Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES über die Europäische Agentur für Netz- und Informationssicherheit (ENISA) /* KOM/2010/0521 endg. - COD 2010/0275 */
[pic] | EUROPÄISCHE KOMMISSION | Brüssel, den 30.9.2010 KOM(2010) 521 endgültig 2010/0275 (COD) Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES über die Europäische Agentur für Netz- und Informationssicherheit (ENISA) {SEK(2010) 1126}{SEK(2010) 1127} BEGRÜNDUNG 1. KONTEXT DES VORSCHLAGS 1.1. Politischer Kontext Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) wurde im März 2004 durch die Verordnung (EG) Nr. 460/2004[1] für einen Zeitraum von fünf Jahren gegründet. Das Hauptziel war die „Gewährleistung einer hohen und effektiven Netz- und Informationssicherheit innerhalb der [Union] und der Entwicklung einer Kultur der Netz- und Informationssicherheit, die Bürgern, Verbrauchern, Unternehmen und Organisationen des öffentlichen Sektors der Europäischen Union Nutzen bringt und damit zum reibungslosen Funktionieren des Binnenmarktes beiträgt“ . Durch die Verordnung (EG) Nr. 1007/2008[2] wurde das Mandat der ENISA bis März 2012 verlängert. Die Verlängerung des Mandats der ENISA im Jahr 2008 löste auch eine Debatte über die allgemeine Ausrichtung der europäischen Bemühungen um die Netz- und Informationssicherheit (NIS) aus, an der die Kommission mit einer öffentlichen Konsultation über mögliche Ziele einer gestärkten NIS-Politik auf Unionsebene mitwirkte. Die öffentliche Konsultation lief von November 2008 bis Januar 2009 und erbrachte fast 600 Beiträge[3]. Am 30. März 2009 nahm die Kommission eine Mitteilung über den Schutz kritischer Informationsinfrastrukturen[4] (CIIP) an, in deren Mittelpunkt der Schutz Europas vor Cyberangriffen und Cyberstörungen durch die Stärkung der Abwehrbereitschaft, Sicherheit und Stabilität steht; darin enthalten ist ein Aktionsplan, in dem der ENISA vor allem bei der Unterstützung der Mitgliedstaaten eine wichtige Rolle zukommt. Bei den Beratungen auf der Ministerkonferenz über den Schutz kritischer Informationsinfrastrukturen (CIIP) am 27. und 28. April 2009 in Tallinn (Estland) fand der Aktionsplan eine breite Unterstützung[5]. In den Schlussfolgerungen des EU-Ratsvorsitzes zu der Konferenz wurde die große Bedeutung betont, die der „Ausnutzung der operativen Unterstützung“ durch die ENISA zukommt; weiter wird darin die ENISA als „ein wertvolles Instrument für den Ausbau der unionsweiten Zusammenarbeit auf diesem Gebiet“ genannt und die Notwendigkeit hervorgehoben, das Mandat der Agentur zu überdenken und zu überarbeiten, „um es besser auf die Prioritäten und Erfordernisse der EU auszurichten, um eine flexiblere Reaktionsfähigkeit zu erzielen, Fähigkeiten und Kompetenzen zu entwickeln und die operative Effizienz und die Gesamtwirkung der Agentur zu erhöhen“, damit die Agentur zu „einem dauerhaften Trumpf für jeden Mitgliedstaat und die Europäische Union insgesamt“ wird. Nach Gesprächen auf der Ratstagung (Telekommunikation) am 11. Juni 2009, auf der die Mitgliedstaaten angesichts der großen Bedeutung der Netz- und Informationssicherheit und der sich verändernden Anforderungen auf diesem Gebiet ihre Unterstützung für eine Verlängerung des ENISA-Mandats und die Aufstockung ihrer Mittel bekundeten, wurden die Diskussionen unter schwedischem Ratsvorsitz zum Abschluss geführt. In der Entschließung des Rates vom 18. Dezember 2009 über ein kooperatives europäisches Vorgehen im Bereich der Netz- und Informationssicherheit (NIS)[6] werden die Rolle und das Potenzial der ENISA sowie die Notwendigkeit, „die ENISA zu einer effizienten Stelle weiterzuentwickeln“ , anerkannt. Ferner wird darin betont, dass die Agentur modernisiert und gestärkt werden muss, damit sie die Kommission und die Mitgliedstaaten beim Brückenschlag zwischen Technologie und Politik unterstützen und als Kompetenzzentrum der Europäischen Union für Fragen der Netz- und Informationssicherheit dienen kann. 1.2. Allgemeiner Kontext Die Informations- und Kommunikationstechnologien (IKT) haben sich zum Rückgrat der europäischen Wirtschaft und Gesellschaft insgesamt entwickelt. Die IKT sind anfällig für Bedrohungen, die keinen nationalen Grenzen mehr folgen und sich mit der Technologie- und Marktentwicklung verändern. Angesichts des globalen Charakters der IKT, ihrer engen Vernetzung mit und wechselseitigen Abhängigkeiten von anderen Infrastrukturen kann ihre Sicherheit und Widerstandfähigkeit durch rein einzelstaatliche und unkoordinierte Strategien nicht gewährleistet werden. Gleichzeitig verändern sich die Herausforderungen in Bezug auf die Netz- und Informationssicherheit schnell. Netze und Informationssysteme müssen vor allen Arten von Störungen und Ausfällen, auch von Menschen ausgehenden Angriffen, wirksam geschützt werden. Strategien für die Netz- und Informationssicherheit (NIS) spielen eine zentrale Rolle in der Digitalen Agenda für Europa[7], einer der Leitinitiativen der Strategie Europa 2020, wenn es darum geht, das Potenzial der IKT zu erschließen, auszuschöpfen und in nachhaltiges Wachstum und Innovation umzusetzen. Die Förderung des IKT-Einsatzes und die Erhöhung des Vertrauens in die Informationsgesellschaft sind daher wichtige Schwerpunkte der Digitalen Agenda für Europa. Die ENISA wurde ursprünglich zur Gewährleistung einer hohen und effektiven Netz- und Informationssicherheit innerhalb der Union errichtet. Die mit der Agentur gewonnenen Erfahrungen sowie die Probleme und Bedrohungen haben verdeutlicht, dass ihr Mandat moderner gestaltet werden muss, damit sie den Erfordernissen der Europäischen Union, die aus den nachstehend aufgeführten Faktoren erwachsen, besser entsprechen kann: - uneinheitliche nationale Konzepte zur Bewältigung der sich verändernden Herausforderungen; - fehlende Kooperationsmodelle bei der Umsetzung von NIS-Maßnahmen; - die unzureichende Abwehrbereitschaft infolge der begrenzten Frühwarn- und Reaktionsfähigkeit in Europa; - der Mangel an zuverlässigen europäischen Daten und unzureichende Kenntnis über sich verändernde Probleme; - das geringe Bewusstsein für die Risiken und Herausforderungen im Bereich der NIS; - die Herausforderung der Einbeziehung von NIS-Aspekten im Hinblick auf eine wirksamere Bekämpfung der Cyberkriminalität. 1.3. Politische Ziele Das allgemeine Ziel des Verordnungsvorschlags besteht darin, die Union, die Mitgliedstaaten und die Akteure in die Lage zu versetzen, ein hohes Niveau an Reaktionsfähigkeit und Abwehrbereitschaft aufzubauen, um NIS-Probleme zu verhüten, zu erkennen und besser zu bewältigen. Dies wird dabei helfen, das für die Entwicklung der Informationsgesellschaft notwendige Vertrauen zu schaffen, die Wettbewerbsfähigkeit der europäischen Wirtschaft zu verbessern und ein besseres Funktionieren des Binnenmarkts zu gewährleisten. 1.4. Bestehende Rechtsvorschriften auf diesem Gebiet Der Vorschlag ergänzt rechtliche und sonstige politische Initiativen im Bereich der Netz- und Informationssicherheit, die auf Unionsebene ergriffen werden, um die Sicherheit und Widerstandsfähigkeit der IKT zu verbessern: - Der durch die Mitteilung über den Schutz kritischer Informationsinfrastrukturen eingeleitete Aktionsplan sieht die Schaffung folgender Gremien vor: - ein Europäisches Forum der Mitgliedstaaten (EFMS) für die Förderung von Gesprächen und den Austausch bewährter Praktiken mit dem Ziel, gemeinsame politische Ziele und Prioritäten hinsichtlich der Sicherheit und Widerstandsfähigkeit von IKT-Infrastrukturen zu vereinbaren und dabei auch von der Arbeit und Unterstützung der Agentur unmittelbar zu profitieren; - eine europäische öffentlich-private Partnerschaft für Robustheit (EP3R) als flexiblen europäischen ordnungspolitischen Rahmen für widerstandsfähige IKT-Infrastrukturen, in der die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor in Bezug auf Zielsetzungen für Sicherheit und Widerstandsfähigkeit, grundlegende Anforderungen, bewährte Praktiken und sonstige Maßnahmen gefördert wird. - Das vom Europäischen Rat am 11. Dezember 2009 beschlossene Stockholmer Programm fördert Maßnahmen zur Gewährleistung der Netzsicherheit und ermöglicht eine schnellere Reaktion auf Cyberangriffe in der Union. - Diese Initiativen dienen der Verwirklichung der Digitalen Agenda für Europa. In dem Teil der Strategie, der auf die Stärkung des Vertrauens in die Informationsgesellschaft und die Verbesserung ihrer Sicherheit zielt, spielt die NIS-Politik eine zentrale Rolle. Sie unterstützt zudem die flankierenden Maßnahmen und Strategien der Kommission zum Schutz der Privatsphäre (insbesondere „eingebauter Datenschutz“) und personenbezogener Daten (Überprüfung der geltenden Bestimmungen), das Netz für die Zusammenarbeit beim Verbraucherschutz (CPC), das Identitätsmanagement und das Programm „Mehr Sicherheit im Internet“. 1.5. Den Vorschlag betreffende Entwicklungen der aktuellen NIS-Politik Einige der aktuellen Entwicklungen der NIS-Politik, insbesondere im Rahmen der Digitalen Agenda für Europa, profitieren bereits von der Unterstützung und Sachkenntnis der ENISA, unter anderem: - Stärkung der Zusammenarbeit im Bereich der NIS-Politik durch verstärkte Aktivitäten des Europäischen Forums der Mitgliedstaaten (EFMS) , das mit direkter Unterstützung der ENISA dazu beitragen wird, - Wege zu bestimmen, um durch grenzübergreifende Zusammenarbeit zwischen nationalen/staatlichen IT-Notfallteams ( Computer Emergency Response Team , CERT) ein effektives europäisches Netz aufzubauen; - langfristige Ziele und Prioritäten für europaweite Großübungen zur Reaktion auf NIS-Störungen zu bestimmen; - Mindestanforderungen im öffentlichen Auftragswesen als Hebel einzusetzen, um öffentliche Systeme und Netze sicherer und robuster zu machen; - wirtschaftliche und rechtliche Anreize für mehr Sicherheit und Widerstandsfähigkeit zu ermitteln; - das derzeitige Niveau der Netz- und Informationssicherheit in Europa zu bewerten. - Stärkung der Zusammenarbeit und Partnerschaft zwischen dem öffentlichen und dem privaten Sektor durch Unterstützung der Europäischen öffentlich-privaten Partnerschaft für Robustheit (EP3R) . Bei den Sitzungen und Aktivitäten der EP3R spielt die ENISA eine wachsende Rolle. Zu den nächsten Schritten der EP3R gehören: - die Erörterung innovativer Maßnahmen und Instrumente zur Verbesserung der Sicherheit und Widerstandsfähigkeit, u. a.: - grundlegende Anforderungen an die Sicherheit und Widerstandsfähigkeit, insbesondere bei der öffentlichen Beschaffung von IKT-Produkten und -Diensten, um gleiche Bedingungen herzustellen und gleichzeitig ein angemessenes Niveau der Abwehrbereitschaft und Prävention zu gewährleisten; - Prüfung von Fragen im Zusammenhang mit der Haftung der Wirtschaftsteilnehmer, beispielsweise bei der Einführung von Mindestsicherheitsanforderungen; - wirtschaftliche Anreize zur Entwicklung und Einführung von Risikomanagementmethoden, Sicherheitsverfahren und -produkten; - Risikobewertungs- und Managementsysteme zur Einschätzung und Behebung schwerwiegender Störungen auf einer gemeinsamen Verständnisgrundlage; - Zusammenarbeit zwischen privatem und öffentlichem Sektor bei Störungen großen Ausmaßes; - Durchführung eines Wirtschaftsgipfels über Barrieren und Antriebskräfte für Sicherheit und Widerstandsfähigkeit. - Anwendung der im Reformpaket für die elektronische Kommunikation vorgesehenen Sicherheitsanforderungen, wozu die Sachkenntnis und Unterstützung der ENISA benötigt werden, um - den Mitgliedstaaten und der Kommission dabei zu helfen, gegebenenfalls unter Berücksichtigung der Stellungnahmen des Privatsektors, grundlegende Vorschriften und Verfahren für die Anwendung der Bestimmungen über die Meldung von Sicherheitsverstößen (Artikel 13a der geänderten Rahmenrichtlinie) festzulegen; - ein jährliches Forum der für die NIS zuständigen nationalen Stellen bzw. Regulierungsbehörden sowie der privatwirtschaftlichen Akteure einzurichten, in dem gezogene Lehren erörtert und bewährte Praktiken für die Anwendung von Regulierungsmaßnahmen im Bereich der NIS ausgetauscht werden. - Unterstützung EU-weiter Einsatzübungen zur Cybersicherheit mit Unterstützung der Kommission und unter Mitwirkung der ENISA, um solche Übungen zu einem späteren Zeitpunkt auch auf internationaler Ebene durchzuführen. - Einrichtung eines IT-Notfallteams ( Computer Emergency Response Team , CERT) für die EU-Organe. Die Schlüsselaktion 6 der Digitalen Agenda für Europa sieht vor, dass die Kommission Maßnahmen vorschlägt, „die eine Politik zur Stärkung der Netz- und Informationssicherheit auf hohem Niveau zum Ziel haben, einschließlich (…) Maßnahmen, die eine schnellere Reaktion auf Cyberangriffe ermöglichen, einschließlich eines CERT-Teams für die EU-Organe“[8]. Die Kommission und die übrigen Organe der Union müssen demnach diese Frage prüfen und ein IT-Notfallteam einrichten, wobei die ENISA technische Unterstützung und Fachwissen bereitstellen kann. - Mobilisierung und Unterstützung der Mitgliedstaaten bei der Vollendung der nationalen/staatlichen IT-Notfallteams und erforderlichenfalls bei deren Aufbau, um ein gut funktionierendes europaweites CERT-Netz zu schaffen . Dies wird auch zur Entwicklung eines Europäischen Informations- und Warnsystems (EISAS) für Bürger und KMU beitragen, das bis Ende 2012 mit Hilfe nationaler Ressourcen und Kapazitäten aufgebaut werden soll. - Sensibilisierung für die Herausforderungen im Bereich der NIS. Dazu gehört u. a., dass - die Kommission gemeinsam mit der ENISA Leitlinien zur Förderung von NIS-Standards, vorbildlichen Praktiken und einer Risikomanagementkultur ausarbeitet. Erste Leitlinien dieser Art werden erstellt; - die ENISA gemeinsam mit den Mitgliedstaaten den „Europäischen Monat der Netz- und Informationssicherheit für alle“ veranstaltet, in dem nationale/europäische Wettbewerbe über Cybersicherheit stattfinden. 1.6. Übereinstimmung mit anderen Politikbereichen und Zielen der Union Der Vorschlag steht mit bestehenden politischen Strategien und Zielen der Europäischen Union im Einklang und deckt sich mit dem Ziel, durch eine Steigerung der Abwehrbereitschaft und Reaktionsfähigkeit in Bezug auf die Herausforderungen der Netz- und Informationssicherheit zum reibungslosen Funktionieren des Binnenmarktes beizutragen. 2. ERGEBNISSE VON KONSULTATIONEN UND FOLGENABSCHÄTZUNGEN 2.1. Anhörung interessierter Kreise Diese Politikinitiative ist das Ergebnis einer umfassenden Diskussion unter Einbeziehung aller Interessenten und unter Wahrung der Grundsätze der Beteiligung, Offenheit, Verantwortlichkeit, Effektivität und Kohärenz. Der breit angelegte Prozess beinhaltete auch eine Bewertung der Agentur in den Jahren 2006/2007 mit anschließenden Empfehlungen des ENISA-Verwaltungsrats, zwei öffentliche Konsultationen (2007 und 2008/2009) sowie eine Reihe von Workshops zu NIS-Themen. Die erste öffentliche Konsultation wurde in Verbindung mit der Mitteilung der Kommission über die Halbzeitbewertung der ENISA eingeleitet. Sie fand vom 13. Juni bis 7. September 2007 statt und war hauptsächlich der Zukunft der Agentur gewidmet. Dazu gingen insgesamt 44 Online-Beiträge sowie zwei schriftliche Stellungnahmen ein. Sie stammten von einer Vielzahl von Akteuren und Interessengruppen, u. a. Ministerien der Mitgliedstaaten, Regulierungsstellen, Wirtschafts- und Verbraucherverbänden, wissenschaftlichen Einrichtungen, Unternehmen und Bürgern. In den Antworten kamen verschiedene interessante Aspekte zur Sprache: die Entwicklung des Bedrohungsszenarios, die Notwendigkeit einer Präzisierung und flexibleren Gestaltung der Verordnung, damit die ENISA sich den Herausforderungen anpassen kann, die große Bedeutung eines effektiven Zusammenwirkens mit den Beteiligten sowie die Möglichkeit, die Mittel der Agentur in begrenztem Umfang aufzustocken. In der zweiten öffentlichen Konsultation vom 7. November 2008 bis 9. Januar 2009 sollten die vorrangigen Ziele einer verstärkten NIS-Politik auf EU-Ebene sowie die zu ihrer Erreichung notwendigen Mittel und Wege aufgezeigt werden. Es gingen fast 600 Beiträge ein, und zwar von Behörden der Mitgliedstaaten, Wissenschafts- und Forschungseinrichtungen, Wirtschaftsverbänden, Privatunternehmen und anderen Akteuren wie Datenschutzorganisationen und Beratungsdienstleistern, sowie von Privatpersonen. Eine große Mehrheit der Befragten[9] befürwortete eine Verlängerung des Mandats der Agentur und plädierte für eine stärkere Rolle bei der Koordinierung von NIS-Aktivitäten auf europäischer Ebene sowie für eine Aufstockung ihrer Mittel. Als vorrangig eingestuft wurden die Notwendigkeit eines besser koordinierten Vorgehens bei Cyber-Bedrohungen in Europa, die länderübergreifende Zusammenarbeit im Fall von Cyber-Großangriffen sowie die Vertrauensbildung und ein besserer Informationsaustausch zwischen den Beteiligten. Der Vorschlag wurde einer Folgenabschätzung unterzogen, mit der im September 2009 begonnen wurde und die sich auf die Vorbereitungsstudie eines externen Auftragnehmers stützte. Eine Vielzahl von Interessenvertretern und Experten waren daran beteiligt, darunter NIS-Stellen der Mitgliedstaaten, nationale Regulierungsbehörden, Telekommunikationsbetreiber und Internetdienstleister mit ihren Branchenorganisationen, Verbraucherverbände, Hersteller von IKT-Produkten, IT-Notfallteams (CERT), Wissenschaftler und Geschäftsnutzer. Außerdem wurde eine Lenkungsgruppe mit Vertretern der beteiligten Generaldirektionen der Kommission eingesetzt, um an der Folgenabschätzung unterstützend mitzuwirken. 2.2. Folgenabschätzung Die Aufrechterhaltung einer Agentur wurde als geeignete Lösung für die Erreichung der EU-politischen Ziele angesehen[10]. Nach einer ersten Sichtung wurden fünf Optionen einer weiteren Prüfung unterzogen: - Option 1 – keine weiteren Maßnahmen; - Option 2 – „Weiter wie bisher“, d. h. mit ähnlichem Mandat und gleicher Mittelausstattung; - Option 3 – Ausweitung der ENISA-Aufgaben und Einbindung der Strafverfolgungs- und Datenschutzbehörden als vollwertige Akteure; - Option 4 – Bekämpfung von Cyberangriffen und Reaktion auf Netzstörungen als zusätzliche Aufgaben der Agentur; - Option 5 – Unterstützung der Strafverfolgungs- und der Justizbehörden bei der Bekämpfung von Cyberkriminalität als zusätzliche Aufgaben der Agentur. Nach einer vergleichenden Kosten-Nutzen-Analyse wurde festgestellt, dass die Option 3 vom Standpunkt der Kostenwirksamkeit und Effizienz am besten geeignet ist, die angestrebten Ziele zu erreichen. Option 3 sieht eine Ausweitung der Rolle der ENISA mit folgenden Schwerpunkten vor: - Aufbau und Pflege eines Verbindungsnetzes zwischen den Akteuren sowie eines Wissensnetzes, damit die ENISA über die europäische NIS-Landschaft umfassend informiert ist; - Funktion als NIS-Unterstützungszentrum für die Politikgestaltung und -umsetzung (insbesondere was den Schutz der Privatsphäre, elektronische Signaturen, elektronische Identitäten (eID) und NIS-Standards bei öffentlichen Aufträgen anbelangt); - Unterstützung der EU-Politik zum Schutz kritischer Informationsinfrastrukturen (CIIP) und deren Widerstandsfähigkeit (Übungen, EP3R, Europäisches Informations- und Warnsystem usw.); - Schaffung eines EU-Rahmens für die Sammlung von NIS-Daten, einschließlich der Entwicklung von Methoden und Vorgehensweisen für die gesetzliche Erfassung und den Austausch solcher Daten; - Untersuchungen über die wirtschaftlichen Aspekte der NIS; - Förderung der Zusammenarbeit mit Drittländern und internationalen Organisationen, um auf ein gemeinsames globales NIS-Konzept hinzuwirken und Impulse für hochrangige internationale Initiativen in Europa zu geben; - Durchführung nichtoperativer Maßnahmen im Zusammenhang mit den NIS-Aspekten der Strafverfolgung und justiziellen Zusammenarbeit auf dem Gebiet der Cyberkriminalität. 3. RECHTLICHE ASPEKTE 3.1. Zusammenfassung des Vorschlags Der Verordnungsvorschlag sieht die Stärkung und Modernisierung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) sowie die Festlegung eines neuen fünfjährigen Mandats vor. Der Vorschlag enthält im Vergleich zur ursprünglichen Verordnung einige wesentliche Änderungen: 1. Größere Flexibilität, Anpassungsfähigkeit und Zielgerichtetheit. Zur Ausweitung des Tätigkeitsbereichs der Agentur werden ihre Aufgaben aktualisiert und breiter gefasst; ihre Beschreibung ist hinreichend genau und zeigt die Mittel auf, mit denen die Ziele erreicht werden sollen. Dadurch wird der Auftrag der Agentur klarer definiert, ihre Fähigkeit zur Erreichung der Ziele verbessert und ihre Aufgabe, die Umsetzung der EU-Politik zu unterstützen, stärker akzentuiert. 2. Bessere Ausrichtung der Agentur am Entscheidungs- und Regelungsprozess der Union. Die Organe und Einrichtungen der EU können bei der Agentur Unterstützung und Empfehlungen einholen. Dies entspricht den Entwicklungen im politischen und rechtlichen Bereich: Der Rat wendet sich in seinen Entschließungen nunmehr direkt an die Agentur, und im Rechtsrahmen für die elektronische Kommunikation wurden ihr vom Europäischen Parlament und dem Rat Aufgaben im Bereich der Netz- und Informationssicherheit zugewiesen. 3. Schnittstelle bei der Bekämpfung der Cyberkriminalität. Bei der Verfolgung ihrer Ziele trägt die Agentur der Bekämpfung der Cyberkriminalität Rechnung. Strafverfolgungs- und Datenschutzbehörden werden zu vollwertigen Akteuren der Agentur, vor allem innerhalb der Ständigen Gruppe der Interessenvertreter. 4. Stärkung der Führungsstruktur. Der Vorschlag stärkt die Aufsichtsfunktion des Verwaltungsrats der Agentur, in dem die Mitgliedstaaten und die Kommission vertreten sind. Beispielsweise kann der Verwaltungsrat allgemeine Vorgaben in Personalfragen machen, für die zuvor ausschließlich der Direktor zuständig war. Er kann zudem Arbeitsgremien einsetzen, die ihn bei der Wahrnehmung seiner Aufgaben, einschließlich der Überwachung der Umsetzung seiner Beschlüsse, unterstützen. 5. Straffung der Verfahren. Verfahren, die sich als unnötig aufwändig erwiesen haben, werden vereinfacht. Beispiele: a) ein vereinfachtes Verfahren für die Geschäftsordnung des Verwaltungsrats, b) die Stellungnahme zum Arbeitsprogramm der ENISA erfolgt durch die Kommissionsdienststellen anstatt durch einen Beschluss der Kommission. Der Verwaltungsrat erhält zudem angemessene Ressourcen für den Fall, dass Durchführungsbeschlüsse zu fassen und durchzusetzen sind (etwa bei einer Beschwerde eines Bediensteten gegen den Direktor oder den Verwaltungsrat selbst). 6. Allmähliche Mittelaufstockung. Damit die Agentur den strengeren europäischen Prioritäten und den wachsenden Herausforderungen gerecht werden kann, ist – unbeschadet des Vorschlags der Kommission für den nächsten mehrjährigen Finanzrahmen – eine schrittweise Aufstockung ihrer finanziellen und personellen Mittel zwischen 2012 bis 2016 geplant. Gestützt auf ihren Vorschlag einer Verordnung zur Festlegung des mehrjährigen Finanzrahmens für den Zeitraum nach 2013 und unter Berücksichtigung der Schlussfolgerungen der Folgenabschätzung wird die Kommission einen geänderten Finanzbogen zu Rechtsakten vorlegen. 7. Möglichkeit einer Verlängerung der Amtszeit des Direktors. Der Verwaltungsrat kann die Amtszeit des Direktors um drei Jahre verlängern. 3.2. Rechtsgrundlage Der Vorschlag beruht auf Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union[11] (AEUV). Nach einem Urteil des Europäischen Gerichtshofs[12] war vor Inkrafttreten des Vertrags von Lissabon Artikel 95 EG-Vertrag die geeignete Rechtsgrundlage für die Errichtung einer Stelle zur Gewährleistung einer hohen und effektiven Netz- und Informationssicherheit innerhalb der Union. Mit dem Ausdruck „Maßnahmen zur Angleichung“ in Artikel 95 wollten die Verfasser des EG-Vertrags dem Unionsgesetzgeber einen Ermessensspielraum hinsichtlich der zur Erreichung des angestrebten Ergebnisses am besten geeigneten Maßnahmen einräumen. Die Verbesserung der Sicherheit und Widerstandsfähigkeit von IKT-Infrastrukturen ist folglich ein wichtiger Faktor, der zum reibungslosen Funktionieren des Binnenmarkts beiträgt. Auf der Grundlage des Vertrags von Lissabon beschreibt Artikel 114 AEUV[13] – in annähernd gleicher Form – die Zuständigkeit für den Binnenmarkt. Aus diesen Gründen wird dieser Artikel weiterhin die Rechtsgrundlage für Maßnahmen zur Verbesserung der Netz- und Informationssicherheit bilden. Der Binnenmarkt fällt nunmehr in die geteilte Zuständigkeit von Union und Mitgliedstaaten (Artikel 4 Absatz 2 Buchstabe a AEUV). Das bedeutet, dass die Union und die Mitgliedstaaten (verbindliche) Maßnahmen beschließen können und die Mitgliedstaaten tätig werden, wenn die Union ihre Zuständigkeit nicht ausgeübt oder beschlossen hat, nicht mehr tätig zu werden (Artikel 2 Absatz 2 AEUV). Die Zuständigkeit für den Binnenmarkt betreffende Maßnahmen erfordern das ordentliche Gesetzgebungsverfahren (Artikel 289 und 294 AEUV), das dem früheren Mitentscheidungsverfahren (Artikel 251 EG-Vertrag) ähnlich ist[14]. Mit dem Inkrafttreten des Vertrags von Lissabon wird nicht mehr zwischen den Pfeilern unterschieden. Bei der Verbrechensvorbeugung und -bekämpfung verfügt die Union nun über eine geteilte Zuständigkeit. Dies bietet der ENISA nun die Möglichkeit, als Vermittlungsplattform für die NIS-Aspekte bei der Bekämpfung von Cyberkriminalität zu dienen und Meinungen sowie bewährte Verfahren mit den für Cyberverteidigung, Strafverfolgung und Datenschutz zuständigen Behörden auszutauschen. 3.3. Subsidiaritätsprinzip Der Vorschlag entspricht dem Subsidiaritätsprinzip. Die NIS-Politik erfordert ein kooperatives Vorgehen, und die Ziele des Vorschlags können nicht von den Mitgliedstaaten allein verwirklicht werden. Durch eine reine Strategie der Nichteingreifens der Union in die nationale NIS-Politik bliebe die Aufgabe allein den Mitgliedstaaten überlassen und die klare wechselseitige Abhängigkeit der bestehenden Informationssysteme unberücksichtigt. Eine Maßnahme, die eine angemessene Abstimmung zwischen den Mitgliedstaaten gewährleistet, so dass mit NIS-Risiken im grenzübergreifenden Kontext, in dem sie entstehen, angemessen umgegangen wird, steht somit im Einklang mit dem Subsidiaritätsprinzip. Zudem würde eine europäische Maßnahme die Wirksamkeit bestehender nationaler Strategien erhöhen und somit zusätzlichen Nutzen bringen. Darüber hinaus wird sich eine abgestimmte und kooperative NIS-Politik positiv auf den Schutz der Grundrechte auswirken, insbesondere des Rechts auf den Schutz personenbezogener Daten und der Privatsphäre. Der Datenschutz ist in heutiger Zeit besonders wichtig, da die europäischen Bürger zunehmend ihre Daten komplexen Informationssystemen anvertrauen, entweder aus freien Stücken oder aus Notwendigkeit, ohne die sich daraus ergebenden Datenschutzrisiken immer richtig einschätzen zu können. Beim Auftreten von Störungen sind sie deshalb nicht in jedem Fall zu einer angemessenen Reaktion fähig, und auch die Mitgliedstaaten wären unter Umständen nicht in der Lage, Störungen von internationalem Ausmaß ohne eine europäische NIS-Koordinierung wirksam zu beheben. 3.4. Grundsatz der Verhältnismäßigkeit Der Vorschlag entspricht dem Grundsatz der Verhältnismäßigkeit, da er nicht über das für die Erreichung seines Ziels erforderliche Maß hinausgeht. 3.5. Wahl des Instruments Vorgeschlagenes Instrument: eine unmittelbar in jedem Mitgliedstaat geltende Verordnung. 4. AUSWIRKUNGEN AUF DEN HAUSHALT Der Vorschlag wirkt sich auf den Unionshaushalt aus. Da die dem neuen ENISA-Mandat hinzuzufügenden Aufgaben feststehen, ist davon auszugehen, dass die Agentur auch die erforderlichen Mittel erhalten wird, um ihre Tätigkeiten zufriedenstellend auszuführen. Die Bewertung der Agentur, die ausgiebigen Konsultationen der Akteure auf allen Ebenen und die Folgenabschätzung lassen allgemein erkennen, dass die Größe der Agentur unterhalb ihrer kritischen Masse liegt und ihre Mittel aufgestockt werden müssen. Die Konsequenzen und Auswirkungen einer Personal- und Mittelaufstockung der Agentur werden in der Folgenabschätzung untersucht, die dem Vorschlag beigefügt ist. Der EU-Finanzbeitrag für die Zeit nach 2013 ist im Rahmen einer kommissionsweiten Diskussion aller Vorschläge für den Zeitraum nach 2013 zu prüfen. 5. ZUSÄTZLICHE BEMERKUNGEN 5.1. Dauer des Bestehens Die Verordnung soll für einen Zeitraum von fünf Jahren gelten. 5.2. Überprüfungsklausel Die Verordnung sieht vor, dass die Agentur einer Bewertung unterzogen wird, die sich über den Zeitraum seit der vorherigen Bewertung 2007 erstreckt. Darin wird festzustellen sein, inwieweit die Agentur ihre in der Verordnung aufgeführten Ziele erreicht hat, ob sie nach wie vor ein wirksames Instrument darstellt und ob die Dauer ihres Bestehens verlängert werden sollte. Anhand der Ergebnisse wird der Verwaltungsrat der Kommission Empfehlungen für etwaige Änderungen dieser Verordnung, der Agentur und deren Arbeitsweise vorlegen. Damit die Kommission rechtzeitig einen eventuellen Vorschlag für eine Mandatsverlängerung erarbeiten kann, ist die Bewertung am Ende des zweiten Jahres des in der vorliegenden Verordnung vorgesehenen Mandats vorzunehmen. 5.3. Überbrückungsmaßnahme Der Kommission ist bewusst, dass das Legislativverfahren im Europäischen Parlament und im Rat in Bezug auf diesen Vorschlag viel Beratungszeit in Anspruch nehmen kann, so dass die Gefahr eines rechtlichen Vakuums besteht, wenn vor dem Ende des laufenden Mandats der Agentur kein neues Mandat beschlossen wird. Deshalb schlägt die Kommission eine weitere Verordnung vor, mit der das gegenwärtige Mandat der Agentur um 18 Monate verlängert wird, um ausreichend Zeit für die Beratungen zu schaffen. 2010/0275 (COD) Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES über die Europäische Agentur für Netz- und Informationssicherheit (ENISA) DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION – gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114, auf Vorschlag der Europäischen Kommission, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses[15], nach Stellungnahme des Ausschusses der Regionen[16], nach Übermittlung des Vorschlags an die nationalen Parlamente, gemäß dem ordentlichen Gesetzgebungsverfahren, in Erwägung nachstehender Gründe: (1) Die elektronische Kommunikation, ihre Dienste und Infrastrukturen sind wesentliche Faktoren der wirtschaftlichen und gesellschaftlichen Entwicklung. Sie spielen eine entscheidende Rolle für die Gesellschaft und sind wie die Elektrizitäts- und Wasserversorgung zu unentbehrlichen Einrichtungen des täglichen Lebens geworden. Ihre Störung könnte erheblichen wirtschaftlichen Schaden verursachen, was die große Bedeutung von Maßnahmen zur Verbesserung des Schutzes und der Widerstandsfähigkeit, mit denen die ununterbrochene Bereitstellung kritischer Dienste gewährleistet werden soll, noch unterstreicht. Daher stellt die Sicherheit, vor allem aber die Integrität und Verfügbarkeit der elektronischen Kommunikation sowie ihrer Dienste und Infrastrukturen eine ständig wachsende Herausforderung dar. Für die Gesellschaft gewinnt dies nicht zuletzt deshalb mehr und mehr an Bedeutung, weil aufgrund der Systemkomplexität sowie durch Unfälle, Bedienungsfehler und Angriffe Probleme entstehen können, die sich auf die physische Infrastruktur von Diensten, die für das Wohlergehen der EU-Bürger von maßgeblicher Bedeutung sind, auswirken können. (2) Die Bedrohungslage ändert sich ständig, und Sicherheitsverletzungen können das Vertrauen der Nutzer untergraben. Schwere Störungen der elektronischen Kommunikation, ihrer Dienste und Infrastrukturen können erhebliche wirtschaftliche und soziale Auswirkungen haben, aber auch alltägliche Sicherheitslücken, Probleme und Beeinträchtigungen können das Vertrauen der Allgemeinheit in die Technik, Netze und Dienste untergraben. (3) Eine auf zuverlässigen europäischen Daten basierende regelmäßige Überprüfung der Netz- und Informationssicherheit in Europa ist daher für die Entscheidungsträger, die Branche und die Nutzer gleichermaßen wichtig. (4) Auf der Tagung des Europäischen Rates vom 13. Dezember 2003 beschlossen die Vertreter der Mitgliedstaaten, dass die auf Grundlage des Kommissionsvorschlags zu errichtende Europäische Agentur für Netz- und Informationssicherheit (ENISA) ihren Sitz in Griechenland in einer von der griechischen Regierung zu bestimmenden Stadt haben soll. (5) Im Jahr 2004 verabschiedeten das Europäische Parlament und der Rat die Verordnung (EG) Nr. 460/2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit[17], um zur Gewährleistung einer hohen und effektiven Netz- und Informationssicherheit innerhalb der Union beizutragen und eine Kultur der Netz- und Informationssicherheit zu entwickeln, die Bürgern, Verbrauchern, Unternehmen und Behörden Nutzen bringt. Durch die 2008 vom Europäischen Parlament und dem Rat erlassene Verordnung (EG) Nr. 1007/2008[18] wurde das Mandat der Agentur bis März 2012 verlängert. (6) Seit Errichtung der Agentur haben sich mit den Entwicklungen der Technik, des Marktes und des sozioökonomischen Umfelds die Herausforderungen bezüglich der Netz- und Informationssicherheit verändert und waren Gegenstand weiterer Überlegungen und Diskussionen. Als Reaktion auf die sich ändernden Herausforderungen hat die Union ihre Prioritäten für die Politik im Bereich der Netz- und Informationssicherheit mit einer Reihe von Dokumenten aktualisiert, darunter der Mitteilung der Kommission von 2006 „Eine Strategie für eine sichere Informationsgesellschaft – Dialog, Partnerschaft und Delegation der Verantwortung“ [19], der Entschließung des Rates von 2007 zu einer Strategie für eine sichere Informationsgesellschaft in Europa[20], der Mitteilung von 2009 über den Schutz kritischer Informationsinfrastrukturen mit dem Titel „Schutz Europas vor Cyber-Angriffen und Störungen großen Ausmaßes: Stärkung der Abwehrbereitschaft, Sicherheit und Stabilität“ [21], den Schlussfolgerungen des Ratsvorsitzes von 2009 zur Ministerkonferenz über den Schutz kritischer Informationsinfrastrukturen (CIIP) sowie der Entschließung des Rates von 2009 über ein kooperatives europäisches Vorgehen im Bereich der Netz- und Informationssicherheit[22]. Es besteht Einigkeit über die Notwendigkeit, die Agentur zu modernisieren und zu stärken, damit sie die EU-Organe und die Mitgliedstaaten bei ihren Bemühungen unterstützen kann, Europa im Bereich der Netz- und Informationssicherheit reaktionsfähig zu machen. Die Kommission verabschiedete unlängst die Digitale Agenda für Europa[23] als eine der Leitinitiativen der Strategie „Europa 2020“. Ziel dieser umfassenden Agenda ist die Erschließung und Ausschöpfung des mit den IKT verbundenen Potenzials, um es in nachhaltiges Wachstum und Innovation umzusetzen. Die Steigerung des Vertrauens in die Informationsgesellschaft ist eines der Schlüsselziele dieser Agenda, in der eine Reihe von Maßnahmen der Kommission in diesem Bereich angekündigt werden, darunter auch der vorliegende Vorschlag. (7) Binnenmarktmaßnahmen im Bereich der Sicherheit der elektronischen Kommunikation sowie die Netz- und Informationssicherheit im Allgemeinen erfordern unterschiedliche Formen des technischen und organisatorischen Vorgehens seitens der Mitgliedstaaten und der Kommission. Die uneinheitliche Umsetzung dieser Anforderungen kann zu Effizienzverlusten und Hindernissen für den Binnenmarkt führen. Daher bedarf es eines Fachzentrums auf europäischer Ebene, das in Fragen der Netz- und Informationssicherheit Orientierungshilfen, Beratung und auf Anfrage Unterstützung anbietet und auf das sich die Mitgliedstaaten und EU-Organe stützen können. Die Agentur kann diesem Bedarf gerecht werden, indem sie ein hohes Maß an Fachkompetenz entwickelt und aufrechterhält, die Mitgliedstaaten, die Kommission und folglich die Wirtschaft unterstützt und ihnen dabei hilft, die rechtlichen und regulatorischen Anforderungen der Netz- und Informationssicherheit zu erfüllen, und dadurch zum reibungslosen Funktionieren des Binnenmarktes beiträgt. (8) Die Agentur sollte die Aufgaben wahrnehmen, die ihr nach geltendem Unionsrecht im Bereich der elektronischen Kommunikation übertragen werden, und generell zu mehr Sicherheit im Bereich der elektronischen Kommunikation beitragen, indem sie unter anderem Sachkenntnis bereitstellt, Beratung bietet und den Austausch bewährter Praktiken fördert. (9) Die Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (Rahmenrichtlinie)[24] schreibt außerdem vor, dass die Betreiber öffentlicher Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste geeignete Maßnahmen ergreifen, um deren Integrität und Sicherheit zu gewährleisten, und führt neue Meldevorschriften für Sicherheitsverletzungen und Integritätsverluste ein. Auch die Agentur muss gegebenenfalls von den nationalen Regulierungsbehörden unterrichtet werden, welche außerdem der Kommission und der Agentur einen Jahresbericht über die eingegangenen Meldungen und die ergriffenen Maßnahmen vorlegen müssen. Ferner sieht die Richtlinie 2002/21/EG vor, dass die Agentur mit ihren Stellungnahmen einen Beitrag zur Harmonisierung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen leistet. (10) Gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)[25] müssen Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Dienste zu gewährleisten; ferner ist die Vertraulichkeit der Kommunikation und der damit verbundenen Verkehrsdaten sicherzustellen. Die Richtlinie 2002/58/EG führt für Anbieter elektronischer Kommunikationsdienste bestimmte Informations- und Benachrichtigungspflichten im Fall von Datenschutzverstößen ein. Außerdem verpflichtet sie die Kommission, die Agentur vor Erlass technischer Durchführungsmaßnahmen in Bezug auf Umstände oder Form von Informationen und Benachrichtigungen sowie diesbezügliche Verfahren anzuhören. Gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr[26] müssen die Mitgliedstaaten dafür sorgen, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführt, die für den Schutz gegen zufällige oder unrechtmäßige Zerstörung, zufälligen Verlust, unberechtigte Änderung, unberechtigte Weitergabe oder unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind. (11) Die Agentur sollte zu einer hohen Netz- und Informationssicherheit innerhalb der Union beitragen sowie zu einer Kultur der Netz- und Informationssicherheit zum Nutzen der Bürger, der Verbraucher, der Wirtschaft und der Organisationen des öffentlichen Sektors in der Europäischen Union und auf diese Weise zum reibungslosen Funktionieren des Binnenmarkts. (12) Mit einer Reihe von Aufgaben sollte bei gleichzeitiger Wahrung der Flexibilität in ihrer Tätigkeit vorgegeben werden, wie die Agentur ihre Ziele erreichen soll. Zu den Aufgaben der Agentur sollte die Sammlung geeigneter Informationen und Daten gehören, die benötigt werden, um die Risiken für die Sicherheit und Widerstandsfähigkeit elektronischer Kommunikationsnetze, -infrastrukturen und -dienste zu analysieren und in Zusammenarbeit mit den Mitgliedstaaten den Stand der Netz- und Informationssicherheit in Europa zu beurteilen. Die Agentur sollte für die Koordinierung mit den Mitgliedstaaten sorgen und die Zusammenarbeit zwischen den Akteuren in Europa verstärken, indem sie insbesondere zuständige nationale Stellen und Sachverständige für Netz- und Informationssicherheit aus dem Privatsektor in ihre Tätigkeiten einbindet. Die Agentur sollte die Kommission und die Mitgliedstaaten in ihrem Dialog mit der Branche unterstützen, um sicherheitsrelevante Probleme bei Hardware- und Softwareprodukten anzugehen und so zu einem kooperativen Vorgehen im Bereich der Netz und Informationssicherheit beizutragen. (13) Die Agentur sollte als Bezugspunkt fungieren und durch ihre Unabhängigkeit, die Qualität ihrer Beratung und der verbreiteten Informationen, die Transparenz ihrer Verfahren und Arbeitsmethoden sowie die Sorgfalt, mit der sie die ihr übertragenen Aufgaben erfüllt, Vertrauen schaffen. Aufbauend auf den auf nationaler und Unionsebene unternommenen Anstrengungen sollte die Agentur ihre Aufgaben in uneingeschränkter Zusammenarbeit mit den Mitgliedstaaten wahrnehmen und für Kontakte zur Branche und zu anderen einschlägigen Akteuren offen sein. Außerdem sollte sich die Agentur auf die Beiträge und die Zusammenarbeit des Privatsektors stützen, der bei der Sicherung der elektronischen Kommunikation, ihrer Infrastrukturen und Dienste eine wichtige Rolle spielt. (14) Die Kommission hat eine europäische öffentlich-private Partnerschaft für Robustheit (EP3R) als flexiblen europäischen ordnungspolitischen Rahmen für widerstandsfähige IKT-Infrastrukturen ins Leben gerufen, in dem die Agentur eine fördernde Rolle spielen und die Akteure des öffentlichen und privaten Sektors zusammenbringen sollte, um politische Prioritäten wie auch Wirtschafts- und Marktaspekte der Herausforderungen und Maßnahmen im Hinblick auf widerstandsfähige IKT-Infrastrukturen zu erörtern und die Verantwortlichkeiten der verschiedenen Akteure festzustellen. (15) Die Agentur sollte die Kommission auf deren Anforderung oder von sich aus mit Beratung und Stellungnahmen sowie technischen und sozioökonomischen Analysen bei der Gestaltung der Politik im Bereich der Netz- und Informationssicherheit unterstützen. Ferner sollte sie die Mitgliedstaaten und die europäischen Organe und Einrichtungen auf deren Anforderung bei ihren Bemühungen um den Aufbau von Strategien und Fähigkeiten im Bereich der Netz- und Informationssicherheit unterstützen. (16) Die Agentur sollte die Mitgliedstaaten und die europäischen Organe und Einrichtungen in ihrem Bemühen um den Auf- und Ausbau der grenzübergreifenden Reaktionsfähigkeit und Abwehrbereitschaft zur Verhütung, Erkennung, Minderung und Bewältigung von Problemen und Störungen der Netz- und Informationssicherheit unterstützen; in dieser Hinsicht sollte sie die Zusammenarbeit zwischen den Mitgliedstaaten sowie zwischen den Mitgliedstaaten und der Kommission erleichtern. Zu diesem Zweck sollte die Agentur die Mitgliedstaaten in ihrem ständigen Bemühen um die Verbesserung ihrer Reaktionsfähigkeit und bei der Organisation und Durchführung nationaler und europäischer Einsatzübungen in Bezug auf Netzstörungen aktiv unterstützen. (17) Die Verarbeitung personenbezogener Daten in Anwendung dieser Verordnung sollte gemäß der Richtlinie 95/46/EG erfolgen. (18) Für ein besseres Verständnis der Herausforderungen im Bereich der Netz- und Informationssicherheit muss die Agentur derzeitige und absehbare Risiken analysieren. Zu diesem Zweck sollte die Agentur in Zusammenarbeit mit den Mitgliedstaaten und gegebenenfalls mit den statistischen Ämtern einschlägige Informationen sammeln. Ferner sollte die Agentur die Mitgliedstaaten und die europäischen Organe und Einrichtungen bei deren Bemühungen zur Sammlung, Auswertung und Verbreitung von Daten über die Netz- und Informationssicherheit unterstützen. (19) Im Zuge ihrer Beobachtungstätigkeiten in der Union sollte die Agentur die Zusammenarbeit zwischen Union und Mitgliedstaaten bei der Beurteilung des Stands der Netz- und Informationssicherheit in Europa fördern und in Zusammenarbeit mit den Mitgliedstaaten an Bewertungstätigkeiten mitwirken. (20) Die Agentur sollte die Zusammenarbeit zwischen den zuständigen Stellen der Mitgliedstaaten erleichtern, indem sie insbesondere die Entwicklung und den Austausch von bewährten Praktiken und Normen für Schulungs- und Sensibilisierungsprogramme fördert. Ein verstärkter Informationsaustausch zwischen den Mitgliedstaaten wird derartige Maßnahmen erleichtern. Ferner sollte die Agentur die Zusammenarbeit zwischen öffentlichen und privaten Akteuren auf Unionsebene unterstützen, indem sie u. a. den Informationsaustausch, Sensibilisierungskampagnen sowie Ausbildungs- und Schulungsprogramme fördert. (21) Effiziente Sicherheitsmaßnahmen sollten sowohl im öffentlichen als auch im privaten Sektor auf sorgfältig entwickelten Risikobewertungsmethoden beruhen. Risikobewertungsmethoden und -verfahren werden auf verschiedenen Ebenen angewandt, ohne dass es ein einheitliches System gibt, das ihren effizienten Einsatz gewährleistet. Durch die Förderung und Entwicklung empfehlenswerter Verfahren für die Risikobewertung und interoperabler Lösungen für das Risikomanagement innerhalb von Organisationen des öffentlichen und des privaten Sektors wird das Sicherheitsniveau von Netzen und Informationssystemen in Europa erhöht. Zu diesem Zweck sollte die Agentur die Zusammenarbeit zwischen öffentlichen und privaten Akteuren auf Unionsebene unterstützen und Hilfestellung bei deren Bemühungen um die Entwicklung und Einführung von Normen für das Risikomanagement und eine messbare Sicherheit in Bezug auf elektronische Produkte, Systeme, Netze und Dienste leisten. (22) Die Agentur sollte die Ergebnisse laufender Forschungs-, Entwicklungs- und Technologiebewertungsarbeiten nutzen, insbesondere solche, die sich im Rahmen der verschiedenen Forschungsinitiativen der Europäischen Union ergeben. (23) Die Agentur sollte, sofern dies im Hinblick auf ihre Zuständigkeiten, Ziele und Aufgaben zweckmäßig und nützlich ist, mit den nach den Rechtsvorschriften der Europäischen Union geschaffenen Einrichtungen und Agenturen, die sich mit Netz- und Informationssicherheit befassen, Erfahrungen und allgemeine Informationen austauschen. (24) Bei ihren Kontakten mit Strafverfolgungsbehörden in Bezug auf die Sicherheitsaspekte der Cyberkriminalität sollte die Agentur vorhandene Informationskanäle und bestehende Netze beachten, z. B. die in der vorgeschlagenen Richtlinie des Europäischen Parlaments und des Rates über Angriffe auf Informationssysteme und zur Aufhebung des Rahmenbeschlusses 2005/222/JI des Rates genannten Kontaktstellen oder die Europol-Task-Force der Leiter der Dienststellen für Hightech-Kriminalität. (25) Um ihre Ziele vollständig zu erreichen, sollte die Agentur mit Strafverfolgungs- und Datenschutzbehörden in Verbindung stehen, damit sie die Aspekte der Netz- und Informationssicherheit bei der Bekämpfung der Cyberkriminalität aufzeigen und angemessen berücksichtigen kann. Vertreter dieser Behörden sollten zu vollwertigen Akteuren der Agentur werden und in der Ständigen Gruppe der Interessenvertreter mitwirken. (26) Die Probleme der Netz- und Informationssicherheit sind ein globales Thema. Um die Sicherheitsstandards und den Informationsaustausch zu verbessern und ein globales gemeinsames Konzept für Fragen der Netz- und Informationssicherheit zu fördern, bedarf es einer engeren internationalen Zusammenarbeit. In dieser Hinsicht sollte die Agentur – gegebenenfalls gemeinsam mit dem EAD – die Zusammenarbeit mit Drittländern und internationalen Organisationen unterstützen. (27) Bei der Wahrnehmung der Aufgaben der Agentur sollten weder die Zuständigkeiten der nachstehend genannten Einrichtungen beeinträchtigt werden, noch sollte es hinsichtlich der diesen Einrichtungen übertragenen einschlägigen Befugnisse und Aufgaben zu Vorgriffen, Behinderungen oder Überschneidungen kommen: die nationalen Regulierungsbehörden gemäß den Richtlinien über elektronische Kommunikationsnetze und -dienste sowie das durch die Verordnung (EG) Nr. 1211/2009 des Europäischen Parlaments und des Rates[27] eingesetzte Gremium Europäischer Regulierungsstellen für elektronische Kommunikationsnetze und -dienste (GEREK), der Kommunikationsausschuss gemäß der Richtlinie 2002/21/EG, die europäischen Normungsgremien, die nationalen Normungsgremien und der Ständige Ausschuss gemäß der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft[28] sowie die Aufsichtsbehörden der Mitgliedstaaten für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Datenverkehr. (28) Um die Wirksamkeit der Agentur zu gewährleisten, sollten die Mitgliedstaaten und die Kommission in einem Verwaltungsrat vertreten sein, der die allgemeine Ausrichtung der Tätigkeit der Agentur festlegt und dafür sorgt, dass sie ihre Aufgaben im Einklang mit dieser Verordnung wahrnimmt. Der Verwaltungsrat sollte über die erforderlichen Befugnisse verfügen, um den Haushaltsplan zu erstellen und dessen Ausführung zu überprüfen, entsprechende Finanzvorschriften und transparente Verfahren für die Entscheidungsfindung der Agentur festzulegen, das Arbeitsprogramm der Agentur anzunehmen, sich eine Geschäftsordnung zu geben, die internen Verfahrensvorschriften der Agentur festzulegen sowie den Direktor zu ernennen und die Verlängerung seines Mandats oder seine Abberufung zu beschließen. Der Verwaltungsrat sollte in der Lage sein, Arbeitsgremien einsetzen, die ihn bei der Wahrnehmung seiner Aufgaben unterstützen; solche Gremien könnten beispielsweise seine Beschlüsse ausarbeiten oder deren Umsetzung überwachen. (29) Damit die Agentur einwandfrei funktioniert, ist ihr Direktor aufgrund erworbener Verdienste und nachgewiesener Verwaltungs- und Managementfähigkeiten zu ernennen; der Direktor muss über einschlägige Sachkenntnis und Erfahrungen auf dem Gebiet der Netz- und Informationssicherheit verfügen und seine Aufgaben hinsichtlich der Organisation der internen Abläufe der Agentur völlig unabhängig wahrnehmen. Dazu sollte der Direktor nach Konsultation der Kommission einen Vorschlag für das Arbeitsprogramm der Agentur ausarbeiten und alle erforderlichen Maßnahmen zu dessen ordnungsgemäßen Durchführung ergreifen. Er sollte jährlich einen Gesamtberichtsentwurf ausarbeiten, der dem Verwaltungsrat vorzulegen ist, den Entwurf eines Voranschlags für die Einnahmen und Ausgaben der Agentur erstellen und den Haushaltsplan ausführen. (30) Der Direktor sollte die Möglichkeit haben, Ad-hoc-Arbeitsgruppen einzusetzen, die sich mit bestimmten wissenschaftlichen, technischen, rechtlichen oder wirtschaftlichen Einzelfragen befassen. Bei der Einsetzung der Arbeitsgruppen sollte sich der Direktor um die Mitwirkung externer Experten und die Nutzung einschlägiger externer Sachkenntnis bemühen, damit die Agentur Zugang zu den neuesten verfügbaren Informationen über sicherheitsspezifische Herausforderungen erhält, die sich aus der Entwicklung der Informationsgesellschaft ergeben. Die Agentur sollte dafür sogen, dass die Mitglieder ihrer Ad-hoc-Arbeitsgruppen höchsten fachlichen Ansprüchen genügen und dass je nach Einzelfrage gegebenenfalls ein repräsentatives Gleichgewicht zwischen öffentlichen Verwaltungen der Mitgliedstaaten, Privatsektor einschließlich der Branche, Nutzern und wissenschaftlichen Sachverständigen für Netz- und Informationssicherheit gewahrt wird. Die Agentur kann bei Bedarf einzelne Sachverständige, die auf dem betreffenden Gebiet als sachkundig anerkannt sind, im Einzelfall zur Mitarbeit in den Arbeitsgruppen auffordern. Deren Aufwendungen sollten von der Agentur gemäß ihren internen Vorschriften sowie den geltenden Finanzvorschriften bestritten werden. (31) Die Agentur sollte über eine Ständige Gruppe der Interessenvertreter als Beratungsgremium verfügen, um einen regelmäßigen Dialog mit dem Privatsektor, Verbraucherorganisationen und anderen interessierten Kreisen sicherzustellen. Die vom Verwaltungsrat auf Vorschlag des Direktors eingesetzte Ständige Gruppe der Interessenvertreter sollte hauptsächlich Fragen behandeln, die alle Beteiligten betreffen, und diese der Agentur zur Kenntnis bringen. Der Direktor kann entsprechend der Tagesordnung für die jeweilige Sitzung gegebenenfalls Vertreter des Europäischen Parlaments und anderer einschlägiger Einrichtungen zu den Sitzungen der Gruppe einladen. (32) Die Agentur sollte ihre Tätigkeit ausrichten i) am Subsidiaritätsprinzip, indem sie ein hinreichendes Maß an Koordinierung zwischen den Mitgliedstaaten sicherstellt, die Wirksamkeit nationaler Maßnahmen erhöht und ihnen dadurch einen Mehrwert verleiht, und ii) am Grundsatz der Verhältnismäßigkeit, indem sie nicht über das Maß hinausgeht, das für die Erreichung der in dieser Verordnung festgesetzten Ziele erforderlich ist. (33) Die Agentur sollte das einschlägige Unionsrecht in Bezug auf den Zugang der Öffentlichkeit zu Dokumenten gemäß der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates[29] und den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gemäß der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr[30] anwenden. (34) Im Rahmen ihrer Zuständigkeiten und Ziele sollte die Agentur bei der Erfüllung ihrer Aufgaben insbesondere die für die Unionsorgane geltenden Bestimmungen über den Umgang mit sensiblen Dokumenten sowie die entsprechenden nationalen Rechtsvorschriften befolgen. Der Verwaltungsrat sollte befugt sein, die Agentur per Beschluss zum Umgang mit Verschlusssachen zu ermächtigen. (35) Damit die volle Autonomie und Unabhängigkeit der Agentur gewährleistet ist, muss die Agentur über einen eigenständigen Haushalt verfügen, der hauptsächlich durch einen Beitrag der Union und durch Beiträge von Drittländern, die sich an der Arbeit der Agentur beteiligen, finanziert wird. Dem Sitzmitgliedstaat und anderen Mitgliedstaaten sollte es erlaubt sein, freiwillige Beiträge zu den Einnahmen der Agentur zu leisten. Sämtliche Zuschüsse aus dem Gesamthaushaltsplan der Europäischen Union unterliegen dem Haushaltsverfahren der Union. Ferner sollte die Rechnungsprüfung durch den Rechnungshof erfolgen. (36) Die Agentur sollte Rechtsnachfolgerin der durch die Verordnung (EG) Nr. 460/2004 errichteten ENISA sein. Nach dem Beschluss der auf der Tagung des Europäischen Rates vom 13. Dezember 2003 vereinigten Vertreter der Mitgliedstaaten sollte der Sitzmitgliedstaat die praktischen Voraussetzungen für eine reibungslose und effiziente Tätigkeit der Agentur schaffen und aufrechterhalten, insbesondere was die Zusammenarbeit der Agentur mit der Kommission, den Mitgliedstaaten und ihren zuständigen Stellen, anderen Organen und Einrichtungen der Union sowie den europäischen Akteuren des öffentlichen und privaten Sektors und ihre Unterstützung anbelangt. (37) Die Agentur sollte für einen begrenzten Zeitraum errichtet werden. Ihre Tätigkeit sollte unter Berücksichtigung der Effektivität bei der Erreichung der Ziele und ihrer Arbeitsweise bewertet werden, um festzustellen, ob die Ziele der Agentur weiterhin Geltung haben und ob die Bestehensdauer der Agentur weiter verlängert werden sollte – HABEN FOLGENDE VERORDNUNG ERLASSEN: ABSCHNITT 1 – ZUSTÄNDIGKEITSBEREICH, ZIELE UND AUFGABEN ARTIKEL 1 Gegenstand und Zuständigkeitsbereich 1. Durch diese Verordnung wird eine Europäische Agentur für Netz- und Informationssicherheit (nachstehend „die Agentur“) errichtet, um zur Gewährleistung einer hohen Netz- und Informationssicherheit innerhalb der Union beizutragen, um das Problembewusstsein zu heben und eine Kultur der Netz- und Informationssicherheit in der Gesellschaft zum Nutzen der Bürger, Verbraucher, Unternehmen und Organisationen des öffentlichen Sektors in der Union zu entwickeln und auf diese Weise zum reibungslosen Funktionieren des Binnenmarktes beizutragen. 2. Von den Zielen und Aufgaben der Agentur unberührt bleiben die Zuständigkeiten der Mitgliedstaaten im Bereich der Netz- und Informationssicherheit sowie auf jeden Fall Tätigkeiten in Bezug auf die öffentliche Sicherheit, die Landesverteidigung und die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Tätigkeit die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich. 3. In Sinne dieser Verordnung bedeutet „ Netz- und Informationssicherheit “ die Fähigkeit eines Netzes oder Informationssystems, bei einem bestimmten Vertrauensniveau Störungen und rechtswidrige oder böswillige Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder übermittelter Daten und entsprechender Dienste, die über dieses Netz oder Informationssystem angeboten werden bzw. zugänglich sind, beeinträchtigen. Artikel 2 Ziele 1. Die Agentur unterstützt die Kommission und die Mitgliedstaaten dabei, die rechtlichen und regulatorischen Anforderungen der Netz- und Informationssicherheit im geltenden und künftigen Unionsrecht zu erfüllen, und trägt dadurch zum reibungslosen Funktionieren des Binnenmarktes bei. 2. Die Agentur verbessert die Reaktionsfähigkeit und Abwehrbereitschaft der Union und der Mitgliedstaaten zur Verhütung, Erkennung und Bewältigung von Problemen und Störungen im Bereich der Netz- und Informationssicherheit. 3. Die Agentur entwickelt und pflegt ein hohes Niveau der Sachkenntnis, und nutzt diese Sachkenntnis, um Anstöße zu einer breiten Zusammenarbeit zwischen Akteuren des öffentlichen und privaten Sektors zu geben. Artikel 3 Aufgaben 1. Zu dem in Artikel 1 genannten Zweck nimmt die Agentur folgende Aufgaben wahr: a) Sie unterstützt die Kommission auf deren Anforderung oder von sich aus bei der Gestaltung der Politik im Bereich der Netz- und Informationssicherheit mit Beratung und Stellungnahmen sowie technischen und sozioökonomischen Analysen und mit Vorbereitungsarbeiten zur Ausarbeitung und Aktualisierung des Unionsrechts auf dem Gebiet der Netz- und Informationssicherheit. b) Sie erleichtert die Zusammenarbeit zwischen den Mitgliedstaaten sowie zwischen den Mitgliedstaaten und der Kommission bei deren grenzübergreifenden Bemühungen um die Verhütung, Erkennung und Bewältigung von Störungen der Netz- und Informationssicherheit. c) Sie unterstützt die Mitgliedstaaten und die europäischen Organe und Einrichtungen bei deren Bemühungen um die Sammlung, Auswertung und Verbreitung von Daten über die Netz- und Informationssicherheit. d) Sie bewertet regelmäßig in Zusammenarbeit mit den Mitgliedstaaten und den europäischen Organen den Stand der Netz und Informationssicherheit in Europa. e) Sie unterstützt die Zusammenarbeit zwischen den zuständigen öffentlichen Stellen in Europa und insbesondere deren Bemühungen um die Entwicklung und den Austausch bewährter Praktiken und Normen. f) Sie unterstützt die Union und die Mitgliedstaaten bei der Förderung der Anwendung von bewährten Praktiken und Normen für das Risikomanagement und die Sicherheit in Bezug auf elektronische Produkte, Systeme und Dienste. g) Sie unterstützt die Zusammenarbeit zwischen öffentlichen und privaten Akteuren auf Unionsebene, indem sie u. a. den Informationsaustausch und die Sensibilisierung fördert und Hilfestellung bei deren Bemühungen um die Entwicklung und Einführung von Normen für das Risikomanagement und die Sicherheit in Bezug auf elektronische Produkte, Netze und Dienste leistet. h) Sie erleichtert den Dialog und den Austausch bewährter Praktiken zwischen öffentlichen und privaten Akteuren im Bereich der Netz- und Informationssicherheit, auch zu Aspekten der Bekämpfung der Cyberkriminalität; sie unterstützt die Kommission bei einer Politikgestaltung, die den Aspekten der Netz- und Informationssicherheit bei der Bekämpfung der Cyberkriminalität Rechnung trägt. i) Sie unterstützt die Mitgliedstaaten und die europäischen Organe und Einrichtungen auf deren Anforderung bei deren Bemühungen um den Aufbau von Erkennungs-, Analyse- und Reaktionsfähigkeiten im Bereich der Netz- und Informationssicherheit. j) Sie unterstützt – gegebenenfalls gemeinsam mit dem EAD – den Dialog und die Zusammenarbeit der Union mit Drittländern und internationalen Organisationen, um die internationale Zusammenarbeit und ein globales gemeinsames Konzept für Fragen der Netz- und Informationssicherheit zu fördern. k) Sie nimmt Aufgaben wahr, die der Agentur durch Rechtsakte der Union übertragen werden. ABSCHNITT 2 – ORGANISATION ARTIKEL 4 Zusammensetzung der Agentur Die Agentur besteht aus a) einem Verwaltungsrat, b) einem Direktor und dem Personal, c) einer Ständigen Gruppe der Interessenvertreter. Artikel 5 Verwaltungsrat 1. Der Verwaltungsrat bestimmt die allgemeine Ausrichtung der Tätigkeit der Agentur und sorgt dafür, dass die Agentur bei ihrer Arbeit die in dieser Verordnung niedergelegten Grundsätze beachtet. Er sorgt zudem für die Abstimmung der Arbeit der Agentur mit den Tätigkeiten, die von den Mitgliedstaaten und auf Unionsebene durchgeführt werden. 2. Der Verwaltungsrat gibt sich eine Geschäftsordnung im Einvernehmen mit den betreffenden Dienststellen der Kommission. 3. Der Verwaltungsrat legt die internen Verfahrensvorschriften der Agentur im Einvernehmen mit den betreffenden Dienststellen der Kommission fest. Diese Vorschriften werden veröffentlicht. 4. Der Verwaltungsrat ernennt den Direktor gemäß Artikel 10 Absatz 2 und kann ihn abberufen. Der Verwaltungsrat übt die Disziplinargewalt über den Direktor aus. 5. Der Verwaltungsrat beschließt das Arbeitsprogramm der Agentur gemäß Artikel 13 Absatz 3 und billigt den Gesamtbericht über die Tätigkeiten der Agentur für das vorangegangene Jahr gemäß Artikel 14 Absatz 2. 6. Der Verwaltungsrat erlässt die für die Agentur geltende Finanzregelung. Diese darf nur dann von der Verordnung (EG, Euratom) Nr. 2343/2002 der Kommission vom 19. November 2002 betreffend die Rahmenfinanzregelung für Einrichtungen gemäß Artikel 185 der Verordnung (EG, Euratom) Nr. 1605/2002 des Rates über die Haushaltsordnung für den Gesamthaushaltsplan der Europäischen Gemeinschaften[31] abweichen, wenn besondere Merkmale der Funktionsweise der Agentur dies erfordern und die Kommission dem zugestimmt hat. 7. Der Verwaltungsrat beschließt im Einvernehmen mit der Kommission geeignete Durchführungsbestimmungen gemäß Artikel 110 des Statuts. 8. Der Verwaltungsrat kann Arbeitsgremien aus seinen Mitgliedern einsetzen, die ihn bei der Wahrnehmung seiner Aufgaben, einschließlich der Vorbereitung seiner Beschlüsse und der Überwachung ihrer Umsetzung, unterstützen. 9. Der Verwaltungsrat kann nach Konsultation der Kommission und nach ordnungsgemäßer Unterrichtung der Haushaltsbehörde den mehrjährigen Personalentwicklungsplan beschließen. Artikel 6 Zusammensetzung des Verwaltungsrats 1. Dem Verwaltungsrat gehören je ein Vertreter jedes Mitgliedstaats, drei von der Kommission ernannte Vertreter sowie drei weitere Personen ohne Stimmrecht an, die von der Kommission ernannt werden und jeweils eine der folgenden Gruppen vertreten: (a) die Branche der Informations- und Kommunikationstechnologien; (b) Verbrauchergruppen; (c) wissenschaftliche Sachverständige für die Netz- und Informationssicherheit. 2. Die Mitglieder des Verwaltungsrats und ihre Stellvertreter werden aufgrund ihrer einschlägigen Erfahrung und ihrer Sachkenntnis auf dem Gebiet der Netz- und Informationssicherheit ernannt. 3. Die Amtszeit der Vertreter der in Absatz 1 Buchstaben a, b und c genannten Gruppen beträgt 5 Jahre. Eine Wiederernennung ist einmal zulässig. Verlässt ein Vertreter die betreffende Interessengruppe, ernennt die Kommission an seiner Stelle einen anderen Vertreter. Artikel 7 Vorsitz des Verwaltungsrats Der Verwaltungsrat wählt aus dem Kreis seiner Mitglieder einen Vorsitzenden und einen stellvertretenden Vorsitzenden für die Dauer von drei Jahren; Wiederwahl ist zulässig. Der stellvertretende Vorsitzende tritt im Fall der Verhinderung des Vorsitzenden von Amts wegen an dessen Stelle. Article8 Sitzungen 1. Der Verwaltungsrat wird von seinem Vorsitzenden einberufen. 2. Der Verwaltungsrat tritt zweimal jährlich zu einer ordentlichen Sitzung zusammen. Auf Veranlassung des Vorsitzenden oder auf Antrag mindestens eines Drittels seiner stimmberechtigten Mitglieder tritt er darüber hinaus zu außerordentlichen Sitzungen zusammen. 3. Der Direktor nimmt an den Sitzungen des Verwaltungsrats ohne Stimmrecht teil. Artikel 9 Abstimmungen 1. Der Verwaltungsrat fasst seine Beschlüsse mit der Mehrheit seiner stimmberechtigten Mitglieder. 2. Für die Annahme der Geschäftsordnung, der internen Verfahrensvorschriften, des Haushaltsplans und des jährlichen Arbeitsprogramms sowie für die Ernennung, Amtszeitverlängerung oder Abberufung des Direktors ist eine Mehrheit von zwei Dritteln aller stimmberechtigten Mitglieder des Verwaltungsrats erforderlich. Artikel 10 Direktor 1. Die Agentur wird von ihrem Direktor geleitet, der bei der Wahrnehmung seiner Aufgaben unabhängig ist. 2. Der Direktor wird vom Verwaltungsrat ernannt und abberufen. Die Ernennung erfolgt anhand einer Bewerberliste, die von der Kommission für die Dauer von 5 Jahren vorgeschlagen wird, aufgrund erworbener Verdienste und nachgewiesener Verwaltungs- und Managementfähigkeiten sowie einschlägiger Befähigung und Erfahrung. Vor der Ernennung kann der vom Verwaltungsrat ausgewählte Bewerber aufgefordert werden, sich vor dem zuständigen Ausschuss des Europäischen Parlaments zu äußern und Fragen der Ausschussmitglieder zu beantworten. 3. In den letzten neun Monaten dieser Amtszeit nimmt die Kommission eine Bewertung vor. Bei dieser Bewertung prüft sie insbesondere: - die Leistung des Direktors; - die Aufgaben der Agentur und die Erfordernisse der kommenden Jahre. 4. Der Verwaltungsrat kann auf Vorschlag der Kommission unter Berücksichtigung des Bewertungsberichts und nur in Fällen, in denen die Aufgaben und Erfordernisse der Agentur dies rechtfertigen, die Amtszeit des Direktors einmalig um höchstens drei Jahre verlängern. 5. Der Verwaltungsrat unterrichtet das Europäische Parlament über seine Absicht, die Amtszeit des Direktors zu verlängern. Innerhalb eines Monats vor der Verlängerung der Amtszeit kann der Direktor aufgefordert werden, sich vor dem zuständigen Ausschuss des Europäischen Parlaments zu äußern und Fragen der Ausschussmitglieder zu beantworten. 6. Wird die Amtszeit nicht verlängert, bleibt der Direktor bis zur Ernennung seines Nachfolgers im Amt. 7. Der Direktor ist verantwortlich für (a) die laufende Verwaltung der Agentur; (b) die Umsetzung des Arbeitsprogramms und der vom Verwaltungsrat gefassten Beschlüsse; (c) die Wahrnehmung der Aufgaben der Agentur entsprechend den Erfordernissen der Nutzer ihrer Dienste, insbesondere in Bezug auf die Zweckmäßigkeit der erbrachten Dienstleistungen; (d) alle konkreten Personalangelegenheiten unter Einhaltung der allgemeinen Vorgaben und allgemeinen Beschlüsse des Verwaltungsrats; (e) die Aufnahme und Pflege von Kontakten mit den europäischen Organen und Einrichtungen; (f) die Aufnahme und Pflege von Kontakten zur Wirtschaft und zu Verbraucherorganisationen im Hinblick auf einen regelmäßigen Dialog mit interessierten Kreisen; (g) sonstige ihm durch diese Verordnung übertragene Aufgaben. 8. Soweit erforderlich kann der Direktor im Rahmen der Ziele und Aufgaben der Agentur Ad-hoc-Arbeitsgruppen aus Sachverständigen einsetzen. Der Verwaltungsrat wird hiervon vorab unterrichtet. Die Verfahren, die insbesondere die Zusammensetzung dieser Gruppen, die Bestellung der Sachverständigen durch den Direktor und die Arbeitsweise der Ad-hoc-Arbeitsgruppen betreffen, werden in den internen Verfahrensvorschriften der Agentur festgelegt. 9. Der Direktor stellt dem Verwaltungsrat unterstützendes Verwaltungspersonal und andere Mittel zur Verfügung, wann immer dies notwendig ist. Artikel 11 Ständige Gruppe der Interessenvertreter 1. Der Verwaltungsrat setzt auf Vorschlag des Direktors eine Ständige Gruppe der Interessenvertreter ein, die sich aus Sachverständigen der interessierten Kreise zusammensetzt, darunter die Branche der Informations- und Kommunikationstechnologien, Verbrauchergruppen und wissenschaftliche Sachverständige für Netz- und Informationssicherheit sowie Strafverfolgungs- und Datenschutzbehörden. 2. Die Verfahren, die insbesondere die Anzahl, die Zusammensetzung und die Ernennung der Mitglieder durch den Verwaltungsrat, den Vorschlag des Direktors und die Arbeitweise der Gruppe betreffen, werden in den internen Verfahrensvorschriften der Agentur festgelegt und öffentlich bekannt gemacht. 3. Den Vorsitz der Gruppe führt der Direktor. 4. Die Amtszeit der Mitglieder der Gruppe beträgt zweieinhalb Jahre. Die Mitglieder des Verwaltungsrats dürfen nicht Mitglieder der Gruppe sein. Kommissionsbedienstete können an den Sitzungen teilnehmen und an der Arbeit der Gruppe mitwirken. 5. Die Gruppe berät die Agentur bei der Durchführung ihrer Tätigkeiten. Die Gruppe berät insbesondere den Direktor bei der Ausarbeitung eines Vorschlags für das Arbeitsprogramm der Agentur und bei der Gewährleistung der Kommunikation mit den interessierten Kreisen bezüglich aller Fragen im Zusammenhang mit dem Arbeitsprogramm. ABSCHNITT 3 – ARBEITSWEISE ARTIKEL 12 Arbeitsprogramm 1. Die Agentur handelt in Übereinstimmung mit ihrem Arbeitsprogramm, in dem alle ihre geplanten Tätigkeiten enthalten sind. Das Arbeitsprogramm schließt jedoch nicht aus, dass die Agentur auch unvorhergesehene Tätigkeiten, die ihren Zielen und Aufgaben entsprechen, im Rahmen ihrer Haushaltsmittel durchführt. Der Direktor unterrichtet den Verwaltungsrat über Tätigkeiten der Agentur, die nicht im Arbeitsprogramm vorgesehen sind. 2. Der Direktor ist verantwortlich für die Ausarbeitung des Entwurfs des Arbeitsprogramms der Agentur nach vorheriger Konsultation der Dienststellen der Kommission. Vor dem 15. März eines jeden Jahres legt der Direktor dem Verwaltungsrat den Entwurf des Arbeitsprogramms für das folgende Jahr vor. 3. Vor dem 30. November eines jeden Jahres nimmt der Verwaltungsrat in Konsultation mit den Dienststellen der Kommission das Arbeitsprogramm der Agentur für das folgende Jahr an. Das Arbeitsprogramm muss auch eine mehrjährige Vorausschau enthalten. Der Verwaltungsrat sorgt dafür, dass das Arbeitsprogramm den Zielen der Agentur sowie den Prioritäten der Union für Rechtsetzung und Politik im Bereich der Netz- und Informationssicherheit entspricht. 4. Das Arbeitsprogramm wird in Übereinstimmung mit dem Grundsatz des maßnahmenbezogenen Managements (ABM) aufgestellt. Das Arbeitprogramm muss mit dem Voranschlag der Einnahmen und Ausgaben der Agentur und dem Agenturhaushalt für das gleiche Finanzjahr übereinstimmen. 5. Der Direktor übermittelt das Arbeitsprogramm nach dessen Annahme durch den Verwaltungsrat dem Europäischen Parlament, dem Rat, der Kommission und den Mitgliedstaaten und veranlasst dessen Veröffentlichung. Artikel 13 Gesamtbericht 1. Der Direktor legt dem Verwaltungsrat jedes Jahr den Entwurf eines Gesamtberichts über alle Agenturtätigkeiten des vorangegangenen Jahres vor. 2. Vor dem 31. März eines jeden Jahres billigt der Verwaltungsrat den Gesamtbericht über die Tätigkeiten der Agentur für das vorangegangene Jahr. 3. Der Direktor übermittelt den Gesamtbericht der Agentur nach dessen Genehmigung durch den Verwaltungsrat dem Europäischen Parlament, dem Rat, der Kommission, dem Rechnungshof, dem Europäischen Wirtschafts- und Sozialausschuss und dem Ausschuss der Regionen und veranlasst seine Veröffentlichung. Artikel 14 Ersuchen an die Agentur 1. Ersuchen um Beratung und Unterstützung, die den Zielen und Aufgaben der Agentur entsprechen, sind zusammen mit erläuternden Hintergrundinformationen an den Direktor zu richten. Der Direktor unterrichtet den Verwaltungsrat über die eingegangenen Ersuchen und zu gegebener Zeit über deren weitere Bearbeitung. Lehnt die Agentur ein Ersuchen ab, so muss sie dies begründen. 2. Ersuchen gemäß Absatz 1 können gestellt werden (a) vom Europäischen Parlament, (b) vom Rat, (c) von der Kommission, (d) von einer von einem Mitgliedstaat benannten zuständigen Stelle, wie zum Beispiel einer nationalen Regulierungsbehörde im Sinne von Artikel 2 der Richtlinie 2002/21/EG. 3. Die praktischen Einzelheiten für die Anwendung der Absätze 1 und 2, insbesondere für die Vorlage von Ersuchen, ihre Rangfolge, die weitere Bearbeitung und die Unterrichtung des Verwaltungsrates über die Ersuchen an die Agentur, werden vom Verwaltungsrat in den internen Verfahrensvorschriften der Agentur festgelegt. Artikel 15 Interessenerklärung 1. Der Direktor und die von den Mitgliedstaaten auf Zeit abgeordneten Beamten geben eine schriftliche Verpflichtungserklärung und eine schriftliche Interessenerklärung ab, aus der hervorgeht, dass keine direkten oder indirekten Interessen bestehen, die ihre Unabhängigkeit beeinträchtigen könnten. 2. Externe Sachverständige, die in den Ad-hoc-Arbeitsgruppen mitwirken, geben in jeder Sitzung eine Erklärung über alle Interessen ab, die ihre Unabhängigkeit in Bezug auf die Tagesordnungspunkte beeinträchtigen könnten, und beteiligen sich nicht an den Diskussionen über solche Punkte. Artikel 16 Transparenz 1. Die Agentur gewährleistet, dass sie ihre Tätigkeiten mit einem hohen Maß an Transparenz und gemäß den Artikeln 13 und 14 ausübt. 2. Die Agentur gewährleistet einen leichten Zugang der Öffentlichkeit und interessierter Kreise zu objektiven und zuverlässigen Informationen, gegebenenfalls auch insbesondere zu ihren eigenen Arbeitsergebnissen. Ferner veröffentlicht sie die Interessenerklärungen des Direktors und der von den Mitgliedstaaten auf Zeit abgeordneten Beamten sowie die Interessenerklärungen der Sachverständigen in Bezug auf die Tagesordnungspunkte der Sitzungen der Ad-hoc-Arbeitsgruppen. 3. Der Verwaltungsrat kann auf Vorschlag des Direktors gestatten, dass interessierte Kreise als Beobachter an bestimmten Arbeiten der Agentur teilnehmen. 4. Die Agentur legt in ihren internen Verfahrensvorschriften die praktischen Einzelheiten für die Anwendung der in den Absätzen 1 und 2 enthaltenen Transparenzregelungen fest. Artikel 17 Vertraulichkeit 1. Unbeschadet des Artikels 14 gibt die Agentur Informationen, die bei ihr eingehen oder von ihr verarbeitet werden und um deren vertrauliche Behandlung sie ersucht wurde, nicht an Dritte weiter. 2. Die Mitglieder des Verwaltungsrats, der Direktor, die Mitglieder der Ständigen Gruppe der Interessenvertreter, die externen Sachverständigen der Ad-hoc-Arbeitsgruppen sowie das Personal der Agentur, einschließlich der von den Mitgliedstaaten auf Zeit abgeordneten Beamten, unterliegen auch nach Beendigung ihrer Tätigkeit den Vertraulichkeitsbestimmungen gemäß Artikel 339 AEUV. 3. Die Agentur legt in ihren internen Verfahrensvorschriften die praktischen Einzelheiten für die Anwendung der in den Absätzen 1 und 2 enthaltenen Vertraulichkeitsregelungen fest. 4. Der Verwaltungsrat kann beschließen, die Agentur zum Umgang mit Verschlusssachen zu ermächtigen. In diesem Fall legt der Verwaltungsrat im Einvernehmen mit den betreffenden Dienststellen der Kommission interne Verfahrensvorschriften zur Anwendung der Sicherheitsgrundsätze gemäß dem Beschluss 2001/844/EG,EGKS,Euratom der Kommission vom 29. November 2001 zur Änderung ihrer Geschäftsordnung[32] fest. Dies betrifft unter anderem die Bestimmungen über den Austausch, die Verarbeitung und die Speicherung von Verschlusssachen. Artikel 18 Zugang zu Dokumenten 1. Die Verordnung (EG) Nr. 1049/2001 findet Anwendung auf die Dokumente der Agentur. 2. Der Verwaltungsrat legt innerhalb von sechs Monaten nach Errichtung der Agentur Maßnahmen zur Durchführung der Verordnung (EG) Nr. 1049/2001 fest. 3. Gegen Entscheidungen der Agentur gemäß Artikel 8 der Verordnung (EG) Nr. 1049/2001 kann nach Maßgabe von Artikel 228 bzw. 263 AEUV Beschwerde beim Bürgerbeauftragten eingelegt oder Klage beim Gerichtshof der Europäischen Union erhoben werden. ABSCHNITT 4 – FINANZVORSCHRIFTEN ARTIKEL 19 Feststellung des Haushalts 1. Die Einnahmen der Agentur bestehen aus einem Beitrag aus dem Haushalt der Europäischen Union, Beiträgen von Drittländern, die sich gemäß Artikel 29 an der Arbeit der Agentur beteiligen, und Beträgen der Mitgliedstaaten. 2. Die Ausgaben der Agentur umfassen Aufwendungen für Personal, Verwaltung, technische Unterstützung, Infrastruktur, Betriebskosten und Ausgaben, die sich aus Verträgen mit Dritten ergeben. 3. Spätestens zum 1. März eines jeden Jahres erstellt der Direktor den Entwurf des Voranschlags der Einnahmen und Ausgaben der Agentur für das folgende Haushaltsjahr und legt ihn dem Verwaltungsrat zusammen mit dem Entwurf des Stellenplans vor. 4. Einnahmen und Ausgaben müssen ausgeglichen sein. 5. Der Verwaltungsrat erstellt alljährlich auf der Grundlage des vom Direktor erstellten Entwurfs des Voranschlags der Einnahmen und Ausgaben einen Voranschlag der Einnahmen und Ausgaben der Agentur für das folgende Haushaltsjahr. 6. Dieser Voranschlag, der auch den Entwurf des Stellenplans und den Entwurf des Arbeitsprogramms umfasst, wird der Kommission und den Staaten, mit denen die Europäische Union Abkommen gemäß Artikel 24 geschlossen hat, vom Verwaltungsrat bis zum 31. März übermittelt. 7. Die Kommission übermittelt den Voranschlag zusammen mit dem Entwurf des Gesamthaushaltsplans der Europäischen Union dem Europäischen Parlament und dem Rat (beide nachstehend „Haushaltsbehörde“). 8. Die Kommission setzt aufgrund dieses Voranschlags die von ihr für erforderlich erachteten Mittelansätze für den Stellenplan und den Betrag des Zuschusses aus dem Gesamthaushaltsplan in den Entwurf des Gesamthaushaltsplans der Europäischen Union ein, den sie gemäß Artikel 314 AEUV der Haushaltsbehörde vorlegt. 9. Die Haushaltsbehörde bewilligt die Mittel für den Zuschuss für die Agentur. 10. Die Haushaltsbehörde stellt den Stellenplan der Agentur fest. 11. Der Haushaltsplan der Agentur wird zusammen mit dem Arbeitsprogramm vom Verwaltungsrat festgestellt. Er wird endgültig, sobald der Gesamthaushaltsplan der Europäischen Union endgültig festgestellt ist. Gegebenenfalls nimmt der Verwaltungsrat eine Anpassung des Haushaltsplans der Agentur und des Arbeitsprogramm entsprechend dem Gesamthaushaltsplan der Europäischen Union vor. Der Verwaltungsrat übermittelt den Haushaltsplan unverzüglich der Kommission und der Haushaltsbehörde. Artikel 20 Betrugsbekämpfung 1. Zur Bekämpfung von Betrug, Korruption und sonstigen rechtswidrigen Handlungen finden die Vorschriften der Verordnung (EG) Nr. 1073/1999 des Europäischen Parlaments und des Rates vom 25. Mai 1999 über die Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF)[33] ohne Einschränkung Anwendung. 2. Die Agentur tritt der Interinstitutionellen Vereinbarung vom 25. Mai 1999 zwischen dem Europäischen Parlament, dem Rat der Europäischen Union und der Kommission der Europäischen Gemeinschaften über die internen Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF)[34] bei und erlässt unverzüglich die entsprechenden Vorschriften, die für sämtliche Mitarbeiter der Agentur gelten. Artikel 21 Ausführung des Haushaltsplans 1. Der Direktor führt den Haushaltsplan der Agentur aus. 2. Der interne Rechnungsprüfer der Kommission übt gegenüber der Agentur dieselben Befugnisse aus wie gegenüber den Kommissionsdienststellen. 3. Spätestens am 1. März des jeweils folgenden Haushaltsjahres übermittelt der Rechnungsführer der Agentur dem Rechnungsführer der Kommission die vorläufigen Rechnungen und den Bericht über die Haushaltsführung und das Finanzmanagement für das abgeschlossene Haushaltsjahr. Der Rechnungsführer der Kommission konsolidiert die vorläufigen Rechnungen der Organe und dezentralisierten Einrichtungen gemäß Artikel 128 der Verordnung (EG, Euratom) Nr. 1605/2002 des Rates vom 25. Juni 2002 über die Haushaltsordnung für den Gesamthaushaltsplan der Europäischen Gemeinschaften[35] (nachstehend „Haushaltsordnung“). 4. Spätestens zum 31. März des jeweils folgenden Haushaltsjahres übermittelt der Rechnungsführer der Kommission dem Rechnungshof die vorläufigen Rechnungen der Agentur zusammen mit dem Bericht über die Haushaltsführung und das Finanzmanagement für das betreffende Haushaltsjahr. Der Bericht über die Haushaltsführung und das Finanzmanagement für das Haushaltsjahr wird auch dem Europäischen Parlament und dem Rat übermittelt. 5. Nach Eingang der Bemerkungen des Rechnungshofes zu den vorläufigen Rechnungen der Agentur gemäß Artikel 129 der Haushaltsordnung erstellt der Direktor in eigener Verantwortung den endgültigen Jahresabschluss der Agentur und legt ihn dem Verwaltungsrat zur Stellungnahme vor. 6. Der Verwaltungsrat gibt eine Stellungnahme zu dem endgültigen Jahresabschluss der Agentur ab. 7. Der Direktor übermittelt den endgültigen Jahresabschluss zusammen mit der Stellungnahme des Verwaltungsrats spätestens zum 1. Juli des jeweils folgenden Haushaltsjahres dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof. 8. Der Direktor veröffentlicht den endgültigen Jahresabschluss. 9. Der Direktor übermittelt dem Rechnungshof spätestens zum 30. September eine Antwort auf dessen Bemerkungen. Er leitet diese Antwort auch dem Verwaltungsrat zu. 10. Der Direktor unterbreitet dem Europäischen Parlament auf dessen Anfrage gemäß Artikel 146 Absatz 3 der Haushaltsordnung alle Informationen, die für die ordnungsgemäße Abwicklung des Entlastungsverfahrens für das betreffende Haushaltsjahr erforderlich sind. 11. Auf Empfehlung des Rates erteilt das Europäische Parlament dem Direktor vor dem 30. April des Jahres n + 2 Entlastung zur Ausführung des Haushaltsplans für das Jahr n. ABSCHNITT 5 – ALLGEMEINE BESTIMMUNGEN ARTIKEL 22 Rechtsstellung 1. Die Agentur ist eine Einrichtung der Union. Sie besitzt Rechtspersönlichkeit. 2. Die Agentur besitzt in jedem Mitgliedstaat die weitestgehende Rechts- und Geschäftsfähigkeit, die juristischen Personen nach dessen Rechtsvorschriften zuerkannt ist. Sie kann insbesondere bewegliches und unbewegliches Vermögen erwerben und veräußern und ist vor Gericht parteifähig. 3. Die Agentur wird von ihrem Direktor vertreten. Artikel 23 Personal 1. Die für die Beamten und sonstigen Bediensteten der Europäischen Union geltenden Regelungen und Verordnungen finden auf das Personal der Agentur und ihren Direktor Anwendung. 2. In Bezug auf den Direktor übt der Verwaltungsrat die Befugnisse aus, die der Anstellungsbehörde durch das Statut und der vertragsschließenden Behörde durch die Beschäftigungsbedingungen übertragen wurden. 3. In Bezug auf das Personal der Agentur übt der Direktor die Befugnisse aus, die der Anstellungsbehörde durch das Statut und der vertragsschließenden Behörde durch die Beschäftigungsbedingungen übertragen wurden. 4. Die Agentur kann von den Mitgliedstaaten abgeordnete nationale Sachverständige beschäftigen. Die Agentur legt in ihren internen Verfahrensvorschriften die praktischen Einzelheiten hierfür fest. Artikel 24 Vorrechte und Befreiungen Das Protokoll über die Vorrechte und Befreiungen der Europäischen Gemeinschaften findet auf die Agentur und ihr Personal Anwendung. Artikel 25 Haftung 1. Die vertragliche Haftung der Agentur bestimmt sich nach dem für den betreffenden Vertrag geltenden Recht. Für Entscheidungen aufgrund einer Schiedsklausel in einem von der Agentur geschlossenen Vertrag ist der Gerichtshof der Europäischen Union zuständig. 2. Im Bereich der außervertraglichen Haftung ersetzt die Agentur den durch sie selbst oder ihre Bediensteten in Ausübung ihrer Tätigkeit verursachten Schaden nach den allgemeinen Grundsätzen, die den Rechtsordnungen der Mitgliedstaaten gemeinsam sind. In Streitsachen über den Schadensersatz ist der Gerichtshof zuständig. 3. Die persönliche Haftung der Bediensteten gegenüber der Agentur bestimmt sich nach den für sie geltenden Beschäftigungsbedingungen. Artikel 26 Sprachen 1. Für die Agentur gelten die Bestimmungen der Verordnung Nr. 1 vom 15. April 1958 zur Regelung der Sprachenfrage für die Europäische Wirtschaftsgemeinschaft[36]. Die Mitgliedstaaten und die anderen von ihnen benannten Einrichtungen können sich an die Agentur in der Unionssprache ihrer Wahl wenden und erhalten eine Antwort in dieser Sprache. 2. Die für die Arbeit der Agentur erforderlichen Übersetzungsdienste werden vom Übersetzungszentrum für die Einrichtungen der Europäischen Union erbracht. Artikel 27 Schutz personenbezogener Daten Bei der Verarbeitung personenbezogener Daten gelten für die Agentur die Bestimmungen der Verordnung (EG) Nr. 45/2001. Artikel 28 Beteiligung von Drittländern 1. Die Agentur steht der Beteiligung von Drittländern offen, die mit der Europäischen Union Abkommen geschlossen haben, nach denen sie Unionsvorschriften in dem dieser Verordnung unterliegenden Bereich übernommen haben und anwenden. 2. Gemäß den einschlägigen Bestimmungen dieser Abkommen werden Vereinbarungen getroffen, die insbesondere Art, Umfang und Form einer Beteiligung dieser Länder an der Arbeit der Agentur festlegen; hierzu zählen auch Bestimmungen über die Mitwirkung in den von der Agentur durchgeführten Initiativen, über finanzielle Beiträge und Personal. ABSCHNITT 6 – SCHLUSSBESTIMMUNGEN ARTIKEL 29 Überprüfungsklausel 1. Spätestens drei Jahre nach dem in Artikel 34 genannten Zeitpunkt führt die Kommission unter Berücksichtigung der Ansichten aller interessierten Kreise eine Bewertung anhand der mit dem Verwaltungsrat vereinbarten Vorgaben durch. In der Bewertung werden der Einfluss und die Effektivität der Agentur bei der Erreichung der in Artikel 2 festgelegten Ziele und die Effektivität ihrer Arbeitsweise eingeschätzt. Durch die Bewertung der Kommission soll insbesondere festgestellt werden, ob eine Agentur noch immer ein wirksames Instrument ist und ob die Agentur über den in Artikel 34 genannten Zeitraum hinaus fortbestehen soll. 2. Die Kommission übermittelt die Bewertungsergebnisse dem Europäischen Parlament und dem Rat und macht sie öffentlich bekannt. 3. Der Verwaltungsrat erhält den Bewertungsbericht und legt der Kommission Empfehlungen für Änderungen in dieser Verordnung, der Agentur und ihrer Arbeitsweise vor. Der Verwaltungsrat und der Direktor der Agentur berücksichtigen die Bewertungsergebnisse bei der mehrjährigen Planung der Arbeit der Agentur. Artikel 30 Mitwirkung des Sitzmitgliedstaats Der Sitzmitgliedstaat der Agentur gewährleistet die bestmöglichen Voraussetzungen für eine reibungslose und effiziente Tätigkeit der Agentur. Artikel 31 Verwaltungskontrolle Die Tätigkeit der Agentur unterliegt der Aufsicht des Bürgerbeauftragten gemäß Artikel 228 AEUV. Artikel 32 Repeal and succession 1. Die Verordnung (EG) Nr. 460/2004 wird aufgehoben. Bezugnahmen auf die Verordnung (EG) Nr. 460/2004 und auf ENISA gelten als Bezugnahmen auf die vorliegende Verordnung und auf die Agentur. 2. Die Agentur ist in Bezug auf das Eigentum und alle Abkommen, rechtlichen Verpflichtungen, Beschäftigungsverträge, finanziellen Verpflichtungen und Verbindlichkeiten Rechtsnachfolger der durch die Verordnung (EG) Nr. 460/2004 errichteten Agentur. Artikel 33 Dauer des Bestehens Die Agentur wird zum […] für einen Zeitraum von fünf Jahren errichtet. Artikel 34 Inkrafttreten Diese Verordnung tritt am Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft und gilt ab 14. März 2012 oder dem Tag nach ihrer Veröffentlichung, sofern dies der spätere Zeitpunkt ist. Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Geschehen zu […] am […] Im Namen des Europäischen Parlaments Im Namen des Rates Der Präsident Der Präsident FINANZBOGEN ZU VORGESCHLAGENEN RECHTSAKTEN 1. RAHMEN DES VORSCHLAGS/DER INITIATIVE 1.1. Bezeichnung des Vorschlags/der Initiative Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Europäische Agentur für Netz- und Informationssicherheit (ENISA) 1.2. Politikbereiche in der ABM/ABB-Struktur [37] Informationsgesellschaft und Medien Rechtsrahmen für die Digitale Agenda 1.3. Art des Vorschlags/der Initiative ( Der Vorschlag/die Initiative betrifft eine neue Maßnahme . ( Der Vorschlag/die Initiative betrifft eine neue Maßnahme im Anschluss an ein Pilotprojekt/eine vorbereitende Maßnahme[38] . ( Der Vorschlag/die Initiative betrifft die Verlängerung einer bestehenden Maßnahme . ( Der Vorschlag/die Initiative betrifft eine neu ausgerichtete Maßnahme . 1.4. Ziele 1.4.1. Mit dem Vorschlag/der Initiative verfolgte mehrjährige strategische Ziele der Kommission Angleichung der Regulierungskonzepte – Orientierungshilfen und Beratung für die Kommission und die Mitgliedstaaten bei der Aktualisierung und Weiterentwicklung eines ganzheitlichen Ansatzes in Fragen der Netz- und Informationssicherheit. Verhütung, Erkennung und Bewältigung – Verbesserung der Abwehrbereitschaft durch einen Beitrag zu einer europäischen Frühwarn- und Reaktionsfähigkeit sowie europaweiten Notfallplänen und Übungen. Verbesserung der Wissensgrundlage für die Politik – Hilfestellung und Beratung für die Kommission und die Mitgliedstaaten, damit diese in Fragen der Netz- und Informationssicherheit und ihrer Anwendung auf die Akteure der Branche unionsweit einen hohen Wissensstand erreichen. Dies umfasst auch die Erhebung, Auswertung und Bereitstellung von Daten über wirtschaftliche Aspekte und die Folgen von NIS-Verstößen, Anreize für die Akteure zu Investitionen in NIS-Maßnahmen, Risikoerkennung, Indikatoren für den Stand der NIS in der Union usw. Stärkung der Eigenverantwortung der Akteure – Entwicklung einer Kultur des Sicherheits- und Risikomanagements durch die Förderung des Informationsaustauschs und einer breiten Zusammenarbeit zwischen Akteuren aus dem öffentlichen und privaten Sektor, auch zum unmittelbaren Nutzen der Bürger, sowie durch die Entwicklung einer Kultur des Problembewusstseins für NIS-Belange. Schutz Europas vor internationalen Bedrohungen – Aufbau einer hochrangigen Zusammenarbeit mit Drittländern und internationalen Organisationen, um auf ein gemeinsames globales NIS-Konzept hinzuwirken und Impulse für hochrangige internationale Initiativen in Europa zu geben. Hinwirken auf eine kooperative Umsetzung – Förderung der Zusammenarbeit bei der Umsetzung der NIS-Politik. Bekämpfung der Cyberkriminalität – Einbeziehung der NIS-Aspekte der Bekämpfung der Cyberkriminalität in die Diskussionen und den Austausch guter Praktiken zwischen öffentlichen und privaten Akteuren, insbesondere durch die Zusammenarbeit mit den Behörden der (früheren) zweiten und dritten Säule, z. B. mit Europol. 1.4.2. Einzelziele und ABM/ABB-Tätigkeiten Einzelziel Nr. … Erhöhung der Netz- und Informationssicherheit (NIS), Entwicklung einer Kultur der Netz- und Informationssicherheit zum Nutzen der Bürger, Verbraucher, Unternehmen und Organisationen des öffentlichen Sektors und Erkennung politischer Herausforderungen, die sich aus künftigen Netzen und dem Internet ergeben. ABM/ABB-Tätigkeiten Politik im Bereich der elektronischen Kommunikation und Netzsicherheit 1.4.3. Erwartete Ergebnisse und Auswirkungen Die Initiative wird voraussichtlich folgende wirtschaftliche Auswirkungen haben: - eine bessere Verfügbarkeit von Informationen über gegenwärtige und künftige Herausforderungen und Risiken in Bezug auf die Sicherheit und Widerstandsfähigkeit; - Vermeidung von Doppelarbeit bei der Sammlung einschlägiger Informationen über Risken, Bedrohungen und Anfälligkeiten durch die einzelnen Mitgliedstaaten; - Verbesserung der Informationsgrundlage für die Träger politischer Entscheidungen; - höhere Qualität der NIS-Vorgaben in den Mitgliedstaaten dank der Verbreitung bewährter Praktiken; - Größenvorteile bei der Bewältigung von Störungen auf EU-Ebene; - vermehrte Investitionen dank gemeinsamer politischer Ziele und Normen für die Sicherheit und Widerstandsfähigkeit auf EU-Ebene; - geringere operative Risiken für Unternehmen dank höherer Sicherheit und Widerstandsfähigkeit; - einheitlicheres Vorgehen bei der Bekämpfung der Cyberkriminalität. Die Initiative wird voraussichtlich folgende soziale Auswirkungen haben: - gestärktes Vertrauen der Nutzer in die Dienste und Systeme der Informationsgesellschaft; - gestärktes Vertrauen in das Funktionieren des EU-Binnenmarkts durch besseren Verbraucherschutz; - verbesserter Informations- und Wissensaustausch mit Nicht-EU-Ländern; - bessere Wahrung der Grundrechte in der EU durch Gewährleistung eines gleichen Schutzniveaus für die personenbezogenen Daten und die Privatsphäre der EU-Bürger. Die zu erwartenden Umweltauswirkungen sind äußerst gering: - Senkung der CO2-Emissionen, z. B. wegen geringerer Reisetätigkeit aufgrund des verstärkten Einsatzes von IKT-Systemen und -diensten und geringeren Stromverbrauchs durch Größeneinsparungen bei der Umsetzung von Sicherheitsanforderungen. 1.4.4. Leistungs- und Erfolgsindikatoren Die Überwachung erfolgt anhand folgender Indikatoren: Angleichung der Regulierungskonzepte: - Zahl der Mitgliedstaaten, die die Empfehlungen der Agentur in ihre politischen Entscheidungsprozesse einbeziehen; - Zahl der Studien zur Ermittlung von Normungslücken und -unstimmigkeiten in Bezug auf die Netz- und Informationssicherheit; - geringere Abweichungen in den NIS-Konzepten der Mitgliedstaaten. Verhütung, Erkennung und Bewältigung: - Zahl der organisierten Schulungen zur Erhöhung der Netzsicherheit; - Bestehen eines funktionsfähigen Frühwarnsystems für neu entstehende Risiken und Angriffe; - Zahl der von der Agentur koordinierten NIS-Übungen auf EU-Ebene. Verbesserung der Wissensgrundlage für die Politik: - Zahl der Studien zur Sammlung von Informationen über gegenwärtige und erwartete NIS-Risiken und Risikovermeidungstechnologien; - Zahl der Konsultationen mit öffentlichen Stellen, die sich mit der NIS befassen; - Bestehen eines europäischen Rahmens für die Organisation der NIS-Datensammlung. Stärkung der Eigenverantwortung der Akteure: - Zahl der ermittelten guten Praktiken für die Branche; - Höhe der Investitionen privater Akteure in Sicherheitsmaßnahmen. Schutz Europas vor internationalen Bedrohungen: - Zahl der Konferenzen/Sitzungen der EU-Mitgliedstaaten zur Festlegung gemeinsamer NIS-Ziele; - Zahl der Sitzungen europäischer und internationaler NIS-Experten. Hinwirken auf eine kooperative Umsetzung: - Zahl der Überprüfungen, ob die einschlägigen Vorgaben eingehalten werden; - Zahl der EU-weiten NIS-Praktiken. Bekämpfung der Cyberkriminalität: - Regelmäßigkeit des Zusammenwirkens mit den Behörden der früheren zweiten und dritten Säule; - Zahl der Fälle, in denen die Strafverfolgung mit Sachkenntnis unterstützt wurde. 1.5. Begründung des Vorschlags/der Initiative 1.5.1. Kurz- oder langfristig zu deckender Bedarf Die ENISA wurde ursprünglich im Jahr 2004 gegründet, um sich mit den Bedrohungen und den in ihrer Folge möglichen Verletzungen der Netz- und Informationssicherheit zu befassen. Seitdem haben sich mit der Technologie- und Marktentwicklung die Herausforderungen bezüglich der Netz- und Informationssicherheit verändert und waren Gegenstand weiterer Überlegungen und Diskussionen, auf deren Grundlage es heute möglich ist, eine Aktualisierung und detailliertere Beschreibung der konkret festgestellten Probleme vorzunehmen und abzuschätzen, wie die sich verändernde NIS-Landschaft sich hierauf auswirkt. 1.5.2. Mehrwert durch die Intervention der EU NIS-Probleme richten sich nicht nach nationalen Grenzen und können deshalb nicht ausschließlich auf nationaler Ebene wirksam gelöst werden. Gleichzeitig gibt es gewaltige Unterschiede in der Art und Weise, wie die Behörden in verschiedenen Mitgliedstaaten mit diesen Problemen umgehen. Diese Unterschiede können sich als großes Hindernis bei der Schaffung eines geeigneten unionsweiten Mechanismus für eine verbesserte NIS in Europa erweisen. Wegen der engen Vernetzung von IKT-Infrastrukturen wird die Wirksamkeit der auf nationaler Ebene in einem Mitgliedstaat ergriffenen Maßnahmen stark beeinträchtigt, wenn andere Mitgliedstaaten Maßnahmen auf einem niedrigeren Niveau treffen oder keine systematische grenzübergreifende Zusammenarbeit stattfindet. Unzureichende NIS-Maßnahmen, die zu einem Vorfall in einem Mitgliedstaat führen, können Störungen der Dienste in anderen Mitgliedstaaten verursachen. Außerdem bedeutet die Vielzahl verschiedener Sicherheitsanforderungen eine Kostenbelastung für EU-weit tätige Unternehmen und führt zu einer Fragmentierung und einem Verlust an Wettbewerbsfähigkeit im europäischen Binnenmarkt. Während die Abhängigkeit von Netzen und Informationssystemen zunimmt, ist die Abwehrbereitschaft im Fall von Störungen offenbar ungenügend. Die derzeitigen nationalen Frühwarn- und Krisenbewältigungssysteme weisen erhebliche Mängel auf. Die Prozesse und Vorgehensweisen für die Überwachung der Netzsicherheit und die Meldung solcher Störungen sind in den Mitgliedstaaten sehr unterschiedlich. In einigen Ländern mangelt es an einer förmlichen Festlegung der Verfahren, während es in anderen keine zuständige Behörde gibt, die Meldungen über solche Vorfälle annimmt und bearbeitet. Ein europäisches System gibt es nicht. Folglich könnte die Grundversorgung mit lebenswichtigen Gütern tiefgreifend gestört werden, weshalb geeignete Abwehrmaßnahmen vorbereitet werden sollten. So wurde auch in der Mitteilung der Kommission über den Schutz kritischer Informationsinfrastrukturen die Notwendigkeit betont, europäische Frühwarn- und Reaktionsfähigkeiten zu schaffen, die möglicherweise durch Übungen auf europäische Ebene ergänzt werden könnten. Es besteht ein klarer Bedarf an Politikinstrumenten für eine proaktive Ermittlung von NIS-Risiken und -Anfälligkeiten, für die Schaffung geeigneter Reaktionsmechanismen (z. B. durch die Feststellung und Verbreitung guter Praktiken) und für die Sicherstellung, dass den Beteiligten diese Reaktionsmechanismen bekannt sind und von ihnen auch angewandt werden. 1.5.3. Wesentliche Erkenntnisse aus früheren ähnlichen Maßnahmen Siehe Abschnitte 1.5.1 und 1.5.2. 1.5.4. Kohärenz mit anderen Finanzierungsinstrumenten sowie mögliche Synergieeffekte Die Maßnahme steht mit der allgemeinen Debatte über die Netz- und Informationssicherheit und anderen Politikinitiativen, in deren Mittelpunkt die Zukunft der NIS steht, voll im Einklang. Sie gehört zu den Kernelementen der Digitalen Agenda für Europa, einer der Leitinitiativen der Strategie Europa 2020. 1.6. Dauer der Maßnahme und ihrer finanziellen Auswirkungen ( Vorschlag/Initiative mit befristeter Geltungsdauer - ( Beginn der fünfjährigen Verlängerung ist der 14.3.2012 oder der Tag des Inkrafttretens der neuen Verordnung, sofern dies der spätere Zeitpunkt ist. - ( Finanzielle Auswirkungen: 2012 bis 2017 ( Vorschlag/Initiative mit unbefristeter Geltungsdauer - Umsetzung mit einer Anlaufphase von [Jahr] bis [Jahr] - und anschließendem Vollbetrieb. 1.7. Vorgeschlagene Methoden der Mittelverwaltung [39] ( Direkte zentrale Verwaltung durch die Kommission ( Indirekte zentrale Verwaltung durch Übertragung von Haushaltsvollzugsaufgaben an: - ( Exekutivagenturen - ( von den Gemeinschaften geschaffene Einrichtungen[40] - ( nationale öffentliche Einrichtungen bzw. privatrechtliche Einrichtungen, die im öffentlichen Auftrag tätig werden - ( Personen, die mit der Durchführung bestimmter Maßnahmen im Rahmen von Titel V des Vertrags über die Europäische Union betraut und in dem maßgeblichen Basisrechtsakt nach Artikel 49 der Haushaltsordnung bezeichnet sind ( Mit den Mitgliedstaaten geteilte Verwaltung ( Dezentrale Verwaltung mit Drittstaaten ( Gemeinsame Verwaltung mit internationalen Organisationen ( bitte auflisten ) 2. VERWALTUNGSMASSNAHMEN 2.1. Überwachung und Berichterstattung Der Direktor ist verantwortlich für die wirksame Überwachung und Bewertung der Leistung der Agentur vor dem Hintergrund ihrer Ziele; er berichtet dem Verwaltungsrat jährlich. Der Direktor erstellt einen Gesamtbericht, der sich auf alle Tätigkeiten der Agentur im vorangegangenen Jahr erstreckt und worin insbesondere die erzielten Ergebnisse mit den Zielen des jährlichen Arbeitsprogramms verglichen werden. Dieser Bericht wird nach der Annahme durch den Verwaltungsrat an das Europäische Parlament, den Rat, die Kommission, den Rechnungshof, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen weitergeleitet und veröffentlicht. 2.2. Verwaltungs- und Kontrollsystem 2.2.1. Ermittelte Risiken Seit ihrer Errichtung im Jahre 2004 wurde die ENISA externen und internen Bewertungen unterzogen. Gemäß Artikel 25 der ENISA-Verordnung war der erste Schritt in diesem Prozess die unabhängige Bewertung von ENISA durch ein externes Expertengremium im Zeitraum 2006/2007. Der Bewertungsbericht des externen Expertengremiums[41] bestätigte die fortdauernde Gültigkeit der ursprünglichen politischen Motive für die Gründung der ENISA sowie deren ursprüngliche Ziele und warf einige Fragen auf, die angegangen werden müssen. Im März 2007 erstattete die Kommission dem Verwaltungsrat Bericht über die durchgeführte Bewertung, woraufhin der Verwaltungsrat seine eigenen Empfehlungen zur Zukunft der Agentur und zu Änderungen der ENISA-Verordnung vorlegte[42]. Im Juni 2007 legte die Kommission in einer Mitteilung an das Europäische Parlament und den Rat ihre eigene Bewertung der Ergebnisse der externen Bewertung sowie die Empfehlungen des Verwaltungsrates vor[43]. Die Mitteilung enthielt die Feststellung, dass eine Entscheidung getroffen werden muss: entweder das Mandat der Agentur wird verlängert, oder die Agentur wird durch einen anderen Mechanismus ersetzt, zum Beispiel ein permanentes Forum von Interessenvertretern oder ein Netz von Sicherheitsorganisationen. Die Mitteilung leitete auch eine öffentliche Konsultation zu dem Thema ein und enthielt eine Fragenliste, anhand deren um Beiträge von Betroffenen ersucht wurde, um der weiteren Diskussion Orientierung zu geben[44]. 2.2.2. Vorgesehene Kontrollen Siehe Abschnitte 2.1 und 2.2.1. 2.3. Prävention von Betrug und Unregelmäßigkeiten Vor jeglicher Zahlung für Dienste oder Studien werden diese von der Agentur unter Berücksichtigung vertraglicher Verpflichtungen, wirtschaftlicher Grundsätze und einer guten Finanz- und Verwaltungspraxis überprüft. In alle Vereinbarungen und Verträge zwischen der Agentur und den Zahlungsempfängern werden Bestimmungen zur Betrugsbekämpfung (Überwachung, Verpflichtung zur Berichterstattung usw.) aufgenommen. 3. ESTIMATED FINANCIAL IMPACT OF THE PROPOSAL/INITIATIVE* 3.1. Betroffene Rubrik(en) des mehrjährigen Finanzrahmens und Ausgabenlinie(n) - Bestehende Haushaltslinien Rubrik des mehrjährigen Finanzrahmens | Haushaltslinie | Art der Ausgaben | Finanzierungsbeiträge | Nummer / Bezeichnung | GM/NGM[45]) | von EFTA-Ländern[46] | von Beitrittskandidaten[47] | von Drittländern | nach Artikel 18 Absatz 1 Buchstabe aa der Haushaltsordnung | 1.a Wettbewerbsfähigkeit für Wachstum und Beschäftigung | 09 02 03 01 Europäische Agentur für Netz- und Informationssicherheit – Haushaltszuschüsse im Rahmen der Titel 1 und 2 | GM | Ja | Nein | Nein | Nein | 09 02 03 02 Europäische Agentur für Netz- und Informationssicherheit – Haushaltszuschuss im Rahmen des Titels 3 | GM | Ja | Nein | Nein | Nein | 5 Verwaltungsausgaben | 09 01 01 Ausgaben für Personal im aktiven Dienst des Politikbereichs Informationsgesellschaft und Medien | NGM | Nein | Nein | Nein | Nein | 09 01 02 11 Sonstige Verwaltungsausgaben | NGM | Nein | Nein | Nein | Nein | * Die erwarteten finanziellen Auswirkungen des Vorschlags jenseits des aktuellen Finanzplanungszeitraums 2007-2013 sind nicht Gegenstand dieses Finanzbogens. Gestützt auf ihren Vorschlag einer Verordnung zur Festlegung des mehrjährigen Finanzrahmens für den Zeitraum nach 2013 und unter Berücksichtigung der Schlussfolgerungen der Folgenabschätzung wird die Kommission einen geänderten Finanzbogen zu Rechtsakten vorlegen. 3.2. Erwartete Auswirkungen auf die Ausgaben 3.2.1. Übersicht in Mio. EUR (3 Dezimalstellen) Rubrik des mehrjährigen Finanzrahmens: | 1.a | Wettbewerbsfähigkeit für Wachstum und Beschäftigung | Im Stellenplan vorgesehene Planstellen (Beamte und Bedienstete auf Zeit) | XX 01 01 01 (am Sitz und in den Vertretungen der Kommission) | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- | INSGESAMT | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- | - b) Personal der ENISA 1. Jan. – 13. März 2012 | 14. März – 31. Dez. 2012 | 2013 | 2014 | 2015 | 2016 | 1. Jan. – 13. März 2017 | Planstellen im Stellenplan der ENISA (in Vollzeitäquivalenten FTE) | Sonstiges Personal (in FTE) | Vertragsbedienstete | 13 | 14 | 14 | -- | -- | -- | -- | Abgeordnete nationale Sachverständige (END) | 5 | 5 | 5 | -- | -- | -- | -- | Sonstiges Personal insgesamt | 18 | 19 | 19 | -- | -- | -- | -- | INSGESAMT | 62 | 66 | 66 | -- | -- | -- | -- | Beschreibung der vom Personal der Agentur auszuführenden Aufgaben: Beamte und Zeitbedienstete | Die Agentur wird weiterhin: beratende und koordinierende Aufgaben erfüllen, zu denen die Erfassung und Analyse von Daten zur Informationssicherheit gehören. Sowohl öffentliche als auch private Unternehmen bzw. Einrichtungen mit unterschiedlichen Zielsetzungen erfassen heute Daten über IT-Vorfälle und andere Daten, die für die Informationssicherheit relevant sind. Es gibt jedoch keine zentrale Stelle auf europäischer Ebene, die auf breiter Basis Daten erfassen und auswerten sowie Stellungnahmen und Empfehlungen abgeben kann, um die politische Arbeit der Union im Bereich der Netz- und Informationssicherheit zu unterstützen; als Fachzentrum dienen, bei dem sowohl die Mitgliedstaaten als auch die EU-Organe Stellungnahmen und Empfehlungen in sicherheitstechnischen Fragen einholen können; zu einer breit angelegten Zusammenarbeit zwischen verschiedenen Akteuren der Informationssicherheit beitragen, z. B. bei den Folgemaßnahmen zur Unterstützung des sicheren elektronischen Geschäftsverkehrs. Diese Zusammenarbeit ist eine wesentliche Voraussetzung für die sichere Funktionsweise von Netzen und Informationssystemen in Europa. Sie erfordert die Mitwirkung aller Beteiligten; einen Beitrag zu einem koordinierten Konzept der Informationssicherheit leisten, indem sie die Mitgliedstaaten z. B. bei der Förderung von Risikobewertungs- und Sensibilisierungsmaßnahmen unterstützt; die Interoperabilität von Netzen und Informationssystemen gewährleisten, wenn die Mitgliedstaaten sicherheitsrelevante technische Anforderungen umsetzen; den entsprechenden Normungsbedarf ermitteln und bestehende Sicherheitsnormen und Zertifizierungspläne sowie deren möglichst weit reichende Anwendung zur Unterstützung des EU-Rechts fördern; die internationale Zusammenarbeit in diesem Bereich unterstützen, die immer notwendiger wird, da es sich bei der Netz- und Informationssicherheit um ein globales Thema handelt. | Externes Personal | Siehe oben. | - 3.2.4. Vereinbarkeit mit dem mehrjährigen Finanzrahmen - ( Der Vorschlag/die Initiative ist mit dem derzeitigen mehrjährigen Finanzrahmen vereinbar. - ( Der Vorschlag/die Initiative erfordert eine Anpassung der betreffenden Rubrik des mehrjährigen Finanzrahmens. - ( Der Vorschlag/die Initiative erfordert eine Inanspruchnahme des Flexibilitätsinstruments oder eine Änderung des mehrjährigen Finanzrahmens[49]. Der EU-Finanzbeitrag für die Zeit nach 2013 ist im Rahmen einer kommissionsweiten Diskussion aller Vorschläge für den Zeitraum nach 2013 zu prüfen. Dies bedeutet, dass die Kommission, sobald sie ihren Vorschlag für den nächsten mehrjährigen Finanzrahmen unterbreitet hat, unter Berücksichtigung der Schlussfolgerungen der Folgenabschätzung einen geänderten Finanzbogen zu Rechtsakten vorlegen wird. 3.2.5. Finanzierungsbeteiligung Dritter - ( Der Vorschlag/die Initiative sieht keine Kofinanzierung durch Dritte vor. - ( Der Vorschlag/die Initiative sieht folgende Kofinanzierung vor: Veranschlagte Mittel in Mio. EUR (3 Dezimalstellen) |1. Jan. – 13. März 2012 |14. März – 31. Dez. 2012 |2013 |2014 |2015 |2016 |1. Jan. – 13. März 2017 | 14. März 2012 – 13. März 2017 insgesamt | |EFTA |0,042 |0,160 |0,206 |-- |-- |-- |-- |-- | | 3.3. Erwartete Auswirkungen auf die Einnahmen - ( Der Vorschlag/die Initiative wirkt sich nicht auf die Einnahmen aus. - ( Der Vorschlag/die Initiative wirkt sich auf die Einnahmen aus, und zwar - ( auf die Eigenmittel - ( auf die sonstigen Einnahmen [1] Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit (ABl. L 77 vom 13.3.2004, S. 1). [2] Verordnung (EG) Nr. 1007/2008 des Europäischen Parlaments und des Rates vom 24. September 2008 zur Änderung der Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit bezüglich deren Bestehensdauer (ABl. L 293 vom 31.10.2008, S. 1). [3] Der zusammenfassende Bericht über die Ergebnisse der öffentlichen Konsultation über „Eine gestärkte Politik auf dem Gebiet der Netz- und Informationssicherheit in Europa“ ist der Folgenabschätzung zu diesem Vorschlag als Anhang 11 beigefügt. [4] KOM(2009) 149 vom 30.03.2009. [5] Diskussionspapier: http://www.tallinnciip.eu/doc/discussion_paper_-_tallinn_ciip_conference.pdf Schlussfolgerungen des Ratsvorsitzes:http://www.tallinnciip.eu/doc/EU_Presidency_Conclusions_Tallinn_CIIP_Conference.pdf. [6] Entschließung des Rates vom 18. Dezember 2009 über ein kooperatives europäisches Vorgehen im Bereich der Netz- und Informationssicherheit (ABl. C 321 vom 29.12.2009, S. 1),http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2009:321:0001:0004:DE:PDF. [7] KOM(2010) 245 vom 19.05.2010. [8] In der Entschließung des Rates vom 18. Dezember 2009 über ein kooperatives europäisches Vorgehen im Bereich der Netz- und Informationssicherheit heißt es außerdem: „Der Rat […] ist sich des Umstands bewusst, dass die strategischen Wirkungen, Risiken und Aussichten im Hinblick auf die Einrichtung von IT-Notfalldiensten für die Organe der Europäischen Union und die mögliche künftige Rolle der ENISA in dieser Frage untersucht werden müssen“. [9] Siehe Anhang XI der Folgenabschätzung. [10] Siehe Anhang IV der Folgenabschätzung. [11] ABl. C 115 vom 9.5.2008, S. 94. [12] Urteil des EuGH vom 2. Mai 2006, Rechtssache C-217/04, Vereinigtes Königreich von Großbritannien und Nordirland gegen Europäisches Parlament und Rat der Europäischen Union . [13] Wie oben. [14] Die Unterschiede im ordentlichen Gesetzgebungsverfahren betreffen insbesondere die erforderlichen Mehrheiten im Rat und im Europäischen Parlament. [15] ABl. C […] vom […], S. […]. [16] ABl. C […] vom […], S. […]. [17] ABl. L 77 vom 13.03.2004, S. 1. [18] ABl. L 293 vom 31.10.2008, S. 1. [19] KOM(2006) 251 vom 31.05.2006. [20] Entschließung des Rates vom 22. März 2007 zu einer Strategie für eine sichere Informationsgesellschaft in Europa, ABl. C 68 vom 24.3.2007, S. 1. [21] KOM(2009) 149 vom 30.03.2009. [22] Entschließung des Rates vom 18. Dezember 2009 über ein kooperatives europäisches Vorgehen im Bereich der Netz- und Informationssicherheit, ABl. C 321 vom 29.12.2009, S. 1. [23] KOM(2010) 245 vom 19.05.2010. [24] ABl. L 108 vom 24.04.2002, S. 33. [25] ABl. L 201 vom 31.07.2002, S. 37. [26] ABl. L 281 vom 23.11.1995, S. 31. [27] ABl. L 337 vom 18.12.2009, S. 1. [28] ABl. L 204 vom 21.7.1998, S. 37. [29] Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43). [30] Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1). [31] ABl. L 357 vom 31.12.2002, S. 72. [32] ABl. L 317 vom 03.12.2001, S. 1. [33] ABl. L 136 vom 31.05.1999, S. 1. [34] ABl. L 136 vom 31.05.1999, S. 15. [35] ABl. L 248 vom 16.9.2002, S. 1. [36] ABl. 17 vom 6.10.1958, S. 385/58. Zuletzt geändert durch die Beitrittsakte von 1994. [37] ABM: Activity Based Management (maßnahmenbezogenes Management) – ABB: Activity Based Budgeting (maßnahmenbezogene Budgetierung). [38] Im Sinne von Artikel 49 Absatz 6 Buchstaben a oder b der Haushaltsordnung. [39] Erläuterungen zu den Methoden der Mittelverwaltung und Verweise auf die Haushaltsordnung enthält die Website BudgWeb (in französischer und englischer Sprache): http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html [40] Einrichtungen im Sinne von Artikel 185 der Haushaltsordnung. [41] http://ec.europa.eu/dgs/information_society/evaluation/studies/index_en.htm. [42] Gemäß Artikel 25 der ENISA-Verordnung. Der vollständige Wortlaut des vom ENISA-Verwaltungsrat verabschiedeten Dokuments, das auch Erwägungen des Vorstands enthält, ist auf der folgenden Website verfügbar: http://enisa.europa.eu/pages/03_02.htm. [43] Mitteilung der Kommission an das Europäische Parlament und den Rat über die Bewertung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), KOM(2007) 285 endg. vom 1.6.2007: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52007DC0285:DE:NOT. [44] http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=EnisaFuture&lang=en. [45] GM = Getrennte Mittel / NGM = Nicht getrennte Mittel. [46] EFTA: Europäische Freihandelsassoziation. [47] Kandidatenländer und gegebenenfalls potenzielle Beitrittskandidaten des Westbalkans. [48] Der Anhang des Finanzbogens zu Rechtsakten wird nicht ausgefüllt, weil er auf den vorliegenden Vorschlag nicht anwendbar ist. [49] Siehe Nummern 19 und 24 der Interinstitutionellen Vereinbarung.