23.3.2005   

FR

Journal officiel de l'Union européenne

L 77/6

RÈGLEMENT (CE) N o 465/2005 DE LA COMMISSION

du 22 mars 2005

modifiant le règlement (CE) no 1663/95 établissant les modalités d'application du règlement (CEE) no 729/70 du Conseil en ce qui concerne la procédure d'apurement des comptes du FEOGA, section «Garantie»

LA COMMISSION DES COMMUNAUTÉS EUROPÉENNES,

vu le traité instituant la Communauté européenne,

vu le règlement (CE) no 1258/1999 du Conseil du 17 mai 1999 relatif au financement de la politique agricole commune (1), et notamment son article 4, paragraphe 8,

considérant ce qui suit:

(1)

Le règlement (CE) no 1663/95 de la Commission (2) prévoit en particulier des orientations pour les critères d'agrément des organismes payeurs des États membres.

(2)

La responsabilité du contrôle des dépenses du Fonds européen d’orientation et de garantie agricole (FEOGA), section «Garantie» incombe au premier chef aux États membres. Dans l’exécution de cette tâche, les États membres doivent veiller à ce que les systèmes d’information des organismes payeurs atteignent un niveau de sécurité élevé. À cet effet, des procédures garantissant la sécurité des systèmes d’information doivent être en place lors du premier agrément d’un organisme payeur et ultérieurement.

(3)

Lors de l'apurement des comptes, la Commission n'est en mesure de déterminer la dépense totale à inscrire dans le compte général au titre de la section «Garantie» du Fonds que si elle a pu s'assurer que les contrôles nationaux sont suffisants et transparents, y compris les contrôles concernant la sécurité des systèmes d’information des organismes payeurs. Il y a donc lieu de prévoir la production, par les organismes de certification, d’une déclaration relative à la sécurité dans le cadre de l’attestation relative aux comptes annuels, fondée sur des normes de sécurité reconnues sur le plan international.

(4)

Il convient de prévoir une période de temps raisonnable pour permettre aux États membres d’adapter leurs règles et procédures internes à la production d’une déclaration relative à la sécurité des systèmes d’information des organismes payeurs.

(5)

Il y a lieu de prévoir que les organismes payeurs transmettent à la Commission les comptes et tous les documents y afférents en format électronique afin de faciliter l'analyse de ces informations.

(6)

La pratique consistant à déléguer la gestion des systèmes d’information à des tiers est de plus en plus répandue et il convient que les organismes payeurs soient autorisés à prévoir de telles délégations dans les mêmes conditions que celles dans lesquelles les fonctions d'ordonnancement et/ou de service technique peuvent être déléguées.

(7)

Il convient donc de modifier le règlement (CE) no 1663/95 en conséquence.

(8)

Les mesures prévues par le présent règlement sont conformes à l'avis du comité du Fonds,

A ARRÊTÉ LE PRÉSENT RÈGLEMENT:

Article premier

Le règlement (CE) no 1663/95 est modifié comme suit:

1)

L'article 1er est modifié comme suit:

a)

au paragraphe 3, deuxième alinéa, deuxième phrase, les termes «de sécurité des systèmes informatiques» sont remplacés par les termes «de sécurité des systèmes d’information».

b)

au paragraphe 7, premier alinéa, le tiret suivant est ajouté:

«—

les dispositions relatives à la sécurité des systèmes d’information».

2)

À l'article 3, paragraphe 1, les alinéas suivants sont ajoutés:

«Au plus tard à compter de l’exercice financier 2008, l’organisme de certification fournit également, avant la date visée au troisième alinéa, une déclaration concernant les mesures de sécurité relatives aux systèmes d’information mises en place par l’organisme payeur. La déclaration se fonde sur une version applicable, pour l’exercice financier concerné, des normes de sécurité reconnues sur le plan international choisies visées au point 6 vi) de l’annexe du présent règlement, qui servent de base aux mesures de sécurité et indique si, pour l’exercice financier concerné, des mesures de sécurité effectives étaient en place.

Pour les exercices financiers précédant celui pour lequel la première déclaration relative à la sécurité des systèmes d’information de l’organisme payeur est produite, l’organisme de certification inclut dans son rapport sur ses constatations des observations et des conclusions provisoires, en s'appuyant sur une structure de notation, quant aux mesures de sécurité relatives aux systèmes d’information mises en place par l’organisme payeur. Le rapport se fonde sur une version applicable, pour l’exercice financier concerné, des normes de sécurité reconnues sur le plan international choisies visées au point 6 vi) de l’annexe du présent règlement, qui servent de base aux mesures de sécurité et indique dans quelle mesure, pour l’exercice financier concerné, des mesures de sécurité effectives étaient en place.»

3)

L'article 4, paragraphe 2, est remplacé par le texte suivant:

«2.   Les documents et informations comptables visés au paragraphe 1 sont adressés à la Commission pour le 10 février de l'année suivant la fin de l'exercice financier concerné. Les documents visés au paragraphe 1, points a) et b), sont transmis en un exemplaire accompagné d’une copie électronique.»

4)

L'annexe est modifiée conformément à l'annexe du présent règlement.

Article 2

Le présent règlement entre en vigueur le septième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Il s’applique pour la première fois à l’exercice financier commençant le 16 octobre 2004.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 22 mars 2005.

Par la Commission

Mariann FISCHER BOEL

Membre de la Commission

(1)  JO L 160 du 26.6.1999, p. 103.

(2)  JO L 158 du 8.7.1995, p. 6. Règlement modifié en dernier lieu par le règlement (CE) no 2025/2001 (JO L 274 du 17.10.2001, p. 3).

ANNEXE

L'annexe du règlement (CE) no 1663/95 est modifiée comme suit:

1)

Le point 2 iii) est remplacé par le texte suivant:

«iii)

la comptabilisation du paiement: qui a pour objet d'enregistrer le paiement dans les livres comptables de l'organisme, généralement au moyen d'un système d’information, et d'élaborer des récapitulatifs périodiques des dépenses et notamment les déclarations mensuelles et annuelles transmises à la Commission. Les livres comptables comprennent également les opérations actives financées par le Fonds, notamment en ce qui concerne les stocks d'intervention, les acomptes non acquittés et les débiteurs.»

2)

Dans la phrase introductive du point 4, les termes «et/ou de service technique» sont remplacés par les termes «de service technique et/ou de gestion des systèmes d’information».

3)

Le point 6 vi) est remplacé par le texte suivant:

«vi)

La sécurité des systèmes d’information se fonde sur les critères établis dans une version applicable, pour l’exercice financier concerné, de l’une des normes reconnues sur le plan international ci-après:

Norme 17799 de l'Organisation internationale de normalisation/Norme britannique BS 7799: Code de bonne pratique relatif à la gestion de la sécurité de l'information (BS ISO/IEC 17799),

Bundesamt fuer Sicherheit in der Informationstechnik: IT Grundschutzhandbuch/Manuel de sécurité informatique de base (BSI),

Information Systems Audit and Control Foundation: Control Objectives for Information and related Technology/Objectifs de contrôle dans les domaines de l'information et des technologies connexes (COBIT).

L’organisme payeur choisit l’une des normes internationales visées au premier alinéa pour fonder la sécurité de ses systèmes d’information.

Il convient que les mesures de sécurité soient adaptées à la structure administrative, à la dotation en personnel et à l'environnement technologique de chaque organisme payeur. Il y a lieu par ailleurs que les efforts financier et technologique soient proportionnels aux risques réels encourus.»