Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 32013R0526

Reglamento (UE) n o  526/2013 del Parlamento Europeo y del Consejo, de 21 de mayo de 2013 , relativo a la Agencia de Seguridad de las Redes de la Información de la Unión Europea (ENISA) y por el que se deroga el Reglamento (CE) n o  460/2004 Texto pertinente a efectos del EEE

OJ L 165, 18.6.2013, p. 41–58 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 13 Volume 066 P. 127 - 144

In force

ELI: http://data.europa.eu/eli/reg/2013/526/oj

18.6.2013   

ES

Diario Oficial de la Unión Europea

L 165/41


REGLAMENTO (UE) No 526/2013 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

de 21 de mayo de 2013

relativo a la Agencia de Seguridad de las Redes de la Información de la Unión Europea (ENISA) y por el que se deroga el Reglamento (CE) no 460/2004

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

De conformidad con el procedimiento legislativo ordinario (2),

Considerando lo siguiente:

(1)

Las comunicaciones, infraestructuras y servicios electrónicos se han convertido en factores esenciales, tanto directa como indirectamente, del desarrollo económico y social. Desempeñan un papel vital para la sociedad y se han convertido en servicios ubicuos en sí mismos, en el mismo sentido que el suministro de electricidad o de agua, además de constituir factores esenciales para el suministro de electricidad, agua y otros servicios críticos. Las redes de comunicaciones funcionan como catalizadores sociales y de la innovación, multiplicando el impacto de la tecnología y dando forma a los comportamientos de los consumidores, a los modelos empresariales y a las industrias, así como a la ciudadanía y a la participación política. Las perturbaciones de las mismas podrían ocasionar un perjuicio físico, social y económico considerable, lo que resalta la importancia de las medidas encaminadas a incrementar la protección y la resistencia con objeto de garantizar la continuidad de los servicios críticos. La seguridad de las comunicaciones, infraestructuras y servicios electrónicos, y en particular su integridad, disponibilidad y confidencialidad, se enfrenta a retos en constante progresión, relacionados, entre otros, con los diferentes elementos de las infraestructuras de comunicación y los programas informáticos que controlan dichos elementos, las infraestructuras en general y los servicios ofrecidos a través de dichas infraestructuras. Esto inquieta cada vez más a la sociedad, entre otras cosas por la posibilidad de que los problemas causados por la complejidad del sistema, deficiencias de funcionamiento, fallos sistémicos, accidentes, errores y ataques puedan tener consecuencias para la infraestructura física y electrónica que permite prestar unos servicios críticos para el bienestar de los ciudadanos europeos.

(2)

El panorama de las amenazas cambia constantemente, y los incidentes relacionados con la seguridad pueden hacer perder a los usuarios su confianza en la tecnología, las redes y los servicios, afectando con ello a su capacidad de aprovechar todas las posibilidades que brinda el mercado interior y el uso generalizado de las tecnologías de la información y la comunicación (TIC).

(3)

Por consiguiente, una evaluación periódica del estado de la seguridad de las redes y de la información en la Unión, basada en datos europeos fiables, así como una previsión sistemática de los futuros avances, retos y amenazas, tanto en el ámbito de la Unión como mundial, son importantes para los responsables políticos, la industria y los usuarios.

(4)

Mediante la Decisión 2004/97/CE, Euratom (3), adoptada en la reunión del Consejo Europeo el 13 de diciembre de 2003, los representantes de los Estados miembros decidieron que la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) que se estableciera sobre la base de la propuesta presentada por la Comisión tendría su sede en la ciudad de Grecia que determinara el Gobierno griego. A raíz de dicha Decisión, el Gobierno griego determinó que ENISA tendría su sede en Irákleio, Creta.

(5)

El 1 de abril de 2005 se celebró un Acuerdo de Sede entre la Agencia y el Estado miembro anfitrión.

(6)

El Estado miembro que acoge a la Agencia debe ofrecer las mejores condiciones posibles para un funcionamiento correcto y eficaz de la Agencia. Para el desempeño correcto y eficaz de su cometido, para atraer y conservar al personal y para facilitar el establecimiento de contactos con el exterior es necesario que la Agencia tenga su sede en un lugar adecuado que, entre otras cosas, ofrezca conexiones de transporte adecuadas y servicios para los cónyuges y los hijos que acompañen al personal. Las disposiciones necesarias deben recogerse en un acuerdo entre la Agencia y el Estado miembro anfitrión cuya celebración ha de contar con la aprobación del Consejo de Administración de la Agencia.

(7)

Con vistas a mejorar la eficacia operativa de la Agencia, esta ha establecido una oficina en el área metropolitana de Atenas, que debe mantenerse con el acuerdo y el apoyo del Estado miembro anfitrión, y en la que debe estar situado el personal operativo de la Agencia. La parte del personal dedicada fundamentalmente a la administración de la agencia (incluido el director ejecutivo), los departamentos de finanzas, documentación y análisis, informática y gestión de instalaciones, recursos humanos, formación, y comunicación y relaciones públicas deben tener su base en Irákleio.

(8)

La Agencia tiene derecho a decidir sobre su propia organización, con el fin de asegurar el desempeño correcto y eficaz de su cometido, respetando a un tiempo las disposiciones sobre la sede y la oficina de Atenas que se incluyen en el presente Reglamento. En particular, con miras a desempeñar las funciones que impliquen una interacción con los actores más importantes, como las instituciones de la Unión, la Agencia debe tomar las medidas prácticas necesarias para mejorar la eficiencia operativa.

(9)

En 2004 el Parlamento Europeo y el Consejo adoptaron el Reglamento (CE) no 460/2004 (4) por el que se crea ENISA con el objetivo de contribuir a garantizar un nivel efectivo y elevado de seguridad de las redes y de la información dentro de la Unión y a desarrollar una cultura de la seguridad de las redes y de la información en beneficio de los ciudadanos, los consumidores, las empresas y las administraciones públicas. En 2008, el Parlamento Europeo y el Consejo adoptaron el Reglamento (CE) no 1007/2008 (5), que prorrogaba el mandato de la Agencia hasta marzo de 2012. El Reglamento (CE) no 580/2011 (6) prorrogaba el mandato de la Agencia hasta el 13 de septiembre de 2013.

(10)

La Agencia debe ser sucesora de ENISA, que fue establecida por el Reglamento (CE) no 460/2004. Dentro del marco de la Decisión de los Representantes de los Estados miembros, reunidos en el Consejo Europeo de 13 de diciembre de 2003, el Estado miembro anfitrión debe mantener y desarrollar los mecanismos prácticos actuales para garantizar un funcionamiento correcto y eficiente de la Agencia, incluida su oficina de Atenas, y debe facilitar la contratación y conservación de personal altamente cualificado.

(11)

Desde la creación de ENISA, los retos que plantea la seguridad de las redes y de la información han cambiado, al evolucionar la tecnología, el mercado y el contexto socioeconómico, y han sido objeto de ulterior reflexión y debate. En respuesta a estos retos cambiantes, la Unión ha actualizado sus prioridades en el ámbito de la política de seguridad de las redes y de la información. El presente Reglamento tiene por objetivo reforzar la Agencia para contribuir satisfactoriamente a los esfuerzos de las instituciones de la Unión y de los Estados miembros por desarrollar una capacidad europea que permita afrontar los retos que plantea la seguridad de las redes y de la información.

(12)

Las medidas de mercado interior en el ámbito de la seguridad de las comunicaciones electrónicas y, más en general, de la seguridad de las redes y de la información, exigen diferentes formas de aplicaciones técnicas y organizativas por parte de las instituciones de la Unión y de los Estados miembros. La aplicación heterogénea de estos requisitos puede generar ineficiencias y poner trabas al mercado interior. Esta consideración requiere la existencia de un centro de conocimiento especializado en el ámbito de la Unión que ofrezca orientación, asesoramiento y asistencia en relación con la seguridad de las redes y de la información, al cual puedan recurrir las instituciones de la Unión y los Estados miembros. La Agencia puede satisfacer estas necesidades desarrollando y manteniendo un alto nivel de conocimientos especializados y prestando asistencia a las instituciones de la Unión, a los Estados miembros y a la comunidad empresarial, con el fin de ayudarlos a cumplir los requisitos legales y reglamentarios en materia de seguridad de las redes y de la información, y a detectar y abordar los problemas de seguridad de las redes y de la información, contribuyendo así al correcto funcionamiento del mercado interior.

(13)

La Agencia debe llevar a cabo las tareas que le confieren los actos jurídicos de la Unión en el ámbito de las comunicaciones electrónicas y, en general, contribuir a mejorar el nivel de la seguridad de las comunicaciones electrónicas, así como la protección de la intimidad y de los datos personales, entre otras cosas, aportando conocimientos y asesoramiento, promoviendo el intercambio de buenas prácticas y haciendo propuestas de actuación.

(14)

La Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) (7), exige que los proveedores de redes públicas de comunicaciones o servicios de comunicaciones electrónicas disponibles para el público adopten las medidas adecuadas para salvaguardar su integridad y seguridad e introduce la obligación de que, cuando proceda, las autoridades nacionales de reglamentación informen, entre otros, a la Agencia de las violaciones de la seguridad o las pérdidas de integridad que hayan tenido una repercusión significativa en el funcionamiento de las redes o servicios, y de que presenten a la Agencia un informe anual de síntesis sobre las notificaciones recibidas y las medidas adoptadas. La Directiva 2002/21/CE solicita además que la Agencia contribuya, mediante la emisión de dictámenes, a la armonización de las medidas de seguridad técnicas y organizativas apropiadas.

(15)

La Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (8), exige que los proveedores de servicios de comunicaciones electrónicas accesibles para el público tomen las medidas técnicas y de organización necesarias para velar por la seguridad de sus servicios, y estipula igualmente que se mantenga la confidencialidad de las comunicaciones y los datos de tráfico asociados a las mismas. La Directiva 2002/58/CE introduce requisitos de información y notificación sobre violación de datos personales en relación con los proveedores de servicios de comunicaciones electrónicas. Exige igualmente que la Comisión consulte a la Agencia sobre cualquier medida técnica de ejecución que vaya a adoptarse en relación con las circunstancias o el formato de los requisitos de información y notificación, así como de los procedimientos aplicables a los mismos. La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos (9), estipula que los Estados miembros deben establecer la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas para la protección de datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, así como contra cualquier otra forma de tratamiento ilícito.

(16)

La Agencia debe contribuir al establecimiento de un elevado nivel de seguridad de las redes y de la información en la Unión y a una mejor protección de la intimidad y de los datos personales, así como al desarrollo y promoción de una cultura de la seguridad de las redes y de la información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector público en la Unión, contribuyendo con ello al adecuado funcionamiento del mercado interior. Para lograr este objetivo, se deben asignar a la Agencia recursos presupuestarios suficientes.

(17)

En vista de la importancia creciente de las redes y las comunicaciones electrónicas, que en este momento constituyen la columna vertebral de la economía europea, y del tamaño real de la economía digital, debería incrementarse de modo significativo los recursos financieros y humanos asignados a la Agencia, a la altura de la mayor relevancia de su papel y sus funciones, así como de su posición crítica en defensa del ecosistema digital europeo.

(18)

La Agencia debe actuar como un punto de referencia que genere confianza en virtud de su independencia, la calidad del asesoramiento prestado y la información difundida, la transparencia de sus procedimientos y métodos de funcionamiento, y su diligencia en el desempeño de sus tareas. Debe apoyarse en los esfuerzos realizados a nivel nacional y de la Unión y, por consiguiente, desempeñar sus funciones cooperando plenamente con las instituciones, órganos y organismos de la Unión y los Estados miembros, y estar abierta a contactos con la industria y otras partes interesadas. Además, la Agencia debe apoyarse en las aportaciones del sector privado y en la cooperación con el mismo, ya que desempeña un papel importante en la seguridad de las comunicaciones, infraestructuras y servicios electrónicos.

(19)

Debe existir un conjunto de funciones que indique cómo debe alcanzar la Agencia sus objetivos, pero permita cierta flexibilidad en su funcionamiento. Las funciones de la Agencia deben incluir la recopilación de los datos y la información adecuados para llevar a cabo análisis de los riesgos para la seguridad y resistencia de las comunicaciones, infraestructuras y servicios electrónicos y para evaluar, en cooperación con los Estados miembros, la Comisión y, si procede, las partes interesadas pertinentes, el estado de la seguridad de las redes y de la información en la Unión. La Agencia debe garantizar la coordinación y la colaboración con las instituciones, órganos y organismos de la Unión, y los Estados miembros, y potenciar la cooperación entre las partes interesadas en Europa, en particular implicando en sus actividades a los organismos nacionales y de la Unión competentes y a expertos de alto nivel del sector privado en materia de seguridad de las redes y de la información en ámbitos pertinentes, en especial proveedores de redes y servicios de comunicaciones electrónicas, fabricantes de equipos en red y vendedores de programas informáticos, teniendo en cuenta que los sistemas de redes y de información están constituidos por una combinación de equipos, programas informáticos y servicios. La Agencia debe asistir a las instituciones de la Unión y a los Estados miembros en su diálogo con el sector industrial para hacer frente a los problemas relacionados con la seguridad en los equipos y programas informáticos, contribuyendo de esta forma a un planteamiento de colaboración en relación con la seguridad de las redes y de la información.

(20)

Con el fin de mantener informada a la Agencia y de evitar la duplicación de esfuerzos, deben transmitirse a la Agencia para su información las estrategias de seguridad de las redes y de la información que hagan públicas las instituciones, órganos y organismos de la Unión o los Estados miembros. La Agencia debe analizar las estrategias y promover su presentación en un formato que facilite la comparación. Debe poner las estrategias y su análisis a disposición del público por medios electrónicos.

(21)

La Agencia debe prestar asistencia a la Comisión mediante asesoramiento, dictámenes y análisis en todos los asuntos de la Unión relacionados con la formulación de políticas en el ámbito de la seguridad de las redes y de la información, con inclusión de la protección de infraestructuras críticas de información y la resistencia. La Agencia debe también asistir a las instituciones, órganos y organismos de la Unión, y, cuando proceda, a los Estados miembros que lo soliciten, en sus esfuerzos por desarrollar una política y una capacidad en materia de seguridad de las redes y de la información.

(22)

La Agencia debe tener plenamente en cuenta las actividades actualmente en curso de investigación, desarrollo y evaluación tecnológica, en especial las llevadas a cabo por las distintas iniciativas de investigación de la Unión, para asesorar a las instituciones, órganos y organismos de la Unión y, cuando proceda, a los Estados miembros que lo soliciten sobre las necesidades de investigación en el ámbito de la seguridad de las redes y de la información.

(23)

La Agencia debe asistir a las instituciones, órganos y organismos de la Unión y a los Estados miembros en sus esfuerzos por conformar y mejorar la capacidad y la preparación transfronterizas para prevenir, detectar y dar respuesta a los problemas e incidentes relacionados con la seguridad de las redes y de la información. En este contexto, la Agencia debe facilitar la cooperación entre los Estados miembros y entre la Comisión y otras instituciones, órganos y organismos de la Unión y los Estados miembros. A tal efecto, la Agencia debe respaldar a los Estados miembros que se lo soliciten en sus esfuerzos permanentes por mejorar su capacidad de respuesta y organizar y llevar a cabo ejercicios europeos de ciberseguridad y, a instancias de un Estado miembro, ejercicios nacionales.

(24)

Para comprender mejor los retos en el campo de la seguridad de las redes y de la información, la Agencia necesita analizar los riesgos actuales y emergentes. A tal efecto, la Agencia, en cooperación con los Estados miembros y, si procede, con los organismos estadísticos o de otro tipo, debe recopilar la información pertinente. Además, la Agencia debe asistir a las instituciones, órganos y organismos de la Unión, y a los Estados miembros en sus esfuerzos por recopilar, analizar y difundir datos sobre la seguridad de las redes y de la información. La recopilación de la información y los datos estadísticos adecuados que se requieren para llevar a cabo los análisis de los riesgos para la seguridad y resistencia de las comunicaciones, infraestructuras y servicios electrónicos debe llevarse a cabo sobre la base de la información facilitada por los Estados miembros y el conocimiento de la Agencia de las infraestructuras de las TIC de las instituciones de la Unión, de conformidad con las disposiciones de la Unión y las disposiciones nacionales acordes con el Derecho de la Unión. Basándose en dicha información, la Agencia debe mantenerse al día de la situación más reciente de la seguridad de las redes y de la información y de las tendencias en este ámbito en la Unión en beneficio de las instituciones órganos y organismos de la Unión, y de los Estados miembros.

(25)

Al desempeñar sus funciones, la Agencia debe facilitar la cooperación entre la Unión y los Estados miembros para mejorar el conocimiento sobre el estado de la seguridad de las redes y de la información en la Unión.

(26)

La Agencia debe facilitar la cooperación entre las autoridades de reglamentación independientes competentes de los Estados miembros, en particular respaldando el desarrollo, la promoción y el intercambio de buenas prácticas y normas para los programas de educación y de sensibilización. Un mayor intercambio de información entre Estados miembros facilitará tales actuaciones. La Agencia debe contribuir a la sensibilización de los usuarios de las comunicaciones, infraestructuras y servicios electrónicos, entre otras formas, asistiendo a los Estados miembros que opten por recurrir a la plataforma de información de interés público prevista en la Directiva 2002/22/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas (Directiva servicio universal) (10), para que presenten la información de interés público relevante en materia de seguridad de las redes y de la información y asistiendo también en el desarrollo de dicha información para incluirla en la oferta de nuevos dispositivos destinados al uso en redes públicas de comunicación. La Agencia debe apoyar también la cooperación entre las partes interesadas a nivel de la Unión, entre otras cosas promoviendo el intercambio de información, las campañas de sensibilización y los programas de educación y formación.

(27)

La Agencia debe, entre otras cosas, ayudar a las instituciones, órganos y organismos de la Unión y a los Estados miembros en campañas de educación pública destinadas a los usuarios finales, con miras a promover comportamientos individuales en línea más seguros y a concienciar sobre las amenazas potenciales en el ciberespacio, incluyendo ciberdelitos como los ataques por suplantación de identidad (phishing), las redes infectadas (botnets) o los fraudes bancarios y financieros, así como dar consejos básicos en materia de autentificación y protección de datos.

(28)

Para garantizar que alcanza plenamente sus objetivos, la Agencia debe estar en contacto con los organismos pertinentes, incluidos los que se dedican a la lucha contra la ciberdelincuencia, como Europol, y a la protección de la intimidad, para intercambiar conocimientos y mejores prácticas y facilitar asesoramiento sobre los aspectos de la seguridad de las redes y de la información que pudieran tener repercusiones en su labor. La Agencia debe proponerse crear sinergias entre los esfuerzos realizados por dichos organismos y por ella misma para fomentar una mayor seguridad de las redes y de la información. Los representantes de las autoridades nacionales y de la Unión encargadas de hacer cumplir la ley y proteger la intimidad deben poder estar representados en el Grupo Permanente de Partes Interesadas de la Agencia. En sus relaciones con los organismos encargados de hacer cumplir la ley en los aspectos relacionados con la seguridad de las redes y de la información que puedan tener repercusiones en el trabajo de dichos organismos, la Agencia debe respetar los canales de información y las redes existentes.

(29)

La Comisión ha puesto en marcha una asociación público-privada europea en materia de resistencia como plataforma de cooperación flexible a escala de la Unión en favor de la resistencia de la infraestructura de las TIC, en la que la Agencia debe desempeñar una función facilitadora reuniendo a las partes interesadas, a fin de debatir las prioridades de la política pública, las dimensiones económicas y de mercado de los retos y las medidas en favor de la resistencia de la infraestructura de las TIC.

(30)

Para promover la seguridad de las redes y de la información y su proyección pública, la Agencia debe facilitar la cooperación entre los organismos públicos competentes de los Estados miembros, en particular apoyando el desarrollo y el intercambio de buenas prácticas y programas de sensibilización y mejorando las actividades de promoción. La Agencia debe apoyar también la cooperación entre las partes interesadas y las instituciones de la Unión, entre otras cosas promoviendo el intercambio de información y las actividades de sensibilización.

(31)

Para fomentar un nivel avanzado de seguridad de las redes y de la información en la Unión, la Agencia debe promover la cooperación y el intercambio de información y buenas prácticas entre los organismos pertinentes, como los Equipos de intervención ante incidentes de seguridad informática (CSIRT) y los Equipos de intervención ante emergencias informáticas (CERT).

(32)

La infraestructura de seguridad de las redes y de la información de la Unión debe tener como uno de sus pilares a un sistema de CERT a escala de la Unión que funcione satisfactoriamente. La Agencia debe apoyar a los CERT de los Estados miembros y de la Unión en el funcionamiento de una red de CERT que incluya a los miembros del Grupo de CERT gubernamentales europeos. Para contribuir a garantizar que todos los CERT cuentan con capacidades suficientemente avanzadas y que dichas capacidades corresponden, en la medida de lo posible, a las capacidades de los CERT más avanzados, la Agencia debe promover la creación y el funcionamiento de un sistema de revisión interpares. Además, la Agencia debe promover y apoyar la cooperación entre los CERT pertinentes en caso de incidentes, ataques o perturbaciones en las redes o sistemas gestionados o protegidos por los CERT y que impliquen o puedan implicar a varios de CERT.

(33)

Las políticas de seguridad de redes e información eficientes deben basarse en métodos de evaluación de riesgos bien desarrollados, tanto en el sector público como en el privado. Los métodos y procedimientos de evaluación de riesgos se utilizan en distintos niveles sin que existan prácticas comunes para su aplicación eficiente. La promoción y el desarrollo de las buenas prácticas de evaluación de riesgos y de soluciones interoperables de gestión de riesgos en las organizaciones de los sectores público y privado incrementarán el nivel de seguridad de las redes y los sistemas de información en la Unión. A tal efecto, la Agencia debe apoyar la cooperación entre las partes interesadas a escala de la Unión, facilitando sus esfuerzos en relación con el establecimiento y la adopción de normas a escala europea e internacional para la gestión del riesgo y la seguridad mensurable de los productos, sistemas, redes y servicios, que, junto a los programas informáticos, conforman los sistemas de redes y de información.

(34)

Cuando resulte adecuado y conveniente para la realización de sus objetivos y funciones, la Agencia debe compartir experiencia e información general con las instituciones, órganos y organismos de la Unión que se ocupen de la seguridad de las redes y la información. La Agencia debe contribuir a identificar las prioridades de investigación, a escala de la Unión, en los ámbitos de la resistencia de las redes y de la seguridad de estas y de la información, y facilitar a instituciones de investigación pertinentes el conocimiento de las necesidades de la industria.

(35)

La Agencia debe alentar a los Estados miembros y los proveedores de servicios a aumentar sus niveles generales de seguridad, a fin de que todos los usuarios de internet tomen las medidas necesarias para garantizar su propia ciberseguridad personal.

(36)

Los problemas de seguridad de las redes y de la información son problemas de alcance mundial. Es necesaria una cooperación internacional más estrecha para mejorar las normas de seguridad, incluida la definición de normas de comportamiento y códigos de conducta comunes, y el intercambio de información, promoviendo una colaboración internacional que responda con mayor prontitud, así como un enfoque mundial común en relación con los problemas de la seguridad de las redes y de la información. A tal efecto, la Agencia debe respaldar una mayor participación de la Unión y la cooperación con los terceros países y las organizaciones internacionales proporcionando, cuando proceda, los conocimientos y el análisis necesarios a las instituciones, órganos y organismos de la Unión.

(37)

La Agencia debe actuar de conformidad con el principio de subsidiariedad, garantizando un grado de coordinación adecuado entre los Estados miembros en las cuestiones relacionadas con la seguridad de las redes y de la información y mejorando la eficacia de las políticas nacionales, aportándoles así valor añadido, y de conformidad con el principio de proporcionalidad, no excediendo de lo necesario para alcanzar los objetivos fijados por el presente Reglamento. El ejercicio de las funciones de la Agencia debe reforzar y no interferir, obstaculizar ni solaparse con competencias y funciones correspondientes de las autoridades nacionales de reglamentación contempladas en las Directivas relacionadas con las redes y los servicios de comunicaciones electrónicas, así como con las del Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (ORECE) establecido por el Reglamento (CE) no 1211/2009 (11) y el Comité de comunicaciones a que se refiere la Directiva 2002/21/CE, de los organismos europeos de normalización, los organismos nacionales de normalización y el Comité permanente que crea la Directiva 98/34/CE (12) y las autoridades de supervisión independientes de los Estados miembros según lo establecido en la Directiva 95/46/CE.

(38)

Es necesario aplicar determinados principios al gobierno de la Agencia con el fin de atenerse a la declaración conjunta y el enfoque común alcanzado en julio de 2012 sobre las agencias descentralizadas aprobado por el Grupo de trabajo interinstitucional sobre las agencias descentralizadas, siendo la finalidad de dicha declaración conjunta y enfoque común la racionalización las actividades de las agencias y mejorar su rendimiento.

(39)

La declaración conjunta y el enfoque común también han de quedar reflejados, cuando proceda, en los programas de trabajo de la Agencia, sus evaluaciones y sus prácticas administrativas de presentación de informes.

(40)

Para que la Agencia funcione correctamente, la Comisión y los Estados miembros deben garantizar que las personas que propongan para ser miembros del Consejo de Administración dispongan de las competencias profesionales adecuadas. La Comisión y los Estados miembros deben asimismo tratar de limitar la rotación de sus respectivos representantes en el Consejo de Administración con el fin de garantizar la continuidad en su labor.

(41)

Es fundamental que la Agencia se gane y mantenga una reputación de imparcialidad, integridad y alto nivel profesional. Por consiguiente, el Consejo de Administración debe adoptar normas exhaustivas para la prevención y gestión de conflictos de interés que abarquen a toda la Agencia.

(42)

Dadas las circunstancias excepcionales de la Agencia y la dificultad de los retos que afronta, se debe simplificar y reforzar su estructura organizativa para lograr incrementar la eficiencia y la eficacia. Por tanto, y entre otras medidas, se ha de crear un Comité Ejecutivo, de modo que el Consejo de Administración se centre en cuestiones de importancia estratégica.

(43)

El Consejo de Administración debe nombrar un contable de conformidad con las normas contenidas en el Reglamento (UE, Euratom) no 966/2012 (Reglamento Financiero) (13).

(44)

A fin de garantizar la eficacia de la Agencia, los Estados miembros y la Comisión deben estar representados en un Consejo de Administración que debe definir la orientación general del funcionamiento de la Agencia y garantizar que desempeña su cometido de conformidad con el presente Reglamento. El Consejo de Administración debe estar dotado de las facultades necesarias para establecer el presupuesto, supervisar su ejecución, aprobar el correspondiente reglamento financiero, establecer procedimientos de trabajo transparentes para la toma de decisiones por la Agencia, aprobar el programa de trabajo de la Agencia, su propio reglamento y el reglamento operativo interno de la Agencia, nombrar al director ejecutivo, decidir la prolongación del mandato del director ejecutivo tras consultar al Parlamento Europeo y decidir sobre el cese de dicho mandato. El Consejo de Administración debe crear un Comité Ejecutivo que le asista en el desempeño de su cometido en tareas administrativas y presupuestarias.

(45)

En aras del buen funcionamiento de la Agencia, es preciso que su director ejecutivo sea nombrado atendiendo a sus méritos y a su capacidad administrativa y de gestión debidamente acreditada, así como a su competencia y experiencia en relación con la seguridad de las redes y de la información. También es necesario que el director ejecutivo desempeñe sus obligaciones con completa independencia en lo tocante a la organización del funcionamiento interno de la Agencia. A tal efecto, el director ejecutivo debe preparar una propuesta de programa de trabajo de la Agencia, previa consulta con la Comisión, y tomar todas las medidas necesarias para garantizar la correcta ejecución de dicho programa de trabajo. El director ejecutivo debe preparar un proyecto de informe anual que presentará al consejo de administración, redactar un proyecto de declaración de las previsiones de ingresos y gastos de la Agencia y ejecutar el presupuesto.

(46)

El director ejecutivo debe tener la posibilidad de crear grupos de trabajo ad hoc para que examinen asuntos concretos, en particular los de índole científica, técnica o jurídica o socioeconómica. Para la creación de grupos de trabajo ad hoc, el director ejecutivo debe solicitar y utilizar las aportaciones de los expertos exteriores pertinentes necesarios para que la Agencia tenga acceso a la información más actualizada de que se disponga en relación con los retos en materia de seguridad que plantea la evolución de la sociedad de la información. El director ejecutivo debe garantizar que los miembros de los grupos de trabajo ad hoc sean seleccionados entre los expertos de mayor nivel, teniendo debidamente en cuenta la necesidad de lograr un equilibrio adecuado, según proceda en función de las cuestiones específicas, entre las administraciones públicas de los Estados miembros, las instituciones de la Unión, el sector privado, incluida la industria, los usuarios y los expertos académicos en seguridad de las redes y de la información. Cuando sea conveniente y caso por caso, el director ejecutivo debe poder invitar a participar en los procedimientos de los grupos de trabajo a expertos individuales de reconocida competencia en el ámbito de que se trate. La Agencia debe sufragar los gastos de estas personas con arreglo a su reglamento interno y de conformidad con las normas adoptadas con arreglo al Reglamento Financiero.

(47)

La Agencia debe contar con un Grupo Permanente de Partes Interesadas en calidad de organismo consultivo, a fin de garantizar un diálogo sistemático con el sector privado, las organizaciones de consumidores y otras partes interesadas pertinentes. El Grupo Permanente de Partes Interesadas, establecido por el Consejo de Administración a propuesta del director ejecutivo, debe centrarse en cuestiones que afecten a las partes interesadas y ponerlas en conocimiento de la Agencia. El director ejecutivo debe poder, cuando proceda y de acuerdo con el orden del día de las reuniones, invitar a representantes del Parlamento Europeo y de otros organismos pertinentes a que participen en reuniones del Grupo.

(48)

Dado que las partes interesadas están ampliamente representadas en el Grupo Permanente de Partes Interesadas y que este Grupo ha de ser consultado, entre otras cuestiones, a propósito del proyecto de programa de trabajo, ya no es necesario establecer que las partes interesadas estén representadas en el Consejo de Administración.

(49)

La Agencia debe aplicar las disposiciones pertinentes de la Unión relativa al acceso del público a los documentos, tal y como se establece en el Reglamento (CE) no 1049/2001 del Parlamento Europeo y del Consejo (14). La información tratada por la Agencia a efectos de su funcionamiento interno así como la información tratada durante la realización de sus actividades debe estar sujeta a las disposiciones del Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (15).

(50)

La Agencia debe cumplir las disposiciones aplicables a las instituciones de la Unión, así como la legislación nacional en materia de tratamiento de documentos de carácter sensible.

(51)

Con el fin de garantizar la plena autonomía e independencia de la Agencia y para que pueda llevar a cabo tareas adicionales y nuevas, incluidas tareas de emergencia imprevistas, se considera necesario conceder a la Agencia un presupuesto suficiente y autónomo cuyos ingresos procedan principalmente de una contribución de la Unión y de contribuciones de los terceros países que participen en los trabajos de la misma. La mayoría del personal de la Agencia debe estar dedicado directamente a la aplicación operativa del mandato de la Agencia. Debe permitirse que el Estado miembro que la acoge, o cualquier otro Estado miembro, efectúe aportaciones voluntarias a los ingresos de la Agencia. El procedimiento presupuestario de la Unión deber seguir siendo aplicable por lo que respecta a las subvenciones imputables al presupuesto general de la Unión Europea. Además, el Tribunal de Cuentas Europeo debe realizar una auditoría de las cuentas de la Agencia para garantizar transparencia y responsabilidad.

(52)

Dados el panorama siempre cambiante de las amenazas y la evolución de la política de la Unión en materia de seguridad de las redes y de la información, y con el fin de ajustarse al marco financiero plurianual, la duración del mandato de la Agencia debe limitarse a un período de siete años, con posibilidad de prorrogar dicho plazo.

(53)

Las actividades de la Agencia deben evaluarse de modo independiente. La evaluación debe analizar la eficacia de la Agencia en el logro de sus objetivos y a sus prácticas de trabajo y la pertinencia de sus tareas, a fin de determinar si siguen siendo válidos o no los objetivos de la Agencia y, sobre esta base, si debe prorrogarse la duración de sus mandato y cuánto debe durar tal prórroga.

(54)

Si hacia el final de la duración del mandato de la Agencia, la Comisión no ha presentado una propuesta de prórroga del mandato, la Agencia y la Comisión deben tomar las medidas que procedan, en particular por lo que se refiere a los contratos laborales y las medidas presupuestarias.

(55)

Dado que el objetivo del presente Reglamento, a saber, la creación de un Agencia de Seguridad de las Redes y de la Información de la Unión Europea con el fin de contribuir a un nivel elevado de seguridad de las redes y de la información en la Unión y a fin de sensibilizar a la sociedad y desarrollar y promover en ella una cultura de la seguridad de las redes y de la información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector público de la Unión, contribuyendo así a la realización y al correcto funcionamiento del mercado interior, no puede ser alcanzado de manera suficiente por los Estados miembros y, por consiguiente, puede lograrse mejor a nivel de la Unión, esta puede adoptar medidas de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(56)

El Reglamento (CE) no 460/2004 debe ser derogado.

(57)

El Supervisor Europeo de Protección de Datos fue consultado, de conformidad con el artículo 28, apartado 2, del Reglamento (CE) no 45/2001 y emitió su dictamen el 20 de diciembre de 2010 (16).

HAN ADOPTADO EL PRESENTE REGLAMENTO:

SECCIÓN 1

ÁMBITO DE APLICACIÓN, OBJETIVOS Y FUNCIONES

Artículo 1

Objeto y ámbito de aplicación

1.   El presente Reglamento establece una Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA; en lo sucesivo, «la Agencia») que asumirá las funciones que se le confieran con el objetivo de contribuir a un nivel elevado de seguridad de la información en la Unión y a fin de sensibilizar a la sociedad y desarrollar y promover en ella una cultura de la seguridad de las redes y de la información en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector público de la Unión, contribuyendo así a la realización y al correcto funcionamiento del mercado interior.

2.   Los objetivos y funciones de la Agencia se entenderán sin perjuicio de las competencias de los Estados miembros en materia de seguridad de las redes y de la información y, en todo caso, de las actividades relacionadas con la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando la cuestión esté relacionada con asuntos de seguridad del Estado) y de las actividades del Estado en ámbitos del Derecho penal.

3.   A efectos del presente Reglamento, se entenderá por «seguridad de las redes y de la información» la capacidad de las redes o los sistemas de información para resistir, con un nivel de confianza dado, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios conexos que dichas redes y sistemas ofrecen o hacen accesibles.

Artículo 2

Objetivos

1.   La Agencia desarrollará y mantendrá un alto nivel de conocimientos especializados.

2.   La Agencia ayudará a las instituciones, órganos y organismos de la Unión a desarrollar las políticas necesarias en materia de seguridad de las redes y de la información.

3.   La Agencia ayudará a las instituciones, órganos y organismos de la Unión y a los Estados miembros a aplicar las políticas necesarias para cumplir los requisitos legales y reglamentarios relativos a la seguridad de las redes y de la información que figuran en actos jurídicos actuales y futuros de la Unión, contribuyendo así al correcto funcionamiento del mercado interior.

4.   La Agencia ayudará a la Unión y a los Estados miembros a potenciar y reforzar su capacidad y preparación para prevenir, detectar y dar respuesta a los problemas e incidentes relacionados con la seguridad de las redes y de la información.

5.   La Agencia utilizará sus conocimientos especializados para fomentar una amplia cooperación entre los agentes de los sectores público y privado.

Artículo 3

Funciones

1.   Para el propósito que establece el artículo 1, y con el fin de alcanzar los objetivos a que se refiere el artículo 2, respetando al mismo tiempo el artículo 1, apartado 2, la Agencia desempeñará las siguientes funciones:

a)

apoyar el desarrollo de la política y la legislación de la Unión:

i)

asistiendo y aconsejando sobre todas las cuestiones relativas a la política y el Derecho de la Unión en materia de seguridad de las redes y de la información,

ii)

aportando trabajos preparatorios, asesoramiento y análisis relativos al desarrollo y actualización de la política y el Derecho de la Unión en materia de seguridad de las redes y de la información,

iii)

analizando las estrategias de seguridad de las redes y de la información que estén disponibles públicamente y promoviendo su publicación;

b)

apoyar la creación de capacidades:

i)

asistiendo a los Estados miembros que se lo soliciten en sus esfuerzos por desarrollar y mejorar la capacidad en materia de prevención, detección, análisis y respuesta a problemas e incidentes relacionados con la seguridad de las redes y de la información, y proporcionándoles los conocimientos necesarios,

ii)

promoviendo y facilitando la cooperación voluntaria entre los Estados miembros y entre las instituciones, órganos y organismos de la Unión y los Estados miembros en sus esfuerzos encaminados a prevenir, detectar y dar respuesta a los problemas e incidentes relacionados con la seguridad de las redes y de la información, cuando estos tengan repercusiones transfronterizas,

iii)

asistiendo a las instituciones, órganos y organismos de la Unión en sus esfuerzos por desarrollar la capacidad en materia de prevención, detección, análisis y respuesta a problemas e incidentes relacionados con la seguridad de las redes y de la información, en particular apoyando el funcionamiento en su beneficio de un equipo de intervención ante emergencias informáticas (CERT),

iv)

apoyando el incremento de las capacidades de los CERT nacionales, gubernamentales y de la Unión, por ejemplo, promoviendo el diálogo y el intercambio de información, con el fin de lograr que, habida cuenta de los avances más recientes, cada CERT disponga de un conjunto mínimo de capacidades y que funcionen siguiendo las mejores prácticas,

v)

apoyando la organización y realización de ejercicios de seguridad de las redes y de la información a escala de la Unión y asesorando a los Estados miembros que lo soliciten sobre ejercicios nacionales,

vi)

asistiendo a las instituciones, órganos y organismos de la Unión y a los Estados miembros en sus esfuerzos por recabar, analizar y, observando las exigencias de seguridad de los Estados miembros, divulgar los datos pertinentes sobre seguridad de las redes y de la información; manteniéndose al día del estado actual de la seguridad de las redes y de la información en la Unión, en beneficio de las instituciones, órganos y organismos de la Unión, y de los Estados miembros a partir de la información facilitada por las instituciones, órganos y organismos de la Unión, y por los Estados miembros de conformidad con las disposiciones de la Unión y las disposiciones nacionales acordes con el Derecho de la Unión,

vii)

apoyando el desarrollo de un mecanismo de la Unión de alerta temprana que complemente los mecanismos de los Estados miembros,

viii)

ofreciendo formación en seguridad de las redes y de la información a los organismos públicos pertinentes, en colaboración, cuando proceda, con las partes interesadas, de naturaleza pública y privada;

c)

apoyar la cooperación voluntaria entre los organismos públicos competentes, y entre las partes interesadas públicas y privadas, incluidas las universidades y los centros de investigación de la Unión, y las actividades de sensibilización, entre otros medios:

i)

promoviendo la cooperación entre los CERT nacionales y gubernamentales o los Equipos de intervención ante incidentes de seguridad informática (CSIRT), incluido el CERT de las instituciones, órganos y organismos de la Unión,

ii)

promoviendo el desarrollo y el intercambio de buenas prácticas con objeto de alcanzar un nivel avanzado de seguridad de las redes y de la información,

iii)

facilitando el diálogo y los esfuerzos por desarrollar e intercambiar buenas prácticas;

iv)

promoviendo las buenas prácticas de intercambio de información y sensibilización,

v)

apoyando a la Unión y sus respectivas instituciones, órganos y organismos y a los Estados miembros y sus organismos que los soliciten, en la organización de actividades de sensibilización, incluidas las destinadas a los usuarios, y otras actividades de divulgación para aumentar la seguridad de las redes y de la información y su proyección pública, proponiendo mejores prácticas y orientaciones;

d)

apoyar la investigación, el desarrollo y la normalización:

i)

facilitando el establecimiento y la adopción de normas europeas e internacionales para la gestión de riesgos y para la seguridad de los productos, redes y servicios electrónicos,

ii)

asesorando a la Unión y a los Estados miembros sobre las necesidades de investigación en el ámbito de la seguridad de las redes y de la información, con miras a poder ofrecer respuestas eficaces a los riesgos y amenazas actuales y futuros para la seguridad de las redes y de la información, también en relación con las tecnologías de la información y la comunicación nuevas y emergentes, y a utilizar eficazmente las tecnologías de prevención del riesgo;

e)

cooperar con las instituciones, órganos y organismos de la Unión, incluidos los dedicados a la lucha contra la ciberdelincuencia y a la protección de la intimidad y los datos personales, con vistas a abordar cuestiones de interés común, entre otros medios:

i)

intercambiando conocimientos y buenas prácticas,

ii)

ofreciendo asesoramiento sobre aspectos pertinentes de seguridad de las redes y de la información con el fin de desarrollar sinergias;

f)

contribuir a los esfuerzos de la Unión por cooperar con terceros países y organizaciones internacionales a fin de promover la cooperación internacional en relación con los problemas de la seguridad de las redes y de la información, entre otros medios:

i)

participando, cuando proceda, como observador o en la organización de ejercicios internacionales, y analizando los resultados de esos ejercicios e informando sobre ellos,

ii)

facilitando el intercambio de mejores prácticas de las organizaciones pertinentes,

iii)

aportando conocimientos especializados a las instituciones de la Unión.

2.   Los organismos de las instituciones, órganos y organismos de la Unión y de los Estados miembros podrán solicitar asesoramiento a la Agencia en caso de violaciones de la seguridad y pérdidas de integridad que hayan tenido una repercusión significativa en el funcionamiento de las redes o servicios.

3.   La Agencia desempeñará las funciones a ella conferidas por los actos jurídicos de la Unión.

4.   La Agencia formulará de manera independiente sus propias conclusiones, orientaciones y asesoramiento sobre asuntos incluidos en el ámbito de aplicación y los objetivos del presente Reglamento.

SECCIÓN 2

ORGANIZACIÓN

Artículo 4

Composición de la Agencia

1.   La Agencia constará de:

a)

un Consejo de Administración;

b)

un director ejecutivo y el personal, y

c)

un Grupo Permanente de Partes Interesadas.

2.   Con el fin de contribuir a aumentar la eficacia y la eficiencia del funcionamiento de la Agencia, el Consejo de Administración nombrará un Comité Ejecutivo.

Artículo 5

Consejo de Administración

1.   El Consejo de Administración definirá la orientación general del funcionamiento de la Agencia y velará por que esta trabaje de conformidad con las reglas y principios establecidos en el presente Reglamento. Velará asimismo por la coherencia de la labor de la Agencia con las actividades realizadas por los Estados miembros y a nivel de la Unión.

2.   El Consejo de Administración aprobará el programa de trabajo anual y plurianual de la Agencia.

3.   El Consejo de Administración aprobará un informe anual sobre las actividades de la Agencia y, a más tardar el 1 de julio del año siguiente, lo remitirá al Parlamento Europeo, al Consejo, a la Comisión y al Tribunal de Cuentas. El informe anual incluirá las cuentas y describirá en qué medida la Agencia ha cumplidos sus indicadores de resultados. El informe anual se publicará.

4.   El Consejo de administración aprobará una estrategia antifraude que sea proporcional a los riesgos de fraude, habida cuenta del análisis de coste y beneficio de las medidas que se pretendan aplicar.

5.   El Consejo de Administración garantizará un seguimiento adecuado de las conclusiones y recomendaciones que se deriven de las investigaciones de la Oficina Europea de Lucha contra el Fraude (OLAF) y de los distintos informes de auditoría y evaluaciones tanto internos como externos.

6.   El Consejo de Administración aprobará normas para la prevención y gestión de los conflictos de intereses.

7.   El Consejo de Administración ejercerá, respecto del personal de la Agencia, las facultades conferidas por el Estatuto de los funcionarios de la Unión Europea así como el régimen aplicable a los otros agentes de la Unión Europea («el Estatuto de los funcionarios» y «el Régimen aplicable a otros agentes»), establecido en el Reglamento (CEE, Euratom, CECA) no 259/68 (17) a la autoridad facultada para proceder a los nombramientos y a la autoridad facultada para proceder a las contrataciones, respectivamente.

El Consejo de Administración aprobará, de conformidad con el procedimiento del artículo 110 del Estatuto de los funcionarios, una decisión con arreglo al artículo 2, apartado 1, de dicho Estatuto y al artículo 6 del Régimen aplicable a otros agentes por la que se delegue en el director ejecutivo las facultades pertinentes de la autoridad facultada para proceder a los nombramientos. El director ejecutivo podrá subdelegar dichas facultades.

Cuando así lo exijan circunstancias excepcionales, el Consejo de Administración podrá recuperar la delegación de poderes de la autoridad facultada para proceder a los nombramientos en el director ejecutivo y aquellas subdelegadas por este. En tal caso, el Consejo de Administración podrá delegarlas, durante un período limitado, a uno de sus miembros o a un miembro del personal distinto del director ejecutivo.

8.   El Consejo de Administración aprobará normas adecuadas para la aplicación del Estatuto de los funcionarios y del Régimen aplicable a otros agentes con arreglo al procedimiento previsto en el artículo 110 del Estatuto de los funcionarios.

9.   El Consejo de Administración nombrará al director ejecutivo y podrá prorrogar su mandato o destituirlo de conformidad con el artículo 24 del presente Reglamento.

10.   El Consejo de Administración aprobará el reglamento interno para sí mismo y para el Comité Ejecutivo previa consulta con la Comisión. El reglamento interno permitirá la adopción acelerada de decisiones bien mediante procedimiento escrito, bien por conferencia a distancia.

11.   El Consejo de Administración aprobará el reglamento operativo interno de la Agencia previa consulta de los servicios de la Comisión. Dicho reglamento se publicará.

12.   El Consejo de Administración aprobará las normas financieras aplicables a la Agencia. Dicha normativa solo podrá desviarse del Reglamento (CE, Euratom) no 2343/2002 de la Comisión, de 19 de noviembre de 2002, por el que se aprueba el Reglamento Financiero marco de los organismos a que se refiere el artículo 185 del Reglamento (CE, Euratom) no 1605/2002 del Consejo, por el que se aprueba el Reglamento Financiero aplicable al presupuesto general de las Comunidades Europeas (18), en la medida en que las exigencias específicas de funcionamiento de la Agencia lo requieran, y con la autorización previa de la Comisión.

13.   El Consejo de Administración deberá adoptar un plan plurianual de política de personal, previa consulta con los servicios de la Comisión y habiendo informado debidamente al Parlamento Europeo y al Consejo.

Artículo 6

Composición del Consejo de Administración

1.   El Consejo de Administración estará formado por un representante de cada Estado miembro y dos representantes nombrados por la Comisión. Todos los representantes tendrán derecho a voto.

2.   Cada miembro del Consejo de Administración tendrá un suplente que le representará en su ausencia.

3.   Los miembros del Consejo de Administración y sus suplentes serán nombrados a la luz de sus conocimientos sobre las tareas y los objetivos de la Agencia, teniendo en cuenta las capacidades en materia de gestión, administración y presupuesto pertinentes para desempeñar las funciones enumeradas en el artículo 5. La Comisión y los Estados miembros deben tratar de limitar la rotación de sus representantes en el Consejo de Administración con el fin de garantizar la continuidad en la labor de este órgano. La Comisión y los Estados miembros tratarán de alcanzar una representación equilibrada entre hombres y mujeres en el Consejo de Administración.

4.   El mandato de los miembros del Consejo de Administración y de sus suplentes será de cuatro años. Este mandato será renovable.

Artículo 7

Presidente del Consejo de Administración

1.   El Consejo de Administración elegirá entre sus miembros a un Presidente y a un Vicepresidente para un período de tres años, que será renovable. El Vicepresidente sustituirá de oficio al Presidente cuando este no pueda desempeñar sus funciones.

2.   Podrá invitarse al Presidente a hacer una declaración ante la comisión o comisiones competentes del Parlamento Europeo y a responder a las preguntas formuladas por los Diputados.

Artículo 8

Reuniones

1.   Las reuniones del Consejo de Administración serán convocadas por su Presidente.

2.   El Consejo de Administración celebrará reuniones ordinarias al menos una vez al año. Celebrará también reuniones extraordinarias a instancias del Presidente o a petición de como mínimo un tercio de sus miembros.

3.   El director ejecutivo asistirá, sin tener derecho a voto, a las reuniones del Consejo de Administración.

Artículo 9

Votaciones

1.   El Consejo de Administración tomará sus decisiones por mayoría absoluta de sus miembros.

2.   Se requerirá una mayoría de dos tercios de todos los miembros del Consejo de Administración para la adopción del reglamento interno del Consejo de Administración, del reglamento operativo interno de la Agencia, del presupuesto y del programa de trabajo anual y plurianual, así como para nombrar al director ejecutivo, prorrogar su mandato o destituirlo y para designar al Presidente del Consejo de Administración.

Artículo 10

Comité Ejecutivo

1.   El Consejo de Administración estará asistido por un Comité Ejecutivo.

2.   El Comité Ejecutivo preparará las decisiones que adopte el Consejo de Administración únicamente en cuestiones administrativas y presupuestarias.

Junto con el Consejo de Administración, garantizará un seguimiento adecuado de las conclusiones y recomendaciones que se deriven de las investigaciones de la OLAF y de los distintos informes de auditoría y evaluaciones tanto internos como externos.

Sin perjuicio de las competencias del director ejecutivo establecidas en el artículo 11, el Comité Ejecutivo le asistirá y asesorará en la aplicación de las decisiones del Consejo de Administración en cuestiones administrativas y presupuestarias.

3.   El Consejo de Administración estará formado por cinco miembros escogidos entre los miembros del Consejo de Administración, uno de los cuales será el Presidente del Consejo de Administración, que también podrá presidir el Comité Ejecutivo, y uno de los representantes de la Comisión.

4.   La duración del mandato de los miembros del Comité Ejecutivo será la misma que la de los miembros del Consejo de Administración establecida en el artículo 6, apartado 4.

5.   El Comité Ejecutivo se reunirá al menos una vez cada tres meses. El Presidente del Comité Ejecutivo convocará más reuniones a solicitud de sus miembros.

Artículo 11

Funciones del director ejecutivo

1.   La Agencia será gestionada por su director ejecutivo, que deberá actuar con independencia en el desempeño de sus funciones.

2.   El director ejecutivo será responsable de:

a)

administrar los asuntos corrientes de la Agencia;

b)

ejecutar las decisiones adoptadas por el Consejo de Administración;

c)

previa consulta con el Consejo de Administración, preparar el programa de trabajo anual y el programa de trabajo plurianual y presentarlos al Consejo de Administración, previa consulta con la Comisión;

d)

aplicar el programa de trabajo anual y el programa de trabajo plurianual e informar de su aplicación al Consejo de Administración;

e)

preparar el informe anual de las actividades de la Agencia y presentarlo a la aprobación del Consejo de Administración;

f)

preparar un plan de acción para el seguimiento de las conclusiones de las evaluaciones retrospectivas e informar cada dos años a la Comisión sobre el progreso a este respecto;

g)

proteger los intereses financieros de la Unión mediante la aplicación de medidas preventivas contra el fraude, la corrupción y cualesquiera otras actividades ilegales, mediante controles eficaces y, en caso de detectarse irregularidades, mediante la recuperación de los importes abonados indebidamente y, cuando proceda, mediante sanciones administrativas y financieras que sean eficaces, proporcionales y disuasorias;

h)

preparar una estrategia antifraude para la Agencia y presentarla a la aprobación del Consejo de Administración;

i)

garantizar que la Agencia lleve a cabo sus actividades de conformidad con los requisitos de los usuarios de sus servicios, en particular en lo referente a la idoneidad de los servicios prestados;

j)

crear y mantener contactos con las instituciones, órganos y organismos de la Unión;

k)

crear y mantener contactos con la comunidad empresarial y las organizaciones de consumidores para garantizar un diálogo continuado con las partes interesadas pertinentes;

l)

otras funciones que el presente Reglamento asigne al director ejecutivo.

3.   Siempre que sea necesario y dentro del ámbito de los objetivos y funciones de la Agencia, el director ejecutivo podrá crear grupos de trabajo ad hoc integrados por expertos, incluidos expertos procedentes de las autoridades competentes de los Estados miembros. Se informará de ello anticipadamente al Consejo de Administración. Los procedimientos, en particular en lo que se refiere a la composición, el nombramiento de los expertos por el director ejecutivo y el funcionamiento de los grupos de trabajo ad hoc, se especificarán en el reglamento operativo interno de la Agencia.

4.   Cuando sea necesario, el director ejecutivo pondrá a disposición del Consejo de Administración y del Comité Ejecutivo personal de apoyo administrativo y otros recursos.

Artículo 12

Grupo Permanente de Partes Interesadas

1.   El Consejo de Administración establecerá, sobre la base de una propuesta del director ejecutivo, un Grupo Permanente de Partes Interesadas a propuesta del director ejecutivo, integrado por expertos reconocidos que representen a las partes interesadas pertinentes, tales como la industria de las TIC, proveedores de redes o servicios de comunicaciones electrónicas abiertos al público, grupos de consumidores y expertos académicos en seguridad de las redes y de la información, y representantes de las autoridades nacionales de regulación notificadas con arreglo a la Directiva 2002/21/CE y las autoridades encargadas de hacer cumplir la ley y proteger la intimidad.

2.   Los procedimientos relativos, en particular, al número, la composición y el nombramiento de los miembros del Grupo Permanente de Partes Interesadas por el Consejo de Administración, la propuesta del director ejecutivo y el funcionamiento del mismo se especificarán en el reglamento operativo interno de la Agencia y se publicarán.

3.   El Grupo Permanente de Partes Interesadas estará presidido por el director ejecutivo o cualquier otra persona que este designe en cada caso.

4.   El mandato de los miembros del Grupo Permanente de Partes Interesadas tendrá una duración de dos años y medio. Los miembros del Consejo de Administración no podrán ser miembros del Grupo Permanente de Partes Interesadas. Los expertos de la Comisión y de los Estados miembros podrán estar presentes en las reuniones del Grupo Permanente de Partes Interesadas y participar en sus trabajos. En caso de que no sean miembros del mismo, se podrá invitar a representantes de otros órganos que el director ejecutivo considere pertinentes a estar presentes en las reuniones del Grupo Permanente de Partes Interesadas y a participar en sus trabajos.

5.   El Grupo Permanente de Partes Interesadas asesorará a la Agencia en lo relativo a la realización de sus actividades. El Grupo Permanente de Partes Interesadas, en particular, asesorará al director ejecutivo en la elaboración de una propuesta de programa de trabajo de la Agencia y en el mantenimiento de la comunicación con las partes interesadas pertinentes sobre todos los aspectos relativos al programa de trabajo.

SECCIÓN 3

FUNCIONAMIENTO

Artículo 13

Programa de trabajo

1.   La Agencia llevará a cabo sus operaciones de conformidad con su programa de trabajo anual y plurianual, que contendrá la totalidad de sus actividades previstas.

2.   El programa de trabajo incluirá indicadores de resultados específicos que permitan evaluar eficazmente los resultados conseguidos en función de los objetivos.

3.   El director ejecutivo será responsable de preparar el proyecto de programa de trabajo de la Agencia, previa consulta con los servicios de la Comisión. A más tardar el 15 de marzo de cada año, el director ejecutivo presentará al Consejo de Administración el proyecto de programa de trabajo de la Agencia correspondiente al año siguiente.

4.   A más tardar el 30 de noviembre de cada año, el Consejo de Administración aprobará el programa de trabajo de la Agencia para el año siguiente tras haber recibido el dictamen de la Comisión. Dicho programa de trabajo incluirá una perspectiva plurianual. El Consejo de Administración velará por que el programa de trabajo sea coherente con los objetivos de la Agencia, así como con las prioridades legislativas y políticas de la Unión en materia de seguridad de las redes y de la información.

5.   El programa de trabajo se organizará de conformidad con el principio de gestión por actividades. El programa de trabajo se ajustará a la previsión de ingresos y gastos de la Agencia y al presupuesto de la Agencia para el mismo ejercicio financiero.

6.   Una vez aprobado el programa de trabajo por el Consejo de Administración, el director ejecutivo deberá hacerlo llegar al Parlamento Europeo, al Consejo, a la Comisión y a los Estados miembros y se encargará de su publicación. A invitación de la comisión competente del Parlamento Europeo, el director ejecutivo presentará el programa de trabajo anual aprobado y mantendrá un intercambio de puntos de vista al respecto.

Artículo 14

Solicitudes a la Agencia

1.   Las solicitudes de asesoramiento y de asistencia sobre cuestiones que correspondan a los objetivos y funciones de la Agencia se dirigirán al director ejecutivo e irán acompañadas de información de referencia que explique el asunto que se debe tratar. El director ejecutivo informará al Consejo de Administración y al Comité Ejecutivo de las solicitudes recibidas, de las implicaciones potenciales en materia de recursos y, en su debido momento, del curso dado a las mismas. Siempre que la Agencia rechace una solicitud, deberá justificar su decisión.

2.   Las solicitudes a las que hace referencia el apartado 1 podrán ser presentadas por:

a)

el Parlamento Europeo;

b)

el Consejo;

c)

la Comisión;

d)

cualquier organismo competente designado por un Estado miembro, como por ejemplo una autoridad nacional de reglamentación según se define en el artículo 2 de la Directiva 2002/21/CE.

3.   Las medidas prácticas para la aplicación de los apartados 1 y 2, en lo referente en particular a la presentación, la asignación de prioridades, el seguimiento y la información al Consejo de Administración y del Comité Ejecutivo sobre las solicitudes dirigidas a la Agencia, serán establecidas por el Consejo de Administración en el reglamento operativo interno de la misma.

Artículo 15

Declaración de intereses

1.   Los miembros del Consejo de Administración, el director ejecutivo, así como los funcionarios enviados en comisión de servicios por los Estados miembros con carácter temporal, deberán formular respectivamente una declaración de compromisos y otra declaración en la que indicarán si tienen o no intereses directos o indirectos que pudieran considerarse perjudiciales para su independencia. Las declaraciones serán exactas y completas, se presentarán anualmente por escrito y se actualizarán siempre que sea necesario.

2.   Los miembros del Consejo de Administración, el director ejecutivo y los expertos externos que participen en los grupos de trabajo ad hoc deberán declarar respectivamente de forma exacta y completa, a más tardar al comienzo de cada reunión, cualquier interés que pudiera considerarse perjudicial para su independencia en relación con los puntos del orden del día y deberán abstenerse de participar en los correspondientes debates y en la votación sobre esos puntos.

3.   La Agencia establecerá en su reglamento operativo interno las medidas prácticas correspondientes a las normas sobre declaraciones de intereses contempladas en los apartados 1 y 2.

Artículo 16

Transparencia

1.   La Agencia llevará a cabo sus actividades con un alto grado de transparencia y de conformidad con los artículos 17 y 18.

2.   La Agencia velará por que el público y las partes interesadas reciban información adecuada, objetiva, fiable y de fácil acceso, especialmente en lo que respecta a los resultados de su trabajo. Asimismo, deberá hacer públicas las declaraciones de intereses realizadas de conformidad con el artículo 15.

3.   El Consejo de Administración, a propuesta del director ejecutivo, podrá autorizar a otras partes interesadas a participar en calidad de observadores en algunas de las actividades de la Agencia.

4.   La Agencia establecerá en su reglamento operativo interno las medidas prácticas de aplicación de las normas de transparencia contempladas en los apartados 1 y 2.

Artículo 17

Confidencialidad

1.   Sin perjuicio de lo dispuesto en el artículo 18, la Agencia no divulgará a terceros la información que procese o reciba para la que se haya presentado una solicitud motivada de tratamiento confidencial referida a todo la información o a parte de ella.

2.   Los miembros del Consejo de Administración, el director ejecutivo, los miembros del Grupo Permanente de Partes Interesadas, los expertos externos que participen en los grupos de trabajo ad hoc, así como los miembros del personal de la Agencia, incluidos los funcionarios enviados en comisión de servicios por los Estados miembros con carácter temporal, respetarán la obligación de confidencialidad en virtud del artículo 339 del Tratado de Funcionamiento de la Unión Europea (TFUE), incluso después de haber cesado en sus cargos.

3.   La Agencia establecerá en su reglamento operativo interno las medidas prácticas de aplicación de las normas de confidencialidad contempladas en los apartados 1 y 2.

4.   Si así lo exige el desempeño de las funciones de la Agencia, el Consejo de Administración tomará la decisión de permitir a la Agencia manejar información clasificada En tal caso, el Consejo de Administración, de conformidad con los servicios de la Comisión, adoptará un reglamento operativo interno que aplique los principios de seguridad contenidos en la Decisión 2001/844/CE, CECA, Euratom de la Comisión, de 29 de noviembre de 2001, por la que se modifica su Reglamento interno (19). Dicho Reglamento incluirá, entre otras, disposiciones para el intercambio, el tratamiento y el almacenamiento de la información clasificada.

Artículo 18

Acceso a los documentos

1.   Se aplicará a los documentos en poder de la Agencia el Reglamento (CE) no 1049/2001.

2.   El Consejo de Administración adoptará disposiciones para la aplicación del Reglamento (CE) no 1049/2001 en el plazo de seis meses a partir del establecimiento de la Agencia.

3.   Las decisiones tomadas por la Agencia en virtud del artículo 8 del Reglamento (CE) no 1049/2001 podrán ser objeto de una reclamación ante el Defensor del Pueblo Europeo de conformidad con el artículo 228 del TFUE o de un recurso ante el Tribunal de Justicia de la Unión Europea de conformidad con el artículo 263 del TFUE.

SECCIÓN 4

DISPOSICIONES FINANCIERAS

Artículo 19

Aprobación del presupuesto

1.   Los ingresos de la Agencia comprenderán una contribución del presupuesto de la Unión, contribuciones de los terceros países que participen en el trabajo de la Agencia según lo previsto en el artículo 30 y contribuciones voluntarias de los Estados miembros en efectivo o en especie. Los Estados miembros que aporten contribuciones voluntarias no podrán reclamar ningún derecho o servicio específico como consecuencia de dicha contribución.

2.   Los gastos de la Agencia incluirán los gastos de personal, administrativos y de soporte técnico, de infraestructura y funcionamiento, así como los gastos derivados de contratos suscritos con terceros.

3.   A más tardar el 1 de marzo de cada año, el director ejecutivo elaborará un proyecto de declaración sobre la previsión de los ingresos y los gastos de la Agencia para el siguiente ejercicio financiero, y lo hará llegar al Consejo de Administración, junto con un proyecto de cuadro de efectivos.

4.   Los ingresos y los gastos deberán estar equilibrados.

5.   El Consejo de Administración presentará cada año la previsión de ingresos y gastos de la Agencia para el siguiente ejercicio financiero, sobre la base del proyecto de previsión de ingresos y gastos elaborado por el director ejecutivo.

6.   El Consejo de Administración, a más tardar el 31 de marzo cada año, deberá transmitir dicha previsión, que incluirá un proyecto de cuadro de efectivos y el proyecto de programa de trabajo, a la Comisión y a los terceros países con los que la Unión haya celebrado acuerdos de conformidad con el artículo 30.

7.   La Comisión transmitirá esa previsión al Parlamento Europeo y al Consejo al mismo tiempo que el proyecto de presupuesto general de la Unión Europea.

8.   Sobre la base de dicha previsión, la Comisión consignará en el proyecto de presupuesto general de la Unión Europea las previsiones que considere necesarias para el cuadro de efectivos y el importe de la subvención que deberá imputarse al presupuesto general, que deberá presentar al Parlamento Europeo y al Consejo de conformidad con el artículo 314 del TFUE.

9.   El Parlamento Europeo y el Consejo autorizarán los créditos necesarios para la subvención destinada a la Agencia.

10.   El Parlamento Europeo y el Consejo aprobarán el cuadro de efectivos de la Agencia.

11.   Junto con el programa de trabajo, el Consejo de Administración aprobará el presupuesto de la Agencia. Este se convertirá en definitivo tras la aprobación definitiva del presupuesto general de la Unión Europea. Cuando proceda, el Consejo de Administración reajustará el presupuesto y el programa de trabajo de la Agencia con arreglo al presupuesto general de la Unión Europea. El Consejo de Administración lo transmitirá inmediatamente al Parlamento Europeo, al Consejo y a la Comisión.

Artículo 20

Lucha contra el fraude

1.   Para facilitar la lucha contra el fraude, la corrupción y otros actos ilícitos de conformidad con el Reglamento (CE) no 1073/1999 (20), la Agencia, en el plazo de seis meses a partir de la fecha en que comience a operar, suscribirá el Acuerdo interinstitucional, de 25 de mayo de 1999, entre el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión de las Comunidades Europeas relativo a las investigaciones internas efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) (21), y adoptará las disposiciones pertinentes, que serán de aplicación a todo el personal de la Agencia, sirviéndose del modelo contenida en el anexo de dicho Acuerdo.

2.   El Tribunal de Cuentas tendrán el poder de auditar, sobre la base de documentos e in situ, a todos los beneficiarios de subvenciones, contratistas y subcontratistas que hayan recibido fondos de la Unión a través de la Agencia.

3.   La OLAF podrá realizar investigaciones, incluidos controles y verificaciones in situ, de conformidad con las disposiciones y los procedimientos establecidos en el Reglamento (CE) no 1073/1999 y el Reglamento (Euratom, CE) no 2185/96 del Consejo, de 11 de noviembre de 1996, relativo a los controles y verificaciones in situ que realiza la Comisión para la protección de los intereses financieros de las Comunidades Europeas contra los fraudes e irregularidades (22), con el fin de establecer si ha habido fraude, corrupción o cualquier otra actividad ilegal que afecte a los intereses financieros de la Unión en relación con una subvención o un contratado financiado por la Agencia.

4.   Sin perjuicio de lo dispuesto en los apartados 1, 2 y 3, los acuerdos de cooperación con terceros países y con organizaciones internacionales, así como los contratos y los convenios y decisiones de subvención de la Agencia, contendrán disposiciones que establezcan expresamente la potestad del Tribunal de Cuentas y de la OLAF de llevar a cabo las auditorías y las investigaciones mencionadas, según sus respectivas competencias.

Artículo 21

Ejecución del presupuesto

1.   El director ejecutivo será responsable de la ejecución del presupuesto de la Agencia.

2.   El auditor interno de la Comisión ejercerá, con respecto a la Agencia, las mismas facultades que tiene atribuidas en relación con los servicios de la Comisión.

3.   El contable de la Agencia remitirá al contable de la Comisión, a más tardar el 1 de marzo siguiente al final de cada ejercicio financiero (1 de marzo del año n + 1), las cuentas provisionales, junto con un informe sobre la gestión presupuestaria y financiera correspondiente al ejercicio. El contable de la Comisión consolidará las cuentas provisionales de las instituciones y de los órganos descentralizados de conformidad con el artículo 147 del Reglamento Financiero.

4.   A más tardar el 31 de marzo del año n + 1, el contable de la Comisión remitirá las cuentas provisionales de la Agencia al Tribunal de Cuentas, junto con un informe sobre la gestión presupuestaria y financiera correspondiente a dicho ejercicio. El informe sobre la gestión presupuestaria y financiera correspondiente al ejercicio se remitirá también al Parlamento Europeo y al Consejo.

5.   Cuando reciba las observaciones del Tribunal de Cuentas relativas a las cuentas provisionales de la Agencia, de conformidad con el artículo 148 del Reglamento Financiero general, el director ejecutivo elaborará bajo su propia responsabilidad las cuentas definitivas de la Agencia y las transmitirá al Consejo de Administración para que este emita dictamen sobre las mismas.

6.   El Consejo de Administración emitirá un dictamen sobre las cuentas definitivas de la Agencia.

7.   A más tardar el 1 de julio del año n + 1, el director ejecutivo transmitirá estas cuentas definitivas, incluido el informe sobre gestión presupuestaria y financiera correspondiente a ese ejercicio y las observaciones del Tribunal de Cuentas, y conjuntamente con el dictamen del Consejo de Administración, al Parlamento Europeo, al Consejo, a la Comisión y al Tribunal de Cuentas.

8.   El director ejecutivo publicará las cuentas definitivas.

9.   A más tardar el 30 de septiembre del año n + 1, el director ejecutivo remitirá al Tribunal de Cuentas una respuesta a sus observaciones y enviará asimismo una copia de dicha respuesta al Consejo de Administración.

10.   El director ejecutivo presentará al Parlamento Europeo, cuando este lo solicite, toda la información necesaria para el correcto desarrollo del procedimiento de aprobación de la ejecución del presupuesto del ejercicio de que se trate, según se establece en el artículo 165, apartado 3, del Reglamento Financiero.

11.   El Parlamento Europeo, sobre la base de una recomendación del Consejo, deberá aprobar la gestión del director ejecutivo antes del 15 de mayo del año n + 2 respecto a la ejecución del presupuesto del año n.

SECCIÓN 5

PERSONAL

Artículo 22

Disposiciones generales

Se aplicarán al personal de la Agencia el Estatuto de los funcionarios y el Régimen aplicable a otros agentes, así como las normas adoptadas por acuerdo entre las instituciones de la Unión con el fin de poner en práctica tales disposiciones.

Artículo 23

Privilegios e inmunidades

Se aplicará a la Agencia y a su personal el Protocolo no 7 sobre los privilegios y las inmunidades de la Unión Europea, anejo al Tratado de la Unión Europea y al TFUE.

Artículo 24

Director ejecutivo

1.   El director ejecutivo será contratado como agente temporal de la Agencia según lo dispuesto en el artículo 2 bis del Régimen aplicable a otros agentes.

2.   El director ejecutivo será designado por el Consejo de Administración a partir de una lista de candidatos propuesta por la Comisión después de un procedimiento de selección abierto y transparente.

Para la celebración del contrato del director ejecutivo, la Agencia estará representada por el Presidente del Consejo de Administración.

Antes del nombramiento, se invitará al candidato seleccionado por el Consejo de Administración a hacer una declaración ante la comisión en cuestión del Parlamento Europeo y a responder a las preguntas formuladas por los Diputados.

3.   El mandato del director ejecutivo tendrá una duración de cinco años. Al final del período, la Comisión realizará una evaluación en la que se analizará la actuación del director ejecutivo y las futuras funciones y desafíos de la Agencia.

4.   A propuesta de la Comisión, en la que se tendrá en cuenta la evaluación a que se refiere el apartado 3, el Consejo de Administración podrá prorrogar una vez la duración del mandato del director ejecutivo por no más de cinco años, previa consulta al Parlamento Europeo.

5.   El Consejo de Administración informará al Parlamento Europeo acerca de su intención de prorrogar el mandato del director ejecutivo. En los tres meses que precedan a la prórroga de su mandato, el director ejecutivo hará, si se le invita a ello, una declaración ante la comisión en cuestión del Parlamento Europeo y responderá a las preguntas formuladas por los Diputados.

6.   Un director ejecutivo cuyo mandato ha sido prorrogado no podrá participar en otro procedimiento de selección para el mismo puesto.

7.   El director ejecutivo solo podrá ser destituido por decisión del Consejo de Administración.

Artículo 25

Expertos nacionales en comisión de servicios y otros agentes

1.   La Agencia podrá recurrir a expertos nacionales en comisión de servicios y a otros agentes no empleados por la Agencia. El Estatuto de los funcionarios y el Régimen aplicable a otros agentes no serán de aplicación a este personal.

2.   El Consejo de Administración adoptará una decisión que establezca las normas aplicables a las comisiones de servicios de expertos nacionales en la Agencia.

SECCIÓN 6

DISPOSICIONES GENERALES

Artículo 26

Estatuto jurídico

1.   La Agencia será un organismo de la Unión. Tendrá personalidad jurídica.

2.   La Agencia gozará en cada uno de los Estados miembros de la más amplia capacidad jurídica que las legislaciones nacionales reconozcan a las personas jurídicas. Podrá, en particular, adquirir o enajenar bienes muebles e inmuebles y constituirse en parte en acciones legales.

3.   La Agencia estará representada por su director ejecutivo.

4.   Se ha establecido y se mantendrá una oficina en el área metropolitana de Atenas con el fin de mejorar la eficacia operativa de la Agencia.

Artículo 27

Responsabilidad

1.   La responsabilidad contractual de la Agencia se regirá por la legislación aplicable al contrato de que se trate.

El Tribunal de Justicia de la Unión Europea será competente para pronunciarse en virtud de cualquier cláusula compromisoria contenida en los contratos firmados por la Agencia.

2.   En materia de responsabilidad extracontractual, la Agencia deberá reparar los daños causados por ella o sus agentes en el ejercicio de sus funciones, de conformidad con los principios generales comunes a las legislaciones de los Estados miembros.

El Tribunal de Justicia de la Unión Europea será competente para conocer de todos los litigios relativos a la indemnización por esos daños.

3.   La responsabilidad personal de los agentes respecto a la Agencia se regirá por las disposiciones pertinentes aplicables al personal de la Agencia.

Artículo 28

Lenguas

1.   Se aplicarán a la Agencia las disposiciones establecidas en el Reglamento no 1, de 15 de abril de 1958, por el que se fija el régimen lingüístico de la Comunidad Económica Europea (23). Los Estados miembros y los demás organismos nombrados por ellos podrán dirigirse a la Agencia y obtener respuesta en la lengua oficial de las instituciones de la Unión Europea que elijan.

2.   Los servicios de traducción requeridos para el funcionamiento de la Agencia serán prestados por el Centro de Traducción de los Órganos de la Unión Europea.

Artículo 29

Protección de datos de carácter personal

1.   Cuando trate datos relativos a personas físicas, en particular en el desempeño de sus funciones, la Agencia respetará los principios de la protección de datos personales y se regirá por las disposiciones del Reglamento (CE) no 45/2001.

2.   El Consejo de Administración adoptará las normas de desarrollo a que se refiere el artículo 24, apartado 8, del Reglamento (CE) no 45/2001. El Consejo de Administración podrá adoptar otras medidas necesarias para la aplicación del Reglamento (CE) no 45/2001 por parte de la Agencia.

Artículo 30

Participación de terceros países

1.   La Agencia estará abierta a la participación de terceros países que hayan celebrado acuerdos con la Unión Europea en virtud de los cuales hayan adoptado y estén aplicando actos jurídicos de la Unión en el ámbito regulado por el presente Reglamento.

2.   En virtud de las disposiciones pertinentes de esos acuerdos, se establecerán mecanismos que especificarán, en particular, el carácter, el alcance y la forma de la participación de dichos países en el trabajo de la Agencia, incluidas disposiciones sobre participación en las iniciativas emprendidas por la Agencia, en las contribuciones financieras y en el personal.

Artículo 31

Normas de seguridad en materia de protección de la información clasificada

La Agencia aplicará los principios de seguridad contenidos en las normas de seguridad de la Comisión para la protección de la Información Clasificada de la Unión Europea (ICUE) y la información sensible no clasificada, según lo dispuesto en el anexo de la Decisión 2001/844/CE, CECA, Euratom. Esto incluirá, entre otras, disposiciones para el intercambio, el tratamiento y el almacenamiento de este tipo de información.

SECCIÓN 7

DISPOSICIONES FINALES

Artículo 32

Evaluación y revisión

1.   A más tardar el 20 de junio de 2018, la Comisión encargará la realización de una evaluación que analice, en particular, los efectos, la eficacia y la eficiencia de la Agencia, así como sus prácticas de funcionamiento. La evaluación también se examinará, en su caso, la necesidad de modificar el mandato de la Agencia y las repercusiones financieras de tal modificación.

2.   La evaluación a que hace referencia en el apartado 1 tomará en consideración los comentarios llegados a la Agencia en respuesta a sus actividades.

3.   La Comisión remitirá el informe de evaluación, conjuntamente con sus conclusiones, al Parlamento Europeo, al Consejo y al Consejo de Administración. Los resultados de la evaluación se harán públicos.

4.   Como parte de la evaluación, se realizará asimismo una evaluación de los resultados conseguidos por la Agencia habida cuenta de sus objetivos, su mandato y sus funciones. Si la Comisión considera que la continuidad de la Agencia está justificada a la vista de los objetivos, el mandato y las funciones que le han sido asignados, podrá proponer que se prorrogue la duración del mandato de la Agencia establecida en el artículo 36.

Artículo 33

Cooperación del Estado miembro anfitrión

El Estado miembro que acoja la Agencia ofrecerá las mejores condiciones posibles para garantizar el buen funcionamiento de la Agencia, incluida la accesibilidad de su ubicación, la presencia de servicios educativos adecuados para los hijos de los miembros del personal, acceso adecuado al mercado de trabajo, seguridad social y atención médica para los hijos y los cónyuges.

Artículo 34

Control administrativo

El funcionamiento de la Agencia será supervisado por el Defensor del Pueblo Europeo de conformidad con el artículo 228 del TFUE.

Artículo 35

Derogación y sucesión

1.   Queda derogado el Reglamento (CE) no 460/2004.

Las referencias al Reglamento (CE) no 460/2004 y a ENISA se entenderán hechas al presente Reglamento y a la Agencia.

2.   La Agencia será considerada sucesora de la establecida por el Reglamento (CE) no 460/2004 en todo lo que se refiere a propiedad, acuerdos, obligaciones legales, contratos de empleo, compromisos financieros y responsabilidades.

Artículo 36

Duración

La Agencia se establece por un período de siete años a partir del 19 de junio de 2013.

Artículo 37

Entrada en vigor

El presente Reglamento entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Estrasburgo, el 21 de mayo de 2013.

Por el Parlamento Europeo

El Presidente

M. SCHULZ

Por el Consejo

La Presidenta

L. CREIGHTON


(1)  DO C 107 de 6.4.2011, p. 58.

(2)  Posición del Parlamento Europeo de 16 de abril de 2013 (no publicada aún en el Diario Oficial) y Decisión del Consejo de 13 de mayo de 2013.

(3)  Decisión 2004/97/CE, Euratom, adoptada de común acuerdo por los Representantes de los Estados miembros, reunidos a nivel de Jefes de Estado o de Gobierno, de 13 de diciembre de 2003, relativa a la fijación de las sedes de determinadas oficinas y agencias de la Unión Europea (DO L 29 de 3.2.2004, p. 15).

(4)  Reglamento (CE) no 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información (DO L 77 de 13.3.2004, p. 1).

(5)  Reglamento (CE) no 1007/2008 del Parlamento Europeo y del Consejo, de 24 de septiembre de 2008, que modifica el Reglamento (CE) no 460/2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información, en lo que respecta a su duración (DO L 293 de 31.10.2008, p. 1).

(6)  Reglamento (UE) no 580/2011 del Parlamento Europeo y del Consejo, de 8 de junio de 2011, que modifica el Reglamento (CE) no 460/2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información, en lo que respecta a su duración (DO L 165 de 24.6.2011, p. 3).

(7)  DO L 108 de 24.4.2002, p. 33.

(8)  DO L 201 de 31.7.2002, p. 37.

(9)  DO L 281 de 23.11.1995, p. 31.

(10)  DO L 108 de 24.4.2002, p. 51.

(11)  Reglamento (CE) no 1211/2009 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, por el que se establece el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (ORECE) y la Oficina (DO L 337 de 18.12.2009, p. 1).

(12)  Directiva 98/34/CE del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas (DO L 204 de 21.7.1998, p. 37).

(13)  Reglamento (UE, Euratom) no 966/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre las normas financieras aplicables al presupuesto general de la Unión y por el que se deroga el Reglamento (CE, Euratom) no 1605/2002 del Consejo (DO L 298 de 26.10.2012, p. 1).

(14)  Reglamento (CE) no 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).

(15)  DO L 8 de 12.1.2001, p. 1.

(16)  DO C 101 de 1.4.2011, p. 20.

(17)  DO L 56 de 4.3.1968, p. 1.

(18)  DO L 357 de 31.12.2002, p. 72.

(19)  DO L 317 de 3.12.2001, p. 1.

(20)  Reglamento (CE) no 1073/1999 del Parlamento Europeo y del Consejo, de 25 de mayo de 1999, relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) (DO L 136 de 31.5.1999, p. 1).

(21)  Acuerdo interinstitucional, de 25 de mayo de 1999, entre el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión de las Comunidades Europeas relativo a las investigaciones internas efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) (DO L 136 de 31.5.1999, p. 15).

(22)  DO L 292 de 15.11.1996, p. 2.

(23)  DO 17 de 6.10.1958, p. 385/58.


Top