23.3.2005   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 77/6


ΚΑΝΟΝΙΣΜΌΣ (ΕΚ) αριθ. 465/2005 ΤΗΣ ΕΠΙΤΡΟΠΉΣ

της 22ας Μαρτίου 2005

για την τροποποίηση του κανονισμού (ΕΚ) αριθ. 1663/95 για τη θέσπιση λεπτομερειών εφαρμογής του κανονισμού (ΕΟΚ) αριθ. 729/70 του Συμβουλίου όσον αφορά τη διαδικασία για την εκκαθάριση των λογαριασμών του ΕΓΤΠΕ, τμήμα Εγγυήσεων

Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,

τον κανονισμό (ΕΚ) αριθ. 1258/1999 του Συμβουλίου, της 17ης Μαΐου 1999, περί χρηματοδοτήσεως της κοινής γεωργικής πολιτικής (1), και ιδίως το άρθρο 4 παράγραφος 8,

Εκτιμώντας τα ακόλουθα:

(1)

Ο κανονισμός (ΕΚ) αριθ. 1663/95 της Επιτροπής (2) προβλέπει, ειδικότερα, προσανατολισμούς για τα κριτήρια έγκρισης των οργανισμών πληρωμών των κρατών μελών.

(2)

Αρμόδια για τον έλεγχο των δαπανών του Ευρωπαϊκού Γεωργικού Ταμείου Προσανατολισμού και Εγγυήσεων (ΕΓΤΠΕ), τμήμα Εγγυήσεων, είναι πρωτίστως τα κράτη μέλη. Κατά την άσκηση της αρμοδιότητας αυτής, τα κράτη μέλη πρέπει να διασφαλίζουν την επίτευξη υψηλού επιπέδου ασφάλειας στα πληροφοριακά συστήματα των οργανισμών πληρωμών. Για το σκοπό αυτό, κατά την πρώτη έγκριση οργανισμού πληρωμών και μετέπειτα, πρέπει να έχουν τεθεί σε εφαρμογή διαδικασίες ασφάλειας των πληροφοριακών συστημάτων.

(3)

Κατά την εκκαθάριση των λογαριασμών, η Επιτροπή είναι σε θέση να προσδιορίζει τη συνολική δαπάνη προς εγγραφή στο γενικό λογαριασμό στο τμήμα Εγγυήσεων, μόνον εφόσον διαθέτει ικανοποιητικά εχέγγυα όσον αφορά την επάρκεια και τη διαφάνεια των εθνικών ελέγχων, συμπεριλαμβανομένων εκείνων που καλύπτουν την ασφάλεια των πληροφοριακών συστημάτων των οργανισμών πληρωμών. Πρέπει, συνεπώς, να προβλεφθεί η σύνταξη δήλωσης ασφάλειας από τον οργανισμό πιστοποίησης στο πλαίσιο της πιστοποίησης των ετήσιων λογαριασμών και με βάση διεθνώς αποδεκτά πρότυπα ασφάλειας.

(4)

Πρέπει να δοθούν στα κράτη μέλη εύλογα χρονικά περιθώρια για την προσαρμογή των εσωτερικών τους κανόνων και διαδικασιών με σκοπό τη χορήγηση δήλωσης ασφάλειας για τα πληροφοριακά συστήματα των οργανισμών πληρωμών.

(5)

Πρέπει να προβλεφθεί η διαβίβαση των λογαριασμών και όλων των συναφών εγγράφων από τους οργανισμούς πληρωμών στην Επιτροπή σε ηλεκτρονική μορφή, ώστε να διευκολύνεται η περαιτέρω ανάλυση των πληροφοριών αυτών.

(6)

Η ανάθεση σε τρίτους της διαχείρισης πληροφοριακών συστημάτων γίνεται ολοένα περισσότερο κοινή πρακτική και πρέπει να επιτραπεί στους οργανισμούς πληρωμών να προβαίνουν στην εν λόγω ανάθεση υπό τους ίδιους όρους με εκείνους στους οποίους υπόκειται η ανάθεση των αρμοδιοτήτων έγκρισης ή/και της τεχνικής υπηρεσίας.

(7)

Συνεπώς, ο κανονισμός (ΕΚ) αριθ. 1663/95 πρέπει να τροποποιηθεί αναλόγως.

(8)

Τα μέτρα που προβλέπονται στον παρόντα κανονισμό είναι σύμφωνα με τη γνώμη της επιτροπής του Ταμείου,

ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

Άρθρο 1

Ο κανονισμός (ΕΚ) αριθ. 1663/95 τροποποιείται ως εξής:

1)

Το άρθρο 1 τροποποιείται ως εξής:

α)

στην παράγραφο 3, στη δεύτερη φράση του δευτέρου εδαφίου, οι όροι «την ασφάλεια των συστημάτων πληροφορικής» αντικαθίστανται από τους όρους «την ασφάλεια των πληροφοριακών συστημάτων».

β)

στη παράγραφο 7 πρώτο εδάφιο, προστίθεται η ακόλουθη περίπτωση:

«—

τις διατάξεις για την ασφάλεια των πληροφοριακών συτημάτων».

2)

Στο άρθρο 3 παράγραφος 1, προστίθενται τα ακόλουθα εδάφια:

«Το αργότερο από το οικονομικό έτος 2008, ο οργανισμός πιστοποίησης συντάσσει, επιπλέον, πριν από την ημερομηνία που αναφέρεται στο τρίτο εδάφιο, δήλωση σχετική με τα μέτρα για την ασφάλεια των πληροφοριακών συστημάτων που έχουν τεθεί σε εφαρμογή από τον οργανισμό πληρωμών. Η δήλωση αυτή βασίζεται στην ισχύουσα για το καλυπτόμενο οικονομικό έτος έκδοση διεθνώς αποδεκτού προτύπου ασφάλειας, το οποίο αναφέρεται στο σημείο 6 στοιχείο vi) του παραρτήματος του παρόντος κανονισμού και έχει επιλεγεί για να αποτελέσει τη βάση των μέτρων ασφάλειας. Στην εν λόγω δήλωση αναφέρεται αν εφαρμόζονταν αποτελεσματικά μέτρα ασφάλειας κατά το υπόψη οικονομικό έτος.

Για τα οικονομικά έτη πριν από εκείνο για το οποίο συντάσσεται η πρώτη δήλωση σχετικά με την ασφάλεια των πληροφοριακών συστημάτων του οργανισμού πληρωμών, ο οργανισμός πιστοποίησης, χρησιμοποιώντας μηχανισμό βαθμολόγησης, συμπεριλαμβάνει στην έκθεση των διαπιστώσεών του παρατηρήσεις και προσωρινά πορίσματα σχετικά με τα μέτρα που εφαρμόζει ο οργανισμός πληρωμών για την ασφάλεια των πληροφοριακών συστημάτων. Η έκθεση αυτή βασίζεται στην ισχύουσα για το καλυπτόμενο οικονομικό έτος έκδοση διεθνώς αποδεκτού προτύπου ασφάλειας, το οποίο αναφέρεται στο σημείο 6 στοιχείο vi) του παραρτήματος του παρόντος κανονισμού και έχει επιλεγεί για να αποτελέσει τη βάση των μέτρων ασφάλειας. Στην εν λόγω έκθεση αναφέρεται κατά πόσον εφαρμόζονταν αποτελεσματικά μέτρα ασφάλειας κατά το υπόψη οικονομικό έτος.».

3)

Στο άρθρο 4, η παράγραφος 2 αντικαθίσταται από το ακόλουθο κείμενο:

«2.   Τα έγγραφα και τα λογιστικά στοιχεία που αναφέρονται στην παράγραφο 1 διαβιβάζονται στην Επιτροπή έως τις 10 Φεβρουαρίου του έτους που ακολουθεί το τέλος του οικονομικού έτους το οποίο καλύπτουν. Τα έγγραφα που αναφέρονται στην παράγραφο 1 στοιχεία α) και β) αποστέλλονται σε ένα αντίγραφο και συνοδεύονται από ένα αντίγραφο σε ηλεκτρονική μορφή».

4)

Το παράρτημα τροποποιείται σύμφωνα με το παράρτημα του παρόντος κανονισμού.

Άρθρο 2

Ο παρών κανονισμός αρχίζει να ισχύει την έβδομη ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Εφαρμόζεται για πρώτη φορά για το οικονομικό έτος που αρχίζει στις 16 Οκτωβρίου 2004.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες, 22 Μαρτίου 2005.

Για την Επιτροπή

Mariann FISCHER BOEL

Μέλος της Επιτροπής


(1)  ΕΕ L 160 της 26.6.1999, σ. 103.

(2)  OJ ΕΕ L 158 της 8.7.1995, σ. 6· κανονισμός, όπως τροποποιήθηκε τελευταία από τον κανονισμό (ΕΕ L 274 της 17.10.2001, σ. 3).


ΠΑΡΑΡΤΗΜΑ

Το παράρτημα του κανονισμού (ΕΚ) αριθ. 1663/95 τροποποιείται ως εξής:

1.

Στο σημείο 2, το στοιχείο iii) αντικαθίσταται από το ακόλουθο κείμενο:

«iii)

Τήρηση λογαριασμών για τις πληρωμές: στόχος είναι, αφενός, η εγγραφή των πληρωμών στα χωριστά λογιστικά βιβλία που τηρεί ο οργανισμός για τις δαπάνες του ΕΓΤΠΕ και τα οποία κατά κανόνα έχουν τη μορφή πληροφοριακού συστήματος και, αφετέρου, η κατάρτιση περιοδικών συνοπτικών καταστάσεων δαπανών, συμπεριλαμβανομένων των μηνιαίων και ετησίων δηλώσεων προς την Επιτροπή. Στα λογιστικά βιβλία καταχωρούνται επίσης τα στοιχεία του ενεργητικού που χρηματοδοτεί το Ταμείο, ιδιαίτερα όσα αφορούν τα αποθέματα παρέμβασης, τις προκαταβολές που δεν έχουν εκκαθαριστεί και τους οφειλέτες.».

2.

Στην εισαγωγική φράση του σημείου 4, οι όροι «ή/και η τεχνική υπηρεσία» αντικαθίστανται από τους όρους «, η τεχνική υπηρεσία ή/και η διαχείριση των πληροφοριακών συστημάτων».

3.

Στο σημείο 6, το στοιχείο vi) αντικαθίσταται από το ακόλουθο κείμενο:

«vi)

Η ασφάλεια των πληροφοριακών συστημάτων βασίζεται στα κριτήρια που καθορίζονται στην ισχύουσα για το καλυπτόμενο οικονομικό έτος έκδοση ενός από τα ακόλουθα, διεθνώς αποδεκτά πρότυπα:

International Standards Organisation 17799/British Standard 7799: Code of practice for Information Security Management [ISO 17799/Βρετανικό πρότυπο 7 799: Κώδικας πρακτικής για τη διαχείριση της ασφάλειας πληροφοριών] (BS ISO/IEC 17799),

Bundesamt fuer Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch [γερμανική Ομοσπονδιακή Υπηρεσία για Ασφαλή Τεχνολογία Πληροφοριών: Τεχνολογία πληροφοριών — Εγχειρίδιο βασικής προστασίας] (BSI),

Information Systems Audit and Control Foundation: Control Objectives for Information and related Technology [Ίδρυμα Ελέγχου των Πληροφοριακών Συστημάτων: Στόχοι ελέγχου για την τεχνολογία πληροφοριών και τις συναφείς τεχνολογίες] (COBIT).

Ο οργανισμός πληρωμών επιλέγει ένα από τα διεθνή πρότυπα που αναφέρονται στο πρώτο εδάφιο ως βάση για την ασφάλεια των πληροφοριακών συστημάτων του.

Τα μέτρα ασφάλειας θα πρέπει να είναι προσαρμοσμένα στη διοικητική διάρθρωση, τη στελέχωση και το τεχνολογικό περιβάλλον κάθε οργανισμού πληρωμών. Οι οικονομικές και τεχνολογικές προσπάθειες θα πρέπει να είναι ανάλογες προς τους πραγματικούς κινδύνους.».