste und Daten verfügbar sind, Unterbrechungen und unbefugtes Abhören von Gesprächen ausgeschlossen sind, dass versandte, empfangene oder gespeicherte Daten vollständig und unverändert bleiben, die Vertraulichkeit von Daten gewahrt ist, Informationssysteme gegen unberechtigten Zugang und gegen Angriffe mit Hilfe bösartiger Software geschützt werden und eine zuverlässige Authentifizierung sichergestellt ist.

(3) Die zunehmende Zahl von Sicherheitsverletzungen hat bereits erheblichen finanziellen Schaden verursacht, das Vertrauen der Nutzer untergraben und war der Entwicklung des elektronischen Handels abträglich. Einzelne Nutzer, Verwaltungen und Unternehmen haben darauf mit Sicherheitstechnologien und -managementverfahren reagiert. Die Mitgliedstaaten haben verschiedene Maßnahmen in Form von Informationskampagnen und Forschungsprojekten getroffen, um die Netz- und Informationssicherheit in der Gesellschaft zu erhöhen.

(4) Die Reaktionen der Mitgliedstaaten waren jedoch unterschiedlich und nicht hinreichend koordiniert, um eine echte Antwort auf Sicherheitsprobleme zu bieten. Angesichts der technischen Komplexität von Netzen und Informationssystemen, der Vielfalt der verbundenen Produkte und Dienste und der Vielzahl eigenverantwortlicher privater und öffentlicher Akteure wurde noch kein kohärentes Sicherheitskonzept auf Gemeinschaftsebene entwickelt. Ein besonders heikles Problem ist der Mangel an interoperablen Sicherheitsprodukten und -diensten, der die Interoperabilität der betreffenden Netze beeinträchtigt. Diese Merkmale haben die Durchführung von Gemeinschaftsmaßnahmen von recht komplexen technischen Analysen und Kenntnissen abhängig gemacht.

(5) Da es keine geschlossene europäische Antwort auf Probleme der Informationssicherheit bei der Durchführung von Gemeinschaftsmaßnahmen gibt, ist das einwandfreie Funktionieren des Binnenmarktes gefährdet.

(6) Die Richtlinie 2002/21/EG vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste [7] (,die Rahmenrichtlinie") regelt die Aufgaben der nationalen Regulierungsbehörden. Sie müssen u.a. den Aufbau und die Entwicklung transeuropäischer Netze und die Interoperabilität europaweiter Dienste fördern, untereinander und mit der Kommission in transparenter Weise zusammenarbeiten, um die Entwicklung einer einheitlichen Regulierungspraxis sicherzustellen, zur Gewährleistung eines hohes Datenschutzniveaus beitragen und die Integrität und Sicherheit öffentlicher Kommunikationsnetze gewährleisten.

[7] ABl. L 108 vom 24.4.2002, S. 33.

(7) Aufgrund der Richtlinie 2002/20/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über die Genehmigung elektronischer Kommunikationsnetze und -dienste [8] können die Mitgliedstaaten die Erteilung von Allgemeingenehmigungen mit Auflagen in Bezug auf den Schutz öffentlicher Netze gegen unbefugten Zugang im Sinne der Richtlinie 97/66/EG vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation verknüpfen.

[8] ABl. L 108 vom 24.4.2002, S. 21.

(8) Aufgrund der Richtlinie 2002/22/EG vom 7. März 2002 über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten [9] treffen die Mitgliedstaaten alle gebotenen Maßnahmen, um die Integrität und Verfügbarkeit öffentlicher Telefonfestnetze sicherzustellen und sorgen dafür, dass Unternehmen, die öffentlich zugängliche Telefondienste an festen Standorten bereitstellen, alle angemessenen Maßnahmen zur Gewährleistung des ununterbrochenen Zugangs zu Notdiensten treffen.

[9] ABl. L 108 vom 24.4.2002, S. 51.

(9) Gemäß der Richtlinie 2002/58/EG vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation [10] müssen Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Dienste zu gewährleisten. Ferner ist die Vertraulichkeit der Kommunikation und entsprechender Verkehrsdaten sicherzu stellen. Aufgrund der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [11] sorgen die Mitgliedstaaten dafür, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen trifft, die für den Schutz gegen zufällige oder unrechtmäßige Zerstörung, zufälligen Verlust, unberechtigte Änderung, unberechtigte Weitergabe oder unberechtigten Zugang - insbesondere wenn die Verarbeitung Datenübertragung über ein Netz beinhaltet - und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind.

[10] ABl. L 201 vom 31.7.2002, S. 37.

[11] ABl. L 281 vom 23.11.1995, S. 31.

(10) Die Rahmenrichtlinie und die Richtlinie 1999/93/EG vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen [12] enthalten Bestimmungen über Normen, die im Amtsblatt der Europäischen Gemeinschaften zu veröffentlichen sind. Die Mitgliedstaaten verwenden ferner Normen internationaler Einrichtungen sowie von der Industrie weltweit entwickelte De-facto-Normen. Die Kommission und die Mitgliedstaaten müssen beurteilen können, welche Normen den Anforderungen des Gemeinschaftsrechts entsprechen.

[12] ABl. L 13 vom 19.1.2000, S. 12.

(11) Diese Binnenmarktmaßnahmen erfordern unterschiedliche Formen der technischen und organisatorischen Durchführung durch die Mitgliedstaaten und die Kommission. Dabei handelt es sich um technisch komplexe Aufgaben, für die es keine Patentlösungen gibt. Die heterogene Umsetzung dieser Anforderungen kann zu ineffizienten Lösungen und Hindernissen für den Binnenmarkt führen und die Interoperabilität von Informationssicherheitsfunktionen in Frage stellen. Daher bedarf es eines Fachzentrums auf europäischer Ebene, das Anleitung, Beistand und Stellungnahmen zur technischen und organisatorischen Umsetzung dieser Anforderungen anbietet und von der Kommission, den nationalen Regulierungs behörden und den zuständigen Stellen der Mitgliedstaaten in Anspruch genommen werden kann. Zu den zuständigen Stellen im Bereich der Netz- und Informationssicherheit gehören die Justiz- und Strafverfolgungsbehörden der Mitgliedstaaten.

(12) Die Einrichtung einer Europäischen Agentur für Netz- und Informationssicherheit, nachstehend ,die Agentur" genannt, würde diesem Bedarf gerecht. Sie würde als Anlaufstelle dienen und dank ihrer Unabhängigkeit, der Qualität ihrer Stellungnahmen und der verbreiteten Informationen, der Transparenz ihrer Verfahren und Arbeitsmethoden sowie der Sorgfalt, die sie bei der Ausführung der ihr übertragenen Aufgaben walten lässt, Vertrauen schaffen. Die Agentur sollte ihre Aufgaben in uneingeschränkter Zusammenarbeit mit den Mitgliedstaaten wahrnehmen und für Kontakte zur Industrie und zu anderen Interessengruppen offen stehen.

(13) Die zunehmenden Auswirkungen von Sicherheitsproblemen auf Gemeinschafts- und weltweiter Ebene erfordern eine umgehende, durchgreifende Reaktion. Derzeit erfasst in Europa jedoch keine befugte Stelle systematisch Daten über Netz- und Informationssicherheit, die zur Analyse von Sicherheitsverletzungen herangezogen werden könnten.

(14) Vertrauen in Netze und Informationssysteme setzt voraus, dass einzelne Nutzer, Unternehmen und Verwaltungen hinreichend informiert und mit Sicherheitsfragen vertraut sind. Die Behörden haben Schritte unternommen, um die Öffentlichkeit besser aufzuklären. Diese Maßnahmen sind jedoch weiterzuentwickeln, insbesondere im Hinblick auf neue Schwachstellen und deren Risiken. Ein verstärkter Informationsaustausch zwischen den Mitgliedstaaten wird derartige Sensibilisierungsmaßnahmen erleichtern.

(15) Trotz des Bedarfs an zuverlässigen Verfahren ist die Vertrauenswürdigkeit von Produkten und Diensten häufig schwer einschätzbar. Es gibt öffentlich und privat geführte Bewertungs- und Zertifizierungspläne. Die Bewertungs- und Zertifizierungsverfahren sind jedoch häufig schwerfällig, kostspielig und langsam. Eine bessere technische Leitung würde allen Beteiligten, u.a. den Behörden, in ihrem Bestreben, effiziente Zertifizierungssysteme zu fördern, zugute kommen. Durch eine technisch kompetente europäische Stelle, die objektive Ratschläge zur Qualität verschiedener Normen erteilt, würden daher die Möglichkeiten zur Förderung zuverlässiger Sicherheitsnormen, u.a. für Technologien zur Erhöhung des Datenschutzes, in Europa verbessert.

(16) Eine effiziente Sicherheitspolitik stützt sich auf gut entwickelte Bewertungsverfahren, sowohl im öffentlichen als auch im privaten Sektor. Risikobewertungsmethoden werden auf verschiedenen Ebenen angewandt, ohne dass es ein einheitliches System gäbe, das ihren effizienten Einsatz gewährleistet. Durch Förderung und Entwicklung empfehlenswerter Verfahren zur Risikobewertung wird die Interoperabilität verbessert und das Sicherheitsniveau von Netzen und Informationssystemen in Europa erhöht.

(17) Die Agentur sollte laufende Forschungs- und Entwicklungsarbeiten und technologische Einschätzungen nutzen, insbesondere solche, die vom gemeinsamen Forschungszentrum und anderen Forschungsinitiativen der Gemeinschaft stammen.

(18) Probleme der Netz- und Informationssicherheit sind weltweite Fragen und weder auf einzelne Mitgliedstaaten noch auf die Gemeinschaft beschränkt. Ein Sicherheitsproblem kann seinen Ursprung in einem Drittland haben. Produkte und Dienste werden häufig in Drittländern entwickelt und bewertet. Sobald sie in die Gemeinschaft gelangen, sind Sicherheitsprodukte uneingeschränkt virtuell im Umlauf und können Dienste frei angeboten werden. Es bedarf einer engeren Zusammenarbeit auf weltweiter Ebene, um die Sicherheitsnormen und Informationsvermittlung zu verbessern und gemeinsame Reaktionsmechanismen zu entwickeln. Mehrere internationale Partner der Gemeinschaft haben begonnen, Sicherheitsgremien einzusetzen, um eine bessere Reaktion und die Entwicklung politischer Konzepte zu ermöglichen. Eine effiziente Zusammenarbeit mit diesen Ländern und weltweit ist eine Aufgabe, die sich nun auch auf europäischer Ebene stellt.

(19) Die Arbeit der Agentur sollte durch einen Verwaltungsrat aus Vertretern der Mitgliedstaaten und der Kommission gewährleistet werden. Dieser kann den Haushaltsplan erstellen und seine Ausführung überprüfen, die entsprechende Finanzregelung und transparente Verfahren für die Entscheidungsfindung festlegen, das Arbeitsprogramm genehmigen, Ersuchen der Mitgliedstaaten um technische Hilfe prüfen und den Direktor ernennen. Angesichts der überaus technischen und wissenschaftlichen Aufgabenstellungen der Agentur sollte der Verwaltungsrat aus Mitgliedern mit ausgeprägten Kenntnissen des Aufgabenbereichs der Agentur bestehen, die vom Rat und von der Kommission ernannt werden.

(20) Es sollte ein Beirat eingesetzt werden, der den Direktor in Fragen der Zusammenarbeit und Erleichterung eines sachdienlichen Informationsaustauschs zwischen den Mitgliedstaaten und der Agentur berät. Zu den Beratungsaufgaben des Beirats zählt ferner die Vorbereitung des Vorschlags für das jährliche Arbeitsprogramm der Agentur. Für die Mitgliedschaft im Beirat sollte einschlägige Fachkenntnis - einschließlich im Bereich des Datenschutzes - gesichert sein.

(21) Die einwandfreie Arbeitsweise der Agentur erfordert die Ernennung eines Direktors aufgrund seines Verdienstes und nachgewiesener Fachkenntnisse im Verwaltungs- und Managementbereich. Dieser verfügt über die für Netz- und Informationssicherheit erforderlichen Kompetenzen und Erfahrungen und nimmt seine Aufgaben hinsichtlich der Organisation der internen Arbeitsweise der Agentur völlig unabhängig und flexibel wahr. Er erarbeitet und trifft daher alle erforderlichen Maßnahmen zur ordnungsgemäßen Durchführung des Arbeitsprogramms der Agentur, erstellt jährlich einen Entwurf des Tätigkeitsberichts, der dem Verwaltungsrat vorzulegen ist, legt Voranschläge der Einnahmen und Ausgaben vor und führt den Haushaltsplan aus.

(22) Die Agentur wendet das einschlägige Gemeinschaftsrecht hinsichtlich des Zugangs der Öffentlichkeit zu Dokumenten [13] und des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten [14] an.

[13] Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission. ABl. L 145 vom 31.5.2001, S. 43.

[14] Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, ABl. L 8 vom 12.1.2001, S. 1.

(23) Da die Agentur Daten über widerrechtliche Handlungen gegen Informationssysteme und anderweitige Vorfälle bearbeitet und Bedrohungen einschätzt, bedarf es einer politischen Gesamtkoordinierung sowohl auf nationaler als auch auf europäischer Ebene. Diese Koordinierung erfolgt im Rahmen des in Artikel 7 genannten Beirats und ohne die Vertraulichkeitsbestimmungen gemäß Artikel 13 in Frage zu stellen.

(24) Um die volle Autonomie und Unabhängigkeit der Agentur zu gewährleisten, muss diese über einen unabhängigen Haushalt verfügen, der im Wesentlichen von der Gemeinschaft finanziert wird. Zuschüsse aus dem Gesamthaushaltsplan der Europäischen Gemeinschaften unterliegen dem Haushaltsverfahren der Gemeinschaft. Ferner wird die Buchprüfung vom Rechnungshof vorgenommen.

(25) Die Agentur sollte zunächst für einen begrenzten Zeitraum geschaffen werden, in dessen Lauf ihre Tätigkeit bewertet wird, um festzustellen, ob ihr Bestehen weiter verlängert werden sollte -

HABEN FOLGENDE VERORDNUNG ERLASSEN:

Abschnitt 1 Ziele und Aufgaben

Artikel 1 Ziele

1. Hiermit wird eine Europäische Agentur für Netz- und Informationssicherheit, nachstehend ,die Agentur" genannt, gegründet.

2. Die Agentur fördert die Durchführung von Gemeinschaftsmaßnahmen im Bereich der Netz- und Informationssicherheit, sorgt für die Interoperabilität der Sicherheitsfunktionen in Netzen und Informationssystemen und leistet damit einen Beitrag zum Funktionieren des Binnenmarktes. Sie gestattet es der Gemeinschaft und den Mitgliedstaaten, gezielt auf Probleme der Netz- und Informationssicherheit zu reagieren.

Artikel 2 Aufgaben

Zur Verwirklichung der Ziele in Artikel 1 nimmt die Agentur folgende Aufgaben wahr:

(a) Erfassung und Analyse von Daten, einschließlich Informationen über derzeitige und absehbare Risken, insbesondere derer, die sich auf kritische Kommunikationsnetze und die auf diesem Weg abgerufenen und übertragenen Informationen auswirken;

(b) Hilfeleistung und Stellungnahmen im Rahmen ihrer Ziele gegenüber der Kommission und anderen zuständigen Stellen;

(c) Förderung der Zusammenarbeit zwischen verschiedenen Akteuren im Bereich der Netz- und Informationssicherheit, u.a. durch Aufbau eines Netzes für nationale und gemeinschaftliche Stellen;

(d) Beitrag zur raschen, objektiven und umfassenden Informationsvermittlung in Fragen der Netz- und Informationssicherheit für alle Nutzer, u.a. durch Förderung des Austausches empfehlenswerter Verfahren zur Warnung der Nutzer, insbesondere von Warnsystemen gegen Computerangriffe, sowie der Synergie zwischen Initiativen des öffentlichen und des privaten Sektors;

(e) auf Anforderung der Kommission und der nationalen Regulierungsbehörden Unterstützung bei der Analyse der Einhaltung der im Gemeinschaftsrecht niedergelegten Anforderungen an Betreiber und Diensteanbieter hinsichtlich der Netz- und Informationssicherheit - einschließlich Anforderungen an den Datenschutz;

(f) Beitrag zur Bewertung von Standards für Netz- und Informationssicherheit;

(g) Förderung der Risikobewertung und interoperabler Lösungen für das Risikomanagement innerhalb Organisationen;

(h) Beitrag zum Gemeinschaftskonzept der Zusammenarbeit mit Drittländern, einschließlich der Förderung der Kontakte zu internationalen Gremien;

(i) Durchführung anderweitiger Aufgaben, die ihr von der Kommission im Rahmen ihrer Zielsetzungen zugewiesen werden.

Artikel 3 Begriffsbestimmungen

Im Sinne dieser Verordnung gelten folgende Begriffsbestimmungen:

- ,Netz": Übertragungssysteme und gegebenenfalls Vermittlungs- und Leitwegeinrichtungen sowie anderweitige Ressourcen, die Übertragung von Signalen über Kabel, Funk, optische oder andere elektromagnetische Einrichtungen ermöglichen. Hierzu gehören Satellitennetze, feste (leitungs- oder paketvermittelt, einschließlich Internet) und mobile terrestrische Netze, Netze für Hör- und Fernsehfunk sowie Kabelfernsehnetze, unabhängig von der Art der übertragenen Informationen.

- ,Informationssystem": Computer und elektronische Kommunikationsnetze sowie elektronische Daten, die durch bzw. über diese Medien zu deren Betrieb, Verwendung, Schutz und Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden.

- ,Netz- und Informationssicherheit": die Fähigkeit eines Netzes oder Informationssystems, auf einer bestimmten Vertrauensebene Störungen und rechtswidrige oder böswillige Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder übermittelter Daten und entsprechender Dienste beeinträchtigen, die über dieses Netz oder Informationssystem angeboten werden bzw. zugänglich sind.

- ,Verfügbarkeit": Zugänglichkeit der Daten und Einsatzfähigkeit der Dienste.

- ,Authentifizierung": Bestätigung der behaupteten Identität von Körperschaften oder Nutzern.

- ,Datenintegrität": Bestätigung der Vollständigkeit und unveränderten Form der Daten, die übermittelt, empfangen oder gespeichert werden.

- ,Vertraulichkeit der Daten": Schutz von Gesprächen oder gespeicherten Daten, so dass sie von unbefugten Personen nicht abgehört oder gelesen werden können.

- ,Risiko": die Wahrscheinlichkeit, dass eine Schwachstelle des Systems die Verfügbarkeit, Authentifizierung, Integrität oder Vertraulichkeit der verarbeiteten oder übertragenen Daten beeinflusst, und die Schwere dieser Folgen infolge der absichtlichen oder unabsichtlichen Nutzung einer solchen Schwachstelle.

- ,Risikobewertung": ein wissenschaftlich untermauerter Vorgang mit den vier Stufen Gefahrenidentifizierung, Gefahrenbeschreibung, Expositionsabschätzung und Risikobeschreibung.

- ,Risikomanagement": der von der Risikobewertung abweichende Vorgang des Abwägens strategischer Alternativen in Abstimmung mit den Beteiligten unter Berücksichtigung der Risikobewertung und weiterer begründeter Faktoren und gegebenenfalls der Wahl geeigneter Vorbeugungs- und Kontrollmöglichkeiten.

Abschnitt 2 Organisation

Artikel 4 Zusammensetzung der Agentur

Die Agentur umfasst

(a) einen Verwaltungsrat,

(b) einen Direktor und dessen Personal,

(c) einen Beirat und

(d) gegebenenfalls Arbeitsgruppen.

Artikel 5 Verwaltungsrat

1. Der Verwaltungsrat besteht aus sechs vom Rat benannten Vertretern und sechs von der Kommission benannten Vertretern sowie zwei Vertretern der Industrie und einem Vertreter der Verbraucher. Letztere drei werden von der Kommission vorgeschlagen und vom Rat benannt und haben kein Stimmrecht.

2. Die Vertreter können durch Stellvertreter abgelöst werden, die zum gleichen Zeitpunkt ernannt werden. Ihre Amtszeit beträgt zweieinhalb Jahre und kann einmal verlängert werden.

3. Der Direktor nimmt an den Sitzungen des Verwaltungsrats ohne Stimmrecht teil und stellt das Sekretariat.

4. Der Verwaltungsrat wählt aus seiner Mitte seinen Vorsitzen für die - verlängerbare - Dauer von zweieinhalb Jahren.

5. Der Verwaltungsrat gibt sich eine Geschäftsordnung, die zuvor von der Kommission genehmigt wurde. Sofern nichts anderes vorgesehen ist, handelt der Verwaltungsrat aufgrund der Stimmenmehrheit seiner Mitglieder.

6. Der Verwaltungsrat tritt auf Veranlassung seines Vorsitzenden oder auf Antrag mindestens eines Drittels seiner Mitglieder zusammen.

7. Der Verwaltungsrat legt die Geschäftsordnung der Agentur aufgrund eines Vorschlags der Kommission fest. Die Geschäftsordnung ist zu veröffentlichen.

8. Der Verwaltungsrat gibt die allgemeinen Leitlinien für die Tätigkeit der Agentur vor und sorgt dafür, dass sie durch die Wahrnehmung ihrer Aufgaben dank ihrer Unabhängigkeit, der Qualität ihrer Stellungnahmen und der verbreiteten Informationen, der Transparenz ihrer Verfahren und Arbeitsmethoden sowie der Sorgfalt, die sie bei der Ausführung der ihr übertragenen Aufgaben walten lässt, zur Anlaufstelle wird.

9. Bis zum 31. Januar jeden Jahres verabschiedet der Verwaltungsrat nach Genehmigung durch die Kommission das Arbeitsprogramm der Agentur für das laufende Jahr. Der Verwaltungsrat sorgt dafür, dass das Arbeitsprogramm den legislativen und politischen Prioritäten der Gemeinschaft im Bereich der Netz- und Informationssicherheit entspricht.

10. Bis zum 31. März jeden Jahres billigt der Verwaltungsrat den Tätigkeitsbericht der Agentur für das vergangene Jahr.

11. Die Finanzregelung der Agentur wird vom Verwaltungsrat nach Anhörung der Kommission verabschiedet. Sie darf von der Rahmenfinanzregelung der Kommission gemäß Artikel 185 der Verordnung (EG, Euratom) Nr. 1605/2002 des Rates [15] (nachstehend ,die allgemeine Haushaltsordnung" genannt) nur abweichen, wenn dies für die Arbeitsweise der Agentur ausdrücklich erforderlich ist und die Zustimmung der Kommission vorliegt.

[15] ABl. L 248 vom 16.9.2002, S. 1.

Artikel 6 Direktor

1. Die Agentur wird von ihrem Direktor geleitet, der bei der Wahrnehmung seiner Aufgaben unabhängig ist.

2. Der Direktor wird vom Verwaltungsrat für einen Zeitraum von fünf Jahren auf der Grundlage einer Bewerberliste ernannt, die von der Kommission nach einem allgemeinen Auswahlverfahren vorgeschlagen wird, nachdem eine Aufforderung zur Interessenbekundung im Amtsblatt der Europäischen Gemeinschaften und an anderer Stelle veröffentlicht wurde. Vor der Ernennung wird der vom Verwaltungsrat benannte Kandidat unverzüglich aufgefordert, vor dem Europäischen Parlament eine Erklärung abzugeben und Fragen der Abgeordneten zu beantworten. Der Direktor kann vom Verwaltungsrat mit Zustimmung der Kommission des Amtes enthoben werden.

3. Die Amtszeit des Direktors beträgt zweieinhalb Jahre und kann einmal verlängert werden.

4. Der Direktor ist verantwortlich für

(a) die laufende Verwaltung der Agentur,

(b) die Erstellung von Vorschlägen für die Arbeitsprogramme der Agentur in Abstimmung mit dem Beirat,

(c) die Umsetzung des Arbeitsprogramms und der vom Verwaltungsrat angenommenen Beschlüsse,

(d) die Wahrnehmung ihrer Aufgaben durch die Agentur im Sinne derer, die ihre Dienste nutzen, insbesondere in Bezug auf die Sachdienlichkeit der erbrachten Dienstleistungen,

(e) die Erstellung der Einnahmen- und Ausgabenvoranschläge und die Ausführung des Haushaltsplans der Agentur,

(f) alle Entscheidungen in Personalfragen,

(g) die Aufnahme und Pflege des Kontakts zum Europäischen Parlament und eines regelmäßigen Dialogs mit dessen betreffenden Ausschüssen.

5. Der Direktor legt dem Verwaltungsrat jährlich folgende Unterlagen zur Genehmigung vor:

(a) den Entwurf eines Tätigkeitsberichts der Agentur für das vergangene Jahr;

(b) den Entwurf des Arbeitsprogramms.

6. Der Direktor übermittelt das Arbeitsprogramm nach dessen Annahme durch den Verwaltungsrat dem Europäischen Parlament, dem Rat, der Kommission und den Mitgliedstaaten und sorgt für seine Veröffentlichung.

7. Der Direktor übermittelt den Tätigkeitsbericht der Agentur nach dessen Genehmigung durch den Verwaltungsrat dem Europäischen Parlament, dem Rat, der Kommission, dem Rechnungshof, dem Wirtschafts- und Sozialausschuss und dem Ausschuss der Regionen und sorgt für seine Veröffentlichung.

Artikel 7 Beirat

1. Der Beirat besteht aus neun Sachverständigen, die auf Vorschlag des Verwaltungsrats vom Direktor ernannt werden. Die Vertreter können durch Stellvertreter abgelöst werden, die zum gleichen Zeitpunkt ernannt werden. Die Vertreter der Kommission können an den Sitzungen teilnehmen und an der Arbeit des Beirats mitwirken.

2. Die Mitglieder des Beirats dürfen nicht dem Verwaltungsrat angehören.

3. Den Vorsitz des Beirats führt der Direktor. Der Beirat tritt regelmäßig auf Veranlassung seines Vorsitzenden oder auf Antrag mindestens eines Drittels seiner Mitglieder zusammen. Seine Arbeitsweise wird in der Geschäftsordnung der Agentur festgelegt und veröffentlicht.

4. Die Stellungnahmen des Beirats können zur Abstimmung gestellt werden.

5. Die Agentur leistet die technische und logistische Unterstützung, die für die Arbeit des Beirats erforderlich ist, und stellt das Sekretariat für dessen Sitzungen.

6. Der Beirat

(a) berät den Direktor bei der Wahrnehmung seiner Aufgaben im Sinne dieser Verordnung, insbesondere bei der Erarbeitung des Vorschlags für das Arbeitsprogramm der Agentur,

(b) berät den Direktor bei der Gewährleistung einer engen Zusammenarbeit der Agentur mit den zuständigen Einrichtungen und Stellen in den Mitgliedstaaten, indem er insbesondere für die Abstimmung der Arbeit der Agentur mit den Tätigkeiten der Mitgliedstaaten sorgt.

7. Der Direktor kann Vertreter des Europäischen Parlaments und anderer Stellen zur Teilnahme an den Sitzungen des Beirats auffordern.

Abschnitt 3 Arbeitsweise

Artikel 8 Arbeitsprogramm

Die Arbeit der Agentur stützt sich auf das gemäß Artikel 5 Absatz 9 verabschiedete Arbeitsprogramm. Das Arbeitsprogramm schließt jedoch nicht aus, dass die Agentur im Rahmen ihrer Haushaltsmittel auch unvorhergesehene Tätigkeiten durchführen kann, die ihren Zielsetzungen entsprechen.

Artikel 9 Stellungnahmen

1. Ersuchen um Stellungnahme und Amtshilfe, die den Zielsetzungen der Agentur entsprechen, sind zusammen mit Hintergrundinformationen zur Erläuterung der Problematik an den Direktor zu richten. Der Direktor leitet den Antrag innerhalb von zehn Arbeitstagen der Kommission zu.

2. Anträge gemäß Absatz 1 können gestellt werden von:

(a) der Kommission,

(b) einer nationalen Regulierungsbehörde gemäß Artikel 2 der Rahmenrichtlinie oder einer anderen zuständigen Stelle eines Mitgliedstaates, die vom Verwaltungsrat für diesen Zweck anerkannt wird.

3. Hat die Agentur Schwierigkeiten, einem Antrag nachzukommen, wird der Antrag nicht gemäß Absatz 1 oder werden mehrere Anträge zu den gleichen Themen eingereicht, so berät sich der Direktor mit dem Verwaltungsrat, ehe er eine Entscheidung trifft. Die Ablehnung eines Antrags ist von der Agentur zu begründen. Zur Festlegung der Rangfolge eingehender Ersuchen kann der Direktor den Beirat zur Stellungnahme auffordern.

Artikel 10 Arbeitsgruppen

1. Soweit erforderlich, kann die Agentur zur Erfuellung ihrer Aufgaben Arbeitsgruppen bilden, die vor allem aus Sachverständigen technischer und wissenschaftlicher Fachgebiete bestehen. Sie werden vom Beirat vorgeschlagen und vom Direktor ernannt.

2. Die Arbeitsgruppen werden vom Beirat auf Vorschlag des Direktors nach Anhörung des Verwaltungsrats gebildet.

3. An den Sitzungen der Arbeitsgruppen können Vertreter der Kommission teilnehmen.

4. Die Verfahren zur Benennung der Sachverständigen und die Funktionsweise der Arbeitsgruppen werden in der Geschäftsordnung der Agentur festgelegt.

Artikel 11 Unabhängigkeit

1. Die Mitglieder des Verwaltungsrates, der Direktor und der Beirat verpflichten sich, im öffentlichen Interesse unabhängig zu handeln und geben dazu eine Verpflichtungserklärung und eine Erklärung ab, aus der hervorgeht, dass keine direkten oder indirekten Interessen bestehen, die ihre Unabhängigkeit beeinträchtigen könnten. Diese Erklärungen sind schriftlich abzugeben.

2. Externe Sachverständige, die in den Arbeitsgruppen mitwirken, geben auf jeder Sitzung eine Erklärung über alle Interessen ab, die ihre Unabhängigkeit in Bezug auf die Tagesordnungspunkte beeinträchtigen könnten.

Artikel 12 Transparenz

1. Die Agentur übt ihre Tätigkeiten im Einklang mit Artikel 13 und 14 mit einem hohen Maß an Transparenz aus.

2. Die Agentur gewährleistet einen problemlosen Zugang der Öffentlichkeit und interessierter Kreise zu objektiven, zuverlässigen Informationen, insbesondere zu ihren eigenen Arbeitsergebnissen. Ferner veröffentlicht sie die Interessenerklärungen der Mitglieder des Verwaltungsrats, des Direktors und des Beirats sowie die Interessenerklärungen der Sachverständigen in Bezug auf die Tagesordnungspunkte der Sitzungen der Arbeitsgruppen.

3. Der Verwaltungsrat kann auf Vorschlag des Direktors gestatten, dass interessierte Kreise als Beobachter an einigen Arbeiten der Agentur teilnehmen.

4. Die Agentur legt die praktischen Maßnahmen zur Umsetzung der in Absatz 1 und 2 genannten Transparenzregeln in ihrer Geschäftsordnung fest.

Artikel 13 Vertraulichkeit

1. Die Agentur verbreitet keine Informationen Dritter, die bei ihr eingehen oder von ihr verarbeitet werden und deren vertrauliche Behandlung beantragt und begründet wurde, sofern diese Informationen nicht nach einzelstaatlichem Recht zum Schutz der öffentlichen Sicherheit und zur Vorbeugung, Untersuchung, Feststellung und Verfolgung von Straftaten offengelegt werden müssen.

2. Die Mitglieder des Verwaltungsrats und des Beirats, der Direktor und die externen Sachverständigen der Arbeitsgruppen sowie das Personal der Agentur unterliegen auch nach Beendigung ihrer Tätigkeit den Vertraulichkeitsbestimmungen gemäß Artikel 287 EG-Vertrag.

3. Die Agentur legt die praktischen Maßnahmen zur Umsetzung der in Absatz 1 und 2 genannten Vertraulichkeitsregelungen in ihrer Geschäftsordnung fest.

4. Die Kommission gilt nicht als Dritter im Sinne von Ziff. 1.

Artikel 14 Zugang zu Dokumenten

1. Für die von der Agentur gespeicherten Unterlagen gilt die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission [16].

[16] ABl. L 145 vom 31.5.2001, S. 43.

2. Der Verwaltungsrat legt innerhalb von sechs Monaten nach Aufnahme der Tätigkeit der Agentur Maßnahmen zur Durchführung der Verordnung (EG) Nr. 1049/2001 fest.

3. Gegen Entscheidungen der Agentur nach Artikel 8 der Verordnung (EG) Nr. 1049/2001 kann gemäß Artikel 195 bzw. 230 EG-Vertrag Beschwerde beim Bürgerbeauftragten eingelegt oder Klage beim Gerichtshof der Europäischen Gemeinschaften erhoben werden.

Abschnitt 4 Finanzbestimmungen

Artikel 15 Feststellung des Haushalts

1. Die Einnahmen der Agentur bestehen aus einem Beitrag der Gemeinschaft und etwaigen Beiträgen von Drittländern, die sich gemäß Artikel 21 an der Arbeit der Agentur beteiligten.

2. Die Ausgaben der Agentur umfassen Kosten für Personal, Verwaltung, technische Unterstützung, Infrastruktur, Betriebskosten und Ausgaben für Verträge mit Dritten.

3. Spätestens bis zum 1. März eines jeden Jahres erstellt der Direktor einen Voranschlag der Einnahmen und Ausgaben der Agentur für das kommende Haushaltsjahr und legt ihn dem Verwaltungsrat zusammen mit einem Stellenplan vor.

4. Einnahmen und Ausgaben sind auszugleichen.

5. Spätestens bis zum 31. März eines jeden Jahres erstellt der Verwaltungsrat aufgrund eines Entwurfs des Direktors einen Voranschlag der Einnahmen und Ausgaben der Agentur für das kommende Jahr. Dieser Voranschlag mit dem Entwurf eines Stellenplans wird zusammen mit dem vorläufigen Arbeitsprogramm vom Verwaltungsrat der Kommission und den Ländern zugeleitet, mit denen die Gemeinschaft Abkommen gemäß Artikel 21 geschlossen hat.

6. Die Kommission setzt aufgrund dieses Voranschlags die entsprechenden Beträge in den Vorentwurf des Gesamthaushaltsplans der Europäischen Gemeinschaften ein, den sie gemäß Artikel 272 EG-Vertrag dem Europäischen Parlament und dem Rat (nachstehend ,die Haushaltsbehörde" genannt) vorlegt.

7. Die Haushaltsbehörde legt die Haushaltsmittel für den Unterhalt der Agentur fest.

8. Sie genehmigt den Stellenplan für die Agentur.

9. Nach Feststellung des Gesamthaushaltsplans der Europäischen Gemeinschaften durch die Haushaltsbehörde stellt der Verwaltungsrat den endgültigen Haushalt der Agentur fest und verabschiedet ihr Arbeitsprogramm, wobei er sie gegebenenfalls dem Beitrag der Gemeinschaft anpasst. Er übermittelt den Haushalt und das Arbeitsprogramm unverzüglich der Kommission und der Haushaltsbehörde.

Artikel 16 Betrugsbekämpfung

1. Zur Bekämpfung von Betrug, Korruption und sonstigen rechtswidrigen Handlungen finden die Vorschriften der Verordnung (EG) Nr. 1073/1999 des Europäischen Parlaments und des Rates vom 25. Mai 1999 über die Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) [17] ohne Einschränkung Anwendung.

[17] ABl. L 136 vom 31.5.1999, S. 1

2. Die Agentur tritt der Interinstitutionellen Vereinbarung vom 25. Mai 1999 über die internen Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) [18] bei und erlässt unverzüglich die entsprechenden Vorschriften, die für sämtliche Mitarbeiter der Agentur gelten.

[18] Abl. L 136 vom 31.5.1999, S. 15

Artikel 17 Haushaltsdurchführung

1. Der Direktor führt den Haushaltsplan der Agentur aus.

2. Der interne Rechnungsprüfer der Kommission besitzt gegenüber der Agentur dieselben Befugnisse wie bei der Kommission.

3. Spätestens bis zum 31. März nach Abschluss eines jeden Haushaltsjahres übermittelt der Rechnungsführer der Agentur dem Rechnungsführer der Kommission die vorläufige Haushaltsrechnung sowie einen Bericht über die Haushalts- und Finanzverwaltung für das betreffende Haushaltsjahr. Der Rechnungsführer der Kommission konsolidiert die vorläufige Haushaltsrechnung der Organe und dezentralisierten Einrichtungen nach Artikel 128 der allgemeinen Haushaltsordnung,

4. Spätestens bis zum 31. März nach Abschluss eines jeden Haushaltsjahres übermittelt der Rechnungsführer der Kommission dem Rechnungshof die vorläufige Haushaltsrechnung sowie einen Bericht über die Haushalts- und Finanzverwaltung für das entsprechende Haushaltsjahr. Der Bericht über die Haushalts- und Finanzverwaltung für das Haushaltsjahr ist ferner dem Europäischen Parlament und dem Rat zuzuleiten.

5. Nach Eingang der Stellungnahme des Rechnungshofes zur vorläufigen Haushaltsrechnung der Agentur gemäß Artikel 129 der allgemeinen Haushaltsordnung erstellt der Direktor eigenverantwortlich den endgültigen Jahresabschluss der Agentur und legt ihn dem Verwaltungsrat zur Stellungnahme vor.

6. Der Verwaltungsrat nimmt zum Jahresabschluss der Agentur Stellung.

7. Der Direktor übermittelt spätestens bis zum 1. Juli nach Abschluss eines jeden Haushaltsjahres den Jahresabschluss sowie die Stellungnahme des Verwaltungsrats dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof.

8. Der Jahresabschluss ist zu veröffentlichen.

9. Der Direktor beantwortet die Stellungnahme des Rechnungshofes spätestens bis zum 30. September. Er leitet diese Antwort auch dem Verwaltungsrat zu.

10. Das Europäische Parlament erteilt dem Direktor auf Empfehlung des Rates, der mit qualifizierter Mehrheit beschließt, bis zum 30. April des Jahres N+2 Entlastung für die Ausführung des Haushaltsplans des Jahres N.

Abschnitt 5 Allgemeine Bestimmungen

Artikel 18 Rechtspersönlichkeit und Vorrechte

1. Die Agentur ist eine Einrichtung der Gemeinschaft. Sie besitzt Rechtspersönlichkeit.

2. Die Agentur besitzt in jedem Mitgliedstaat die weitestgehende Rechtsfähigkeit, die Rechtspersonen nach deren Recht erteilt wird. Sie kann insbesondere bewegliches und unbewegliches Vermögen erwerben und veräußern sowie vor Gericht auftreten.

3. Die Agentur wird von ihrem Direktor vertreten.

4. Das Protokoll über die Vorrechte und Befreiungen der Europäischen Gemeinschaften gilt für die Agentur und ihr Personal.

Artikel 19 Haftung

1. Die vertragliche Haftung der Agentur unterliegt dem Recht, das auf den betreffenden Vertrag anzuwenden ist. Für Entscheidungen aufgrund einer Schiedsklausel in einem von der Agentur geschlossenen Vertrag ist der Gerichtshof der Europäischen Gemeinschaften zuständig.

2. Im Bereich der außervertraglichen Haftung ersetzt die Agentur den durch sie selbst oder durch ihre Bediensteten in Ausübung ihrer Tätigkeit verursachten Schaden nach den allgemeinen Grundsätzen, die den Rechtsordnungen der Mitgliedstaaten gemeinsam sind. In Streitfällen über den Schadensersatz entscheidet der Gerichtshof der Europäischen Gemeinschaften.

3. Die persönliche Haftung der Bediensteten gegenüber der Agentur richtet sich nach den für sie geltenden Beschäftigungsbedingungen.

Artikel 20 Personal

1. Das Personal der Agentur unterliegt den für die Beamten und sonstigen Bediensteten der Europäischen Gemeinschaften geltenden Regeln und Verordnungen.

2. Unbeschadet des Artikels 5 übt die Agentur gegenüber ihrem eigenen Personal die Befugnisse aus, die der Anstellungsbehörde durch das Statut und der zum Abschluss von Verträgen ermächtigten Behörde durch die Beschäftigungsbedingungen der sonstigen Bediensteten übertragen wurden.

Artikel 21 Schutz personenbezogener Daten

Bei der Verarbeitung personenbezogener Daten muss die Agentur die Bestimmungen der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr [19] einhalten.

[19] ABl. L 8 vom 12.1.2001, S. 1.

Artikel 22 Beteiligung von Drittländern

1. Die Agentur steht der Beteiligung von Ländern offen, die mit der Europäischen Gemeinschaft Abkommen geschlossen haben, aufgrund derer sie Gemeinschaftsvorschriften in dem dieser Verordnung unterliegenden Bereich übernommen haben und anwenden.

2. Gemäß den einschlägigen Bestimmungen dieser Abkommen werden Vereinbarungen getroffen, die insbesondere Art, Umfang und Form einer Beteiligung dieser Länder an der Arbeit der Agentur festlegen; hierzu zählen auch Bestimmungen über die Mitwirkung in den von der Agentur betriebenen Netzen, finanzielle Beiträge und Personal.

Abschnitt 6 Schlussbestimmungen

Artikel 23 Überprüfungsklausel

1. Innerhalb von drei Jahren nach dem in Artikel 25 festgelegten Anfangstermin oder zu einem früheren Zeitpunkt, wenn der Verwaltungsrat dies für notwendig hält, führt die Kommission in Zusammenarbeit mit dem Beirat eine Bewertung anhand der mit dem Verwaltungsrat abgestimmten Vorgaben durch. Dabei werden

a) Arbeitsweise und Einfluss der Agentur bewertet;

b) die festgelegten Ziele und Verfahren grundlegend überprüft;

c) gegebenenfalls zweckmäßige Änderungen angesichts der institutionellen und rechtlichen Entwicklungen in der Europäischen Union erwogen, wobei vor allem Sicherheitsfragen und die Mitwirkung an der Durchsetzung von Rechtsvorschriften zu berücksichtigen sind.

2. Die Bewertung wird veröffentlicht.

3. Mit der Bewertung durch die Kommission soll vor allem festgestellt werden, ob die Agentur über den in Artikel 25 genannten Termin hinaus fortbestehen soll.

Artikel 24 Verwaltungskontrolle

Die Tätigkeit der Agentur unterliegt der Aufsicht des Bürgerbeauftragten gemäß Artikel 195 EG-Vertrag.

Artikel 25 Sitz

Über den Sitz der Agentur entscheiden, auf Vorschlag der Kommission, die zuständigen Stellen spätestens sechs Monate nach der Verabschiedung dieser Verordnung.

Artikel 26 Dauer des Bestehens

Die Agentur wird vom 1. Januar 2004 bis zum 31. Dezember 2008 tätig sein.

Artikel 27 Inkrafttreten

Diese Verordnung tritt am [...] Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Gemeinschaften in Kraft.

Diese Verordnung ist in allen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Brüssel am [...]

Im Namen des Europäischen Parlaments Im Namen des Rates

Der Präsident Der Präsident

FINANZBOGEN ZU RECHTSAKTEN

Politikbereich: Informationsgesellschaft

Tätigkeit: Netz- und Informationssicherheit

Bezeichnung der Massnahme: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Gründung der Europäischen Agentur für Netz- und Informationssicherheit

1. HAUSHALTSLINIE (Nummer und Bezeichnung)

Es wird eine neue Haushaltslinie vorgeschlagen (diese Maßnahme ist Teil des APS 2003)

2. ALLGEMEINE ZAHLENANGABEN

2.1. Gesamtmittelausstattung der Maßnahme (Teil B): Mio. EUR (VE)

24,300 Mio. EUR für EUR 15 (EUR+ 10 werden weitere 9 Mio. EUR bedeuten, wodurch die Gesamtkosten für diese Maßnahme auf 33,3 Mio. EUR ansteigen werden.

Diese Maßnahme ist in der Mitteilung der Kommission an das Europäische Parlament und den Rat vom 27. Februar 2002 (SEK(2002) 217/9.) enthalten.

2.2. Laufzeit

2004 - 2008

2.3. Mehrjährige Gesamtvorausschätzung der Ausgaben

a) Fälligkeitsplan für Verpflichtungs- und Zahlungsermächtigungen (finanzielle Intervention)

in Mio. EUR (bis zur 3. Dezimalstelle)

>PLATZ FÜR EINE TABELLE>

b) Technische und administrative Hilfe und Unterstützungsausgaben

>PLATZ FÜR EINE TABELLE>

>PLATZ FÜR EINE TABELLE>

c) Gesamtausgaben für Humanressourcen und Verwaltung

>PLATZ FÜR EINE TABELLE>

>PLATZ FÜR EINE TABELLE>

2.4. Vereinbarkeit mit der Finanzplanung und der Finanziellen Vorausschau

Der Vorschlag macht eine Anpassung der betreffenden Rubrik der Finanziellen Vorausschau erforderlich.

2.5. Finanzielle Auswirkungen auf die Einnahmen [20]

[20] Weitere Informationen sind der beigefügten Vorabbewertung zu entnehmen.

Der Vorschlag hat keinerlei finanzielle Auswirkungen (betrifft die technischen Aspekte der Durchführung einer Maßnahme).

3. HAUSHALTSTECHNISCHE MERKMALE

>PLATZ FÜR EINE TABELLE>

4. RECHTSGRUNDLAGE

Artikel 95 und 156 EG-Vertrag.

5. BESCHREIBUNG UND BEGRÜNDUNG

5.1. Notwendigkeit einer Maßnahme der Gemeinschaft [21]

[21] Weitere Informationen sind der beigefügten Vorabbewertung zu entnehmen.

Aus der Vorabbewertung geht hervor, dass die verschiedenen alternativen Möglichkeiten - etwa die Schaffung eines kommissionsinternen Netzes oder eines Netzes von Korrespondenten der Mitgliedstaaten - weder die objektiven Qualitätskriterien (Transparenz, Kosteneffizienz und Sichtbarkeit) erfuellen noch den erwarteten Mehrwert der Schaffung einer Struktur in der Art einer Regulierungsagentur liefern.

Die erste Alternative fällt aus, weil die Kommission intern nicht über das erforderliche Know-how zu Netz- und Informationssicherheit verfügt. Die zweite Alternative, ein Netz nationaler Korrespondenten, hat wesentliche Nachteile, denn

* die Kommission könnte die Arbeiten nicht mehr überwachen, und ein Netz würde mehr Finanzmittel und mehr Personal erfordern, da die Aufgaben nicht mehr zentral, sondern in allen Mitgliedstaaten getrennt ausgeführt würden;

* die grenzüberschreitende Dimension wird wenig bewusst, da zu erwarten ist, dass sich die nationalen Behörden weitgehend auf nationale Belange konzentrieren werden;

* die Arbeiten sind weniger sichtbar, und es gibt keine zentrale Anlaufstelle für internationale Diskussionen, die in diesem Bereich unbedingt notwendig sind.

Daher folgt dieser Vorschlag in groben Zügen dem Aufbau der kürzlich angenommenen Mitteilung der Kommission über Rahmenbedingungen für die europäischen Regulierungsagenturen (KOM(2002) 718 endg. vom 11. Dezember 2002). Hauptziel ist es, die (aus der Aufgabenliste abzuleitenden) Tätigkeiten auf regulatorische Fragen auszurichten und gleichzeitig die Mitgliedstaaten und die Kommission in stark technischen und technologischen Angelegenheiten in Bezug auf Netz- und Informationssicherheit zu unterstützen.

Eine solche verstärkte Ausrichtung und Sichtbarkeit einer gemeinschaftlich koordinierten Antwort auf die stets stärkere Bedrohung der Sicherheit ist vor allem nach den Ereignissen des 11. September erforderlich, durch die die Frage der Netz- und Informationssicherheit ins Zentrum des Interesses der Politik gerückt ist.

5.1.1. Ziele

Da so viel von Netz- und Informationssystemen abhängt, ist deren sichere Funktionsweise zu einem Hauptanliegen geworden. Nicht nur für einzelne Industriezweige, sondern für die gesamte Wirtschaft sind Informationssysteme heute unverzichtbar. Sie sind außerdem auch lebenswichtig für den öffentlichen Sektor und für Privatpersonen. Funktionsstörungen in Netz- und Informationssystemen betreffen uns alle: Bürger, öffentliche Verwaltungen und Unternehmen.

Sicherheit ist daher zu einem wesentlichen politischen Anliegen geworden. Die Regierungen sehen sich mit einer erweiterten Verantwortung für die Gesellschaft konfrontiert und sind zunehmend bestrebt, die Sicherheit in ihrem Land zu verbessern. Die Mitgliedstaaten stehen jedoch in unterschiedlichen Phasen dieser Arbeit und widmen ihre Aufmerksamkeit verschiedenen Schwerpunkten. Es gibt keine systematische grenzüberschreitende Zusammenarbeit zwischen den Mitgliedstaaten im Bereich der Netz- und Informationssicherheit, obwohl Sicherheitsfragen kein isoliertes Thema lediglich eines Landes sein können. Es gibt kein Verfahren, das wirksame Reaktionen auf Sicherheitsbedrohungen gewährleistet. Der Rechtsrahmen ist in unterschiedlichem Maße umgesetzt worden. Es gibt einen Mangel an Interoperabilität, der den sachgerechten Einsatz von Sicherheitsprodukten und -diensten behindert.

Eine vollständige Harmonisierung der Sicherheitskonzepte ist zwar nicht notwendig, der Union würde aber eine bessere Koordinierung zwischen den Mitgliedstaaten und ein ausreichend hohes Sicherheitsniveau in allen Mitgliedstaaten zugute kommen. Der Binnenmarkt würde von einem koordinierten europäischen Konzept für die Netz- und Informationssicherheit und vom gesammelten Know-how der Mitgliedstaaten profitieren. Gleichzeitig würde ein solches Konzept die Innovation vorantreiben und die weltweite Wettbewerbsfähigkeit der europäischen Unternehmen verbessern.

Die vorgeschlagene Agentur soll die Netz- und Informationssicherheit in Europa verbessern und die Fähigkeit der Mitgliedstaaten stärken, einzeln und gemeinsam erheblichen Problemen der Netz- und Informationssicherheit zu begegnen.

5.1.2. Maßnahmen im Zusammenhang mit der Vorabbewertung

Die Mitteilung der Kommission ,Sicherheit der Netze und Informationen: Vorschlag für einen europäischen Politikansatz", KOM(2001) 298 endg., enthält eine Reihe von Vorschlägen zur Verbesserung der Informationssicherheit in Europa. In der Entschließung des Rates vom 28. Januar 2002 zu einem gemeinsamen Ansatz und spezifischen Maßnahmen im Bereich der Netz- und Informationssicherheit wurde dieses Konzept weiterentwickelt. Es hat sich jedoch herausgestellt, dass Fragen der Netz- und Informationssicherheit unter den derzeitigen institutionellen Gegebenheiten nicht angemessen auf europäischer Ebene behandelt werden können.

In der Entschließung wird daher die Absicht der Kommission begrüßt, Vorschläge für die Einrichtung eines ,Sonderstabs für Computer- und Netzsicherheit" zu unterbreiten, um auf Probleme der Netz- und Informationssicherheit reagieren zu können. Dieser Sonderstab für Computer- und Netzsicherheit soll nun in Form einer befristeten Regulierungsagentur geschaffen werden.

Es wurden eine Reihe von Alternativen zu einer Agentur in Betracht gezogen, aber keine davon erwies sich als angemessen, um die vorgesehenen Aufgaben zu erfuellen. Die Vorabbewertung enthält eine genauere Analyse der Erwägungen, die der Einrichtung einer neuen Agentur zu Grunde lagen.

5.2. Geplante Tätigkeiten

5.2.1. Ziele

Hauptziel der Agentur ist es, in Europa eine gemeinsame Sicht der Fragen der Informationssicherheit zu erreichen, die notwendig ist, um die Verfügbarkeit und Sicherheit von Netzen und Informationssystemen in der Union zu gewährleisten.

Die Agentur muss

- bei der Durchführung von Gemeinschaftsmaßnahmen im Bereich der Netz- und Informationssicherheit Amtshilfe leisten können;

- durch ihren Beistand zur Interoperabilität der Sicherheitsfunktionen in Netzen und Informationssystemen und damit zum Funktionieren des Binnenmarktes beitragen;

- die Gemeinschaft und die Mitgliedstaaten befähigen, gezielt auf Probleme der Netz- und Informationssicherheit zu reagieren.

Die Agentur wird eine wichtige Rolle für die Sicherheit europäischer Netze und Informationssysteme und die Entwicklung der Informationsgesellschaft insgesamt spielen.

5.2.2. Aufgaben

Die Agentur wird

- beratende und koordinierende Aufgaben erfuellen, zu denen die Sammlung und Analyse von Daten zur Informationssicherheit gehören. Sowohl öffentliche als auch private Unternehmen bzw. Einrichtungen mit unterschiedlichen Zielsetzungen sammeln heute Daten über IT-Vorfälle und andere Daten, die für die Informationssicherheit relevant sind. Es gibt jedoch keine zentrale Stelle auf europäischer Ebene, die auf breiter Basis Daten erfassen und auswerten, Stellungnahmen abgeben und Rat erteilen kann, um die politische Arbeit der Gemeinschaft im Bereich der Netz- und Informationssicherheit zu unterstützen.

- als Fachzentrum dienen, bei dem sowohl die Mitgliedstaaten als auch die Gemeinschaftsorgane Stellungnahmen und Rat in sicherheitstechnischen Fragen einholen können;

- zu einer breit angelegten Zusammenarbeit zwischen verschiedenen Akteuren der Informationssicherheit beitragen, z.B. bei den Maßnahmen zur Unterstützung des sicheren elektronischen Geschäftsverkehrs. Diese Zusammenarbeit ist eine wesentliche Voraussetzung für die sichere Funktionsweise von Netzen und Informationssystemen in Europa. Sie erfordert die Mitwirkung aller Beteiligten;

- einen Beitrag zu einem koordinierten Konzept der Informationssicherheit leisten, indem sie die Mitgliedstaaten z.B. bei der Förderung von Risikobewertungs- und Sensibilisierungsmaßnahmen unterstützt;

- die Interoperabilität von Netzen und Informationssystemen gewährleisten, wenn die Mitgliedstaaten sicherheitstechnische Anforderungen umsetzen;

- die Ermittlung des entsprechenden Normungsbedarfs unterstützen und Sicherheitsnormen und Zertifizierungspläne sowie deren weitestgehende Anwendung als Grundlage des europäischen Rechts fördern;

- die internationale Zusammenarbeit in diesem Bereich unterstützen, die immer stärker notwendig wird, da es sich bei Problemen der Netz- und Informationssicherheit um weltweite Fragen handelt.

5.3. Durchführungsmodalitäten

Es wird vorgeschlagen, zunächst für eine Anfangsdauer von fünf Jahren eine Regulierungsagentur (nachstehend ,die Agentur" genannt) zu schaffen, die außerhalb der Kommission angesiedelt wird und Rechtspersönlichkeit besitzt.

Die Agentur wird einen Verwaltungsrat, einen Direktor und einen Beirat haben. Die Gesamtverantwortung für die politischen Vorgaben, für die Verwaltung und für die Ernennung des Direktors liegt beim Verwaltungsrat.

Der Beirat aus Sachverständigen hat eine beratende Funktion und gewährleistet die enge Zusammenarbeit mit den Mitgliedstaaten und den betreffenden Organisationen in den Mitgliedstaaten.

6. FINANZIELLE AUSWIRKUNGEN

6.1. Finanzielle Gesamtbelastung für Teil B des Haushalts (während des gesamten Planungszeitraums)

Die Hauptaufgabe der Agentur besteht darin, als Fachzentrum zu wirken, und ihre Mitarbeiter sollen zu einem großen Teil die Stellungnahmen und die Beratung selbst erledigen. Dies bedeutet auch, dass die Verwaltungskosten der Agentur einen wesentlichen Teil der gesamten Mittel beanspruchen werden.

6.1.1. Finanzieller Beitrag

VE in Mio. EUR (bis zur 3. Dezimalstelle)

>PLATZ FÜR EINE TABELLE>

6.1.2. Technische und administrative Hilfe, Unterstützungsausgaben und IT-Ausgaben (Verpflichtungsermächtigungen)

>PLATZ FÜR EINE TABELLE>

6.2. Berechnung der Kosten für jede zu Lasten von Teil B vorgesehene Einzelaktion (während des gesamten Planungszeitraums)

Nachstehende Tabelle zeigt die Aufschlüsselung der Kosten für die Agentur während ihrer vorgeschlagenen Betriebsdauer. Bei der Berechnung wird unterschieden zwischen der derzeitigen Lage mit 15 EU-Mitgliedstaaten und dem Beitritt von 10 neuen Mitgliedstaaten im Laufe des Jahres 2004. Die Zahlen werden anschließend unter a)-f) erläutert.

>PLATZ FÜR EINE TABELLE>

a) Kosten für Vorarbeiten

Die Agentur wird ihre Arbeiten im Januar 2004 aufnehmen.

Wenn auch ohne direkte Beziehung zu diesem Haushaltsposten, so stehen doch im Haushaltsplan 2003 Mittel im Rahmen des Modinis-Programms zur Verfügung. [22] Zu den Hauptmaßnahmen im Rahmen dieses Programms gehören die ,Verbesserung der Netz- und Informationssicherheit" und die ,Vorbereitung der Einrichtung eines Sonderstabs für Computer- und Netzsicherheit gemäß der Entschließung des Rates vom 28. Januar 2002 und dem Aktionsplan eEurope 2005, unter anderem durch die Finanzierung von Erhebungen, Studien, Workshops zu Themen wie Sicherheitsmechanismen und ihre Interoperabilität, Zuverlässigkeit und Schutz von Netzen, fortgeschrittene Kryptografie, Schutz der Privatsphäre und Sicherheit in der drahtlosen Kommunikation."

[22] Auf dem Rat ,Telekommunikation" vom 5. Dezember wurde eine politische Einigung erzielt, die förmliche Annahme wird auf dem Rat ,Telekommunikation" im März 2003 erfolgen.

b) Humanressourcen (einschließlich Gebäuden und damit verbundenen Verwaltungsausgaben)

Für ihre vorgesehenen Aufgaben wird die Agentur hochgradig spezialisiertes und qualifiziertes Personal benötigen. Fachkräfte mit dem entsprechenden Profil sind derzeit selten und werden in ganz Europa gesucht. Die Agentur wird sowohl aus dem öffentlichen als auch dem privaten Sektor Personal einstellen. Im Vollbetrieb mit 15 Mitgliedstaaten wird sie über 31 Mitarbeiter verfügen. Fünf davon werden sich um die allgemeine Verwaltung der Agentur kümmern, 26 werden für die in Artikel 2 des Verordnungsentwurfs erwähnten Aufgaben eingestellt. Die Zahlen für das Verwaltungspersonal sind auf die Erfahrungen in bestehenden Agenturen der Gemeinschaft gestützt.

Von den 26 mit betrieblichen Aufgaben betreuten Mitarbeitern wird einer das Sekretariat bilden, der Rest wird mit speziellen Erfahrungen eingestellt: 6 aus dem Bereich Risikoanalyse und Risikomanagement, 6 aus dem Bereich Netzüberwachung, 3 aus dem Bereich technische Komponenten von Netzen und Informationssystemen, 2 aus dem Bereich Information und Kommunikation, 4 aus dem Bereich Behandlung von Computerstörfällen und 4 mit Erfahrungen in der Koordinierung von Tätigkeiten von Behörden der Mitgliedstaaten auf dem Gebiet der Informationssicherheit. Die Zusammensetzung dieses Mitarbeiterstabs stützt sich auf eingehende Analysen nach Diskussionen mit Sicherheitsabteilungen nationaler Behörden und ähnlichen Sicherheitsgremien im privaten wie im öffentlichen Sektor wie etwa Computer-Notdiensten. Dabei sind die erwartete Arbeitsbelastung und die Aufgabenliste der Agentur berücksichtigt. Wegen der beschränkten Mittel sind die Zahlen auf das absolute Minimum reduziert.

Im Vollbetrieb werden sich die jährlichen Personalkosten für 15 Mitgliedstaaten auf 3,348 Mio. EUR belaufen. Zugrundegelegt wurden dabei die jährlichen Durchschnittskosten eines Beamten der Kommission in Höhe von 108 000 EUR, worin die Kosten für Gebäude und damit verbundene Verwaltungsausgaben bereits enthalten sind.

Da die volle Besetzung nicht auf einmal erreicht werden dürfte, wird in der Tabelle unter 6.2 von zehn Mitarbeitern im Jahre 2004, 29 Mitarbeitern im Jahre 2005 und der vollen Besetzung von 31 Mitarbeitern im Jahre 2006 ausgegangen.

Gemäß dem vorgeschlagenen Artikel 19 unterliegt das Personal der Agentur den für die Beamten und sonstigen Bediensteten der Europäischen Gemeinschaften geltenden Regeln und Verordnungen.

>PLATZ FÜR EINE TABELLE>

c) Ausrüstungskosten

Möbel: Für Möbel und Büroeinrichtung stehen im ersten Jahr 0,1 Mio. EUR und in den folgenden Jahren 0,025 Mio. EUR zur Verfügung. Büroraum und damit in Verbindung stehende Verwaltungsausgaben fallen unter die Personalkosten.

IT: Angesichts der ihr zugewiesenen Aufgaben dürfte die Agentur Angriffen von Hackern und anderen Angriffen auf ihre Sicherheit ausgesetzt sein. Gegen solche Bedrohungen muss sie ausreichend geschützt werden. Daher ist für diese Agentur eine äußerst sichere und fortschrittliche IT-Ausrüstung unabdingbar. Wegen der sehr hohen Sicherheitsanforderungen dürften sich die jährlichen Gesamtkosten für IT-Ausrüstung auf durchschnittlich zwischen 15 500 und 18 000 EUR pro Beamten belaufen. Die IT-Gesamtkosten werden 0,22 Mio. EUR im ersten Jahr, 0,48 Mio. EUR im zweiten Jahr und 0,528 Mio. EUR in jedem der folgenden Jahre betragen.

Wartung der Internetpräsenz: Zur Erfuellung ihrer Aufgaben ist es wichtig, dass die Agentur der Allgemeinheit wie auch speziell Interessierten Informationen zugänglich macht. Dies wird hauptsächlich über das Internet erfolgen. Die Mindestkosten (nur zur Erfuellung der grundlegenden Informationsbedürfnisse) hierfür werden auf 0,15 Mio. EUR im ersten Jahr und danach 0,05 Mio. EUR jährlich veranschlagt.

d) Betriebskosten

Veröffentlichungen: Obwohl die meisten Veröffentlichungen der Agentur auf ihren Internetseiten erscheinen werden, müssen manche amtlichen Berichte und Informationsmaterial - hauptsächlich zur Information der einschlägigen Gemeinschaftsorgane - auch in Papierform veröffentlicht werden. Die Kosten solcher Veröffentlichungen dürften im ersten Jahr bei 35 000 EUR und in den Folgejahren bei je 50 000 EUR liegen.

Konferenzen: Die Veranstaltung von Konferenzen dürfte im ersten Jahr 0,1 Mio. EUR, im zweiten Jahr 0,15 Mio. EUR und in den folgenden Jahren jeweils 0,2 Mio. EUR kosten. Diese Konferenzen sollen vor allem dazu dienen, die Ergebnisse der Arbeiten der Agentur einen größeren Publikum aus öffentlichen und privaten Kreisen bekannt zu machen.

Dienstreisen: Eine enge Zusammenarbeit mit den Mitgliedstaaten sowie, wegen der weltweiten Bedeutung des Problems der Netzsicherheit, mit Drittländern ist ein Schlüsselelement der Strategie der Agentur. Die Kosten für Dienstreisen zur Erfuellung dieser Aufgaben werden für das erste Jahr auf 0,14 Mio. EUR und für die Folgejahre auf jährlich 0,2 Mio. EUR veranschlagt.

Tagungen: Im Verordnungsentwurf sind die Schaffung eines Verwaltungsrates und eines Beirates sowie die Bildung von Arbeitsgruppen vorgesehen. Einzelheiten der Arbeit dieser Gremien (Häufigkeit von Tagungen usw.) werden in der Geschäftsordnung der Agentur festgelegt. Entsprechend den üblichen Gepflogenheiten dienen jedoch drei Tagungen des Verwaltungsrates pro Jahr und eine monatliche Sitzung des Beirats als Grundlage für die Berechnung der veranschlagten Kosten.

Insgesamt werden jährlich 15 Sitzungen des Verwaltungsrates und des Beirats stattfinden. Die Kosten für Sitzungsraum und Übersetzung belaufen sich auf 7000 EUR pro Sitzung, die Reisekosten auf weitere 700 EUR. Die jährlichen Kosten betragen somit 115 000 EUR.

Die Arbeitsgruppen werden wahrscheinlich etwas später gebildet. Im ersten Jahr werden weniger Sitzungen von Sachverständigengruppen stattfinden.

Übersetzung: Um Kosten- und Zeitaufwand für die Übersetzung zu begrenzen, werden die internen Papiere der Agentur und Dokumente für die Kommission in nur einer Arbeitssprache verfügbar sein. Dokumente der und für die Mitgliedstaaten müssen jedoch eventuell übersetzt werden. Die Kosten dieser Übersetzungen müssen nach einiger Zeit ggf. angepasst werden. Für das erste Jahr werden hierfür 0,16 Mio. EUR und für die Folgejahre jährlich 0,2 Mio. EUR eingeplant.

e) Studien und Forschungsarbeiten

Das hochspezialisierte Gebiet der Netz- und Informationssicherheit und der ständige Wandel in der vernetzten Welt führen zu neuen, unvorhergesehenen Herausforderungen auf globaler Ebene. Wegen der beschränkten Zahl der Mitarbeiter der Agentur wird für einige Aufgaben die Hilfe externer Sachverständiger benötigt, z.B. für Studien zur Sammlung von Daten und Erstellung von Statistiken, die Untersuchung der Auswirkungen der technologischen Entwicklung auf Sicherheitsaspekte, etwa Risikobewertungs- und Risikomanagementmodelle, die Untersuchung des Einflusses von Forschungsergebnissen auf künftige und neue Technologien sowie für die Information über in Drittländern entwickelte Lösungen zum Thema Netzsicherheit.

Auf der Grundlage der verfügbaren Informationen wird die Agentur der Kommission und anderen einschlägigen Gremien Hilfe bieten und Stellungnahmen abgeben, Vorschläge zur Verbesserung der Zusammenarbeit zwischen den einzelnen Akteuren vorlegen, zur Verfügbarkeit rascher, objektiver und umfassender Informationen sowie zum Gemeinschaftskonzept für die Zusammenarbeit mit Drittländern beitragen.

Die Gesamtkosten für Studien werden sich auf 3,445 Mio. EUR belaufen. In den ersten Jahren arbeitet die Agentur vielleicht nur eingeschränkt, und es wird davon ausgegangen, dass 2004 0,42 Mio. EUR und 2005 0,55 Mio. EUR, in den Folgejahren dagegen jährlich 0,825 Mio. EUR für Studien gebraucht werden. Die Durchschnittskosten einer Studie liegen zwischen 0,2 Mio. EUR und 0,3 Mio. EUR.

f) Berechnungen mit den 10 neuen Ländern

Mit zehn neuen Ländern wird sich die Zahl der Mitarbeiter entsprechend erhöhen, da auch die neuen Mitgliedstaaten sich beteiligen und ihr Fachwissen einbringen müssen. Die Aufstockung erfolgt schrittweise mit 5 Personen im Jahr 2004, 9 bis zum Jahr 2005 und schließlich 13 Personen in den Jahren 2006-2008. Von diesen 13 Leuten werden 10 die neuen Länder vertreten, und drei werden Sekretariats- oder Verwaltungsaufgaben wahrnehmen.

Diese neuen Mitarbeiter benötigen auch Möbel und IT-Ausrüstung. Die Kosten für Ausrüstung werden proportional zur Zahl der Mitarbeiter ansteigen, im ersten Jahr aber höher liegen (siehe obige Berechnungen).

Die Konferenzen dürften mit den neuen Ländern nicht mehr kosten, doch die Veröffentlichungen werden sich an ein größeres Publikum richten und daher teurer werden. Außerdem werden Dienstreisen in die neuen Länder erforderlich, um sie mit den Formen der Zusammenarbeit und des Informationsaustauschs usw. vertraut zu machen. Die Tagungen werden mehr Teilnehmer zählen, und die neuen Länder führen zu einem erhöhten Übersetzungsbedarf. Die Berechnung dieser Kosten erfolgte entsprechend wie für 15 Mitgliedstaaten.

Auch der für Studien vorgesehene Betrag wird erhöht werden müssen, um einem vollständigen Überblick über den Stand der Informationssicherheit in diesen Ländern und über die besonderen Bedürfnisse zu gewinnen, die bei ihrer Aufnahme in die Union entstehen könnten. Im Jahr 2004 wird allenfalls eine grundlegende Studie durchgeführt werden können, aber 2005 wird ein vollständiger Überblick über die Lage in den neuen Ländern erforderlich, und dann wird für Studien ein relativ höherer Betrag benötigt.

7. AUSWIRKUNGEN AUF PERSONAL- UND VERWALTUNGSAUSGABEN

Die erforderlichen Human- und Verwaltungsressourcen müssen im Rahmen der der betreffenden Generaldirektion zugewiesenen Ressourcen gedeckt werden.

7.1. Auswirkungen im Bereich der Humanressourcen

>PLATZ FÜR EINE TABELLE>

7.2. Finanzielle Gesamtbelastung durch die Humanressourcen

>PLATZ FÜR EINE TABELLE>

Anzugeben sind jeweils die Beträge, die den Gesamtausgaben für 12 Monate entsprechen.

7.3. Sonstige Verwaltungsausgaben im Zusammenhang mit der Maßnahme

>PLATZ FÜR EINE TABELLE>

Anzugeben sind jeweils die Beträge, die den Gesamtausgaben für 12 Monate entsprechen.

1 Angabe von Kategorie und Gruppe des Ausschusses.

>PLATZ FÜR EINE TABELLE>

8. ÜBERWACHUNG UND BEWERTUNG

8.1. Überwachung

Um sicherzustellen, dass die Finanzmittel der Gemeinschaft effizient genutzt werden, wird die Kommission dafür sorgen, dass die Aktivitäten im Rahmen dieser Verordnung nach den Verfahren für öffentliche Aufträge eingeleitet und ordnungsgemäß überwacht und bewertet werden.

8.2. Modalitäten und Periodizität der vorgesehenen Bewertung

Die Kommission wird zusammen mit dem Beirat eine Prüfung der Arbeitsweise der Agentur und ihrer Wirksamkeit als solche vornehmen. Die Prüfung muss innerhalb von drei Jahren ab dem Anfangsdatum, d. h. vor dem 31. Dezember 2007 stattfinden.

9. BETRUGSBEKÄMPFUNGSMASSNAHMEN

Vor jeglicher Zahlung für Dienste oder Studien werden diese von der Agentur unter Berücksichtigung vertraglicher Verpflichtungen, wirtschaftlicher Grundsätze und einer guten Finanz- und Verwaltungspraxis überprüft. In alle Vereinbarungen und Verträge zwischen der Agentur und den Zahlungsempfängern sind Betrugsbekämpfungsbestimmungen (Überwachung, Verpflichtung zur Berichterstattung usw.) aufzunehmen.