/* KOM/2010/0520 endg. - COD 2010/0274 */ Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zur Änderung der Verordnung (EG) Nr. 460/2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit bezüglich deren Bestehensdauer

[pic] | EUROPÄISCHE KOMMISSION |

Brüssel, den 30.9.2010

KOM(2010) 520 endgültig

2010/0274 (COD)

Vorschlag für eine

VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

zur Änderung der Verordnung (EG) Nr. 460/2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit bezüglich deren Bestehensdauer

BEGRÜNDUNG

1. Hintergrund

Die Europäische Agentur für Netz- und Informationssicherheit (nachstehend „ENISA“) wurde im März 2004 durch die Verordnung (EG) Nr. 460/2004[1] für einen Zeitraum von fünf Jahren gegründet. Das Hauptziel war die „Gewährleistung einer hohen und effektiven Netz- und Informationssicherheit innerhalb der [Union] und der Entwicklung einer Kultur der Netz- und Informationssicherheit, die Bürgern, Verbrauchern, Unternehmen und Organisationen des öffentlichen Sektors der Europäischen Union Nutzen bringt und damit zum reibungslosen Funktionieren des Binnenmarktes beiträgt“ . Durch die Verordnung (EG) Nr. 1007/2008[2] wurde das Mandat der ENISA bis März 2012 verlängert.

Die Verlängerung des Mandats der ENISA im Jahr 2008 löste auch eine Debatte über die allgemeine Ausrichtung der europäischen Bemühungen um die Netz- und Informationssicherheit (NIS) aus, an der die Kommission mit einer öffentlichen Konsultation über mögliche Ziele einer gestärkten NIS-Politik auf Unionsebene mitwirkte. Die öffentliche Konsultation lief von November 2008 bis Januar 2009 und erbrachte fast 600 Beiträge[3].

Am 30. März 2009 nahm die Kommission eine Mitteilung über den Schutz kritischer Informationsinfrastrukturen[4] (CIIP) an, in deren Mittelpunkt der Schutz Europas vor Cyberangriffen und Cyberstörungen durch die Stärkung der Abwehrbereitschaft, Sicherheit und Stabilität steht; darin enthalten ist ein Aktionsplan, in dem der ENISA vor allem bei der Unterstützung der Mitgliedstaaten eine wichtige Rolle zukommt. Bei den Beratungen auf der Ministerkonferenz über den Schutz kritischer Informationsinfrastrukturen (CIIP) am 27. und 28. April 2009 in Tallinn (Estland) fand der Aktionsplan eine breite Unterstützung[5]. In den Schlussfolgerungen des EU-Ratsvorsitzes zu der Konferenz wurde die große Bedeutung betont, die der „Ausnutzung der operativen Unterstützung“ durch die ENISA zukommt; weiter wird darin die ENISA als „ein wertvolles Instrument für den Ausbau der unionsweiten Zusammenarbeit auf diesem Gebiet“ genannt und die Notwendigkeit hervorgehoben, das Mandat der Agentur zu überdenken und zu überarbeiten, „um es besser auf die Prioritäten und Erfordernisse der EU auszurichten, um eine flexiblere Reaktionsfähigkeit zu erzielen, Fähigkeiten und Kompetenzen zu entwickeln und die operative Effizienz und die Gesamtwirkung der Agentur zu erhöhen“, damit die Agentur zu „einem dauerhaften Trumpf für jeden Mitgliedstaat und die Europäische Union insgesamt“ wird.

Nach Gesprächen auf der Ratstagung (Telekommunikation) am 11. Juni 2009, auf der die Mitgliedstaaten angesichts der großen Bedeutung der Netz- und Informationssicherheit und der sich verändernden Anforderungen auf diesem Gebiet ihre Unterstützung für eine Verlängerung des ENISA-Mandats und die Aufstockung ihrer Mittelausstattung bekundeten, wurden die Diskussionen unter schwedischem Ratsvorsitz zum Abschluss geführt. In der Entschließung des Rates vom 18. Dezember 2009 über ein kooperatives europäisches Vorgehen im Bereich der Netz- und Informationssicherheit (NIS)[6] werden die Rolle und das Potenzial der ENISA sowie die Notwendigkeit, „die ENISA zu einer effizienten Stelle weiterzuentwickeln“ , anerkannt. Ferner wird darin betont, dass es notwendig ist, die Agentur zu modernisieren und zu stärken, damit sie die Kommission und die Mitgliedstaaten beim Brückenschlag zwischen Technologie und Politik unterstützen und als Kompetenzzentrum der Europäischen Union für Fragen der Netz- und Informationssicherheit dienen kann.

2. Allgemeiner Kontext

Die Informations- und Kommunikationstechnologien (IKT) haben sich zum Rückgrat der europäischen Wirtschaft und Gesellschaft insgesamt entwickelt. Die IKT sind anfällig für Bedrohungen, die keinen nationalen Grenzen mehr folgen und sich mit der Technologie- und Marktentwicklung verändern. Angesichts des globalen Charakters der IKT, ihrer engen Vernetzung mit und wechselseitigen Abhängigkeiten von anderen Infrastrukturen kann ihre Sicherheit und Widerstandfähigkeit durch rein einzelstaatliche und unkoordinierte Strategien nicht gewährleistet werden. Gleichzeitig verändern sich die Herausforderungen in Bezug auf die Netz- und Informationssicherheit schnell. Netze und Informationssysteme müssen vor allen Arten von Störungen und Ausfällen, auch von Menschen ausgehenden Angriffen, wirksam geschützt werden.

Strategien für die Netz- und Informationssicherheit (NIS) spielen eine zentrale Rolle in der Digitalen Agenda für Europa (DAE)[7], einer der Leitinitiativen der Strategie Europa 2020, wenn es darum geht, das Potenzial der IKT zu erschließen und auszuschöpfen und dieses Potenzial in nachhaltiges Wachstum und Innovation umzusetzen. Die Förderung des IKT-Einsatzes und die Erhöhung des Vertrauens in die Informationsgesellschaft sind daher wichtige Schwerpunkte der DAE. Dazu ist eine Reform der ENISA nötig, damit die Union, die Mitgliedstaaten und die Akteure in die Lage versetzt werden, ein hohes Niveau der Reaktionsfähigkeit und Abwehrbereitschaft aufzubauen, um NIS-Probleme zu verhüten, zu erkennen und zu bewältigen.

3. Handlungsbedarf

Zusammen mit dem vorliegenden Vorschlag unterbreitet die Kommission einen Vorschlag für eine ENISA-Verordnung, die die Verordnung (EG) Nr. 460/2004 ersetzen soll. Er bezweckt die Überarbeitung der Vorschriften über die Agentur und die Errichtung der Agentur für einen Zeitraum von fünf Jahren. Die Kommission ist sich jedoch dessen bewusst, dass das Legislativverfahren im Europäischen Parlament und im Rat in Bezug auf diesen Verordnungsvorschlag viel Zeit für Beratungen in Anspruch nehmen kann, so dass die Gefahr eines rechtlichen Vakuums besteht, wenn vor dem Auslaufen des gegenwärtigen Mandats der Agentur kein neues Mandat beschlossen wird.

Deshalb schlägt die Kommission diese Verordnung zur Verlängerung des gegenwärtigen Mandats der Agentur um 18 Monate vor, um ausreichend Zeit für die Beratungen zu schaffen.

2010/0274 (COD)

Vorschlag für eine

VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

zur Änderung der Verordnung (EG) Nr. 460/2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit bezüglich deren Bestehensdauer

(Text von Bedeutung für den EWR)

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION –

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114,

auf Vorschlag der Europäischen Kommission,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses[8],

nach Stellungnahme des Ausschusses der Regionen[9],

nach Übermittlung des Vorschlags an die nationalen Parlamente,

nach dem ordentlichen Gesetzgebungsverfahren,

in Erwägung nachstehender Gründe:

1. Im Jahr 2004 erließen das Europäische Parlament und der Rat die Verordnung (EG) Nr. 460/2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit[10] (nachstehend „die Agentur“).

2. Im Jahr 2008 erließen das Europäische Parlament und der Rat die Verordnung (EG) Nr. 1007/2008 zur Änderung der Verordnung (EG) Nr. 460/2004 bezüglich deren Bestehensdauer[11].

3. Ab November 2008 fand eine öffentliche Debatte über die allgemeine Ausrichtung der europäischen Bemühungen um eine verbesserte Netz- und Informationssicherheit und über die Agentur statt. Im Einklang mit ihrer Strategie zur besseren Rechtsetzung und als Beitrag zu dieser Debatte leitete die Kommission eine öffentliche Konsultation über die Ziele einer verstärkten Politik für die Netz- und Informationssicherheit auf Unionsebene ein, die von November 2008 bis Januar 2009 lief. Im Dezember 2009 führte diese Debatte zu einer Entschließung des Rates vom 18. Dezember 2009 über ein kooperatives europäisches Vorgehen im Bereich der Netz- und Informationssicherheit[12].

4. Unter Berücksichtigung der Ergebnisse der öffentlichen Debatte wird nun ins Auge gefasst, die Verordnung (EG) Nr. 460/2004 zu ersetzen.

5. Ein Legislativverfahren zur Reformierung der ENISA kann jedoch viel Zeit für Beratungen in Anspruch nehmen; da das gegenwärtige Mandat der Agentur am 13. März 2012 ausläuft, ist es daher notwendig, eine Verlängerung zu beschließen, um sowohl ausreichend Raum für die Beratungen im Europäischen Parlament und im Rat zu schaffen als auch die Kohärenz und Kontinuität zu gewährleisten.

6. Die Dauer des Bestehens der Agentur sollte deshalb bis zum 13. September 2013 verlängert werden –

HABEN FOLGENDE VERORDNUNG ERLASSEN:

Artikel 1

Die Verordnung (EG) Nr. 460/2004 wird wie folgt geändert:

Artikel 27 erhält folgende Fassung:

„Artikel 27 – Dauer des Bestehens

Die Agentur wird zum 14. März 2004 für einen Zeitraum von neun Jahren und sechs Monaten errichtet.“

Artikel 2Inkrafttreten

Diese Verordnung tritt am Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu […] am […]

Im Namen des Europäischen Parlaments Im Namen des Rates

Der Präsident Der Präsident

FINANZBOGEN ZU VORGESCHLAGENEN RECHTSAKTEN

RAHMEN DES VORSCHLAGS/DER INITIATIVE

Bezeichnung des Vorschlags/der Initiative

Vorschlag für eine Verordnung des Europäischen Parlaments zur Änderung der Verordnung (EG) Nr. 460/2004 des Rates des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit

Politikbereiche in der ABM/ABB-Struktur [13]

Informationsgesellschaft und Medien

Rechtsrahmen für die Digitale Agenda

Art des Vorschlags/der Initiative

( Der Vorschlag/die Initiative betrifft eine neue Maßnahme .

( Der Vorschlag/die Initiative betrifft eine neue Maßnahme im Anschluss an ein Pilotprojekt/eine vorbereitende Maßnahme[14] .

( Der Vorschlag/die Initiative betrifft die Verlängerung einer bestehenden Maßnahme .

( Der Vorschlag/die Initiative betrifft eine neu ausgerichtete Maßnahme .

Ziele

Mit dem Vorschlag/der Initiative verfolgte mehrjährige strategische Ziele der Kommission

Verbesserung der Widerstandsfähigkeit der europäischen elektronischen Kommunikationsnetze

Die Agentur wird sich weiterhin mit Fragen der Widerstandsfähigkeit beschäftigen und hierfür z. B. Erhebungen zu Verpflichtungen, Anforderungen und bewährten Verfahren[15] in Bezug auf die Widerstandfähigkeit durchführen und weitere Methoden und Verfahren zur Verbesserung der Widerstandfähigkeit analysieren. Es werden weitere Pilotprojekte durchgeführt werden, um die Gültigkeit der Anforderungen, Methoden und Praktiken zu bewerten. Die Agentur wird zur Erhöhung der Sicherheit und Widerstandsfähigkeit kritischer Kommunikations- und Informationsinfrastrukturen sowie zum Aufbau der Europäischen öffentlich-privaten Partnerschaft für Robustheit (EP3R) und des Europäischen Forums der Mitgliedstaaten (EFMS) beitragen.

Entwicklung und Wahrung der Zusammenarbeit zwischen Mitgliedstaaten

ENISA sollte weiterhin auf ihren Anstrengungen aufbauen, die der Ermittlung europaweiter Kreise für Sicherheitsfachwissen zu Themen wie Sensibilisierung und Reaktion auf Vorfälle, Zusammenarbeit bei der Interoperabilität europaweiter eID[16] sowie der Aufrechterhaltung einer Vermittlungsplattform für bewährte Verfahren im Bereich der Netz- und Informationssicherheit[17] in Europa dienen. Ferner sollte eine erweiterte Zusammenarbeit der Mitgliedstaaten mit dem Ziel erreicht werden, die Fähigkeiten aller Mitgliedstaaten zu verbessern und das Niveau der Kohärenz und Interoperabilität insgesamt anzuheben.

Ermittlung aufkommender Risiken zum Zwecke der Vertrauensbildung

Die Agentur wird weiterhin an der Aufstellung eines Rahmens arbeiten, der es Entscheidungsträgern ermöglicht, aufkommende Risiken, die sich aus neuen Technologien und neuen Anwendungen ergeben, durch eine Praxis der systematischen Datenerfassung, -verarbeitung und -verbreitung sowie systematische Rückmeldungen besser zu verstehen und zu bewerten.

Vertrauensbildende Maßnahmen für Kleinstunternehmen

Das Zeitalter der digitalen Information bietet unzählige Gelegenheiten für Unternehmen, insbesondere für Kleinstunternehmen. Allerdings bestehen weiterhin Schwachstellen bei der Weiterentwicklung der IKT und bei ihrer Anwendung durch die Nutzer. Das Ziel besteht darin, die Bedürfnisse und Erwartungen von Kleinstunternehmen auf diesem Gebiet zu erfassen und zu bewerten. Hierzu wird die ENISA Modelle für die grenzübergreifende Zusammenarbeit zwischen Multiplikatoren und Verbänden auf folgenden Gebieten fördern und erproben: Aufbau von NIS-Kapazitäten in Kleinstunternehmen, Aufstellung von Zertifizierungsprogrammen für Kleinstunternehmen, Entwicklung von Handlungsvorgaben für Nichtfachleute, Aufstellung und Erprobung guter Praktiken für die Aufrechterhaltung des Geschäftsbetriebs, Ausarbeitung von Fragen zur Einhaltung der Vorgaben, anhand derer Klein- und Kleinstunternehmen ihre Sicherheitsziele formulieren und Pläne zu ihrer Erfüllung aufstellen können.

Einzelziele und ABM/ABB-Tätigkeiten

Einzelziel

Erhöhung der Netz- und Informationssicherheit (NIS), Entwicklung einer Kultur der Netz- und Informationssicherheit zum Nutzen der Bürger, Verbraucher, Unternehmen und Organisationen des öffentlichen Sektors und Erkennung politischer Herausforderungen, die sich aus künftigen Netzen und dem Internet ergeben

ABM/ABB-Tätigkeiten

Politik im Bereich der elektronischen Kommunikation und Netzsicherheit

Erwartete Ergebnisse und Auswirkungen

Aufbau einer hohen Netz- und Informationssicherheit innerhalb der Union und Entwicklung einer Kultur der Netz- und Informationssicherheit zum Nutzen der Bürger, Verbraucher, Unternehmen und Organisationen des öffentlichen Sektors in der Europäischen Union, um auf diese Weise zum reibungslosen Funktionieren des Binnenmarkts beizutragen.

Leistungs- und Erfolgsindikatoren

Siehe Abschnitt 1.4.1.

Begründung des Vorschlags/der Initiative

Kurz- oder langfristig zu deckender Bedarf

Die ENISA wurde ursprünglich im Jahr 2004 gegründet, um sich mit den Bedrohungen und den in der Folge möglichen Verletzungen der Netz- und Informationssicherheit zu befassen. Seitdem haben sich mit der Technologie- und Marktentwicklung die Herausforderungen bezüglich der Netz- und Informationssicherheit verändert und waren Gegenstand weiterer Überlegungen und Diskussionen, auf deren Grundlage es heute möglich ist, eine Aktualisierung und detailliertere Beschreibung der konkret festgestellten Probleme vorzunehmen und abzuschätzen, wie die sich verändernde NIS-Landschaft sich hierauf auswirkt. So hieß es insbesondere in den Schlussfolgerungen des Ratsvorsitzes zur Ministerkonferenz über den Schutz kritischer Informationsinfrastrukturen (CIIP) in Tallinn: „Die neuen und lang andauernden künftigen Herausforderungen erfordern ein gründliches Überdenken und Überarbeiten des Mandats der Agentur, die es dieser gestatteten, sich besser auf die EU-Prioritäten und -Erfordernisse zu konzentrieren, eine flexiblere Reaktionsfähigkeit zu erzielen, europäische Fertigkeiten und Kompetenzen zu entwickeln und die operative Effizienz und die Gesamtwirkung der Agentur zu fördern. Auf diese Weise könnte ENISA auf Dauer zu einem Trumpf für alle Mitgliedstaaten und die Europäische Union insgesamt werden.“

Zusammen mit diesem Vorschlag unterbreitet die Kommission einen Vorschlag für eine ENISA-Verordnung, die die Verordnung (EG) Nr. 460/2004 ersetzen soll, eine gründliche Überprüfung der Vorschriften über die Agentur vorsieht und die Agentur für einen Zeitraum von fünf Jahren einrichtet. Die Kommission ist sich jedoch dessen bewusst, dass das Legislativverfahren im Europäischen Parlament und im Rat in Bezug auf diesen Verordnungsvorschlag viel Zeit für Beratungen in Anspruch nehmen kann, so dass die Gefahr eines rechtlichen Vakuums besteht, wenn vor dem Auslaufen des gegenwärtigen Mandats der Agentur kein neues Mandat beschlossen wird.

Deshalb schlägt die Kommission diese Verordnung zur Verlängerung des gegenwärtigen Mandats der Agentur um 18 Monate vor, um ausreichend Zeit für die Beratungen zu schaffen.

Mehrwert durch die Intervention der EU

NIS-Probleme richten sich nicht nach nationalen Grenzen und können deshalb allein auf einzelstaatlicher Ebene nicht wirkungsvoll bewältigt werden. Gleichzeitig gibt es gewaltige Unterschiede in der Art und Weise, wie die Behörden in verschiedenen Mitgliedstaaten mit diesen Problemen umgehen. Diese Unterschiede können sich als großes Hindernis bei der Schaffung eines geeigneten unionsweiten Mechanismus für eine verbesserte NIS in Europa erweisen. Wegen der engen Vernetzung von IKT-Infrastrukturen wird die Wirksamkeit der auf nationaler Ebene in einem Mitgliedstaat ergriffenen Maßnahmen stark beeinträchtigt, wenn andere Mitgliedstaaten Maßnahmen auf einem niedrigeren Niveau treffen oder keine systematische grenzübergreifende Zusammenarbeit stattfindet. Unzureichende NIS-Maßnahmen, die zu einem Vorfall in einem Mitgliedstaat führen, können Störungen der Dienste in anderen Mitgliedstaaten verursachen.

Außerdem bedeutet die Vielzahl verschiedener Sicherheitsanforderungen eine Kostenbelastung für EU-weit tätige Unternehmen und führt zu einer Fragmentierung und einem Verlust an Wettbewerbsfähigkeit im europäischen Binnenmarkt.

Während die Abhängigkeit von Netzen und Informationssystemen zunimmt, ist die Abwehrbereitschaft im Fall von Störungen offenbar ungenügend.

Die derzeitigen nationalen Frühwarn- und Krisenbewältigungssysteme weisen erhebliche Mängel auf. Die Prozesse und Vorgehensweisen für die Überwachung der Netzsicherheit und die Meldung solcher Störungen sind in den Mitgliedstaaten sehr unterschiedlich. In einigen Ländern mangelt es an einer förmlichen Festlegung der Verfahren, während es in anderen keine zuständige Behörde gibt, die Meldungen über solche Vorfälle annimmt und bearbeitet. Ein europäisches System gibt es nicht. Folglich könnte die Grundversorgung mit lebenswichtigen Gütern tiefgreifend gestört werden, weshalb hiergegen geeignete Abwehrmaßnahmen vorbereitet werden sollten. In der Mitteilung der Kommission über den Schutz kritischer Informationsinfrastrukturen wurde so auch die Notwendigkeit betont, europäische Frühwarn- und Reaktionsfähigkeiten zu schaffen, die möglicherweise durch Übungen auf europäische Ebene ergänzt werden könnten.

Es besteht ein klarer Bedarf an Politikinstrumenten für eine proaktive Ermittlung von NIS-Risiken und -Anfälligkeiten, für die Schaffung geeigneter Reaktionsmechanismen (z. B. durch die Feststellung und Verbreitung guter Praktiken) und für die Sicherstellung, dass den Beteiligten diese Reaktionsmechanismen bekannt sind und von ihnen auch angewandt werden.

Aus früheren ähnlichen Maßnahmen gewonnene wesentliche Erkenntnisse

Gemäß Artikel 25 der ENISA-Verordnung führte ein unabhängiges externes Expertengremium 2006/2007 eine Bewertung der ENISA durch, um eine strukturelle Bewertung der Arbeitsweise, der Organisation und des Mandats der Agentur vorzunehmen sowie erforderlichenfalls Empfehlungen für Verbesserungen abzugeben. Diese Bewertung erfolgte bereits ein Jahr nachdem die ENISA ihre Tätigkeit aufgenommen hatte. Der Bewertungsbericht[18] bestätigte die Gültigkeit der ursprünglichen politischen Überlegungen, die zur Gründung der ENISA geführt hatten, und warf bezüglich der Sichtbarkeit der Agentur und ihrer Fähigkeit, ein hohe Wirkung zu erzielen, einige Fragen auf, die angegangen werden müssen. Dazu gehören die Organisationsstruktur, die Zusammensetzung der vorhandenen Qualifikationen und die operative Personalstärke der Agentur sowie die organisatorischen Probleme, die sich aus dem entfernten Standort ergeben.

Siehe auch Abschnitt 1.5.1.

Kohärenz mit anderen Finanzierungsinstrumenten sowie mögliche Synergieeffekte

Die Zukunft der ENISA war Teil der allgemeinen Debatte über die Netz- und Informationssicherheit und andere Politikinitiativen, in deren Mittelpunkt die Zukunft der NIS steht.

Dauer der Maßnahme und ihrer finanziellen Auswirkungen

( Vorschlag/Initiative mit befristeter Geltungsdauer

- ( Geltungsdauer: 14.3.2012 bis 13.9.2013

- ( Finanzielle Auswirkungen: 2012 bis 2013

( Vorschlag/Initiative mit unbefristeter Geltungsdauer

- Umsetzung mit einer Anlaufphase von [Jahr] bis [Jahr],

- Vollbetrieb wird angeschlossen.

Vorgeschlagene Methoden der Mittelverwaltung[19]

( Direkte zentrale Verwaltung durch die Kommission

( Indirekte zentrale Verwaltung durch Übertragung von Haushaltsvollzugsaufgaben an:

- ( Exekutivagenturen

- ( von den Gemeinschaften geschaffene Einrichtungen[20]

- ( nationale öffentliche Einrichtungen bzw. privatrechtliche Einrichtungen, die im öffentlichen Auftrag tätig werden

- ( Personen, die mit der Durchführung bestimmter Maßnahmen im Rahmen von Titel V des Vertrags über die Europäische Union betraut und in dem maßgeblichen Basisrechtsakt nach Artikel 49 der Haushaltsordnung bezeichnet sind

( Mit den Mitgliedstaaten geteilte Verwaltung

( Dezentrale Verwaltung mit Drittstaaten

( Gemeinsame Verwaltung mit internationalen Organisationen ( bitte auflisten )

VERWALTUNGSMASSNAHMEN

Überwachung und Berichterstattung

Der Direktor ist verantwortlich für die wirksame Überwachung und Bewertung der Leistung der Agentur vor dem Hintergrund ihrer Ziele; er berichtet dem Verwaltungsrat jährlich.

Der Direktor erstellt einen Tätigkeitsbericht, der sich auf alle Aktivitäten der Agentur des vergangenen Jahres erstreckt und worin insbesondere die erzielten Ergebnisse mit den Zielen des jährlichen Arbeitsprogramms verglichen werden. Dieser Bericht wird nach der Annahme durch den Verwaltungsrat an das Europäische Parlament, den Rat, die Kommission, den Rechnungshof, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen weitergeleitet und veröffentlicht.

Verwaltungs- und Kontrollsystem

Ermittelte Risiken

Seit ihrer Errichtung im Jahre 2004 wurde die ENISA externen und internen Bewertungen unterzogen.

Gemäß Artikel 25 der ENISA-Verordnung war der erste Schritt in diesem Prozess die unabhängige Bewertung von ENISA durch ein externes Expertengremium im Zeitraum 2006/2007. Der Bewertungsbericht des externen Expertengremiums[21] bestätigte die fortdauernde Gültigkeit der ursprünglichen politischen Motive für die Gründung der ENISA sowie deren ursprüngliche Ziele und warf einige Fragen auf, die angegangen werden müssen.

Im März 2007 berichtete die Kommission über die Bewertung an den Verwaltungsrat, der anschließend seine eigenen Empfehlungen zur Zukunft der Agentur und zu Änderungen der ENISA-Verordnung vorlegte[22].

Im Juni 2007 legte die Kommission in einer Mitteilung an das Europäische Parlament und den Rat ihre eigene Bewertung der Ergebnisse der externen Bewertung sowie der Empfehlungen des Verwaltungsrates vor[23]. Die Mitteilung enthielt die Feststellung, dass eine Entscheidung getroffen werden muss: entweder das Mandat der Agentur wird verlängert, oder die Agentur wird durch einen anderen Mechanismus ersetzt, zum Beispiel ein permanentes Forum von Interessenvertretern oder ein Netz von Sicherheitsorganisationen. Die Mitteilung leitete auch eine öffentliche Konsultation zu dem Thema ein und enthielt eine Fragenliste, mit der die Betroffenen um Beiträge ersucht wurden, um der weiteren Diskussion Orientierung zu geben[24].

Im Jahr 2009 nahm die Kommission eine Folgenabschätzung vor, um mögliche Optionen für die Zukunft der ENISA zu prüfen. Diese Folgenabschätzung ist dem Vorschlag für eine ENISA-Verordnung beigefügt, die die Verordnung (EG) Nr. 460/2004 ersetzen soll.

Vorgesehene Kontrollen

Siehe Abschnitt 2.2.1.

Prävention von Betrug und Unregelmäßigkeiten

Vor jeglicher Zahlung für Dienste oder Studien werden diese von der Agentur unter Berücksichtigung vertraglicher Verpflichtungen, wirtschaftlicher Grundsätze und einer guten Finanz- und Verwaltungspraxis überprüft. In alle Vereinbarungen und Verträge zwischen der Agentur und den Zahlungsempfängern werden Bestimmungen zur Betrugsbekämpfung (Überwachung, Verpflichtung zur Berichterstattung usw.) aufgenommen.

ERWARTETE FINANZIELLE AUSWIRKUNGEN DES VORSCHLAGS/DER INITIATIVE

Betroffene Rubrik(en) des mehrjährigen Finanzrahmens und Ausgabenlinie(n)

- Bestehende Haushaltslinien

Rubrik des mehrjährigen Finanzrahmens | Haushaltslinie | Art der Ausgaben | Finanzierungsbeiträge |

Erwartete Auswirkungen auf die Ausgaben

Übersicht

in Mio. EUR (3 Dezimalstellen)

Rubrik des mehrjährigen Finanzrahmens | 1.a | Wettbewerbsfähigkeit für Wachstum und Beschäftigung |

ENISA | 14. März – 31. Dez. 2012 | 1. Jan. – 13. Sept. 2013 | INSGESAMT |

Operative Mittel |

09 02 03 02 Europäische Agentur für Netz- und Informationssicherheit – Haushaltszuschuss im Rahmen des Titels 3 | Verpflichtungen | (1) | 2,073 | 1,734 | 3,807 |

Zahlungen | (2) | 2,073 | 1,734 | 3,807 |

Verwaltungsmittel |

09 02 03 01 Europäische Agentur für Netz- und Informationssicherheit – Haushaltszuschüsse im Rahmen der Titel 1 und 2 | (3) | 4,600 | 4,291 | 8,891 |

Mittel in Rubrik 1a INSGESAMT | Verpflichtungen | = 1+3 | 6,673 | 6,025 | 12,698 |

Zahlungen | = 2+3 | 6,673 | 6,025 | 12,698 |

( Operative Mittel INSGESAMT | Verpflichtungen | (4) | 2,073 | 1,734 | 3,807 |

Zahlungen | (5) | 2,073 | 1,734 | 3,807 |

( Aus der Dotation bestimmter operativer Programme finanzierte Verwaltungsausgaben INSGESAMT | (6) | 4,600 | 4,291 | 8,891 |

Mittel INSGESAMT in Rubrik 1.a Wettbewerbsfähigkeit für Wachstum und Beschäftigung des mehrjährigen Finanzrahmens | Verpflichtungen | = 4+6 | 6,673 | 6,025 | 12,698 |

Zahlungen | = 5+6 | 6,673 | 6,025 | 12,698 |

in Mio. EUR (3 Dezimalstellen)

Rubrik des mehrjährigen Finanzrahmens | 5 | Verwaltungsausgaben |

14. März – 31. Dez. 2012 | 1. Jan. – 13. Sept. 2013 | Insgesamt |

Personalausgaben | 0,342 | 0,299 | 0,641 |

Sonstige Verwaltungsausgaben | 0,008 | 0,007 | 0,015 |

GD INFSO INSGESAMT | Mittel | 0,350 | 0,306 | 0,656 |

Mittel in Rubrik 5 des mehrjährigen Finanzrahmens INSGESAMT | (Höhe der Verpflichtungen = Höhe der Zahlungen) | 0,350 | 0,306 | 0,656 |

14. März – 31. Dez. 2012 | 1. Jan. – 13. Sept. 2013 | Insgesamt |

Mittel in den Rubriken 1 bis 5 des mehrjährigen Finanzrahmens INSGESAMT | Verpflichtungen | 7,023 | 6,331 | 13,354 |

Zahlungen | 7,023 | 6,331 | 13,354 |

Erwartete Auswirkungen auf die operativen Mittel

- ( Für den Vorschlag/die Initiative werden keine operativen Mittel benötigt.

- ( Für den Vorschlag/die Initiative werden die folgenden operativen Mittel benötigt:

Verpflichtungsermächtigungen, in Mio. EUR (3 Dezimalstellen)

Ziele und Ergebnisse ( | 14. März – 31. Dezember 2012 | 1. Januar – 13. September 2013 | INSGESAMT |

Verbesserung der Widerstandsfähigkeit der europäischen elektronischen Kommunikationsnetze | 0,237 | 0,198 | 0,435 |

Entwicklung und Wahrung der Zusammenarbeit zwischen Mitgliedstaaten | 0,237 | 0,198 | 0,435 |

Ermittlung aufkommender Risiken zum Zwecke der Vertrauensbildung | 0,169 | 0,141 | 0,310 |

Vertrauensbildende Maßnahmen für Kleinstunternehmen | 0,087 | 0,072 | 0,159 |

Verwaltung horizontaler Maßnahmen | 1,344 | 1,124 | 2,468 |

GESAMTKOSTEN | 2,073 | 1,734 | 3,807 |

Erwartete Auswirkungen auf die Verwaltungsmittel[28]

Übersicht

- ( Für den Vorschlag/die Initiative werden keine Verwaltungsmittel benötigt.

- ( Für den Vorschlag/die Initiative werden die folgenden Verwaltungsmittel benötigt:

a) Verwaltungsausgaben in Rubrik 5 des mehrjährigen Finanzrahmens

in Mio. EUR (3 Dezimalstellen)

Rubrik 5 des mehrjährigen Finanzrahmens | 14. März – 31. Dez. 2012 | 1. Jan. – 13. Sept. 2013 | INSGESAMT |

Personalausgaben | 0,342 | 0,299 | 0,641 |

Sonstige Verwaltungsausgaben | 0,008 | 0,007 | 0,015 |

INSGESAMT | 0,350 | 0,306 | 0,656 |

b) Verwaltungsausgaben für die ENISA aus der Haushaltslinie „09.020301 Europäische Agentur für Netz- und Informationssicherheit: Titel 1 – Personal und Titel 2 – Arbeitsweise der Agentur“

in Mio. EUR (3 Dezimalstellen)

14. März – 31. Dez. 2012 | 1. Jan. – 13. Sept. 2013 | INSGESAMT |

Personalausgaben – Titel 1 – Personal | 4,216 | 3,916 | 8,132 |

Sonstige Verwaltungsausgaben – Titel 2 – Arbeitsweise der Agentur | 0,384 | 0,375 | 0,759 |

INSGESAMT | 4,600 | 4,291 | 8,891 |

Erwarteter Personalbedarf

- ( Für den Vorschlag/die Initiative wird kein Personal benötigt.

- ( Für den Vorschlag/die Initiative wird das folgende Personal benötigt:

a) Personal innerhalb der Kommission

14. März – 31. Dez. 2012 | 1. Jan. – 13. Sept. 2013 |

Im Stellenplan vorgesehene Planstellen (Beamte und Bedienstete auf Zeit) (in Vollzeitäquivalenten FTE) |

XX 01 01 01 (am Sitz und in den Vertretungen der Kommission) | 3,5 | 3,5 |

INSGESAMT | 3,5 | 3,5 |

b) Personal der ENISA

14. März – 31. Dez. 2012 | 1. Jan. – 13. Sept. 2013 |

Planstellen im Stellenplan der ENISA (in Vollzeitäquivalenten FTE) |

Beamte oder Bedienstete auf Zeit | AD | 29 | 29 |

AST | 15 | 15 |

Beamte oder Bedienstete auf Zeit INSGESAMT | 44 | 44 |

Sonstiges Personal (in FTE) |

Vertragsbedienstete | 13 | 13 |

Abgeordnete nationale Sachverständige (END) | 5 | 5 |

Sonstiges Personal INSGESAMT | 18 | 18 |

INSGESAMT | 62 | 62 |

Beschreibung der vom Personal der Agentur auszuführenden Aufgaben:

Beamte und Zeitbedienstete | Die Agentur wird weiterhin: beratende und koordinierende Aufgaben erfüllen, zu denen die Erfassung und Analyse von Daten zur Informationssicherheit gehören. Sowohl öffentliche als auch private Unternehmen bzw. Einrichtungen mit unterschiedlichen Zielsetzungen erfassen heute Daten über IT-Vorfälle und andere Daten, die für die Informationssicherheit relevant sind. Es gibt jedoch keine zentrale Stelle auf europäischer Ebene, die auf breiter Basis Daten erfassen und auswerten sowie Stellungnahmen und Empfehlungen abgeben kann, um die politische Arbeit der Union im Bereich der Netz- und Informationssicherheit zu unterstützen; als Fachzentrum dienen, bei dem sowohl die Mitgliedstaaten als auch die EU-Organe Stellungnahmen und Empfehlungen in sicherheitstechnischen Fragen einholen können; zu einer breit angelegten Zusammenarbeit zwischen verschiedenen Akteuren der Informationssicherheit beitragen, z. B. bei den Folgemaßnahmen zur Unterstützung des sicheren elektronischen Geschäftsverkehrs. Diese Zusammenarbeit ist eine wesentliche Voraussetzung für die sichere Funktionsweise von Netzen und Informationssystemen in Europa. Sie erfordert die Mitwirkung aller Beteiligten; einen Beitrag zu einem koordinierten Konzept der Informationssicherheit leisten, indem sie die Mitgliedstaaten z. B. bei der Förderung von Risikobewertungs- und Sensibilisierungsmaßnahmen unterstützt; die Interoperabilität von Netzen und Informationssystemen gewährleisten, wenn die Mitgliedstaaten sicherheitsrelevante technische Anforderungen umsetzen; den entsprechenden Normungsbedarf ermitteln und bestehende Sicherheitsnormen und Zertifizierungspläne sowie deren möglichst weit reichende Anwendung zur Unterstützung des EU-Rechts fördern; die internationale Zusammenarbeit in diesem Bereich unterstützen, die immer notwendiger wird, da es sich bei der Netz- und Informationssicherheit um ein globales Thema handelt. |

Externes Personal | Siehe oben. |

Vereinbarkeit mit dem mehrjährigen Finanzrahmen

- ( Der Vorschlag/die Initiative ist mit dem derzeitigen mehrjährigen Finanzrahmen vereinbar.

- ( Der Vorschlag/die Initiative erfordert eine Anpassung der betreffenden Rubrik des mehrjährigen Finanzrahmens.

- ( Der Vorschlag/die Initiative erfordert eine Inanspruchnahme des Flexibilitätsinstruments oder eine Änderung des mehrjährigen Finanzrahmens[29].

Finanzierungsbeteiligung Dritter

- ( Der Vorschlag/die Initiative sieht keine Kofinanzierung durch Dritte vor.

- ( Der Vorschlag/die Initiative sieht folgende Kofinanzierung vor (für die Posten 09.020301 und 09.020302):

Veranschlagte Mittel in Mio. EUR (3 Dezimalstellen)

14. März – 31. Dez. 2012 | 1. Jan. – 13. Sept. 2013 | Insgesamt |

EFTA | 0,160 | 0,145 | 0,305 |

Erwartete Auswirkungen auf die Einnahmen

- ( Der Vorschlag/die Initiative wirkt sich nicht auf die Einnahmen aus.

- ( Der Vorschlag/die Initiative wirkt sich auf die Einnahmen aus, und zwar

- ( auf die Eigenmittel

- ( auf die sonstigen Einnahmen

[1] Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit (ABl. L 77 vom 13.3.2004, S. 1).

[2] Verordnung (EG) Nr. 1007/2008 des Europäischen Parlaments und des Rates vom 24. September 2008 zur Änderung der Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit bezüglich deren Bestehensdauer (ABl. L 293 vom 31.10.2008, S. 1).

[3] Der zusammenfassende Bericht über die Ergebnisse der öffentlichen Konsultation über „Eine gestärkte Politik auf dem Gebiet der Netz- und Informationssicherheit in Europa“ ist der Folgenabschätzung zu diesem Vorschlag als Anhang 11 beigefügt.

[4] KOM(2009) 149 vom 30.3.2009.

[5] Diskussionspapier: http://www.tallinnciip.eu/doc/discussion_paper_-_tallinn_ciip_conference.pdf;

Schlussfolgerungen des Ratsvorsitzes:http://www.tallinnciip.eu/doc/EU_Presidency_Conclusions_Tallinn_CIIP_Conference.pdf.

[6] Entschließung des Rates vom 18. Dezember 2009 über ein kooperatives europäisches Vorgehen im Bereich der Netz- und Informationssicherheit (ABl. C 321 vom 29.12.2009, S. 1). http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2009:321:0001:0004:DE:PDF.

[7] KOM(2010) 245 vom 19.5.2010.

[8] ABl. C […] vom […], S. […].

[9] ABl. C […] vom […], S. […].

[10] Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit (ABl. L 77 vom 13.3.2004, S. 1).

[11] Verordnung (EG) Nr. 1007/2008 des Europäischen Parlaments und des Rates vom 24. September 2008 zur Änderung der Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit bezüglich deren Bestehensdauer (ABl. L 293 vom 31.10.2008, S. 1).

[12] Entschließung des Rates vom 18. Dezember 2009 über ein kooperatives europäisches Vorgehen im Bereich der Netz- und Informationssicherheit (ABl. C 321 vom 29.12.2009, S. 1).

[13] ABM: Activity Based Management (maßnahmenbezogenes Management) – ABB: Activity Based Budgeting (maßnahmenbezogene Budgetierung).

[14] Im Sinne von Artikel 49 Absatz 6 Buchstaben a oder b der Haushaltsordnung.

[15] Solche Erhebungen werden auf jenen aufbauen, die ENISA in den Jahren 2006 und 2007 zu den Sicherheitsmaßnahmen von Anbietern elektronischer Kommunikationsdienste durchführte.

[16] Diese Unterstützungsmaßnahmen sind eine Fortsetzung der Arbeit, die ENISA in den Jahren 2006 und 2007 für eine gemeinsame Sprachregelung zur Verbesserung der Interoperabilität elektronischer Identitäten (eID) leistete.

[17] Diese Plattform ist eine Folgemaßnahme der 2007 geleisteten Arbeit zur Definition eines Fahrplans für die institutionalisierte Verbreitung europäischer guter Praktiken im Bereich der NIS.

[18] Siehe http://ec.europa.eu/dgs/information_society/evaluation/studies/s2006_enisa/docs/final_report.pdf.

[19] Erläuterungen zu den Methoden der Mittelverwaltung und Verweise auf die Haushaltsordnung enthält die Website BudgWeb (in französischer und englischer Sprache): http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[20] Einrichtungen im Sinne von Artikel 185 der Haushaltsordnung.

[21] http://ec.europa.eu/dgs/information_society/evaluation/studies/index_en.htm.

[22] Gemäß Artikel 25 der ENISA-Verordnung. Der vollständige Wortlaut des vom ENISA-Verwaltungsrat verabschiedeten Dokuments, das auch Erwägungen des Vorstands enthält, ist auf der folgenden Website verfügbar: http://enisa.europa.eu/pages/03_02.htm.

[23] Mitteilung der Kommission an das Europäische Parlament und den Rat über die Bewertung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), KOM(2007) 285 endg. vom 1.6.2007: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52007DC0285:DE:NOT.

[24] http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=EnisaFuture&lang=de.

[25] GM = Getrennte Mittel / NGM = Nicht getrennte Mittel.

[26] EFTA: Europäische Freihandelsassoziation.

[27] Kandidatenländer und gegebenenfalls potenzielle Beitrittskandidaten des Westbalkans.

[28] Der Anhang des Finanzbogens zu Rechtsakten wird nicht ausgefüllt, weil er auf den vorliegenden Vorschlag nicht anwendbar ist.

[29] Siehe Nummern 19 und 24 der Interinstitutionellen Vereinbarung.

52010PC0520