13.1.2018 |
DE |
Amtsblatt der Europäischen Union |
C 12/1 |
VEREINBARUNG
zwischen dem Europäischen Parlament, dem Europäischen Rat, dem Rat der Europäischen Union, der Europäischen Kommission, dem Gerichtshof der Europäischen Union, der Europäischen Zentralbank, dem Europäischen Rechnungshof, dem Europäischen Auswärtigen Dienst, dem Europäischen Wirtschafts- und Sozialausschuss, dem Europäischen Ausschuss der Regionen und der Europäischen Investitionsbank über die Organisation und die Funktionsweise eines IT-Notfallteams für die Organe, Einrichtungen und sonstigen Stellen der Union (CERT-EU)
(2018/C 12/01)
DAS EUROPÄISCHE PARLAMENT,
DER EUROPÄISCHE RAT, DER RAT DER EUROPÄISCHEN UNION,
DIE EUROPÄISCHE KOMMISSION,
DER GERICHTSHOF DER EUROPÄISCHEN UNION,
DIE EUROPÄISCHE ZENTRALBANK,
DER EUROPÄISCHER RECHNUNGSHOF,
DER EUROPÄISCHE AUSWÄRTIGE DIENST,
DER EUROPÄISCHE WIRTSCHAFTS- UND SOZIALAUSSCHUSS,
DER EUROPÄISCHE AUSSCHUSS DER REGIONEN
UND DIE EUROPÄISCHE INVESTITIONSBANK —
in Erwägung nachstehender Gründe:
(1) |
Die Stärkung der Kapazität aller Organe, Einrichtungen und sonstigen Stellen der Europäischen Union zur Bewältigung von Cyberbedrohungen und Schwachstellen und zur Prävention, Erkennung und Bewältigung von Cyberangriffen gegen ihre Infrastrukturen im Bereich der Informations- und Kommunikationstechnologien (IKT) stellt nach wie vor eine hohe Priorität dar, da das Funktionieren der IKT-Netze und -Systeme entscheidend für ihre Fähigkeit zur Erfüllung ihrer Aufgaben ist. |
(2) |
Auf eine Initiative der Vizepräsidenten der Kommission Neelie Kroes und Maroš Šefčovič hin beschlossen die Generalsekretäre der Organe und Einrichtungen der Union im Mai 2011 die Einsetzung eines Vorbereitungsteams für ein IT-Notfallteam (Computer Emergency Response Team) für die Organe, Einrichtungen und sonstigen Stellen der Union (CERT-EU) unter der Aufsicht eines interinstitutionellen Lenkungsausschusses. |
(3) |
Im Juli 2012 bestätigten die Generalsekretäre die praktischen Vorkehrungen und vereinbarten, das CERT-EU als ständige Einrichtung beizubehalten; als Beispiel für eine sichtbare interinstitutionelle Zusammenarbeit auf dem Gebiet der Cybersicherheit sollte es weiterhin einen Beitrag zur Verbesserung der allgemeinen Sicherheit der IT-Systeme der Organe, Einrichtungen und sonstigen Stellen der Union leisten. |
(4) |
Die in den Jahren 2014 und 2016 vorgenommenen Überprüfungen haben gezeigt, dass das CERT-EU weiter gereift ist und nun das Stadium erreicht hat, in dem es mit einer nachhaltigeren und transparenteren Steuerung und Finanzierungsstruktur auf eine förmliche Grundlage gestellt werden sollte. |
(5) |
Mit der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (1) („NIS-Richtlinie“) wurde ein Netzwerk von Computer-Notfallteams (Computer Security Incident Response Teams — CSIRT) geschaffen, das sich aus Vertretern der CSIRT der Mitgliedstaaten und des CERT-EU zusammensetzt, um zum Aufbau von Vertrauen zwischen den Mitgliedstaaten beizutragen und eine rasche und wirksame operative Zusammenarbeit zu fördern. |
(6) |
In der Verwaltungsstruktur für das CERT-EU sollten die Rolle und die Aufgaben des CERT-EU, die Zuständigkeiten seines Leiters, die Rolle und die Aufgaben seines Lenkungsausschusses und die Zuständigkeiten der Organe, Einrichtungen und sonstigen Stellen der Union bei der Unterstützung des CERT-EU festgelegt werden. |
(7) |
Das CERT-EU sollte über eine nachhaltige Finanzierung und Personalausstattung verfügen; gleichzeitig sollten ein günstiges Kosten-Nutzen-Verhältnis und ein angemessener Kern von ständigen Mitarbeitern gewährleistet sein und die allgemeinen Verwaltungskosten des CERT-EU sollten so gering wie möglich gehalten werden. |
(8) |
Diese Vereinbarung wird von den teilnehmenden Organen und Einrichtungen der Union nach Abschluss ihrer jeweiligen zweckdienlichen internen Verfahren unterzeichnet; die in Anhang I aufgeführten Ämter und Agenturen der Union, die für ihre eigene IKT-Infrastruktur verantwortlich sind, haben dem Vorsitz des CERT-EU-Lenkungsausschusses schriftlich offiziell bestätigt, dass sie diese Vereinbarung anwenden werden — |
HABEN FOLGENDE VEREINBARUNG GESCHLOSSEN:
Artikel 1
Zweck und Aufgabenbereich
(1) Mit dieser Vereinbarung werden die Regeln für die Arbeitsweise und Organisation des interinstitutionellen IT-Notfallteams für die Organe, Einrichtungen und sonstigen Stellen der Union („CERT-EU“) festgelegt.
(2) Das CERT-EU hat den Auftrag, zur Sicherheit der IKT-Infrastrukturen aller Organe, Einrichtungen und sonstigen Stellen der Union (die „Vertragsparteien“) beizutragen, indem es diese bei der Prävention, Erkennung, Abschwächung und Bewältigung von Cyberangriffen unterstützt und als zentrale Stelle für den Austausch von Informationen zur Cybersicherheit und die Koordinierung der Reaktion auf Vorfälle für die Vertragsparteien dient.
Artikel 2
Aufgaben des CERT-EU
(1) Aufgabe des CERT-EU ist die Erhebung, Verwaltung und Analyse von Informationen über Bedrohungen, Schwachstellen und Sicherheitsvorfälle auf nicht für Verschlusssachen genutzten IKT-Infrastrukturen und der Austausch dieser Informationen mit den Vertragsparteien. Es koordiniert die Reaktionen auf Vorfälle auf interinstitutioneller Ebene und auf Ebene der Vertragsparteien, einschließlich durch die Bereitstellung oder Koordinierung spezifischer operativer Unterstützung.
(2) Das CERT-EU erbringt für alle Vertragsparteien die Standarddienstleistungen eines IT-Notfallteams (CERT). Der Katalog, in dem die vom CERT-EU angebotenen Dienstleistungen ausführlich dargelegt werden, und etwaige Aktualisierungen werden vom Lenkungsausschuss gebilligt. Bei der Überarbeitung der Liste der Dienstleistungen berücksichtigt der Leiter des CERT-EU die ihm zugewiesenen Mittel.
(3) Das CERT-EU kann mit Zustimmung der betreffenden Vertragspartei deren Netzverkehr überwachen.
(4) Das CERT-EU kann die Vertragsparteien auf deren ausdrückliches Ersuchen im Zusammenhang mit Sicherheitsvorfällen auf für Verschlusssachen genutzten IKT-Netzen und -Systemen unterstützen.
(5) Das CERT-EU leitet keine Schritte ein bzw. greift nicht wissentlich ein, wenn eine Angelegenheit in den Zuständigkeitsbereich der nationalen Sicherheits- und Nachrichtendienste oder von spezialisierten Abteilungen innerhalb der Vertragsparteien fällt. Wenden sich nationale Sicherheits- und Nachrichtendienste aus eigener Initiative oder auf eigenes Bestreben an das CERT-EU, so ist dies der Direktion Sicherheit der Kommission und dem Vorsitz des CERT-EU-Lenkungsausschusses unverzüglich mitzuteilen.
(6) Das CERT-EU unterrichtet die Vertragsparteien über seine Abläufe und Verfahren zur Bewältigung von Sicherheitsvorfällen.
(7) Das CERT-EU kann auf ausdrückliches Ersuchen der Fachabteilungen der Vertragsparteien technische Gutachten oder Beiträge zu wichtigen strategischen Aspekten liefern.
Artikel 3
Zusammenarbeit zwischen den Vertragsparteien und dem CERT-EU
(1) Das CERT-EU und die Vertragsparteien arbeiten vorbehaltlich des Absatzes 3 im Einklang mit dem Need-to-share-Prinzip. Das CERT-EU stellt sicher, dass effiziente Kommunikationsmittel zur Verfügung stehen, um den Informationsaustausch mit den Vertragsparteien zu erleichtern.
(2) Die Vertragsparteien übermitteln dem CERT-EU Informationen über sie betreffende Bedrohungen und Schwachstellen der Cybersicherheit. Ist dem CERT-EU eine Bedrohung oder eine Schwachstelle bekannt, die eine Vertragspartei betrifft oder betreffen könnte, so warnt es die betroffene Vertragspartei und übermittelt ihr so bald wie praktisch möglich alle maßgeblichen Informationen einschließlich der Kritikalitätsstufe, sodass Schutz- oder Abhilfemaßnahmen getroffen werden können. Das CERT-EU kann bei der Bereitstellung dieser Schutz- oder Abhilfemaßnahmen Unterstützung leisten. Wenn die Bedrohung oder Schwachstelle andere Vertragsparteien betreffen könnte, sind diese zu informieren.
(3) Die Vertragsparteien informieren das CERT-EU unverzüglich, wenn sie mit einem bedeutenden Cybervorfall konfrontiert sind, und sie stellen alle relevanten technischen Daten bereit, es sei denn, dass dadurch die Sicherheitsinteressen einer Vertragspartei oder eines Dritten gefährdet würden. Jeder Sicherheitsvorfall ist als bedeutend zu erachten, mit Ausnahme von wiederkehrenden oder elementaren Vorfällen, die in Bezug auf die Methoden und Technologien wahrscheinlich bereits wohlbekannt sind. Nichttechnische Informationen können nach dem Ermessen der betroffenen Vertragspartei mit dem CERT-EU ausgetauscht werden. Die dem CERT-EU übermittelten Angaben zum Vorfall dürfen das CERT-EU nicht ohne die Zustimmung der betroffenen Vertragspartei verlassen, auch nicht in anonymisierter Form. Zur Vorbereitung auf Fälle, in denen Informationen zum Schutz der Netze und Systeme der Vertragsparteien rasch ausgetauscht werden müssen, arbeitet das CERT-EU gemeinsam mit den Vertragsparteien bereits im Voraus Leitlinien aus, wie dies zu geschehen hat.
(4) Das CERT-EU führt in Abstimmung mit den Vertragsparteien einen Katalog des verfügbaren Fachwissens, auf das unter Umständen im Fall eines schwerwiegenden Cybervorfalls, der eine oder mehrere Vertragsparteien betrifft, im Rahmen der Mittel und Fähigkeiten zurückgegriffen werden könnte. Gegebenenfalls kann das CERT-EU den Informationsaustausch und die technische Unterstützung organisieren und koordinieren, die zur Bewältigung eines Cybersicherheitsvorfalls direkt auf der Ebene der Vertragsparteien stattfinden.
(5) Im Rahmen seines Aufgabenbereichs arbeitet das CERT-EU eng mit der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) und dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität bei Europol zusammen.
(6) Das CERT-EU tauscht Informationen über spezifische Sicherheitsvorfälle nur dann mit Strafverfolgungsbehörden aus, wenn die zuständigen Dienststellen der betreffenden Vertragspartei bzw. Vertragsparteien dies zuvor genehmigt haben.
(7) Das CERT-EU führt Aufzeichnungen über alle Informationen, die es mit Vertragsparteien und Dritten ausgetauscht hat. Die Vertragsparteien können das CERT-EU ersuchen, genaue Angaben zu den mit Dritten ausgetauschten Informationen zu machen.
(8) Sollte es sich als erforderlich erweisen, kann das CERT-EU mit jeder Vertragspartei eine Leistungs- oder Kooperationsvereinbarung über die Erbringung von CERT-Dienstleistungen schließen. Das CERT-EU kann auch eine Leistungs- oder Kooperationsvereinbarung über die Erbringung von CERT-Dienstleistungen gegen Entgelt für zivile Krisenbewältigungsoperationen der EU im Sinne des Titels V Kapitel 2 des Vertrags über die Europäische Union schließen. In jedem Fall bedürfen solche Leistungs- oder Kooperationsvereinbarungen der Genehmigung durch den Lenkungsausschuss.
Artikel 4
Zusammenarbeit des CERT-EU mit CERT der Mitgliedgliedstaaten
(1) Das CERT-EU pflegt die Zusammenarbeit und den Informationsaustausch mit den nationalen oder von den Regierungen eingesetzten CERT oder CSIRT der Mitgliedstaaten in Bezug auf die Bedrohungen, Schwachstellen und Vorfälle im Bereich der Cybersicherheit, auf die möglichen Gegenmaßnahmen und auf alle Angelegenheiten, die für eine Verbesserung des Schutzes der IKT-Infrastrukturen der Vertragsparteien maßgeblich sind, unter anderem über das CSIRT-Netz nach Artikel 12 der NIS-Richtlinie.
(2) Das CERT-EU arbeitet mit den CERT der Mitgliedstaaten zusammen, um Informationen über allgemeine und besondere Bedrohungen für die Vertragsparteien und über Instrumente oder Methoden, einschließlich Techniken, Taktiken und Verfahren, bewährte Verfahren und allgemeine Schwachstellen zu sammeln und an seine Vertragsparteien weiterzuleiten. Das CERT-EU kann Informationen über Instrumente und Methoden, einschließlich Techniken, Taktiken und Verfahren, bewährte Verfahren und allgemeine Bedrohungen und Schwachstellen mit diesen CERT austauschen.
(3) Mit Zustimmung der betroffenen Vertragspartei kann das CERT-EU Informationen im Zusammenhang mit einem bestimmten Vorfall mit diesen CERT austauschen.
Artikel 5
Zusammenarbeit mit CERT von Dritten und anderen Partnern
(1) Das CERT-EU kann in Bezug auf Instrumente und Methoden wie Techniken, Taktiken und Verfahren, bewährte Verfahren und allgemeine Bedrohungen und Schwachstellen mit branchenspezifischen CERT und mit CERT von Nicht-EU-Mitgliedstaaten zusammenarbeiten. Für jede Zusammenarbeit mit diesen CERT, auch wenn CERT aus Nicht-EU-Mitgliedstaaten mit CERT aus Mitgliedstaaten zusammenarbeiten, holt das CERT-EU die vorherige Genehmigung des Lenkungsausschusses ein.
(2) Das CERT-EU kann mit anderen Partnern zusammenarbeiten, etwa mit kommerziellen Organisationen oder einzelnen Experten, um Informationen über allgemeine und spezifische Bedrohungen und Schwachstellen sowie über mögliche Gegenmaßnahmen zu sammeln. Für eine umfassendere Zusammenarbeit mit diesen Partnern holt das CERT-EU die vorherige Zustimmung des Lenkungsausschusses ein.
(3) Sofern eine Geheimhaltungsvereinbarung oder ein Geheimhaltungsvertrag mit den betreffenden Partnern geschlossen wurde, kann das CERT-EU mit Zustimmung der betroffenen Vertragspartei Informationen über bestimmte Vorfälle bei einer Vertragspartei an diese Partner weiterleiten, sofern diese einen Beitrag zur Analyse des Vorfalls leisten können. Solche Geheimhaltungsvereinbarungen oder -verträge sind einer rechtlichen Prüfung im Einklang mit den einschlägigen internen Verfahren der Kommission zu unterziehen. Geheimhaltungsvereinbarungen oder -verträge bedürfen keiner vorherigen Genehmigung durch den Lenkungsausschuss, doch dessen Vorsitz ist davon in Kenntnis zu setzen.
(4) Das CERT-EU kann in Ausnahmefällen mit vorheriger Zustimmung des Lenkungsausschusses Leistungsvereinbarungen mit anderen Einrichtungen als den Vertragsparteien schließen.
Artikel 6
Aufgaben des Leiters des CERT-EU
(1) Der Leiter des CERT-EU ist für das reibungslose Funktionieren des CERT-EU verantwortlich und handelt im Rahmen seiner/ihrer Zuständigkeiten unter der Leitung des Lenkungsausschusses. Er ist verantwortlich für die Umsetzung der strategischen Leitlinien, der Orientierungshilfen, der Ziele und Prioritäten, die vom Lenkungsausschuss festgelegt werden, und für die ordnungsgemäße Verwaltung des CERT-EU, einschließlich derjenigen seiner finanziellen und personellen Ressourcen. Er erstattet dem Vorsitz des Lenkungsausschusses regelmäßig Bericht.
(2) Der Leiter des CERT-EU unterliegt den für die Kommission geltenden Vorschriften und fungiert als nachgeordnet bevollmächtigter Anweisungsbefugter bei der Ausführung des Gesamthaushaltsplans der Europäischen Union, gemäß den einschlägigen internen Vorschriften der Kommission über die Übertragung der Befugnisse und Zuständigkeitsbeschränkungen in solchen Fällen. Der Leiter des CERT-EU handelt unter der Aufsicht der Kommission ausschließlich für die Anwendung der verwaltungstechnischen und finanziellen Regeln und Verfahren.
(3) Der Leiter des CERT-EU legt dem Lenkungsausschuss vierteljährliche Berichte über die Leistung des CERT-EU, den Haushaltsvollzug, geschlossene Verträge oder sonstige Vereinbarungen und die von Mitarbeitern unternommenen Dienstreisen vor. Er legt dem Lenkungsausschuss zudem jährlich einen Bericht gemäß Artikel 8 Absatz 1 Buchstabe e vor.
(4) Der Leiter des CERT-EU unterstützt den zuständigen bevollmächtigten Anweisungsbefugten bei der Erstellung des in Artikel 66 Absatz 9 der Haushaltsordnung vorgesehenen jährlichen Tätigkeitsberichts, der Finanz- und Verwaltungsinformationen sowie Kontrollergebnisse enthält, und erstattet ihm regelmäßig Bericht über die Umsetzung von Maßnahmen, für die eine Weiterübertragung von Befugnissen erfolgt ist.
(5) Der Leiter des CERT-EU erstellt alljährlich eine Finanzplanung der Verwaltungseinnahmen und -ausgaben für dessen Tätigkeiten, die vom Lenkungsausschuss gemäß Artikel 8 Absatz 1 Buchstabe c gebilligt werden muss.
Artikel 7
Der Lenkungsausschuss
(1) Ein Lenkungsausschuss legt strategische Leitlinien und Orientierungshilfen für das CERT-EU fest und überwacht die Umsetzung seiner allgemeinen Prioritäten und Ziele. Seine Mitglieder sind Vertreter der höheren Leitungsebene aller Unterzeichner dieser Vereinbarung und der ENISA, die die Interessen der in Anhang I aufgeführten Ämter und Agenturen, die ihre eigene IKT-Infrastruktur betreiben, vertritt. Jedes Mitglied kann einen Stellvertreter haben. Andere Vertreter von Vertragsparteien können vom Vorsitz zur Teilnahme an Sitzungen des Lenkungsausschusses eingeladen werden.
(2) Der Lenkungsausschuss benennt aus den Reihen seiner Mitglieder einen Vorsitzenden für einen Zeitraum von zwei Jahren. Der Stellvertreter des Vorsitzenden wird für denselben Zeitraum Vollmitglied des Lenkungsausschusses.
(3) Der Lenkungsausschuss tritt auf Initiative seines Vorsitzes oder auf Antrag eines seiner Mitglieder zusammen. Er gibt sich eine Geschäftsordnung.
(4) Jeder Unterzeichner dieser Vereinbarung und die ENISA haben eine Stimme, wobei das entsprechende Mitglied bzw. die entsprechenden Mitglieder das Stimmrecht ausüben. Der Lenkungsausschuss fasst seine Beschlüsse, soweit nichts anderes bestimmt ist, mit einfacher Mehrheit. Der Vorsitzende beteiligt sich nicht an den Abstimmungen, außer bei Stimmengleichheit, wenn seine Stimme den Ausschlag gibt.
(5) Sollten dringende Entscheidungen aus operativen Gründen erforderlich sein, so kann der Lenkungsausschuss in Ausnahmefällen mit Zustimmung des Vorsitzes und der Mitglieder, die die Europäische Kommission, den Rat, das Europäische Parlament und die betroffene Vertragspartei bzw. die betroffene Vertragsparteien vertreten, handeln.
(6) Der Lenkungsausschuss kann im Wege eines vom Vorsitz eingeleiteten vereinfachten schriftlichen Verfahrens tätig werden, nach dem die entsprechende Entscheidung als innerhalb des vom Vorsitz vorgegebenen Zeitrahmens gebilligt gilt, es sei denn, ein Mitglied erhebt Einwände.
(7) Der Leiter des CERT-EU nimmt an den Sitzungen des Lenkungsausschusses teil, sofern der Lenkungsausschuss nichts anderes beschließt.
(8) Die Sekretariatsgeschäfte des Lenkungsausschusses werden von dem Organ wahrgenommen, dessen Vertreter der höheren Leitungsebene den Vorsitz innehat.
(9) Das Sekretariat unterrichtet die in Anhang I aufgeführten Ämter und Agenturen der EU über die Beschlüsse des Lenkungsausschusses. Jede EU-Agentur kann dem Vorsitz des Lenkungsausschusses jede Angelegenheit vorlegen, die dem Lenkungsausschuss ihrer Auffassung nach zur Kenntnis gebracht werden sollte.
Artikel 8
Aufgaben des Lenkungsausschusses
(1) Bei der Bereitstellung strategischer Leitlinien und Orientierungshilfen für das CERT-EU hat der Lenkungsausschuss insbesondere die Aufgabe,
a) |
auf der Grundlage eines Vorschlags des Leiters des CERT-EU das jährliche Arbeitsprogramm des CERT-EU zu billigen und dessen Umsetzung zu überwachen; |
b) |
auf der Grundlage eines Vorschlags des Leiters des CERT-EU den Dienstleistungskatalog des CERT-EU zu billigen; |
c) |
auf der Grundlage eines vom Leiter des CERT-EU vorgelegten Vorschlags die Finanzplanung der Einnahmen und Ausgaben, einschließlich Personalkosten, für die Tätigkeiten des CERT-EU zu billigen; |
d) |
alljährlich auf der Grundlage eines Vorschlags des Leiters des CERT-EU den Betrag der jährlichen Mittelzuweisungen für die Dienstleistungen zu billigen, die auf der Grundlage von Leistungsvereinbarungen mit dem CERT-EU für Vertragsparteien und für Dritte zu erbringen sind; |
e) |
den Jahresbericht des Leiters des CERT-EU über die Tätigkeiten des CERT-EU und die Mittelverwaltung durch das CERT-EU zu prüfen und zu billigen; |
f) |
die auf Vorschlag des Leiters des CERT-EU festgelegten wesentlichen Leistungsindikatoren für das CERT-EU zu billigen und zu überwachen; |
g) |
Strategiepapiere des CERT-EU zu billigen, in denen allgemeine politische Maßnahmen und Leitlinien für eine gute Praxis auf dem Gebiet der IKT-Sicherheit festgelegt sind, die von den Vertragsparteien zu befolgen sind; |
h) |
Kooperationsvereinbarungen und Leistungsvereinbarungen oder -verträge zwischen dem CERT-EU und anderen Einrichtungen gemäß Artikel 3 Absatz 8 und Artikel 5 Absatz 4 zu billigen; |
i) |
erforderlichenfalls technische Beratungsgremien zur Unterstützung der Arbeit des Lenkungsausschusses einzusetzen, deren Aufgabenstellung zu billigen und deren Vorsitz zu benennen und |
j) |
die in Anhang I enthaltene Liste der Ämter und Agenturen der Union, die diese Vereinbarung anwenden, zu ändern. |
(2) Im Einklang mit den vom Lenkungsausschuss festgelegten Bestimmungen kann der Vorsitzende den Lenkungsausschuss vertreten oder in dessen Namen handeln.
Artikel 9
Personal- und Finanzangelegenheiten
(1) Das CERT-EU wird zwar als eigenständiger interinstitutioneller Dienstleister geschaffen, der allen Organen, Einrichtungen und sonstigen Stellen der Union dient, aber in die Verwaltungsstruktur einer Generaldirektion der Kommission integriert, um die Unterstützungsstrukturen der Kommission für Verwaltung, Finanzmanagement und Rechnungsführung nutzen zu können. Die Kommission unterrichtet den Lenkungsausschuss über die administrative Zuordnung des CERT-EU und diesbezügliche Änderungen.
(2) Die Kommission ernennt nach einstimmiger Zustimmung des Lenkungsausschusses den Leiter des CERT-EU. Der Lenkungsausschuss wird in allen Phasen des Verfahrens vor der Ernennung des Leiters des CERT-EU — insbesondere bei der Ausarbeitung der Stellenausschreibungen, der Prüfung von Bewerbungen und der Ernennung von Prüfungsausschüssen für Auswahlverfahren in Bezug auf diese Stelle — konsultiert.
(3) Die Beamten aller Organe und Einrichtungen der Union werden über jede Ausschreibung von Stellen beim CERT-EU unterrichtet.
(4) Vorbehaltlich der Vorrechte der Haushaltsbehörde der Union verpflichten sich die an dieser Vereinbarung teilnehmenden Organe und Einrichtungen der Union — mit Ausnahme des Europäischen Rechnungshofs, der Europäischen Zentralbank und der Europäischen Investitionsbank — dem CERT-EU die in Anhang II aufgeführten Planstellen bis zum Haushaltsjahr 2019 zu übertragen oder zuzuweisen, soweit nicht in Anhang II etwas anderes bestimmt ist. Die Organe und Einrichtungen der Union, die die zahlenmäßig festgelegten Planstellen zuweisen oder übertragen, haben Anspruch auf das vollständige Dienstleistungsangebot des CERT-EU. Die in Anhang II vorgesehene Zahl der Planstellen wird mindestens alle fünf Jahre überprüft.
(5) Das CERT-EU kann sich mit den teilnehmenden Organen und Einrichtungen der Union auf die befristete Zuweisung zusätzlichen Personals an das CERT-EU einigen.
(6) Der Europäische Rechnungshof, die Europäische Zentralbank und die Europäische Investitionsbank schließen Leistungsvereinbarungen über die vom CERT-EU entsprechend seinem Dienstleistungskatalog angebotenen Dienstleistungen und über die jährliche finanzielle Gegenleistung, die von jeder dieser Einrichtungen gemäß Anhang II zu Beginn jedes Haushaltsjahres für die vom CERT-EU im vorangegangenen Haushaltsjahr erbrachten Dienstleistungen zu erbringen ist.
(7) Die finanzielle Gegenleistung, die von den einzelnen Ämtern und Agenturen der Union zur Deckung der mit der Nutzung des Dienstleistungsangebots des CERT-EU verbundenen Kosten zu erbringen ist, wird mit den jeweiligen Ämtern und Agenturen der Union vereinbart und in den allgemeinen Verwaltungsrahmen für die Erbringung von Dienstleistungen der Kommission für die Ämter und Agenturen der Union aufgenommen.
(8) Der Leiter des CERT-EU berichtet jährlich über den Betrag der jährlichen finanziellen Gegenleistung, die von den Vertragsparteien mit Leistungsvereinbarungen mit dem CERT-EU nach Absatz 6 und von den Ämtern und Agenturen der EU nach Absatz 7 zu erbringen ist. Der Lenkungsausschuss überprüft jährlich den Betrag der jährlichen finanziellen Gegenleistung.
(9) Die Haushaltsführung und das Finanzmanagement der CERT-EU-Tätigkeiten, einschließlich der zweckgebundenen Einnahmen anderer Organe oder Einrichtungen der Union, erfolgt seitens der Kommission im Einklang mit der Verordnung (EG, Euratom) Nr. 966/2012 des Europäischen Parlaments und des Rates (2) über die Haushaltsordnung für den Gesamthaushaltsplan der Union und den einschlägigen Vorschriften und Regelungen. Alle Haushaltsmittelzuweisungen oder Einnahmen des CERT-EU aufgrund von Leistungsvereinbarungen werden in dessen Finanzplanung besonders ausgewiesen.
Artikel 10
Berufsgeheimnis
Das CERT-EU und die Vertragsparteien behandeln alle von einer anderen Vertragspartei oder einem Dritten erhaltenen Informationen als gemäß Artikel 339 des Vertrags über die Arbeitsweise der Europäischen Union oder gleichwertigen geltenden Rahmenregelungen unter das Berufsgeheimnis fallend. Sie geben keine derartigen Informationen an Dritte weiter, es sei denn, sie sind von der betreffenden Vertragspartei oder dem betreffenden Dritten hierzu besonders ermächtigt worden.
Artikel 11
Schutz personenbezogener Daten
Die Verarbeitung personenbezogener Daten nach dieser Vereinbarung unterliegt der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (3).
Artikel 12
Rechnungsprüfung, Anfragen und Zugang der Öffentlichkeit zu Dokumenten
(1) Die Funktion des internen Rechnungsprüfers wird unter Einhaltung des Artikels 10 vom Internen Auditdienst der Kommission wahrgenommen. Der Lenkungsausschuss kann dem Internen Auditdienst der Kommission die Durchführung von Rechnungsprüfungen vorschlagen.
(2) Der Leiter des CERT-EU ist dafür zuständig, Anfragen des Europäischen Bürgerbeauftragten und des Europäischen Datenschutzbeauftragten gemäß den internen Verfahren der Kommission zu beantworten.
(3) Die Verfahren der Kommission gemäß der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (4) gilt hinsichtlich der Anträge auf Zugang der Öffentlichkeit zu Dokumenten, die sich im Besitz des CERT-EU befinden, wobei der nach der genannten Verordnung geltenden Pflicht zur Anhörung anderer Vertragsparteien für den Fall, dass eine Anfrage deren Dokumente betrifft, Rechnung getragen wird.
Artikel 13
Überarbeitung
In Anbetracht der sich wandelnden Cyberbedrohungen und der Reaktion der Union auf diese Entwicklung, einschließlich der in der Cybersicherheitsstrategie der Europäischen Union festgelegten strategischen Prioritäten, überprüft der Lenkungsausschuss regelmäßig die Organisation und die Funktionsweise des CERT-EU. Er kann an die teilnehmenden Organe und Einrichtungen Empfehlungen zur Überprüfung oder Änderung dieser Vereinbarung oder andere Empfehlungen für das wirksame Funktionieren des CERT-EU richten.
Artikel 14
Anwendungsbereich und Beginn der Anwendung
(1) Diese Vereinbarung gilt für die Organe und Einrichtungen der Union, die sie unterzeichnet haben, und für die in Anhang I aufgeführten Ämter und Agenturen der Union, die ihre eigene IKT-Infrastruktur betreiben.
(2) Diese Vereinbarung gilt ab dem Tag ihrer Unterzeichnung. Sie wird im Amtsblatt der Europäischen Union veröffentlicht.
Dieses Abkommen ist in bulgarischer, dänischer, deutscher, englischer, estnischer, finnischer, französischer, griechischer, italienischer, kroatischer, lettischer, litauischer, maltesischer, niederländischer, polnischer, portugiesischer, rumänischer, slowakischer, slowenischer, spanischer, schwedischer, tschechischer und ungarischer Sprache in einer Urschrift abgefasst, die beim Generalsekretariat des Rates der Europäischen Union hinterlegt wird; das Generalsekretariat wird allen Vertragsparteien eine beglaubigte Abschrift übermittelt.
Geschehen zu Frankfurt, Luxemburg und Brüssel am 20. Dezember 2017.
Im Namen des Europäischen Parlaments
Der Generalsekretär
K. WELLE
Im Namen des Europäischen Rates und des Rates
Der Generalsekretär
J. TRANHOLM-MIKKELSEN
Im Namen der Europäischen Kommission
Der Generalsekretär
A. ITALIANER
Im Namen des Gerichtshofs der Europäischen Union
Generaldirektor der GD Infrastrukturen
F. SCHAFF
Im Namen der Europäischen Zentralbank
Generaldirektor Informationssysteme
K. DE GEEST
Chief Services Officer
M. DIEMER
Im Namen des Europäischen Rechnungshofs
Der Generalsekretär
E. RUIZ GARCÍA
Im Namen des Europäischen Auswärtigen Dienstes
Generaldirektor für Haushalt und Verwaltung
G. DI VITA
Im Namen des Europäischen Wirtschafts- und Sozialausschusses
Der Generalsekretär
L. PLANAS PUCHADES
Im Namen des Europäischen Ausschusses der Regionen
Der Generalsekretär
J. BURIÁNEK
Im Namen der Europäischen Investitionsbank
Generaldirektor und Finanzkontrolleur
P. KLAEDTKE
(1) Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).
(2) Verordnung (EU, Euratom) Nr. 966/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 über die Haushaltsordnung für den Gesamthaushaltsplan der Union und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1605/2002 des Rates (ABl. L 298 vom 26.10.2012, S. 1).
(3) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).
(4) Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).
ANHANG I
Liste der Ämter und Agenturen der Union nach Artikel 14 Absatz 1
ACRE |
Agentur für die Zusammenarbeit der Energieregulierungsbehörden |
Büro des GEREK |
Gremium Europäischer Regulierungsstellen für elektronische Kommunikation |
CPVO |
Gemeinschaftliches Sortenamt |
EU-OSHA |
Europäische Agentur für Sicherheit und Gesundheit am Arbeitsplatz |
Frontex |
Europäische Agentur für die Grenz- und Küstenwache |
eu-LISA |
Europäische Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts |
EASO |
Europäisches Unterstützungsbüro für Asylfragen |
EASA |
Europäische Agentur für Flugsicherheit |
EBA |
Europäische Bankenaufsichtsbehörde |
ECDC |
Europäisches Zentrum für die Prävention und Kontrolle von Krankheiten |
Cedefop |
Europäisches Zentrum für die Förderung der Berufsbildung |
ECHA |
Europäische Chemikalienagentur |
EUA |
Europäische Umweltagentur |
EFCA |
Europäische Fischereiaufsichtsagentur |
EFSA |
Europäische Behörde für Lebensmittelsicherheit |
Eurofund |
Europäische Stiftung zur Verbesserung der Lebens- und Arbeitsbedingungen |
GSA |
Agentur für das Europäische GNSS |
EIGE |
Europäisches Institut für Gleichstellungsfragen |
EIOPA |
Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung |
EMSA |
Europäische Agentur für die Sicherheit des Seeverkehrs |
EMA |
Europäische Arzneimittel-Agentur |
EBDD |
Europäische Beobachtungsstelle für Drogen und Drogensucht |
ENISA |
Agentur der Europäischen Union für Netz- und Informationssicherheit |
CEPOL |
Agentur der Europäischen Union für die Aus- und Fortbildung auf dem Gebiet der Strafverfolgung |
Europol |
Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung |
ERA |
Eisenbahnagentur der Europäischen Union |
ESMA |
Europäische Wertpapier- und Marktaufsichtsbehörde |
ETF |
Europäische Stiftung für Berufsbildung |
FRA |
Agentur der Europäischen Union für Grundrechte |
EUIPO |
Amt der Europäischen Union für geistiges Eigentum |
Eurojust |
Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen |
CdT |
Übersetzungszentrum für die Einrichtungen der Europäischen Union |
EDA |
Europäische Verteidigungsagentur |
EIT |
Europäisches Innovations- und Technologieinstitut |
EUISS |
Institut der Europäischen Union für Sicherheitsstudien |
SATCEN |
Satellitenzentrum der Europäischen Union |
SRB |
Einheitlicher Abwicklungsausschuss |
ANHANG II
Vollzeitäquivalentstellen oder Haushaltsbeiträge, die dem CERT-EU von den Teilnehmern zugesagt sind
IM STELLENPLAN VORGESEHENE PLANSTELLEN
Organ/Einrichtung |
Relativer Anteil am EU-Personal |
Zahl der dem CERT-EU zu übertragenden/zuzuweisenden entsprechenden Vollzeitäquivalentstellen |
Europäisches Parlament |
19,5 % |
3 (1) |
Europäischer Rat/Rat |
9 % |
2 |
Kommission (2) |
55 % |
8 |
Gerichtshof |
6 % |
1 (3) |
Europäischer Auswärtiger Dienst |
4,5 % |
1 (4) |
Europäischer Wirtschafts- und Sozialausschuss/Europäischer Ausschuss der Regionen |
3,5 % |
1 (5) |
Europäischer Rechnungshof |
2,5 % |
0 (6) |
|
INSGESAMT: |
16 |
Jährliche Mittelzuweisungen an das CERT-EU
Europäische Zentralbank (7) |
EUR 120 000 (8) |
Europäische Investitionsbank (9) |
EUR 120 000 (10) |
(1) Das Europäische Parlament wird die Übertragung der beiden ausstehenden Stellen spätestens als Teil des Haushaltsplans für das Jahr 2021 abschließen. In dem bis dahin verbleibenden Zeitraum verpflichtet es sich, seine derzeitige Zusage aufrechtzuerhalten: eine halbe Vollzeitäquivalentstelle, die dem CERT-EU zur Verfügung gestellt wird, und einen in einer Leistungsvereinbarung festgelegten jährlichen Finanzbeitrag (120 000 EUR).
(2) Was die Kommission anbelangt, so werden die Posten intern dem CERT-EU zur Verfügung gestellt. Die Kommission erbringt auch einen Beitrag als Sachleistung in Form von Büroraum, Logistikleistungen und IT-Infrastruktur. Beim relativen Anteil der im Stellenplan vorgesehenen Stellen, die von der Kommission zugewiesen werden, sind die Stellen in Agenturen der Union oder in verschiedenen Exekutivagenturen der Union, denen die Kommission IT-Infrastruktur bereitstellt, nicht berücksichtigt.
(3) Der Gerichtshof der Europäischen Union ist nicht in der Lage, die Übertragung einer Planstelle innerhalb des in Artikel 9 Absatz 4 vorgesehenen Zeitraums zuzusagen. Bis er hierzu in der Lage ist, verpflichtet er sich, seine derzeitige Zusage bezüglich eines in einer Leistungsvereinbarung festgelegten jährlichen Finanzbeitrags aufrechtzuerhalten.
(4) Der Europäische Auswärtige Dienst ist nicht in der Lage, die Übertragung einer Planstelle innerhalb des in Artikel 9 Absatz 4 vorgesehenen Zeitraums zuzusagen. Bis er hierzu in der Lage ist, verpflichtet er sich, seine derzeitige Zusage bezüglich eines in einer Leistungsvereinbarung festgelegten jährlichen Finanzbeitrags aufrechtzuerhalten.
(5) Der Europäische Wirtschafts- und Sozialausschuss und der Ausschuss der Regionen sind nicht in der Lage, die Übertragung einer Planstelle innerhalb des in Artikel 9 Absatz 4 vorgesehenen Zeitraums zuzusagen. Bis sie hierzu in der Lage sind, verpflichten sie sich dazu, ihre derzeitigen Zusagen bezüglich der Bereitstellung von zwei Experten als Halbzeitkräfte aufrechtzuerhalten.
(6) Der Europäische Rechnungshof wird in Anbetracht seiner relativen Größe anstelle der Übertragung einer Planstelle vielmehr finanzielle Mittel für das CERT-EU gemäß Artikel 9 Absatz 6 zusagen.
(7) Da die Europäische Zentralbank und die Europäische Investitionsbank nicht das Statut der Beamten der EU anwenden und daher auch keine Stellenübertragungen vornehmen können, werden die beiden weiterhin im Rahmen einer Leistungsvereinbarung gemäß Artikel 9 Absatz 6 einen jährlichen Finanzbeitrag zum CERT-EU leisten.
(8) Die betreffenden Beträge können gemäß Artikel 9 Absatz 8 angepasst werden.
(9) Da die Europäische Zentralbank und die Europäische Investitionsbank nicht das Statut der Beamten der EU anwenden und daher auch keine Stellenübertragungen vornehmen können, werden die beiden weiterhin im Rahmen einer Leistungsvereinbarung gemäß Artikel 9 Absatz 6 einen jährlichen Finanzbeitrag zum CERT-EU leisten.
(10) Die betreffenden Beträge können gemäß Artikel 9 Absatz 8 angepasst werden.