52010PC0521

[pic] | COMISIÓN EUROPEA |

Bruselas, 30.9.2010

COM(2010) 521 final

2010/0275 (COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativo a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA)

{SEC(2010) 1126}{SEC(2010) 1127}

EXPOSICIÓN DE MOTIVOS

1. CONTEXTO DE LA PROPUESTA

1.1. Contexto político

La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) fue establecida en marzo de 2004 por un período inicial de cinco años por el Reglamento (CE) nº 460/2004[1], con el objetivo principal de « garantizar un nivel efectivo y elevado de seguridad de las redes y de la información dentro de la [Unión], […] con el fin de desarrollar una cultura de la seguridad de las redes y de la información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector público de la Unión Europea, lo que contribuirá al correcto funcionamiento del mercado interior ». El Reglamento (CE) nº 1007/2008[2] prorrogó el mandato de ENISA hasta marzo de 2012.

La prórroga del mandato de ENISA en 2008 abrió asimismo un debate sobre la dirección general de los esfuerzos europeos en favor de la seguridad de las redes y de la información (SRI), debate al que contribuyó la Comisión mediante una consulta pública sobre los posibles objetivos de una política de SRI reforzada a nivel de la Unión. La consulta pública estuvo abierta entre noviembre de 2008 y enero de 2009, recibiéndose casi 600 aportaciones[3].

El 30 de marzo de 2009, la Comisión adoptó una Comunicación sobre protección de infraestructuras críticas de información[4] (PICI), centrada en proteger a Europa frente a ciberataques y ciberperturbaciones a través de la mejora de la preparación, la seguridad y la resistencia, con un Plan de acción que contaba con ENISA, principalmente en funciones de apoyo a los Estados miembros. El Plan de acción contó con un amplio respaldo en los debates celebrados con motivo de la Conferencia Ministerial sobre protección de las infraestructuras críticas de información (PICI) que tuvo lugar en Tallinn (Estonia) el 27 y 28 de abril de 2009[5]. Las Conclusiones de la Conferencia de la Presidencia de la Unión Europea subrayan la importancia de potenciar el apoyo operativo de ENISA; en ellas se afirma que ENISA «es un instrumento valioso para impulsar los esfuerzos de cooperación de toda la UE en este ámbito» y se señala la necesidad de volver a pensar y formular de nuevo el mandato de la Agencia «para que se centre más en las prioridades y en las necesidades de la UE, así como para llegar a una capacidad de respuesta más flexible, para desarrollar los conocimientos y las competencias, y para aumentar la eficacia operativa de la Agencia y su impacto global» a fin de que la Agencia pueda «convertirse en un valor permanente para cada Estado miembro y para toda la Unión Europea» .

Tras los debates del Consejo de Telecomunicaciones de 11 de junio de 2009, en los que los Estados miembros manifestaron su respaldo a una prolongación del mandato de ENISA y a un incremento de sus recursos a la vista de la importancia de la SRI y de los cambiantes retos en este ámbito, se puso término al proceso bajo la Presidencia sueca de la Unión. La Resolución del Consejo de 18 de diciembre de 2009 relativa a un planteamiento de colaboración en materia de SRI[6] reconoce el papel y el potencial de ENISA, así como la necesidad de que «ENISA se desarrolle más como un organismo eficaz» . Subraya también la necesidad de modernizar y reforzar ENISA para que apoye a la Comisión y a los Estados miembros a fin de colmar el vacío entre la tecnología y las políticas, actuando como centro de conocimientos técnicos de la Unión en el ámbito de la SRI.

1.2. Contexto general

Las tecnologías de la información y la comunicación (TIC) se han convertido en la columna vertebral de la economía y la sociedad europeas en su conjunto. Las TIC son vulnerables a amenazas que no se ciñen a las fronteras nacionales y que han cambiado con la evolución de la tecnología y el mercado. Dados el carácter mundial de las TIC y su interconexión e interdependencia con otras infraestructuras, no se puede garantizar su seguridad y resistencia mediante planteamientos puramente nacionales y descoordinados. Al mismo tiempo, los retos relacionados con la SRI evolucionan con rapidez. Es preciso proteger eficazmente las redes y los sistemas de información frente a todo tipo de perturbación y avería, incluidos los ataques intencionados.

Las políticas relativas a la seguridad de las redes y de la información (SRI) desempeñan un papel fundamental en la Agenda Digital Europea (ADE)[7], iniciativa emblemática de la estrategia Europa 2020 de la UE, a fin de explotar y promover el potencial de las TIC y traducirlo en crecimiento sostenible e innovación. Fomentar la difusión de las TIC e impulsar la confianza en la sociedad de la información son prioridades clave de la ADE.

ENISA fue creada con el objetivo principal de garantizar un nivel efectivo y elevado de seguridad de las redes y de la información dentro de la Unión. La experiencia obtenida con la Agencia y los retos y amenazas han subrayado la necesidad de modernizar su mandato para que se ajuste mejor a las necesidades de la Unión Europea derivadas de:

- la fragmentación de los planteamientos nacionales para abordar unos retos cambiantes;

- la ausencia de modelos de colaboración en la aplicación de las políticas relativas a la SRI;

- el insuficiente nivel de preparación, debido también a la limitada capacidad de respuesta y de alerta precoz en Europa;

- la falta de datos europeos fiables y la limitación de los conocimientos sobre los problemas cambiantes;

- el bajo nivel de sensibilización sobre los riesgos y retos ligados a la SRI;

- el reto de integrar los aspectos relativos a la SRI en las políticas para combatir la ciberdelincuencia con más eficacia.

1.3. Objetivos políticos

El objetivo general del Reglamento propuesto es permitir que la Unión, los Estados miembros y las partes interesadas desarrollen un nivel elevado de capacidad y preparación a fin de prevenir, detectar y dar una mejor respuesta a los problemas relacionados con la SRI. Se contribuirá así a generar confianza, que está en la base del desarrollo de la sociedad de la información, a mejorar la competitividad de las empresas europeas y a garantizar un funcionamiento eficaz del mercado interior.

1.4. Disposiciones vigentes en el ámbito de la propuesta

Esta propuesta complementa las iniciativas políticas reguladoras y no reguladoras en materia de seguridad de las redes y de la información adoptadas a nivel de la Unión para potenciar la seguridad y resistencia de las TIC.

- El Plan de acción puesto en marcha por la Comunicación PICI abordaba el establecimiento de:

- un foro europeo para los Estados miembros (EFMS) pensado para fomentar el debate y el intercambio en materia de buenas prácticas con el objetivo de compartir objetivos y prioridades políticas en materia de seguridad y resistencia de la infraestructura de TIC, así como beneficiarse directamente del trabajo y del apoyo prestado por la Agencia;

- una asociación público-privada europea en materia de resistencia (EP3R), marco flexible de gobernanza europea en relación con la infraestructura de TIC, que opera fomentando la cooperación entre los sectores público y privado sobre objetivos de seguridad y resistencia, requisitos básicos, buenas prácticas políticas y medidas.

- El Programa de Estocolmo, adoptado por el Consejo Europeo el 11 de diciembre de 2009, promueve las políticas que garanticen la seguridad de las redes y permitan reaccionar con más rapidez en caso de producirse ciberataques en la Unión.

- Estas iniciativas contribuyen a materializar la Agenda Digital para Europa. Las políticas sobre la SRI desempeñan un papel esencial en la parte de la estrategia que se centra en reforzar la confianza y la seguridad en la sociedad de la información. Respaldan igualmente las medidas de apoyo de la Comisión y la política sobre la protección de la intimidad (en particular la «protección de la intimidad a través del diseño») y de los datos personales (revisión del marco), la red CPC, la gestión de identidades y el programa sobre seguridad en internet.

1.5. Evolución de la actual política de SRI en relación con la propuesta

Varios de los aspectos actuales relacionados con la política de SRI, en particular los anunciados en la Agenda Digital para Europa, se benefician del apoyo y los conocimientos técnicos de ENISA. Entre ellos figuran:

- Refuerzo de la cooperación en materia de política de SRI intensificando las actividades en el foro europeo de Estados miembros (EFMS) que, con el apoyo directo de ENISA, contribuirán a:

- definir maneras de establecer una red europea eficaz a través de la cooperación transfronteriza entre los equipos de respuesta ante emergencias informáticas (CERT) nacionales/gubernamentales;

- definir objetivos y prioridades a largo plazo para ejercicios paneuropeos a gran escala sobre incidentes de SRI;

- apoyarse en unos requisitos mínimos incorporados a la contratación pública para impulsar la seguridad y la resistencia en los sistemas y redes públicas;

- definir incentivos económicos y reguladores para la seguridad y la resistencia;

- evaluar la situación sanitaria de la SRI en Europa.

- Refuerzo de la cooperación y asociación entre los sectores público y privado mediante el respaldo a la asociación europea público-privada en materia de resistencia (EP3R) . ENISA desempeña un papel cada vez más importante en el apoyo a las reuniones y actividades de la EP3R. Entre los próximos pasos de la EP3R figurarán:

- debatir medidas e instrumentos innovadores que permitan mejorar la seguridad y la resistencia, tales como:

- requisitos básicos de seguridad y resistencia, particularmente en la contratación pública de productos o servicios de TIC, para garantizar la igualdad de condiciones al tiempo que un nivel adecuado de preparación y prevención;

- explorar los problemas de responsabilidad económica de los operadores, por ejemplo cuando implantan unos requisitos de seguridad mínimos;

- incentivos económicos para el desarrollo y la difusión de prácticas de gestión del riesgo y de procesos y productos de seguridad;

- sistemas de evaluación y gestión del riesgo para evaluar y gestionar los incidentes importantes desde una base conceptual común;

- cooperación entre el sector público y el privado en caso de incidentes a gran escala;

- organización de una cumbre empresarial sobre barreras económicas y motores de la seguridad y la resistencia.

- Puesta en práctica de los requisitos de seguridad del conjunto de medidas reguladoras de las comunicaciones electrónicas, para lo cual se requieren los conocimientos técnicos y la asistencia de ENISA a fin de:

- ayudar a los Estados miembros y a la Comisión, teniendo en cuenta las opiniones del sector privado según proceda, a establecer un marco de normas y procedimientos para aplicar las disposiciones sobre notificación de las violaciones de la seguridad (establecidas en el artículo 13 bis de la Directiva marco revisada);

- establecer un foro anual en el que las autoridades nacionales de reglamentación o los organismos nacionales competentes en materia de SRI y las partes interesadas del sector privado puedan debatir las lecciones aprendidas e intercambiar buenas prácticas sobre la aplicación de las medidas reguladoras relacionadas con la SRI.

- Facilitación de ejercicios de preparación sobre ciberseguridad a escala de la UE con el apoyo de la Comisión y la contribución de ENISA, con vistas a extender tales ejercicios a nivel internacional en una etapa ulterior.

- Establecimiento de un CERT (equipo de respuesta ante emergencias informáticas) para las instituciones de la UE . La acción clave 6 de la Agenda Digital para Europa prevé que la Comisión presente «medidas encaminadas a conseguir una política de seguridad de las redes y de la información reforzada y de alto nivel, incluyendo […] medidas que permitan reaccionar con más rapidez en caso de ciberataque, incluyendo un CERT para las instituciones de la UE»[8]. Esto exigirá que la Comisión y las demás instituciones de la Unión analicen y creen un equipo de respuesta ante emergencias informáticas al que ENISA puede aportar apoyo y conocimientos técnicos.

- Movilización de los Estados miembros y apoyo a los mismos para que concluyan, o en su caso inicien, la creación de CERT nacionales o gubernamentales a fin de establecer una red de CERT que funcione correctamente y cubra toda Europa . Esta actividad resultará también esencial para proseguir el desarrollo del sistema europeo de intercambio de información y alerta (EISAS) para ciudadanos y PYME que se constituirá con recursos y capacidades nacionales para finales de 2012.

- Sensibilización sobre los retos en materia de SRI, que incluirá:

- la colaboración entre la Comisión y ENISA para redactar unas orientaciones sobre la promoción de las normas y buenas prácticas en relación con la SRI, así como una cultura de gestión del riesgo; se elaborará una primera muestra de dichas orientaciones;

- la organización por ENISA, en cooperación con los Estados miembros, del «mes europeo de la seguridad de las redes y de la información para todos» , en el que se celebrarán concursos nacionales o europeos sobre ciberseguridad.

1.6. Coherencia con otras políticas y objetivos de la Unión

La propuesta es coherente con las políticas y objetivos actuales de la Unión Europea y se ajusta plenamente al objetivo de contribuir al buen funcionamiento del mercado interior potenciando la preparación y capacidad de respuesta ante los retos que plantea la seguridad de las redes y de la información.

2. RESULTADOS DE LAS CONSULTAS Y EVALUACIÓN DE IMPACTO

2.1. Consulta de las partes interesadas

Esta iniciativa política deriva de un amplio debate llevado a cabo aplicando un enfoque incluyente y respetando los principios de participación, apertura, rendición de cuentas, eficacia y coherencia. El amplio proceso que tuvo lugar incluyó una evaluación de la Agencia en 2006-2007, seguida por recomendaciones formuladas por el Consejo de Administración de ENISA, dos consultas públicas (en 2007 y en 2008-2009) y varios seminarios sobre cuestiones relacionadas con la SRI.

La primera consulta pública se organizó en relación con la Comunicación de la Comisión relativa a la evaluación intermedia de ENISA. Celebrada entre el 13 de junio y el 7 de septiembre de 2007, se centró en el futuro de la Agencia y contó con un total de 44 contribuciones en línea, más otras dos remitidas por escrito. Las respuestas procedían de una amplia variedad de partes interesadas, tales como ministerios de los Estados miembros, organismos reguladores, asociaciones sectoriales y de consumidores, instituciones académicas, empresas y particulares.

En ellas se comentaban varios problemas de interés relativos a la evolución del escenario de amenazas, la necesidad de aclarar y hacer más flexible el Reglamento para que ENISA pudiera adaptarse a los retos, la importancia de garantizar una interacción eficaz con las partes interesadas y la oportunidad de incrementar de manera limitada sus recursos.

La segunda consulta pública, celebrada entre el 7 de noviembre de 2008 y el 9 de enero de 2009, se proponía definir los objetivos prioritarios de una política de SRI reforzada a nivel europeo y los medios de alcanzarlos. Se recibieron casi 600 aportaciones de autoridades de los Estados miembros, instituciones académicas o de investigación, asociaciones sectoriales, empresas privadas y otras partes interesadas, tales como organizaciones y consultorías de protección de datos y ciudadanos particulares.

Una gran mayoría de quienes respondieron[9] respaldaba la prórroga del mandato de la Agencia y abogaba por que se ampliara su papel en la coordinación de las actividades relacionadas con la SRI a nivel europeo y se incrementaran sus recursos. Se consideraron prioridades clave la necesidad de contar con un enfoque más coordinado en toda Europa en relación con las ciberamenazas, la cooperación trasnacional para responder a los ciberataques de gran envergadura, la generación de confianza y un mejor intercambio de información entre las partes interesadas.

Se llevó a cabo una evaluación de impacto de la propuesta a partir de septiembre de 2009, sobre la base de un estudio preparatorio realizado por un contratista externo. Participó una gran variedad de partes interesadas y expertos, entre ellos, organismos encargados de la SRI en los Estados miembros, autoridades nacionales de reglamentación, operadores de telecomunicaciones y proveedores de servicios de internet y asociaciones sectoriales afines, asociaciones de consumidores, fabricantes de TIC, equipos de respuesta ante emergencias informáticas (CERT), mundo académico y usuarios empresariales. También se creó un grupo director interservicios, integrado por las Direcciones Generales de la Comisión competentes, a fin de apoyar el proceso de evaluación de impacto.

2.2. Evaluación de impacto

Se determinó que mantener una Agencia constituía la solución apropiada para alcanzar los objetivos de la política europea[10]. Tras un proceso de preselección, se definieron cinco opciones políticas para su análisis en profundidad:

- Opción 1 — Ausencia de política.

- Opción 2 — Seguir como antes, es decir, con un mandato similar y el mismo nivel de recursos.

- Opción 3 — Ampliar las funciones de ENISA, incorporando como partes interesadas de pleno derecho a las autoridades encargadas de hacer respetar la ley y proteger la intimidad.

- Opción 4 — Incorporar a sus funciones la lucha contra los ciberataques y la respuesta ante ciberincidentes.

- Opción 5 — Incorporar a sus funciones el apoyo a las autoridades policiales y judiciales en la lucha contra la ciberdelincuencia.

Tras un análisis comparativo coste/beneficio, se consideró que la opción 3 constituía la forma más rentable y eficiente de conseguir los objetivos políticos.

La opción 3 contempla una expansión de las funciones de ENISA para centrarse en:

- construir y mantener una red que vincule a las partes interesadas y otra red de conocimientos que garantice que ENISA esté plenamente informada del panorama de la SRI en Europa;

- ser el centro de asistencia en materia de SRI para la formulación y aplicación de políticas (en particular en relación con la intimidad, la firma y la identidad en el ámbito digital y las normas de contratación de la SRI);

- respaldar la PICI y la política de resistencia de la Unión (ejercicios, EP3R, sistema europeo de intercambio de información y alerta, etc.);

- crear un marco europeo para la recopilación de datos sobre SRI, incluyendo el desarrollo de métodos y prácticas para la notificación legal y el intercambio;

- estudiar la economía de la SRI;

- estimular la cooperación con terceros países y organizaciones internacionales para fomentar un planteamiento común mundial en relación con la SRI y conseguir que las iniciativas internacionales de alto nivel tengan repercusión en Europa;

- llevar a cabo tareas que no sean de índole operativa vinculadas a los aspectos relacionados con la SRI de la cooperación policial y judicial en la lucha contra la ciberdelincuencia.

3. ASPECTOS JURÍDICOS DE LA PROPUESTA

3.1. Resumen de la acción propuesta

El Reglamento propuesto se propone reforzar y modernizar la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), así como establecer un nuevo mandato para un período de cinco años.

La propuesta incluye algunos cambios esenciales en relación con el Reglamento anterior.

1. Más flexibilidad, adaptabilidad y capacidad de concentración . Se actualizan y reformulan en profundidad las funciones de la Agencia, a fin de dar más alcance a sus actividades; se precisan en medida suficiente para indicar los medios a través de los cuales se alcanzarán los objetivos. De este modo queda mejor definida la misión de la Agencia, mejora su capacidad para alcanzar sus objetivos y se refuerzan sus tareas de apoyo a la ejecución de la política de la Unión.

2. Mejor alineamiento de la Agencia con el proceso regulador y político de la Unión . Las instituciones y organismos europeos pueden solicitar asistencia y asesoramiento a la Agencia. Esto se ajusta a las últimas tendencias de la política y la reglamentación: el Consejo ha empezado a dirigirse directamente a la Agencia en algunas Resoluciones, y el PE y el Consejo han asignado tareas relacionadas con la seguridad de las redes y de la información a la Agencia en el marco regulador de las comunicaciones electrónicas.

3. Interfaz con la lucha contra la ciberdelincuencia . En el logro de sus objetivos, la Agencia tiene en cuenta la lucha contra la ciberdelincuencia. Las autoridades encargadas de hacer cumplir la ley y proteger la intimidad se convierten de pleno derecho en partes interesadas de la Agencia, especialmente en el Grupo Permanente de Partes Interesadas.

4. Estructura de gobierno reforzada . La propuesta refuerza la función supervisora del Consejo de Administración de la Agencia, en el que están representados los Estados miembros y la Comisión. Por ejemplo, dicho Consejo puede emitir instrucciones generales sobre cuestiones de personal, que antes eran responsabilidad exclusiva del Director Ejecutivo. También puede establecer grupos de trabajo para que le asistan en el desempeño de sus funciones, incluido el seguimiento de la aplicación de sus decisiones.

5. Simplificación de procedimientos . Se han simplificado los procedimientos que se han revelado innecesariamente engorrosos, como por ejemplo: a) procedimiento más simple para el reglamento interno del Consejo de Administración, b) el dictamen sobre el programa de trabajo de ENISA lo emiten los servicios de la Comisión en lugar de requerir una Decisión de esta. Se dota igualmente al Consejo de Administración de los recursos adecuados en caso de que tenga que adoptar decisiones ejecutivas y aplicarlas (p. ej., si un miembro del personal introduce una reclamación contra el Director Ejecutivo o el propio Consejo).

6. Aumento gradual de recursos . Para hacer frente a las prioridades europeas reforzadas y a los crecientes retos, y sin perjuicio de la propuesta de la Comisión relativa al próximo marco financiero plurianual, se prevé un incremento gradual de los recursos financieros y humanos de la Agencia entre 2012 y 2026. Sobre la base de la propuesta de la Comisión sobre el reglamento que establezca el marco financiero plurianual posterior a 2013, y teniendo en cuenta las conclusiones de la evaluación de impacto, la Comisión presentará una ficha financiera legislativa modificada.

7. Opción de prorrogar el mandato del Director Ejecutivo . El Consejo de Administración podrá prorrogar en tres años el mandato del Director Ejecutivo.

3.2. Base jurídica

La base jurídica de la presente propuesta es el artículo 114 del Tratado de Funcionamiento de la Unión Europea[11] (TFUE).

De conformidad con una sentencia del Tribunal de Justicia Europeo[12], antes de la entrada en vigor del Tratado de Lisboa se consideraba que la base jurídica apropiada para la creación de un organismo que garantizase un nivel elevado y efectivo de SRI en la Unión era el artículo 95 del Tratado CE . Al utilizar la expresión «medidas relativas a la aproximación» en el artículo 95, los autores del Tratado deseaban conceder al legislador de la Unión cierto margen para elegir las medidas apropiadas para alcanzar el resultado deseado. Potenciar la seguridad y resistencia de las infraestructuras de TIC constituye pues un elemento importante que contribuye al buen funcionamiento del mercado interior.

Con arreglo al Tratado de Lisboa, el artículo 114 del TFUE[13] describe de manera casi idéntica la responsabilidad en cuanto al mercado interior. Por las razones expuestas, seguirá siendo la base jurídica aplicable para adoptar medidas que mejoren la SRI. La responsabilidad del mercado interior es ahora una competencia compartida entre la Unión y los Estados miembros (artículo 4, apartado 2, letra a), del TFUE). Esto significa que la Unión y los Estados miembros pueden adoptar medidas (vinculantes) y que los Estados miembros pueden actuar si la Unión no ha ejercido su competencia o ha decidido no seguir actuando (artículo 2, apartado 2, del TFUE).

Las medidas con arreglo a la responsabilidad del mercado interior exigirán el procedimiento legislativo ordinario (artículos 289 y 294 del TFUE), que es similar[14] al anterior procedimiento de codecisión (artículo 251 del Tratado CE).

Con el Tratado de Lisboa, la antigua distinción entre los pilares ha desaparecido. Prevenir y combatir la delincuencia ha pasado a ser una competencia compartida de la Unión. Esta situación crea la posibilidad de que ENISA desempeñe el papel de plataforma en materia de SRI de la lucha contra la ciberdelincuencia e intercambie opiniones y mejores prácticas con la ciberdefensa y con las autoridades encargadas de hacer cumplir la ley y proteger la intimidad.

3.3. Principio de subsidiariedad

La propuesta se ajusta al principio de subsidiariedad. La política de SRI exige colaboración, y los objetivos de la propuesta no pueden alcanzarlos individualmente los Estados miembros.

Una estrategia de completa no intervención de la UE en las políticas nacionales de SRI dejaría la tarea en manos de los Estados miembros, haciendo caso omiso de la clara interdependencia entre los sistemas de información existentes. Por consiguiente, una medida que aporte un grado de coordinación adecuado entre los Estados miembros para garantizar que los riesgos en materia de SRI puedan ser correctamente gestionados en el contexto transfronterizo en que surgen respeta el principio de subsidiariedad. Además, la actuación europea mejoraría la eficacia de las políticas nacionales existentes, con el consiguiente valor añadido.

Por otra parte, establecer una política de SRI concertada y de colaboración tendrá una repercusión beneficiosa sobre la protección de los derechos fundamentales, y en concreto sobre el derecho a la protección de los datos y de la intimidad. La necesidad de proteger los datos es esencial hoy en día, dado que los ciudadanos europeos confían sus datos cada vez en mayor medida, por gusto o por necesidad, a sistemas de información complejos sin ser necesariamente capaces de evaluar correctamente los riesgos asociados en lo relativo a la protección de los mismos. Por ello, en caso de incidente, no necesariamente podrán tomar las medidas oportunas, ni es seguro que los Estados miembros puedan hacer frente con eficacia a incidentes internacionales en ausencia de una coordinación europea en materia de SRI.

3.4. Principio de proporcionalidad

La propuesta se ajusta al principio de proporcionalidad, ya que no excede de lo necesario para alcanzar su objetivo.

3.5. Instrumentos elegidos

Instrumento propuesto: un reglamento, que es directamente aplicable en cada Estado miembro.

4. REPERCUSIONES PRESUPUESTARIAS

La propuesta tendrá incidencia en el presupuesto de la Unión.

Expuestos los cometidos que se incluyen en el nuevo mandato de ENISA, se prevé que se concedan a la Agencia los recursos necesarios para que lleve a cabo satisfactoriamente sus actividades. La evaluación de la Agencia, el amplio proceso de consulta con las partes interesadas a todos los niveles y la evaluación de impacto muestran un consenso general en que la Agencia se encuentra por debajo de su tamaño crítico y en que es preciso aumentar los recursos. En la evaluación de impacto que acompaña a la propuesta se analizan las consecuencias y los efectos de un incremento del personal y del presupuesto de la Agencia.

La financiación de la UE después de 2013 se examinará en el contexto de un debate a nivel de la Comisión sobre todas las propuestas para el período posterior a 2013.

5. OBSERVACIONES ADICIONALES

5.1. Duración

El Reglamento cubrirá un período de cinco años.

5.2. Cláusula de revisión

El Reglamento prevé una evaluación de la Agencia, referida al período posterior a la evaluación anterior de 2007. En ella se valorará si la Agencia es eficaz en el logro de los objetivos que le señala el Reglamento, si sigue siendo un instrumento efectivo y si conviene ampliar su duración. Basándose en los resultados, el Consejo de Administración formulará recomendaciones a la Comisión, referentes a la eventual modificación del presente Reglamento, la Agencia y sus métodos de trabajo. Para que la Comisión pueda redactar con tiempo una eventual propuesta de prórroga del mandato, la evaluación deberá estar concluida antes de que finalice el segundo año del mandato previsto en el Reglamento.

5.3. Medida provisional

La Comisión es consciente de que la tramitación en el Parlamento Europeo y el Consejo de esta propuesta puede exigir un tiempo de debate considerable, y de que existe un riesgo de vacío legal si no se adopta oportunamente el nuevo mandato de la Agencia antes de expirar el mandato actual. Por ello, la Comisión propone, junto con la presente propuesta, un Reglamento que prorroga en 18 meses el mandato actual de la Agencia, de manera que haya tiempo suficiente para el debate y los oportunos procedimientos.

2010/0275 (COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativo a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 114,

Vista la propuesta de la Comisión Europea,

Visto el dictamen del Comité Económico y Social Europeo[15],

Visto el dictamen del Comité de las Regiones[16],

Previa transmisión de la propuesta a los parlamentos nacionales,

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1) Las comunicaciones, infraestructuras y servicios electrónicos se han convertido en un factor esencial del desarrollo económico y social. Desempeñan un papel vital para la sociedad y se han convertido en servicios ubicuos, en el mismo sentido que lo es el suministro de electricidad o de agua. Las perturbaciones de los mismos podrían ocasionar un perjuicio económico considerable, lo que resalta la importancia de las medidas encaminadas a incrementar la protección y la resistencia con objeto de garantizar la continuidad de los servicios críticos. La seguridad de las comunicaciones, infraestructuras y servicios electrónicos, y en particular su integridad y disponibilidad, se enfrenta a retos en constante progresión. Esto inquieta cada vez más a la sociedad, entre otras cosas por la posibilidad de que los problemas causados por la complejidad del sistema, accidentes, errores y ataques puedan tener consecuencias para la infraestructura física que permite prestar unos servicios críticos para el bienestar de los ciudadanos europeos.

(2) El panorama de las amenazas cambia constantemente, y los incidentes relacionados con la seguridad pueden debilitar la confianza de los usuarios. Mientras que las graves perturbaciones de las comunicaciones, infraestructuras y servicios electrónicos pueden tener un gran impacto económico y social, las violaciones, problemas y molestias diarios en materia de seguridad amenazan también con erosionar la confianza del público en la tecnología, las redes y los servicios.

(3) Por consiguiente, una evaluación periódica del estado de la seguridad de las redes y de la información en Europa, basada en datos europeos fiables, es importante para los responsables políticos, la industria y los usuarios.

(4) Los representantes de los Estados miembros, reunidos en el Consejo Europeo el 13 de diciembre de 2003, decidieron que la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) que se estableciera sobre la base de la propuesta presentada por la Comisión tendría su sede en la ciudad de Grecia que determinara el Gobierno griego.

(5) En 2004 el Parlamento Europeo y el Consejo adoptaron el Reglamento (CE) n° 460/2004[17] por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información con el objetivo de contribuir a garantizar un nivel efectivo y elevado de seguridad de las redes y de la información dentro de la Unión y a desarrollar una cultura de la seguridad de las redes y de la información en beneficio de los ciudadanos, los consumidores, las empresas y las administraciones públicas. En 2008, el Parlamento Europeo y el Consejo adoptaron el Reglamento (CE) nº 1007/2008[18], que prorrogaba el mandato de la Agencia hasta marzo de 2012.

(6) Desde la creación de la Agencia, los retos que plantea la seguridad de las redes y de la información han cambiado, al evolucionar la tecnología, el mercado y el contexto socioeconómico, y han sido objeto de ulterior reflexión y debate. En respuesta a estos retos cambiantes, la Unión ha actualizado sus prioridades en el ámbito de la política de seguridad de las redes y de la información en varios documentos, incluidas la Comunicación de 2006 de la Comisión «Una estrategia para una sociedad de la información segura – Diálogo, asociación y potenciación» [19], la Resolución de 2007 del Consejo sobre una estrategia para una sociedad de la información segura en Europa[20], la Comunicación de 2009 sobre Protección de infraestructuras críticas de información - «Proteger Europa de ciberataques e interrupciones a gran escala: aumentar la preparación, seguridad y resistencia» [21], las conclusiones de la Presidencia de la Conferencia Ministerial sobre protección de las estructuras críticas de información (PICI) y la Resolución de 2009 del Consejo relativa a un planteamiento de colaboración en materia de seguridad de las redes y de la información[22]. Se ha reconocido la necesidad de modernizar y reforzar la Agencia para contribuir satisfactoriamente a los esfuerzos de las instituciones europeas y de los Estados miembros por desarrollar una capacidad europea que permita afrontar los retos que plantea la seguridad de las redes y de la información. Más recientemente, la Comisión adoptó la Agenda Digital para Europa[23], como iniciativa emblemática dentro de la estrategia Europa 2020. Esta exhaustiva agenda se propone explotar y promover el potencial de las TIC a fin de traducirlo en crecimiento sostenible e innovación. Impulsar la confianza en la sociedad de la información es uno de los objetivos clave de la misma, que anunciaba la adopción por la Comisión de una serie de medidas en este ámbito, entre las que figura la presente propuesta.

(7) Las medidas de mercado interior en el ámbito de la seguridad de las comunicaciones electrónicas y, más en general, de la seguridad de las redes y de la información, exigen diferentes formas de aplicaciones técnicas y organizativas por parte de los Estados miembros y de la Comisión. La aplicación heterogénea de estos requisitos puede generar ineficiencias y poner trabas al mercado interior. Esta consideración aboga por la existencia de un centro de conocimiento especializado en el ámbito europeo que ofrezca orientación, asesoramiento y, cuando se solicite, asistencia en relación con la seguridad de las redes y de la información, al cual puedan recurrir los Estados miembros y las instituciones europeas. La Agencia puede satisfacer estas necesidades desarrollando y manteniendo un alto nivel de conocimientos especializados y prestando asistencia a los Estados miembros, la Comisión, y en consecuencia la comunidad empresarial, con el fin de ayudarlos a cumplir los requisitos legales y reglamentarios en materia de seguridad de las redes y de la información, contribuyendo así al correcto funcionamiento del mercado interior.

(8) La Agencia debe llevar a cabo las tareas que le confiere la actual legislación de la Unión en el ámbito de las comunicaciones electrónicas y, en general, contribuir a mejorar el nivel de la seguridad de las comunicaciones electrónicas, entre otras cosas, aportando conocimientos y asesoramiento y promoviendo el intercambio de buenas prácticas.

(9) La Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco)[24] exige asimismo que los proveedores de redes públicas de comunicaciones o servicios de comunicaciones electrónicas disponibles para el público adopten las medidas adecuadas para salvaguardar su integridad y seguridad e introduce requisitos de notificación de las violaciones de la seguridad y las pérdidas de integridad. Cuando proceda, las autoridades nacionales de reglamentación deben efectuar notificaciones a la Agencia, así como presentar a esta y a la Comisión un informe anual de síntesis sobre las notificaciones recibidas y las medidas adoptadas. La Directiva 2002/21/CE solicita además que la Agencia contribuya a la armonización de las medidas de seguridad técnicas y organizativas apropiadas emitiendo dictámenes.

(10) La Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas)[25] exige que los proveedores de servicios de comunicaciones electrónicas accesibles para el público tomen las medidas técnicas y de organización necesarias para velar por la seguridad de sus servicios, y estipula igualmente la confidencialidad de las comunicaciones y los datos de tráfico asociados a las mismas. La Directiva 2002/58/CE introduce requisitos de información y notificación sobre violación de datos personales en relación con los proveedores de servicios de comunicaciones electrónicas. Exige igualmente que la Comisión consulte a la Agencia sobre cualquier medida técnica de ejecución que vaya a adoptarse en relación con las circunstancias o el formato de los requisitos de información y notificación, así como de los procedimientos aplicables a los mismos. La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos[26], estipula que los Estados miembros deben establecer la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, así como contra cualquier otra forma de tratamiento ilícito.

(11) La Agencia debe contribuir al establecimiento de un elevado nivel de seguridad de las redes y de la información en la Unión, así como al desarrollo de una cultura de la seguridad de las redes y de la información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector público en la Unión Europea, contribuyendo con ello al buen funcionamiento del mercado interior.

(12) Debe existir un conjunto de funciones que indique cómo debe alcanzar la Agencia sus objetivos, pero permita cierta flexibilidad en su funcionamiento. Las funciones de la Agencia deben incluir la recopilación de los datos y la información adecuados para llevar a cabo análisis de los riesgos para la seguridad y resistencia de las comunicaciones, infraestructuras y servicios electrónicos y para evaluar, en cooperación con los Estados miembros, el estado de la seguridad de las redes y de la información en Europa. La Agencia debe garantizar la coordinación con los Estados miembros y potenciar la cooperación entre las partes interesadas en Europa, en particular implicando en sus actividades a los organismos nacionales competentes y a expertos del sector privado en materia de seguridad de las redes y de la información. La Agencia debe asistir a la Comisión y a los Estados miembros en su diálogo con el sector industrial para hacer frente a los problemas relacionados con la seguridad en los equipos y programas informáticos, contribuyendo de esta forma a un planteamiento de colaboración en relación con la seguridad de las redes y de la información.

(13) La Agencia debe actuar como punto de referencia y generar confianza en virtud de su independencia, la calidad del asesoramiento prestado y la información difundida, la transparencia de sus procedimientos y métodos de funcionamiento, y su diligencia en el desempeño de las tareas asignadas. Debe apoyarse en los esfuerzos realizados a nivel nacional y de la Unión y, por consiguiente, desempeñar sus funciones cooperando plenamente con los Estados miembros y estar abierta a contactos con la industria y otras partes interesadas. Además, la Agencia debe apoyarse en las aportaciones del sector privado y en la cooperación con el mismo, ya que desempeña un papel importante en la seguridad de las comunicaciones, infraestructuras y servicios electrónicos.

(14) La Comisión ha puesto en marcha una asociación público-privada europea como marco flexible de gobernanza de alcance europeo en materia de resistencia de la infraestructura de TIC, en el que la Agencia debe desempeñar una función facilitadora reuniendo a las partes interesadas de los sectores público y privado, a fin de debatir las prioridades de la política pública, las dimensiones económicas y de mercado de los retos y las medidas en favor de la resistencia de la infraestructura de TIC, así como para determinar las responsabilidades de las partes.

(15) La Agencia debe asesorar a la Comisión, a petición de esta o por propia iniciativa, mediante dictámenes y análisis socioeconómicos a fin de apoyar la formulación de políticas en el ámbito de la seguridad de las redes y de la información. La Agencia debe también asistir a los Estados miembros y a las instituciones y organismos europeos que se lo soliciten en sus esfuerzos por desarrollar una política y una capacidad en materia de seguridad de las redes y de la información.

(16) La Agencia debe asistir a los Estados miembros y a las instituciones europeas en sus esfuerzos por conformar y mejorar la capacidad y la preparación transfronterizas para prevenir, detectar, mitigar y dar respuesta a los problemas e incidentes relacionados con la seguridad de las redes y de la información; en este contexto, la Agencia debe facilitar la cooperación entre los Estados miembros, así como entre estos y la Comisión. A tal efecto, la Agencia respaldará activamente a los Estados miembros en sus esfuerzos permanentes por mejorar su capacidad de respuesta y organizar y llevar a cabo ejercicios nacionales y europeos sobre incidentes de seguridad.

(17) La Directiva 95/46/CE regula el tratamiento de datos personales en aplicación del presente Reglamento.

(18) Para comprender mejor los retos en el campo de la seguridad de las redes y de la información, la Agencia necesita analizar los riesgos actuales y emergentes. A tal efecto, la Agencia, en cooperación con los Estados miembros y, si procede, los organismos estadísticos, debe recopilar la información pertinente. Además, la Agencia debe asistir a los Estados miembros y a las instituciones y organismos europeos en sus esfuerzos por recopilar, analizar y difundir datos sobre la seguridad de las redes y de la información.

(19) Al llevar a cabo actividades de seguimiento en la Unión, la Agencia debe facilitar la cooperación entre la Unión y los Estados miembros en la evaluación del estado de la seguridad de las redes y de la información en Europa y contribuir a las actividades de evaluación en cooperación con los Estados miembros.

(20) La Agencia debe facilitar la cooperación entre los organismos públicos competentes de los Estados miembros, en particular respaldando el desarrollo y el intercambio de buenas prácticas y normas para los programas de educación y de sensibilización. Un mayor intercambio de información entre Estados miembros facilitará tales actuaciones. La Agencia debe apoyar también la cooperación entre las partes interesadas públicas y privadas a nivel de la Unión, entre otras cosas promoviendo el intercambio de información, las campañas de sensibilización y los programas de educación y formación.

(21) Las políticas de seguridad eficientes deben basarse en métodos de evaluación de riesgos bien desarrollados, tanto en el sector público como en el privado. Los métodos y procedimientos de evaluación de riesgos se utilizan en distintos niveles sin que existan prácticas comunes para su aplicación eficiente. La promoción y el desarrollo de las mejores prácticas de evaluación de riesgos y de soluciones interoperables de gestión de riesgos en las organizaciones de los sectores público y privado incrementarán el nivel de seguridad de las redes y los sistemas de información en Europa. A tal efecto, la Agencia debe apoyar la cooperación entre las partes interesadas públicas y privadas a nivel de la Unión, facilitando sus esfuerzos en relación con el desarrollo y la adopción de normas para la gestión del riesgo y la seguridad mensurable de los productos, sistemas, redes y servicios.

(22) El trabajo de la Agencia debe recurrir a las actividades actualmente en curso de investigación, desarrollo y evaluación tecnológica, en especial las llevadas a cabo por las distintas iniciativas de investigación de la Comunidad.

(23) Cuando resulte adecuado y conveniente para la realización de sus objetivos y funciones, en su ámbito de actuación, la Agencia debe compartir experiencia e información general con los organismos y agencias creados en virtud del Derecho de la Unión Europea que se ocupen de la seguridad de las redes y la información.

(24) En sus relaciones con los organismos encargados de hacer cumplir la ley en el contexto de la lucha contra la ciberdelincuencia, la Agencia respeta los canales de información y las redes establecidas existentes, tales como los puntos de contacto mencionados en la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a los ataques contra los sistemas de información, que deroga la Decisión marco 2005/222/JHA, o el Grupo operativo de jefes de las unidades de lucha contra la delincuencia de alta tecnología de Europol.

(25) Para garantizar que se alcanzan plenamente sus objetivos, la Agencia debe colaborar con las autoridades encargadas de hacer cumplir la ley y proteger la intimidad para poner de relieve los aspectos relacionados con la seguridad de las redes y de la información de la lucha contra la ciberdelincuencia y hacerles frente adecuadamente. Los representantes de estas autoridades deben convertirse en partes interesadas de la Agencia de pleno derecho y estar representados en el Grupo Permanente de Partes Interesadas de la misma.

(26) Los problemas de seguridad de las redes y de la información son problemas de alcance mundial. Es necesaria una cooperación internacional más estrecha para mejorar las normas de seguridad y el intercambio de información, así como para promover un enfoque mundial común en relación con los problemas de la seguridad de las redes y de la información. A tal efecto, la Agencia debe respaldar la cooperación con los terceros países y las organizaciones internacionales en colaboración, cuando proceda, con el SEAE.

(27) El ejercicio de las funciones de la Agencia no debe interferir, obstaculizar ni solaparse con competencias y funciones correspondientes de las autoridades nacionales de reglamentación contempladas en las Directivas relacionadas con las redes y los servicios de comunicaciones electrónicas, así como el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (ORECE) establecido por el Reglamento (CE) nº 1211/2009[27] del Parlamento Europeo y del Consejo y el Comité de comunicaciones a que se refiere la Directiva 2002/21/CE, los organismos europeos de normalización, los organismos nacionales de normalización y el Comité permanente que crea la Directiva 98/34/CE del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad de la información[28], y las autoridades de supervisión de los Estados miembros en relación con la protección de las personas físicas respecto del tratamiento de los datos personales y de la libre circulación de esos datos.

(28) A fin de garantizar la eficacia de la Agencia, los Estados miembros y la Comisión deben estar representados en un Consejo de Administración que debe definir la orientación general del funcionamiento de la Agencia y garantizar que desempeña su cometido de conformidad con el presente Reglamento. El Consejo de Administración debe estar dotado de las facultades necesarias para establecer el presupuesto, supervisar su ejecución, aprobar el correspondiente reglamento financiero, establecer procedimientos de trabajo transparentes para la toma de decisiones por la Agencia, aprobar el programa de trabajo de la Agencia, su propio reglamento y el reglamento operativo interno de la Agencia, y nombrar y decidir la prolongación o el cese del mandato del Director Ejecutivo. El Consejo de Administración debe estar facultado para crear órganos de trabajo que le asistan en el desempeño de su cometido; tales órganos podrían, por ejemplo, redactar sus decisiones o supervisar su aplicación.

(29) En aras del buen funcionamiento de la Agencia, es preciso que su Director Ejecutivo sea nombrado atendiendo a sus méritos y a su capacidad administrativa y de gestión debidamente acreditada, así como a su competencia y experiencia en relación con la seguridad de las redes y de la información. También es necesario que desempeñe sus obligaciones con completa independencia en lo tocante a la organización del funcionamiento interno de la Agencia. A tal efecto, el Director Ejecutivo debe preparar una propuesta de programa de trabajo de la Agencia, previa consulta con los servicios de la Comisión, y tomar todas las medidas necesarias para garantizar la correcta ejecución de dicho programa de trabajo. Debe preparar anualmente un proyecto de informe general que presentará al Consejo de Administración, redactar un proyecto de declaración de las previsiones de ingresos y gastos de la Agencia y ejecutar el presupuesto.

(30) El Director Ejecutivo debe tener la posibilidad de crear grupos de trabajo ad hoc para que examinen asuntos concretos, en particular los de índole científica o técnica, o jurídica o socioeconómica. Para la creación de tales grupos ad hoc , el Director Ejecutivo debe solicitar y utilizar las aportaciones de los expertos exteriores pertinentes necesarios para que la Agencia tenga acceso a la información más actualizada de que se disponga en relación con los retos en materia de seguridad que plantea la evolución de la sociedad de la información. La Agencia debe garantizar que los miembros de los grupos de trabajo ad hoc sean seleccionados entre los expertos de mayor nivel, teniendo debidamente en cuenta la necesidad de lograr un equilibrio adecuado, según proceda en función de las cuestiones específicas, entre las administraciones públicas de los Estados miembros, el sector privado, incluida la industria, los usuarios y los expertos académicos en seguridad de las redes y de la información. Cuando sea necesario y caso por caso, la Agencia podrá invitar a participar en los procedimientos de los grupos de trabajo a expertos individuales de reconocida competencia en el ámbito de que se trate. La Agencia debe sufragar los gastos de estas personas con arreglo a su reglamento interno y de conformidad con los Reglamentos financieros existentes.

(31) La Agencia debe contar con un Grupo permanente de partes interesadas en calidad de organismo consultivo, a fin de garantizar un diálogo sistemático con el sector privado, las organizaciones de consumidores y otras partes interesadas pertinentes. El Grupo permanente de partes interesadas, establecido por el Consejo de Administración a propuesta del Director Ejecutivo, debe centrarse en cuestiones que afecten a todas las partes interesadas y ponerlas en conocimiento de la Agencia. El Director Ejecutivo podrá, cuando proceda y de acuerdo con el orden del día de las reuniones, invitar a representantes del Parlamento Europeo y de otros organismos pertinentes a que participen en reuniones del Grupo.

(32) La Agencia actuará de acuerdo con, respectivamente, i) el principio de subsidiariedad, garantizando un grado de coordinación adecuado entre los Estados miembros en las cuestiones relacionadas con la SRI y mejorando la eficacia de las políticas nacionales, aportándoles así valor añadido, y ii) el principio de proporcionalidad, no excediendo de lo necesario para alcanzar los objetivos fijados por el presente Reglamento.

(33) La Agencia debe aplicar la legislación pertinente de la Unión relativa al acceso del público a los documentos, tal y como se establece en el Reglamento (CE) n° 1049/2001 del Parlamento Europeo y del Consejo[29], y a la protección de las personas físicas con respecto al tratamiento de los datos personales, tal y como se establece en el Reglamento (CE) n° 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos[30].

(34) Dentro de su ámbito de actuación, de sus objetivos y en el cumplimiento de sus funciones, la Agencia debe cumplir, en particular, las disposiciones aplicables a las instituciones europeas, así como la legislación nacional en materia de tratamiento de documentos sensibles. El Consejo de Administración debe estar facultado para adoptar una decisión que permita a la Agencia manejar información clasificada.

(35) Con el fin de garantizar la plena autonomía e independencia de la Agencia, se considera necesario concederle un presupuesto autónomo cuyos ingresos procedan principalmente de una contribución de la Unión y de contribuciones de los terceros países que participen en los trabajos de la misma. Debe permitirse que el Estado miembro que la acoge, o cualquier otro Estado miembro, efectúe aportaciones voluntarias a los ingresos de la Agencia. El procedimiento presupuestario de la Unión sigue siendo aplicable por lo que respecta a las subvenciones imputables al presupuesto general de la Unión Europea. Además, el Tribunal de Cuentas debe realizar una auditoría de las cuentas.

(36) La Agencia debe ser sucesora de ENISA, que fue establecida por el Reglamento (CE) nº 460/2004. Dentro del marco de la decisión de los Representantes de los Estados miembros, reunidos en el Consejo Europeo de 13 de diciembre de 2003, el Estado miembro anfitrión debe mantener y desarrollar los mecanismos prácticos actuales para garantizar un funcionamiento correcto y eficiente de la Agencia, tomando en consideración en particular la cooperación de la Agencia con la Comisión, los Estados miembros y sus organismos competentes, otras instituciones y organismos de la Unión y las partes interesadas públicas y privadas de toda Europa, así como la asistencia a los mismos.

(37) La Agencia debe establecerse por un período limitado. Sus actividades deben evaluarse con respecto a su eficacia en el logro de los objetivos y a la de sus prácticas de trabajo, a fin de determinar si siguen siendo válidos o no los objetivos de la Agencia y, sobre esta base, si debe prorrogarse la duración de sus actividades.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO 1 ÁMBITO DE APLICACIÓN, OBJETIVOS Y FUNCIONES

ARTÍCULO 1 Objeto y ámbito de aplicación

1. El presente Reglamento establece una Agencia Europea de Seguridad de las Redes y de la Información (en lo sucesivo, «la Agencia») con el objetivo de contribuir a un nivel elevado de seguridad de las redes y de la información en la Unión y a fin de sensibilizar a la sociedad y desarrollar en ella una cultura de la seguridad de las redes y de la información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector público de la Unión, contribuyendo así al correcto funcionamiento del mercado interior.

2. Los objetivos y funciones de la Agencia se entenderán sin perjuicio de las competencias de los Estados miembros en materia de seguridad de las redes y de la información y, en todo caso, de las actividades relacionadas con la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando la cuestión esté relacionada con asuntos de seguridad del Estado) y de las actividades del Estado en ámbitos del Derecho penal.

3. A efectos del presente Reglamento, se entenderá por «seguridad de las redes y de la información» la capacidad de las redes o los sistemas de información para resistir, con un nivel de confianza dado, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios conexos que dichas redes y sistemas ofrecen o hacen accesibles.

Artículo 2 Objetivos

1. La Agencia ayudará a la Comisión y a los Estados miembros a cumplir los requisitos legales y reglamentarios relativos a la seguridad de las redes y de la información que figuran en la legislación actual y futura de la Unión, contribuyendo así el correcto funcionamiento del mercado interior.

2. La Agencia potenciará la capacidad y la preparación de la Unión y de los Estados miembros para prevenir, detectar y dar respuesta a los problemas e incidentes relacionados con la seguridad de las redes y de la información.

3. La Agencia desarrollará y mantendrá un alto nivel de conocimientos especializados y los utilizará para fomentar una amplia cooperación entre los agentes de los sectores público y privado

Artículo 3 Funciones

1. Para el propósito que establece el artículo 1, la Agencia desempeñará las siguientes funciones:

a) prestar asistencia a la Comisión, a petición de esta o por propia iniciativa, en el desarrollo de la política sobre seguridad de las redes y de la información, facilitándole asesoramiento y dictámenes, así como con análisis técnicos y socioeconómicos y con trabajos preparatorios para la actualización y desarrollo de la legislación de la Unión en el ámbito de la seguridad de las redes y de la información;

b) facilitar la cooperación entre los Estados miembros y entre los Estados miembros y la Comisión en sus esfuerzos de dimensión transfronteriza encaminados a prevenir, detectar y dar respuesta a los incidentes relacionados con la seguridad de las redes y de la información;

c) asistir a los Estados miembros y a las instituciones y organismos europeos en sus esfuerzos por recopilar, analizar y difundir datos sobre la seguridad de las redes y de la información;

d) evaluar periódicamente, en cooperación con los Estados miembros y las instituciones europeas, el estado de la seguridad de las redes y de la información en Europa;

e) respaldar la cooperación entre los organismos públicos competentes en Europa, en particular apoyando sus esfuerzos por desarrollar e intercambiar buenas prácticas y normas;

f) asistir a la Unión y a los Estados miembros en la promoción del uso de buenas prácticas y normas para la gestión del riesgo y la seguridad en relación con los productos, sistemas y servicios electrónicos;

g) apoyar la cooperación entre las partes interesadas públicas y privadas a nivel de la Unión, entre otras cosas promoviendo el intercambio de información y la sensibilización y facilitando sus esfuerzos en relación con el desarrollo y la adopción de normas para la gestión del riesgo y la seguridad de los productos, redes y servicios electrónicos;

h) facilitar el diálogo y el intercambio de buenas prácticas entre las partes públicas y privadas interesadas en la seguridad de las redes y de la información, incluidos los aspectos de la lucha contra la ciberdelincuencia; asistir a la Comisión en la elaboración de políticas que tengan en cuenta los aspectos relacionados con la seguridad de las redes y de la información de la lucha contra la ciberdelincuencia;

i) asistir a los Estados miembros y a las instituciones y organismos europeos que se lo soliciten en sus esfuerzos por desarrollar una capacidad en materia de detección, análisis y respuesta en relación con la seguridad de las redes y de la información;

j) respaldar el diálogo y la cooperación de la Unión con los terceros países y las organizaciones internacionales en colaboración, cuando proceda, con el SEAE, a fin de promover la cooperación internacional y un enfoque mundial común en relación con los problemas de la seguridad de las redes y de la información;

k) desempeñar las funciones conferidas a la Agencia por los actos legislativos de la Unión.

CAPÍTULO 2 ORGANIZACIÓN

ARTÍCULO 4 Órganos de la Agencia

La Agencia constará de:

a) un Consejo de Administración;

b) un Director Ejecutivo y el personal y

c) un Grupo permanente de partes interesadas.

Artículo 5 Consejo de Administración

1. El Consejo de Administración definirá la orientación general del funcionamiento de la Agencia y velará por que esta trabaje de conformidad con las reglas y principios establecidos en el presente Reglamento. Velará asimismo por la coherencia de la labor de la Agencia con las actividades realizadas por los Estados miembros y a nivel de la Unión.

2. El Consejo de Administración aprobará su reglamento interno de conformidad con los servicios de la Comisión pertinentes.

3. El Consejo de Administración aprobará el reglamento operativo interno de la Agencia de conformidad con los servicios de la Comisión pertinentes. Estos reglamentos se publicarán.

4. El Consejo de Administración nombrará al Director Ejecutivo de conformidad con el artículo 10, apartado 2, y podrá igualmente cesarlo. El Consejo de Administración ejercerá la autoridad disciplinaria sobre el Director ejecutivo.

5. El Consejo de Administración aprobará el programa de trabajo de la Agencia de conformidad con el artículo 13, apartado 3, y el informe general sobre las actividades de la Agencia del año anterior de conformidad con el artículo 14, apartado 2.

6. El Consejo de Administración aprobará las normas financieras aplicables a la Agencia. Dicha normativa sólo podrá desviarse del Reglamento (CE, Euratom) n° 2343/2002 de la Comisión, de 19 de noviembre de 2002, por el que se aprueba el Reglamento financiero marco de los organismos a que se refiere el artículo 185 del Reglamento (CE, Euratom) n° 1605/2002 del Consejo, por el que se aprueba el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas[31], en la medida en que las exigencias específicas de funcionamiento de la Agencia lo requieran, y con la autorización previa de la Comisión.

7. El Consejo de Administración, de acuerdo con la Comisión, adoptará las normas de aplicación apropiadas, de conformidad con el artículo 110 del Estatuto de los funcionarios.

8. El Consejo de Administración podrá crear órganos de trabajo integrados por sus miembros para que le asistan en el desempeño de sus funciones, incluidas la preparación de sus decisiones y la supervisión del cumplimiento de estas.

9. El Consejo de Administración podrá adoptar el plan plurianual de política de personal, previa consulta con los servicios de la Comisión y habiendo informado debidamente a la autoridad presupuestaria.

Artículo 6 Composición del Consejo de Administración

1. El Consejo de Administración estará formado por un representante de cada Estado miembro, tres representantes nombrados por la Comisión, y tres representantes sin derecho a voto, nombrados también por la Comisión, cada uno de los cuales representará a uno de los siguientes grupos:

a) sector de las tecnologías de la información y de la comunicación;

b) grupos de consumidores;

c) expertos académicos en seguridad de las redes y de la información.

2. Los miembros del Consejo de Administración y sus suplentes se nombrarán en función de su grado de conocimientos y de experiencia en el ámbito de la seguridad de las redes y de la información.

3. El mandato de los representantes de los grupos a que se refiere el apartado 1, letras a), b) y c), será de cuatro años. Podrá renovarse una vez. Si un representante deja de estar afiliado al grupo de interés correspondiente, la Comisión nombrará a otra persona en su lugar.

Artículo 7 Presidente del Consejo de Administración

El Consejo de Administración elegirá entre sus miembros a un Presidente y a un Vicepresidente para un período de tres años, que será renovable. El Vicepresidente sustituirá de oficio al Presidente cuando éste no pueda desempeñar sus funciones.

Artículo 8 Reuniones

1. Las reuniones del Consejo de Administración serán convocadas por su Presidente.

2. El Consejo de Administración celebrará reuniones ordinarias dos veces al año. Celebrará también reuniones extraordinarias a instancias del Presidente o a petición de como mínimo un tercio de sus miembros con derecho a voto.

3. El Director Ejecutivo asistirá a las reuniones del Consejo de Administración, sin derecho a voto.

Artículo 9 Votaciones

1. El Consejo de Administración adoptará sus decisiones por una mayoría de sus miembros con derecho a voto.

2. Se requerirá una mayoría de dos tercios de todos los miembros del Consejo de Administración con derecho a voto para la adopción de su reglamento interno, del reglamento operativo interno de la Agencia, del presupuesto y del programa de trabajo anual, así como para nombrar al Director Ejecutivo, prorrogar su mandato o cesarlo.

Artículo 10 Director Ejecutivo

1. La Agencia será gestionada por su Director Ejecutivo, que deberá actuar con independencia en el desempeño de sus funciones.

2. El Director Ejecutivo será nombrado y destituido por el Consejo de Administración. El nombramiento se efectuará a partir de una lista de candidatos propuestos por la Comisión para un período de cinco años, atendiendo a sus méritos y a su capacidad administrativa y de gestión debidamente acreditada, así como a su competencia y experiencia específicas. Antes del nombramiento, podrá invitarse al candidato seleccionado por el Consejo de Administración a hacer una declaración ante la comisión competente del Parlamento Europeo y responder a las preguntas formuladas por sus miembros.

3. A lo largo de los nueve meses que precedan al final de este período, la Comisión llevará a cabo una evaluación. En ella, la Comisión evaluará, en particular:

- el rendimiento del Director Ejecutivo;

- las funciones y necesidades de la Agencia en los próximos años.

4. El Consejo de Administración, a propuesta de la Comisión, teniendo en cuenta el informe de evaluación y solamente en aquellos casos en que los deberes y requisitos de la Agencia puedan justificarlo, podrá prorrogar el mandato del Director Ejecutivo por un máximo de tres años.

5. El Consejo de Administración informará al Parlamento Europeo acerca de su intención de prorrogar el mandato del Director Ejecutivo. En el mes que precede a la prórroga de su mandato, podrá invitarse al Director Ejecutivo a hacer una declaración ante la comisión competente del Parlamento y responder a las preguntas formuladas por sus miembros.

6. En caso de no prorrogarse su mandato, el Director Ejecutivo seguirá en funciones hasta que sea nombrado su sucesor.

7. El Director Ejecutivo será responsable de:

a) administrar los asuntos corrientes de la Agencia;

b) llevar a cabo el programa de trabajo y las decisiones adoptadas por el Consejo de Administración;

c) garantizar que la Agencia lleve a cabo sus actividades de conformidad con los requisitos de los usuarios de sus servicios, en particular en lo referente a la idoneidad de los servicios prestados;

d) todos los asuntos relacionados con el personal, velando por que se cumplan las orientaciones generales del Consejo de Administración y las decisiones de carácter general del Consejo de Administración;

e) crear y mantener contactos con las instituciones y organismos europeos;

f) crear y mantener contactos con la comunidad empresarial y las organizaciones de consumidores para garantizar un diálogo continuado con las partes interesadas pertinentes;

g) otras funciones que el presente Reglamento le asigne.

8. Siempre que sea necesario y dentro del ámbito de los objetivos y funciones de la Agencia, el Director Ejecutivo podrá crear grupos de trabajo ad hoc integrados por expertos. Se informará de ello anticipadamente al Consejo de Administración. Los procedimientos, en particular en lo que se refiere a la composición, el nombramiento de los expertos por el Director Ejecutivo y el funcionamiento de los grupos de trabajo ad hoc , se especificarán en el reglamento operativo interno de la Agencia.

9. Cuando sea necesario, el Director Ejecutivo pondrá a disposición del Consejo de Administración personal de apoyo administrativo y otros recursos.

Artículo 11 Grupo Permanente de Partes Interesadas

1. El Consejo de Administración establecerá un Grupo Permanente de Partes Interesadas a propuesta del Director Ejecutivo, integrado por expertos que representen a las partes interesadas pertinentes, tales como la industria de las tecnologías de la información y la comunicación, grupos de consumidores, expertos académicos en seguridad de las redes y de la información y autoridades encargadas de hacer cumplir la ley y proteger la intimidad.

2. Los procedimientos relativos, en particular, al número, la composición y el nombramiento de los miembros del Grupo por el Consejo de Administración, la propuesta del Director Ejecutivo y el funcionamiento del mismo se especificarán en el reglamento operativo interno de la Agencia y se publicarán.

3. El Grupo estará presidido por el Director Ejecutivo.

4. El mandato de los miembros del Grupo tendrá una duración de dos años y medio. Los miembros del Consejo de Administración no podrán ser miembros del Grupo. El personal de la Comisión podrá estar presente en las reuniones del Grupo y participar en sus trabajos.

5. El Grupo asesorará a la Agencia en la realización de sus actividades. El Grupo, en particular, asesorará al Director Ejecutivo en la elaboración de una propuesta de programa de trabajo de la Agencia y en el mantenimiento de la comunicación con las partes interesadas pertinentes sobre todos los aspectos relativos al programa de trabajo.

CAPÍTULO 3 FUNCIONAMIENTO

ARTÍCULO 12 Programa de trabajo

1. La Agencia llevará a cabo sus operaciones de conformidad con su programa de trabajo, que contendrá la totalidad de sus actividades previstas. El programa de trabajo no impedirá que la Agencia asuma actividades imprevistas que se ajusten a sus objetivos y funciones dentro de los límites de su presupuesto. El Director Ejecutivo informará al Consejo de Administración de las actividades de la Agencia no previstas en el programa de trabajo.

2. El Director Ejecutivo será responsable de preparar el proyecto de programa de trabajo de la Agencia, previa consulta con los servicios de la Comisión. Antes del 15 de marzo de cada año, el Director Ejecutivo presentará al Consejo de Administración el proyecto de programa de trabajo de la Agencia correspondiente al año siguiente.

3. Antes del 30 de noviembre de cada año, el Consejo de Administración aprobará el programa de trabajo de la Agencia para el año siguiente en consulta con los servicios de la Comisión. Dicho programa de trabajo incluirá una perspectiva plurianual. El Consejo de Administración velará por que el programa de trabajo sea coherente con los objetivos de la Agencia, así como con las prioridades legislativas y políticas de la Unión en materia de seguridad de las redes y de la información.

4. El programa de trabajo se organizará de conformidad con el principio de gestión por actividades. El programa de trabajo se ajustará a la previsión de ingresos y gastos de la Agencia y al presupuesto de la Agencia para el mismo ejercicio financiero.

5. Una vez aprobado el programa de trabajo por el Consejo de Administración, el Director Ejecutivo deberá hacerlo llegar al Parlamento Europeo, al Consejo, a la Comisión y a los Estados miembros y se encargará de su publicación.

Artículo 13 Informe general

1. Cada año, el Director Ejecutivo presentará al Consejo de Administración un proyecto de informe general que cubrirá todas las actividades realizadas por la Agencia durante el año anterior.

2. Antes del 31 de marzo de cada año, el Consejo de Administración aprobará el informe general sobre las actividades de la Agencia correspondiente al año anterior.

3. Una vez aprobado el informe general de la Agencia por el Consejo de Administración, el Director Ejecutivo lo transmitirá al Parlamento Europeo, al Consejo, a la Comisión, al Tribunal de Cuentas, al Comité Económico y Social Europeo y al Comité de las Regiones, y se encargará de su publicación.

Artículo 14 Solicitudes a la Agencia

1. Las solicitudes de asesoramiento y de asistencia sobre cuestiones que correspondan a los objetivos y funciones de la Agencia se dirigirán al Director Ejecutivo e irán acompañadas de información de referencia que explique el asunto que se debe tratar. El Director Ejecutivo informará al Consejo de Administración de las solicitudes recibidas y, en su debido momento, del curso dado a las mismas. Siempre que la Agencia rechace una solicitud, deberá justificar su decisión.

2. Las solicitudes a las que hace referencia el apartado 1 podrán ser presentadas por:

a) el Parlamento Europeo;

b) el Consejo;

c) la Comisión;

d) cualquier organismo competente designado por un Estado miembro, como por ejemplo una autoridad nacional de reglamentación según se define en el artículo 2 de la Directiva 2002/21/CE.

3. Las medidas prácticas para la aplicación de los apartados 1 y 2, en lo referente en particular a la presentación, la asignación de prioridades, el seguimiento y la información del Consejo de Administración sobre las solicitudes dirigidas a la Agencia, serán establecidas por el Consejo de Administración en el reglamento operativo interno de la misma.

Artículo 15 Declaración de intereses

1. El Director Ejecutivo, así como los funcionarios enviados en comisión de servicios por los Estados miembros con carácter temporal, deberán formular por escrito una declaración de compromisos y otra declaración en la que indicarán que no tienen intereses directos ni indirectos que pudieran considerarse perjudiciales para su independencia.

2. Los expertos externos que participen en los grupos de trabajo ad hoc deberán declarar en cada reunión cualquier interés que pudiera considerarse perjudicial para su independencia en relación con los puntos del orden del día y abstenerse de participar en los debates sobre esos puntos.

Artículo 16 Transparencia

1. La Agencia llevará a cabo sus actividades con un alto grado de transparencia y de conformidad con los artículos 13 y 14.

2. La Agencia velará por que el público y las partes interesadas reciban información objetiva, fiable y de fácil acceso, especialmente en lo que respecta a los resultados de su trabajo, si procede. Asimismo, deberá hacer públicas las declaraciones de intereses presentadas por el Director Ejecutivo y por los funcionarios enviados en comisión de servicios por los Estados miembros con carácter temporal, junto con las declaraciones de intereses presentadas por los expertos en relación con asuntos incluidos en los órdenes del día de las reuniones de los grupos de trabajo ad hoc .

3. El Consejo de Administración, a propuesta del Director Ejecutivo, podrá autorizar a otras partes interesadas a participar en calidad de observadores en algunas de las actividades de la Agencia.

4. La Agencia estipulará en su reglamento operativo interno las medidas prácticas de aplicación de las normas de transparencia contempladas en los apartados 1 y 2.

Artículo 17 Confidencialidad

1. Sin perjuicio de lo dispuesto en el artículo 14, la Agencia no divulgará a terceros la información que procese o reciba para la que se haya solicitado un tratamiento confidencial.

2. Los miembros del Consejo de Administración, el Director Ejecutivo, los miembros del Grupo permanente de partes interesadas, los expertos externos que participen en los grupos de trabajo ad hoc , así como los miembros del personal de la Agencia, incluidos los funcionarios enviados en comisión de servicios por los Estados miembros con carácter temporal, estarán sujetos a la obligación de confidencialidad en virtud del artículo 339 del Tratado, incluso después de haber cesado en sus cargos.

3. La Agencia estipulará en su reglamento operativo interno las medidas prácticas de aplicación de las normas de confidencialidad contempladas en los apartados 1 y 2.

4. El Consejo de Administración podrá tomar la decisión de permitir a la Agencia manejar información clasificada. En tal caso, el Consejo de Administración, de conformidad con los servicios de la Comisión pertinentes, adoptará un reglamento operativo interno que aplique los principios de seguridad contenidos en la Decisión 2001/844/CE, CECA, Euratom de la Comisión, de 29 de noviembre de 2001, por la que se modifica su Reglamento interno[32]. Esto incluirá, entre otras, disposiciones para el intercambio, el tratamiento y el almacenamiento de la información clasificada.

Artículo 18 Acceso a los documentos

1. Se aplicará a los documentos en poder de la Agencia el Reglamento (CE) nº 1049/2001.

2. El Consejo de Administración adoptará disposiciones para la aplicación del Reglamento (CE) nº 1049/2001 en el plazo de seis meses a partir del establecimiento de la Agencia.

3. Las decisiones tomadas por la Agencia en virtud del artículo 8 del Reglamento (CE) n° 1049/2001 podrán ser objeto de una reclamación ante el Defensor del Pueblo Europeo o de un recurso ante el Tribunal de Justicia de la Unión Europea, de conformidad con los artículos 228 y 263 del Tratado, respectivamente.

CAPÍTULO 4 DISPOSICIONES FINANCIERAS

ARTÍCULO 19 Aprobación del presupuesto

1. Los ingresos de la Agencia comprenderán una contribución del presupuesto de la Unión Europea, contribuciones de los terceros países que participen en el trabajo de la Agencia según lo previsto en el artículo 29 y contribuciones de los Estados miembros.

2. Los gastos de la Agencia incluirán los gastos de personal, administrativos y de soporte técnico, de infraestructura y funcionamiento, así como los gastos derivados de contratos suscritos con terceros.

3. A más tardar el 1 de marzo de cada año, el Director Ejecutivo elaborará un proyecto de declaración sobre la previsión de los ingresos y los gastos de la Agencia para el siguiente ejercicio financiero, y lo hará llegar al Consejo de Administración, junto con un proyecto de cuadro de efectivos.

4. Los ingresos y los gastos deberán estar equilibrados.

5. El Consejo de Administración presentará cada año la previsión de ingresos y gastos de la Agencia para el siguiente ejercicio financiero, sobre la base del proyecto de previsión de ingresos y gastos elaborado por el Director Ejecutivo.

6. El Consejo de Administración, a más tardar el 31 de marzo, deberá transmitir esta previsión, que incluirá un proyecto de cuadro de efectivos y el proyecto de programa de trabajo, a la Comisión y a los Estados con los que la Unión Europea haya celebrado acuerdos de conformidad con el artículo 24.

7. La Comisión transmitirá esa previsión al Parlamento Europeo y al Consejo (en lo sucesivo, denominados ambos «la Autoridad Presupuestaria») al mismo tiempo que el proyecto de presupuesto general de la Unión Europea.

8. Sobre la base de esta previsión, la Comisión consignará en el proyecto de presupuesto general de la Unión Europea las previsiones que considere necesarias para el cuadro de efectivos y el importe de la subvención que deberá imputarse al presupuesto general, que deberá presentar a la Autoridad Presupuestaria de conformidad con el artículo 314 del Tratado.

9. La Autoridad Presupuestaria autorizará los créditos necesarios para la subvención destinada a la Agencia.

10. La Autoridad Presupuestaria aprobará el cuadro de efectivos de la Agencia.

11. Junto con el programa de trabajo, el Consejo de Administración aprobará el presupuesto de la Agencia. Este se convertirá en definitivo tras la aprobación definitiva del presupuesto general de la Unión Europea. Cuando proceda, el Consejo de Administración reajustará el presupuesto y el programa de trabajo de la Agencia con arreglo al presupuesto general de la Unión Europea. El Consejo de Administración lo transmitirá inmediatamente a la Comisión y a la Autoridad Presupuestaria.

Artículo 20 Lucha contra el fraude

1. Para la lucha contra el fraude, la corrupción y otros actos ilícitos, se aplicarán sin restricción las disposiciones del Reglamento (CE) n° 1073/1999 del Parlamento Europeo y del Consejo, de 25 de mayo de 1999, relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF)[33].

2. La Agencia suscribirá el Acuerdo Interinstitucional, de 25 de mayo de 1999, entre el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión de las Comunidades Europeas relativo a las investigaciones internas efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF)[34], y adoptará sin demora las disposiciones pertinentes, que serán de aplicación a todo el personal de la Agencia.

Artículo 21 Ejecución del presupuesto

1. El Director Ejecutivo ejecutará el presupuesto de la Agencia.

2. El auditor interno de la Comisión ejercerá, con respecto a la Agencia, las mismas facultades que tiene atribuidas en relación con los servicios de la Comisión.

3. El contable de la Agencia remitirá al contable de la Comisión, a más tardar el 1 de marzo siguiente al final de cada ejercicio financiero, las cuentas provisionales, junto con un informe sobre la gestión presupuestaria y financiera correspondiente al ejercicio. El contable de la Comisión consolidará las cuentas provisionales de las instituciones y de los órganos descentralizados de conformidad con el artículo 128 del Reglamento (CE, Euratom) n° 1605/2002 del Consejo, de 25 de junio de 2002, por el que se aprueba el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas[35] (en lo sucesivo denominado «el Reglamento financiero general»).

4. A más tardar el 31 de marzo siguiente a cada ejercicio financiero, el contable de la Comisión remitirá las cuentas provisionales de la Agencia al Tribunal de Cuentas, junto con un informe sobre la gestión presupuestaria y financiera correspondiente a dicho ejercicio. El informe sobre la gestión presupuestaria y financiera correspondiente al ejercicio se remitirá también a la Autoridad Presupuestaria.

5. Cuando reciba las observaciones del Tribunal de Cuentas relativas a las cuentas provisionales de la Agencia, de conformidad con el artículo 129 del Reglamento financiero general, el Director Ejecutivo elaborará bajo su propia responsabilidad las cuentas definitivas de la Agencia y las transmitirá al Consejo de Administración para que este emita dictamen sobre las mismas.

6. El Consejo de Administración emitirá un dictamen sobre las cuentas definitivas de la Agencia.

7. A más tardar el 1 de julio siguiente al cierre del ejercicio, el Director Ejecutivo transmitirá estas cuentas definitivas, conjuntamente con el dictamen del Consejo de Administración, al Parlamento Europeo, al Consejo, a la Comisión y al Tribunal de Cuentas.

8. El Director Ejecutivo publicará las cuentas definitivas.

9. A más tardar el 30 de septiembre, el Director ejecutivo remitirá al Tribunal de Cuentas una respuesta a sus observaciones. Enviará asimismo esta respuesta al Consejo de Administración.

10. El Director Ejecutivo presentará al Parlamento Europeo, cuando este lo solicite, toda la información necesaria para el correcto desarrollo del procedimiento de aprobación de la ejecución del presupuesto del ejercicio de que se trate, según se establece en el artículo 146, apartado 3, del Reglamento financiero general.

11. El Parlamento Europeo, sobre la base de una recomendación del Consejo, deberá aprobar la gestión del Director Ejecutivo antes del 30 de abril del año N+2 respecto a la ejecución del presupuesto del año N.

CAPÍTULO 5 DISPOSICIONES GENERALES

ARTÍCULO 22 Estatuto jurídico

1. La Agencia será un organismo de la Unión y tendrá personalidad jurídica.

2. La Agencia gozará en cada uno de los Estados miembros de la más amplia capacidad jurídica que las legislaciones nacionales reconozcan a las personas jurídicas. Podrá, en particular, adquirir o enajenar bienes muebles e inmuebles y constituirse en parte en acciones legales.

3. La Agencia estará representada por su Director Ejecutivo.

Artículo 23 Personal

1. Se aplicarán al personal de la Agencia, incluido su Director Ejecutivo, las normas y reglamentaciones aplicables a los funcionarios y otros agentes de la Unión Europea.

2. Con respecto al Director Ejecutivo, el Consejo de Administración ejercerá las competencias conferidas a la autoridad facultada para proceder a los nombramientos por el Estatuto de los funcionarios y a la autoridad facultada para celebrar contratos por el régimen aplicable.

3. Con respecto al personal de la Agencia, el Director Ejecutivo ejercerá las competencias conferidas a la autoridad facultada para proceder a los nombramientos por el Estatuto de los funcionarios y a la autoridad facultada para celebrar contratos por el régimen aplicable.

4. La Agencia podrá emplear a expertos nacionales enviados en comisión de servicios por los Estados miembros. La Agencia estipulará en su reglamento operativo interno las medidas prácticas al respecto.

Artículo 24 Privilegios e inmunidades

Se aplicará a la Agencia y a su personal el Protocolo sobre los privilegios y las inmunidades de las Comunidades Europeas.

Artículo 25 Responsabilidad

1. La responsabilidad contractual de la Agencia se regirá por la legislación aplicable al contrato de que se trate.

El Tribunal de Justicia de la Unión Europea será competente para pronunciarse en virtud de cualquier cláusula compromisoria contenida en los contratos firmados por la Agencia.

2. En materia de responsabilidad extracontractual, la Agencia deberá reparar los daños causados por ella o sus agentes en el ejercicio de sus funciones, de conformidad con los principios generales comunes a las legislaciones de los Estados miembros.

El Tribunal de Justicia será competente para conocer de todos los litigios relativos a la indemnización por esos daños.

3. La responsabilidad personal de los agentes respecto a la Agencia se regirá por las disposiciones pertinentes aplicables al personal de la Agencia.

Artículo 26 Lenguas

1. Se aplicarán a la Agencia las disposiciones establecidas en el Reglamento n° 1, de 15 de abril de 1958, por el que se fija el régimen lingüístico de la Comunidad Económica Europea[36]. Los Estados miembros y los demás organismos nombrados por ellos podrán dirigirse a la Agencia y obtener respuesta en la lengua de la Unión Europea que elijan.

2. Los servicios de traducción requeridos para el funcionamiento de la Agencia serán prestados por el Centro de Traducción de los Órganos de la Unión Europea.

Artículo 27 Protección de datos de carácter personal

Cuando trate datos relativos a personas físicas, la Agencia se regirá por las disposiciones del Reglamento (CE) n° 45/2001.

Artículo 28 Participación de terceros países

1. La Agencia estará abierta a la participación de terceros países que hayan celebrado acuerdos con la Unión Europea en virtud de los cuales hayan adoptado y estén aplicando la legislación de la Unión en el ámbito regulado por el presente Reglamento.

2. En virtud de las disposiciones pertinentes de esos acuerdos, se establecerán mecanismos que especificarán, en particular, el carácter, el alcance y la forma de la participación de esos países en el trabajo de la Agencia, incluidas disposiciones sobre participación en las iniciativas emprendidas por la Agencia, contribuciones financieras y personal.

CAPÍTULO 6 DISPOSICIONES FINALES

ARTÍCULO 29 Cláusula de revisión

1. Dentro de los tres años siguientes a la fecha de establecimiento a que se refiere el artículo 34, la Comisión, tomando en consideración los puntos de vista de todas las partes interesadas pertinentes, llevará a cabo una evaluación sobre la base de un mandato acordado con el Consejo de Administración. La evaluación valorará el impacto y la eficacia de la Agencia en el logro de los objetivos fijados en el artículo 2, así como la eficacia de sus métodos de trabajo. La Comisión realizará esta evaluación, en particular, para determinar si la Agencia sigue constituyendo un instrumento eficaz y si debe prorrogarse su duración más allá del período que se especifica en el artículo 34.

2. Las conclusiones de la evaluación serán trasladadas por la Comisión al Parlamento Europeo y al Consejo y hechas públicas.

3. El Consejo de Administración recibirá la evaluación y presentará a la Comisión recomendaciones sobre posibles modificaciones del presente Reglamento, de la Agencia o de los métodos de trabajo de ésta. El Consejo de Administración y el Director Ejecutivo tendrán en cuenta los resultados de la evaluación en la planificación plurianual de la Agencia.

Artículo 30 Cooperación del Estado miembro anfitrión

El Estado miembro que acoja a la Agencia ofrecerá las mejores condiciones posibles para un funcionamiento correcto y eficaz de la Agencia.

Artículo 31 Control administrativo

El funcionamiento de la Agencia está sujeto a la supervisión del Defensor del Pueblo Europeo de conformidad con el artículo 228 del Tratado.

Artículo 32 Derogación y sucesión

1. Queda derogado el Reglamento (CE) nº 460/2004.

Las referencias al Reglamento (CE) nº 460/2004 y a ENISA se entenderán hechas al presente Reglamento y a la Agencia.

2. La Agencia será considerada sucesora de la establecida por el Reglamento (CE) nº 460/2004 en todo lo que se refiere a propiedad, acuerdos, obligaciones legales, contratos de empleo, compromisos financieros y responsabilidades.

Artículo 33 Duración

La Agencia se establece a partir del […] por un período de cinco años.

Artículo 34 Entrada en vigor

El presente Reglamento entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea y se aplicará con efectos a partir del 14 de marzo de 2012, o del día siguiente al de su publicación si esta fecha fuera posterior.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en […],

Por el Parlamento Europeo Por el Consejo

El Presidente El Presidente

FICHA FINANCIERA LEGISLATIVA PARA PROPUESTAS

1. MARCO DE LA PROPUESTA/INICIATIVA

1.1. Denominación de la propuesta/iniciativa

Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA)

1.2. Ámbito(s) político(s) afectado(s) en la estructura GBA/PPA [37]

Sociedad de la Información y Medios de Comunicación

Marco regulador para la Agenda Digital

1.3. Naturaleza de la propuesta/iniciativa

( La propuesta/iniciativa se refiere a una nueva acción

( La propuesta/iniciativa se refiere a una acción nueva a raíz de un proyecto piloto/una acción preparatoria[38]

( La propuesta/iniciativa se refiere a la prolongación de una acción existente

( La propuesta/iniciativa se refiere a una acción reorientada hacia una nueva acción

1.4. Objetivos

1.4.1. Objetivo(s) estratégico(s) plurianual(es) de la Comisión contemplados por la propuesta/iniciativa

Coherencia de los enfoques reguladores – facilitar orientaciones y asesoramiento a la Comisión y a los Estados miembros para actualizar y desarrollar un marco normativo holístico en el ámbito de la SRI.

Prevención, detección y respuesta – mejorar la preparación contribuyendo a construir una capacidad de alerta precoz y respuesta a incidentes europea, con planes de contingencia y ejercicios paneuropeos.

Potenciación de los conocimientos de los responsables políticos – prestar asistencia y asesorar a la Comisión y a los Estados miembros para alcanzar un elevado nivel de conocimientos, en toda la Unión, sobre las cuestiones relacionadas con la SRI y su aplicación a las partes interesadas de la industria. Esto incluye también la generación, análisis y oferta de datos relativos a la economía y la incidencia de las violaciones de la SRI, incentivos para que las partes interesadas inviertan en medidas sobre SRI, determinación de riesgos, indicadores del estado de la SRI en la Unión, etc.

Capacitación de las partes interesadas – desarrollar una cultura de la seguridad y la gestión del riesgo fomentando el intercambio de información y la cooperación general entre los agentes de los sectores público y privado, también en beneficio directo de los ciudadanos, y crear una cultura de sensibilización con respecto a la SRI.

Protección de Europa frente a las amenazas internacionales – alcanzar un alto nivel de cooperación con terceros países y organizaciones internacionales para fomentar un planteamiento mundial común en relación con la SRI y conseguir que las iniciativas internacionales de alto nivel tengan repercusión en Europa.

Hacia la colaboración en la aplicación – facilitar la colaboración en la aplicación de las políticas sobre SRI.

Lucha contra la ciberdelincuencia – integrar los aspectos relacionados con la SRI de la lucha contra la ciberdelincuencia en los debates y el intercambio de buenas prácticas entre las partes interesadas públicas y privadas, en particular mediante la cooperación con las autoridades de los (antiguos) pilares segundo y tercero, p. ej., con Europol.

1.4.2. Objetivo(s) específico(s) y actividad(es) GBA/PPA en cuestión

Objetivo específico Nº

Incrementar la seguridad de las redes y de la información (SRI), desarrollar una cultura de la seguridad de las redes y de la información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector público y determinar los retos políticos que plantean las futuras redes e Internet.

Actividad(es) GBA/PPA afectada(s)

Política de comunicaciones electrónicas y seguridad de las redes.

1.4.3. Incidencia y resultado(s) esperado(s)

Se espera que la iniciativa tenga las siguientes repercusiones económicas:

- mayor disponibilidad de información sobre los retos y sobre los riesgos para la seguridad y la resistencia actuales y futuros;

- no repetición de los trabajos de recopilación de la información pertinente sobre los riesgos, las amenazas y los puntos vulnerables por cada Estado miembro;

- mayor conocimiento de causa por parte de los responsables políticos a la hora de tomar decisiones;

- mayor calidad de las disposiciones sobre política de SRI en los Estados miembros, gracias a la difusión de las mejores prácticas;

- economías de escala, al responder a los incidentes a nivel de la UE;

- aumento de la inversión, gracias a la existencia de unos objetivos políticos y normas comunes en materia de seguridad y resistencia a nivel de la UE;

- disminución de los riesgos operativos para las empresas, gracias al nivel más elevado de seguridad y resistencia;

- medidas más coherentes de lucha contra la ciberdelincuencia.

Se espera que la iniciativa genere las siguientes repercusiones sociales:

- mayor confianza de los usuarios en los servicios y sistemas de la sociedad de la información;

- mayor confianza en el funcionamiento del mercado interior de la UE, al alcanzarse unos niveles más elevados de protección del consumidor;

- mayores intercambios de información y conocimientos con países no pertenecientes a la UE;

- mejor protección de los derechos humanos fundamentales en la UE, al garantizarse un mismo nivel de protección de los datos personales y de la intimidad de los ciudadanos de la UE.

Se espera que la incidencia sobre el medio ambiente sea mínima:

- menor impacto de las emisiones de CO2 debido, p. ej., a la disminución de los desplazamientos a causa del mayor uso de los sistemas y servicios de TIC y a la reducción del consumo de energía resultante de las economías de escala en el cumplimiento de las obligaciones relativas a la seguridad.

1.4.4. Indicadores de resultados e incidencia

Los indicadores de seguimiento son, por objetivo, los siguientes:

Coherencia de los enfoques reguladores:

- número de Estados miembros que han hecho uso de las recomendaciones de la Agencia en su proceso de elaboración de políticas;

- número de estudios encaminados a detectar lagunas e incoherencias en el panorama de la normalización en relación con la SRI;

- reducción de la divergencia en los enfoques de los Estados miembros con respecto a la SRI.

Prevención, detección y respuesta:

- número de formaciones sobre seguridad de las redes organizadas;

- disponibilidad de un sistema de alerta precoz funcional para los riesgos y ataques emergentes;

- número de ejercicios de SRI a nivel de la UE coordinados por la Agencia.

Potenciación de los conocimientos de los responsables políticos:

- número de estudios para recoger información sobre los riesgos y las tecnologías de prevención del riesgo relacionados con la SRI actuales y previstos;

- número de consultas con organismos públicos relacionados con la SRI;

- disponibilidad de un marco europeo para organizar la recogida de datos en relación con la SRI.

Capacitación de las partes interesadas:

- número de buenas prácticas identificadas para la industria;

- nivel de la inversión en medidas de seguridad efectuada por las partes interesadas privadas;

Protección de Europa frente a las amenazas internacionales:

- número de conferencias o reuniones entre los Estados miembros de la UE para definir de común acuerdo objetivos en relación con la SRI;

- número de reuniones entre los expertos europeos e internacionales en materia de SRI.

Hacia la colaboración en la aplicación:

- número de evaluaciones del cumplimiento de la reglamentación;

- número de prácticas sobre SRI en la UE;

Lucha contra la ciberdelincuencia:

- regularidad de las interacciones con las agencias de los antiguos pilares segundo y tercero;

- número de casos en que se han aportado conocimientos técnicos en investigaciones penales.

1.5. Justificación de la propuesta/iniciativa

1.5.1. Necesidad(es) que deben cubrirse a corto o largo plazo

ENISA fue creada en 2004 para hacer frente a las amenazas a la SRI y posibles violaciones de la misma. Posteriormente, los retos relacionados con la seguridad de la información y de las redes han evolucionado al compás de la tecnología y el mercado, y han sido objeto de ulteriores reflexiones y debates que permiten describir hoy de manera más precisa y actualizada los problemas concretos encontrados y la forma en que se ven afectados por el cambiante panorama de la SRI.

1.5.2. Valor añadido de la implicación de la UE

Los problemas de la SRI no se ciñen a las fronteras nacionales y, por tanto, no es posible abordarlos con eficacia a nivel nacional solamente. Al mismo tiempo, las autoridades públicas de diferentes Estados miembros abordan este problema de formas muy dispares. Estas discrepancias pueden constituir un obstáculo importante para la aplicación de mecanismos adecuados a escala de la Unión para potenciar la SRI en Europa. Dado que las infraestructuras de TIC están interconectadas, la eficacia de las medidas adoptadas a nivel nacional en un Estado miembro se ven fuertemente afectadas por la escasa ambición de las adoptadas en los demás y por la ausencia de una cooperación transfronteriza sistemática. La insuficiencia de las medidas en materia de SRI que es causa de un incidente en un Estado miembro puede causar perturbaciones en los servicios de otros.

Además, la multiplicación de los requisitos de seguridad supone costes para las empresas que operan a nivel de la Unión Europea y propicia la fragmentación y la falta de competitividad en el mercado interior europeo.

Mientras aumenta la dependencia de los sistemas de información y de las redes, la preparación para afrontar los incidentes parece insuficiente.

Los actuales sistemas nacionales de alerta precoz y gestión de incidentes adolecen de importantes deficiencias. Los procesos y prácticas utilizados para el seguimiento y la comunicación de los incidentes relacionados con la seguridad de las redes difieren considerablemente de un Estado miembro a otro. En algunos países los procesos no están formalizados, mientras que en otros no existe una autoridad competente que reciba y tramite los informes sobre incidentes. No existen sistemas europeos. Por ello, los incidentes relacionados con la SRI podrían perturbar radicalmente la satisfacción de necesidades básicas, y es preciso preparar respuestas adecuadas. La Comunicación de la Comisión sobre protección de las infraestructuras críticas de información subrayó también la necesidad de una capacidad europea de alerta precoz y respuesta a incidentes, respaldada posiblemente por ejercicios a escala europea.

Resulta patentemente necesario contar con instrumentos políticos encaminados a detectar de manera proactiva los riesgos y puntos vulnerables en materia de SRI, establecer los mecanismos de respuesta adecuados (p. ej., mediante la identificación y difusión de las buenas prácticas) y garantizar que las partes interesadas conozcan y apliquen dichos mecanismos.

1.5.3. Principales conclusiones extraídas de experiencias similares anteriores

Véanse los puntos 1.5.1 y 1.5.2.

1.5.4. Coherencia y posibles sinergias con otros instrumentos pertinentes

La presente iniciativa es plenamente coherente con el debate general sobre la SRI y otras iniciativas políticas que se centran en el futuro de esta. Constituye uno de los componentes principales de la Agenda Digital para Europa, que es a su vez una iniciativa emblemática de la estrategia Europa 2020.

1.6. Duración e incidencia financiera

( Propuesta/iniciativa de duración limitada

- ( La prórroga de cinco años se iniciará el 14.3.2012, o el día en que entre en vigor el Reglamento si esta fecha es posterior.

- ( Incidencia financiera desde 2012 hasta 2017

( Propuesta/iniciativa de duración ilimitada

- Ejecución con una fase de puesta en marcha de YYYY a YYYY,

- y con funcionamiento a ritmo de crucero a partir de dicha fecha.

1.7. Modo(s) de gestión previsto(s)[39]

( Gestión centralizada directa por la Comisión

( Gestión centralizada indirecta con delegación de competencias de ejecución en:

- ( agencias ejecutivas

- ( organismos creados por las Comunidades[40]

- ( organismos públicos nacionales/organismos con una misión de servicio público

- ( personas a quienes se haya encomendado la ejecución de acciones específicas de conformidad con el título V del Tratado de la Unión Europea, definidas en el acto de base correspondiente según lo dispuesto en el artículo 49 del Reglamento financiero

( Gestión compartida con los Estados miembros

( Gestión descentralizada con terceros países

( Gestión conjunta con organizaciones internacionales ( especifíquese )

2. MEDIDAS DE GESTIÓN

2.1. Disposiciones en materia de seguimiento e informes

El Director Ejecutivo es responsable del seguimiento y la evaluación efectivos del funcionamiento de la Agencia con respecto a sus objetivos, y cada año debe presentar un informe al Consejo de Administración.

El Director Ejecutivo elabora un informe general sobre todas las actividades de la Agencia durante el año anterior, comparando, en particular, los resultados obtenidos respecto a los objetivos del programa de trabajo anual. Una vez aprobado por el Consejo de Administración, este informe se envía al Parlamento Europeo, al Consejo, a la Comisión, al Tribunal de Cuentas, al Comité Económico y Social Europeo y al Comité de las Regiones y se publica.

2.2. Sistema de gestión y control

2.2.1. Riesgo(s) definido(s)

Desde su creación en 2004, ENISA ha sido objeto de evaluaciones externas e internas.

De conformidad con el artículo 25 del Reglamento ENISA, el primer paso en este proceso fue una evaluación independiente efectuada por un grupo de expertos externos en 2006-2007. El informe de este grupo de expertos externos[41] confirmó que las razones políticas originales para crear ENISA y sus objetivos iniciales seguían siendo válidos; también resultó sumamente útil para plantear algunas de las cuestiones que deben abordarse.

En marzo de 2007, la Comisión presentó un informe sobre la evaluación al Consejo de Administración, que posteriormente formuló sus propias recomendaciones sobre el futuro de la Agencia y sobre las modificaciones que convendría introducir en el Reglamento ENISA[42].

En junio de 2007, la Comisión presentó su propio análisis de los resultados de la evaluación externa y de las recomendaciones del Consejo de Administración en una Comunicación al Parlamento Europeo y al Consejo[43]. En la Comunicación se exponía la necesidad de decidir entre una prórroga del mandato de la Agencia y su sustitución por otro mecanismo, como un foro permanente de agentes interesados o una red de organizaciones relacionadas con la seguridad. Con la Comunicación también se puso en marcha una consulta pública sobre esta cuestión, solicitando las aportaciones de los interesados europeos con una lista de preguntas para orientar los futuros debates[44].

2.2.2. Método(s) de control previsto(s)

Véanse los puntos 2.1 y 2.2.1.

2.3. Medidas de prevención del fraude y las irregularidades

El personal de la Agencia inspecciona los pagos efectuados por cualesquiera servicios o estudios antes de que se proceda a ningún desembolso, teniendo en cuenta las obligaciones contractuales, los principios económicos y las buenas prácticas financieras y de gestión. En todos los acuerdos y contratos celebrados entre la Agencia y los beneficiarios de pagos se incluirán disposiciones antifraude (supervisión, requisitos de información, etc.).

3. INCIDENCIA FINANCIERA ESTIMADA DE LA PROPUESTA/INICIATIVA*

3.1. Rúbrica(s) del Marco Financiero Plurianual y línea(s) presupuestaria(s) de gastos afectada(s)

- Líneas presupuestarias de gastos existentes

Rúbrica del Marco Financiero Plurianual | Línea presupuestaria | Naturaleza del gasto | Contribución |

Nº / Descripción | CD/CND ([45]) | de países de la AELC[46] | de países candidatos[47] | de terceros países | a efectos del artículo 18, apartado 1, letra a bis), del Reglamento financiero |

1.a Competitividad para el crecimiento y el empleo | 09 02 03 01 Agencia Europea de Seguridad de las Redes y de la Información – Subvenciones con cargo a los títulos 1 y 2 | CD | SÍ | NO | NO | NO |

09 02 03 02 Agencia Europea de Seguridad de las Redes y de la Información – Subvenciones con cargo al título 3 | CD | SÍ | NO | NO | NO |

5 Gastos administrativos | 09 01 01 Gastos conexos al personal en activo en el ámbito de la política de sociedad de la información y medios de comunicación | CND | NO | NO | NO | NO |

09 01 02 11 Otros gastos de gestión | CND | NO | NO | NO | NO |

* La incidencia financiera estimada de la propuesta para el período posterior al actual período de programación financiera 2007-2013 no queda cubierta por la presente ficha financiera legislativa. Sobre la base de la propuesta de la Comisión sobre el reglamento que establezca el marco financiero plurianual posterior a 2013, y teniendo en cuenta las conclusiones de la evaluación de impacto, la Comisión presentará una ficha financiera legislativa modificada.

3.2. Incidencia estimada sobre los gastos

3.2.1. Síntesis de la incidencia estimada sobre los gastos

En millones EUR (al 3er. decimal)

Rúbrica del Marco Financiero Plurianual: | 1.a | Competitividad para el crecimiento y el empleo |

Empleos de plantilla (puestos de funcionarios y agentes temporales) |

XX 01 01 01 (Sede y Oficinas de Representación de la Comisión) | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- |

TOTAL | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- |

- b) Recursos humanos de ENISA

1 de enero – 13 de marzo de 2012 | 14 de marzo – 31 de dic. de 2012 | 2013 | 2014 | 2015 | 2016 | 1 de enero – 13 de marzo de 2017 |

Empleos de plantilla de ENISA (en equivalente a jornada completa: EJC) |

Otro personal (en EJC) |

Agentes contractuales | 13 | 14 | 14 | -- | -- | -- | -- |

Expertos nacionales en comisión de servicios | 5 | 5 | 5 | -- | -- | -- | -- |

Total de otro personal | 18 | 19 | 19 | -- | -- | -- | -- |

TOTAL | 62 | 66 | 66 | -- | -- | -- | -- |

Descripción de los cometidos que desempeñará el personal de la Agencia:

Funcionarios y agentes temporales | La Agencia seguirá: teniendo funciones consultivas y de coordinación, en virtud de las cuales recopilará y analizará datos sobre seguridad de la información; hoy en día, organizaciones tanto públicas como privadas con distintos objetivos recogen datos sobre incidentes informáticos y otros datos relevantes para la seguridad de la información; sin embargo, no hay ninguna entidad central de ámbito europeo que pueda, exhaustivamente, recoger y analizar datos y ofrecer dictámenes y asesoramiento para respaldar el trabajo normativo de la Unión en materia de seguridad de las redes y de la información; sirviendo de centro de conocimientos técnicos al que tanto los Estados miembros como las instituciones europeas podrán solicitar dictámenes y asesoramiento sobre cuestiones técnicas relativas a la seguridad; contribuyendo a una amplia cooperación entre los distintos agentes del campo de la seguridad de la información, por ejemplo asistiéndoles en las actividades de seguimiento necesarias para garantizar la seguridad de los negocios electrónicos (e-business); esta cooperación será un requisito previo esencial para el funcionamiento seguro de las redes y los sistemas de información en Europa; es imprescindible la participación e implicación de todos los interesados; contribuyendo a un enfoque coordinado en materia de seguridad de la información, prestando apoyo a los Estados miembros, por ejemplo en la promoción de actividades de evaluación de riesgos y de sensibilización; garantizando la interoperabilidad de las redes y los sistemas de información cuando los Estados miembros apliquen requisitos técnicos que afecten a la seguridad; identificando las necesidades de normalización pertinentes y evaluando las normas de seguridad y los sistemas de certificación en vigor y fomentando su uso más amplio posible en apoyo de la legislación europea; respaldando la cooperación internacional en este ámbito, cada vez más necesaria dado el carácter mundial de la problemática de la seguridad de las redes y de la información. |

Personal externo | Véase más arriba. |

- 3.2.4. Compatibilidad con el Marco Financiero Plurianual vigente

- ( La propuesta/iniciativa es compatible con el Marco Financiero Plurianual vigente.

- ( La propuesta/iniciativa implica una reprogramación de la rúbrica afectada del Marco Financiero Plurianual.

- ( La propuesta/iniciativa requiere el recurso al Instrumento de Flexibilidad o la revisión del Marco Financiero Plurianual[49].

La financiación de la UE después de 2013 se examinará en el contexto de un debate a nivel de la Comisión sobre todas las propuestas para el período posterior a 2013. Esto significa que, una vez que la Comisión haya formulado su propuesta relativa al próximo marco financiero plurianual, la Comisión presentará una ficha financiera legislativa modificada que tenga en cuenta las conclusiones de la evaluación de impacto.

3.2.5. Contribuciones de terceros

- ( La propuesta/iniciativa no prevé la cofinanciación por terceras partes

- ( La propuesta/iniciativa prevé una cofinanciación estimada a continuación:

Créditos indicativos en millones EUR (al 3er. decimal)

|1 de enero – 13 de marzo de 2012 |14 de marzo – 31 de dic. de 2012 |2013 |2014 |2015 |2016 |1 de enero – 13 de marzo de 2017 | TOTAL 14 de marzo de 2012 – 13 de marzo de 2017 | |AELC |0,042 |0,160 |0,206 |-- |-- |-- |-- |-- | |

3.3. Incidencia estimada sobre los ingresos

- ( La propuesta/iniciativa carece de incidencia financiera en los ingresos.

- ( La propuesta/iniciativa tiene la incidencia financiera que se indica a continuación:

- ( en los recursos propios

- ( en los ingresos varios

[1] Reglamento (CE) n° 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información (DO L 77 de 13.3.2004, p. 1).

[2] Reglamento (CE) nº 1007/2008 del Parlamento Europeo y del Consejo, de 24 de septiembre de 2008, que modifica el Reglamento (CE) nº 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información, en lo que respecta a su duración (DO L 293 de 31.10.2008, p.1).

[3] El informe de síntesis sobre los resultados de la consulta pública « Towards a Strengthened Network and Information Security Policy in Europe » figura como anexo 11 de la evaluación de impacto que acompaña a la presente propuesta.

[4] COM(2009) 149 de 30.3.2009.

[5] Documento de debate: http://www.tallinnciip.eu/doc/discussion_paper_-_tallinn_ciip_conference.pdf

Conclusiones de la Presidencia:http://www.tallinnciip.eu/doc/EU_Presidency_Conclusions_Tallinn_CIIP_Conference.pdf.

[6] Resolución del Consejo, de 18 de diciembre de 2009, relativa a un planteamiento de colaboración en materia de seguridad de las redes y de la información (DO C 321 de 29.12.2009, p. 1),http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2009:321:0001:0004:EN:PDF.

[7] COM(2010) 245 de 19.5.2010.

[8] La Resolución del Consejo, de 18 de diciembre de 2009, relativa a un planteamiento de colaboración en materia de seguridad de las redes y de la información, indica asimismo que: «El Consejo […] reconoce […] la importancia de examinar los efectos estratégicos, los riesgos y las perspectivas de la creación de CERT para las instituciones de la UE y de considerar el posible papel futuro de la ENISA a este respecto».

[9] Véase el anexo XI de la evaluación de impacto.

[10] Véase el anexo IV de la evaluación de impacto.

[11] DO C 115 de 9.5.2008, p. 94.

[12] TJE 2.5.2006, C-217/04, Reino Unido de Gran Bretaña e Irlanda del Norte contra Parlamento Europeo y Consejo de la Unión Europea.

[13] Véase más arriba.

[14] El procedimiento legislativo ordinario difiere, en particular, en cuanto a la mayoría requerida en el Consejo y el PE.

[15] DO C de, p. .

[16] DO C de, p. .

[17] DO L 77 de 13.3.2004, p. 1.

[18] DO L 293 de 31.10.2008, p. 1.

[19] COM(2006) 251 de 31.5.2006.

[20] Resolución del Consejo, de 22 de marzo de 2007, sobre una estrategia para una sociedad de la información segura en Europa (DO C 68 de 24.3.2007, p. 1).

[21] COM(2009) 149 de 30.3.2009.

[22] Resolución del Consejo, de 18 de diciembre de 2009, relativa a un planteamiento de colaboración en materia de seguridad de las redes y de la información (DO C 321 de 29.12.2009, p. 1).

[23] COM(2010) 245 de 19.5.2010.

[24] DO L 108 de 24.4.2002, p. 33.

[25] DO L 201 de 31.7.2002, p. 37.

[26] DO L 281 de 23.11.1995, p. 31.

[27] DO L 337 de 18.12.2009, p. 1.

[28] DO L 204 de 21.7.1998, p. 37.

[29] Reglamento (CE) nº 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).

[30] Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

[31] DO L 357 de 31.12.2002, p. 72.

[32] DO L 317 de 3.12.2001, p. 1.

[33] DO L 136 de 31.5.1999, p. 1.

[34] DO L 136 de 31.5.1999, p. 15.

[35] DO L 248 de 16.9.2002, p. 1.

[36] DO 17 de 6.10.1958, p. 385/58. Reglamento modificado en último lugar por el Acta de Adhesión de 1994.

[37] GBA: Gestión basada en las Actividades – PPA: Presupuestación por Actividades.

[38] Tal como se contempla en el artículo 49, apartado 6, letras a) o b), del Reglamento financiero.

[39] Las explicaciones sobre los modos de gestión y las referencias al Reglamento financiero pueden consultarse en el sitio BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[40] Tal como se contemplan en el artículo 185 del Reglamento financiero.

[41] http://ec.europa.eu/dgs/information_society/evaluation/studies/index_en.htm.

[42] Conforme a lo dispuesto en el artículo 25 del Reglamento ENISA. El texto completo del documento adoptado por el Consejo de Administración de la ENISA, que también contiene las consideraciones de dicho Consejo, está disponible en el siguiente sitio web: http://enisa.europa.eu/pages/03_02.htm.

[43] Comunicación de la Comisión al Parlamento Europeo y al Consejo sobre la evaluación de la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), COM(2007) 285 final de 1.6.2007: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52007DC0285:EN:NOT.

[44] http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=EnisaFuture&lang=en.

[45] CD= Créditos disociados / CND= Créditos no disociados.

[46] AELC: Asociación Europea de Libre Comercio

[47] Países candidatos y, cuando proceda, países candidatos potenciales de los Balcanes Occidentales.

[48] El anexo de la ficha financiera legislativa no está cumplimentado por no ser aplicable a la propuesta.

[49] Véanse los puntos 19 y 24 del Acuerdo Interinstitucional.