[pic] | EURÓPAI BIZOTTSÁG | Brüsszel, 2010.9.30. COM(2010) 521 végleges 2010/0275 (COD) Javaslat: AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE az Európai Hálózat- és Információbiztonsági Ügynökségről (ENISA) {SEC(2010) 1126}{SEC(2010) 1127} INDOKOLÁS A JAVASLAT HÁTTERE Háttér-információk Az Európai Hálózat- és Információbiztonsági Ügynökséget (a továbbiakban: Ügynökség, ENISA) 2004 márciusában a 460/2004/EK rendelet[1] hozta létre ötéves kezdeti időtartamra, és elsődleges céljául a következőket tűzte ki: „ [az Unión] belüli magas szintű és hatékony hálózat- és információbiztonság biztosítása, valamint az Európai Unió polgárai, fogyasztói, vállalkozásai és a közszektor szervezetei érdekében a hálózat- és információbiztonság kultúrájának kifejlesztése [...], ezáltal elősegítve a belső piac zavartalan működését. ” Az ENISA megbízatási idejét az 1007/2008/EK rendelet[2] 2012 márciusáig meghosszabbította. Az ENISA megbízatási idejének 2008. évi meghosszabbításával együtt egy vitafolyamat is kezdetét vette a hálózat- és az információbiztonság területére irányuló európai erőfeszítések általános irányáról, amelyhez a Bizottság azzal járult hozzá, hogy nyilvános konzultációt kezdeményezett a hálózat- és az információbiztonságra vonatkozó megerősített uniós szakpolitikai törekvések lehetséges célkitűzéseinek meghatározásáról. A 2008 novemberétől 2009 januárjáig tartó nyilvános konzultációra mintegy 600 hozzászólás érkezett.[3] A Bizottság 2009. március 30-án közleményt fogadott el a kritikus informatikai infrastruktúrák védelméről.[4] A számítógépes támadásokkal és hálózati zavarokkal szembeni európai felkészültség, védelem és ellenálló képesség fokozására összpontosító közleményben felvázolt cselekvési terv, mely az ENISA feladataként elsősorban a tagállamok törekvéseinek támogatását határozza meg, széles körű támogatásra talált a kritikus informatikai infrastruktúrák védelme tárgyában 2009. április 27–28-án az észtországi Tallinnban tartott miniszteri konferencia vitáiban.[5] Az Európai Unió elnökségének következtetései hangsúlyozzák az ENISA számára nyújtandó „ operatív támogatás megerősítésének ” fontosságát; kijelentik, hogy az ENISA „ értékes eszköz a területre irányuló uniós léptékű együttműködési törekvések fokozása ” szempontjából; és rámutatnak arra, hogy „ az Európai Unió prioritásainak és igényeinek hangsúlyosabb figyelembevétele, a válaszadási képesség rugalmasabbá tétele, a készségek és a képességek fejlesztése és az Ügynökség operatív hatékonyságának és tevékenysége átfogó hatásainak megerősítése ” érdekében újra kell gondolni és újra kell fogalmazni az Ügynökség feladatait, és ezáltal gondoskodni kell arról, hogy a szerv működése „ az egyes tagállamoknak és az Európai Uniónak mint egésznek egyaránt állandó jelleggel a javára váljék ”. A távközlési tanácsban 2009. június 11-én folytatott egyeztetéseket követően, melyek során a tagállamok a hálózat- és az információbiztonság fontosságára és a területen jelentkező egyre változó kihívásokra való tekintettel támogatásukról biztosították az ENISA megbízatási idejének meghosszabbítását és forrásainak növelését, a vitafolyamat végül az Európai Unió svéd elnöksége alatt zárult le. A hálózat- és információbiztonság együttműködésre építő európai megközelítéséről szóló 2009. december 18-i tanácsi állásfoglalás[6] rámutat az ENISA-ban rejlő potenciálra, és kimondja, hogy az Ügynökséget „ hatékony szervezetté kell fejleszteni ”. Az állásfoglalás azt is hangsúlyozza, hogy a Bizottság és a tagállamok által a technológia és a szakpolitikai törekvések közötti szakadék áthidalása érdekében tett erőfeszítések támogatása érdekében az Ügynökséget korszerűsíteni kell és meg kell erősíteni, oly módon, hogy a hálózat- és információbiztonság területén uniós szakértői központként szolgálhasson. Háttér-információk Az információs és kommunikációs technológia (IKT) az európai gazdaság és társadalom fontos tartópillérévé vált. Az IKT sérülékeny infrastruktúra, és olyan veszélyek fenyegetik, amelyek napjainkban már nem igazodnak országhatárokhoz, és amelyek a technológia fejlődését és a piaci körülmények alakulását követve az elmúlt időszakban komoly változásokon mentek át. Az IKT globális jellegű, más infrastruktúrákhoz kapcsolódva, azokkal állandó kölcsönhatásban működik, ezért biztonsága és ellenálló képessége kizárólag nemzeti eszközökkel, koordinálatlan módon nem biztosítható. A hálózat- és információbiztonsággal kapcsolatos kihívások ugyanakkor gyorsan változnak. A hálózatok és az informatikai rendszerek számára mindenfajta üzemzavarral és hibával szemben, így az emberi támadások következtében fellépőkkel szemben is, eredményes védelmet kell biztosítani. A hálózat- és az információbiztonságra irányuló szakpolitikai törekvések központi helyet foglalnak el az IKT-ban rejlő lehetőségek hasznosítására, növelésére és e lehetőségeknek a fenntartható gazdasági növekedés és az innováció érdekében való mozgósítására összpontosító, az új Európa 2020 stratégia egyik kiemelt kezdeményezésének számító európai digitális menetrenden[7] belül. Az európai digitális menetrend kulcsfontosságú céljai közé tartozik az IKT alkalmazásának bátorítása és a bizalom és a megbízhatóság fokozása. Az ENISA létrehozására eredetileg az Európai Unión belüli magas szintű hálózat- és információbiztonság biztosítása érdekében került sor. Az időközben szerzett tapasztalatok és a különböző kihívások és fenyegetések alapján világossá vált, hogy az Ügynökség megbízatását korszerűsíteni szükséges, éspedig elsősorban annak érdekében, hogy jobban igazodjék az Európai Uniónak a következő problémákkal összefüggő szükségleteihez: - a változó kihívások kezelésére vonatkozó nemzeti szintű törekvések széttöredezettsége, - az együttműködésen alapuló modellek hiánya a hálózat- és információbiztonsági politika végrehajtásában, - a készültség szintjének elégtelen volta, ami részben Európa korlátozott korai figyelmeztető és válaszadási képességének tudható be, - a folyamatosan változó problémákra vonatkozó megbízható európai adatok hiánya és az ezzel összefüggő ismeretek elégtelen volta, - a hálózat- és információbiztonság területén jelentkező kockázatok és kihívások nem kellő ismerete, - az a kihívás, hogy a számítástechnikai bűnözés elleni eredményesebb küzdelem érdekében a hálózat- és információbiztonság szempontjait más szakpolitikákba is be kell építeni. Szakpolitikai célkitűzések A javasolt rendelet általános célkitűzése annak biztosítása, hogy a Közösség, a tagállamok és az érdekeltek magas szinten felkészülhessenek a hálózat- és az információbiztonsággal kapcsolatos problémák megelőzésére, észlelésére és hatékonyabb kezelésére, és továbbfejleszthessék ilyen irányú képességeiket. Ez segíteni fog a bizalom kialakításában, ami fontos támasza az információs társadalom kiépítésének, és hozzá fog járulni az európai vállalkozások versenyképességének javításához és a belső piac hatékony működésének biztosításához. Meglévő rendelkezések a javaslat által érintett területen Ez a javaslat az uniós szinten az IKT biztonságának és ellenálló képességének növelése érdekében tett következő – szabályozási és nem szabályozási jellegű – szakpolitikai kezdeményezésekhez kapcsolódik: - a kritikus informatikai infrastruktúrák védelméről szóló közleménnyel útjára indított cselekvési tervhez, amely két új fórum létrehozását irányozza elő: - a tagállamok európai fóruma (European Forum for Member States – EFMS) a szakpolitikai célkitűzések és prioritások tagállamok közötti megosztása céljából elősegíti a szakpolitikában alkalmazott helyes gyakorlati megoldásokkal kapcsolatos tapasztalatcserét és vitákat, és közvetlenül is élvezi az Ügynökség támogatását és hasznát látja annak munkájának; - az ellenálló képesség javításáért felelős köz-magán partnerség (European Public-Private Partnership for Resilience – EP3R) lényegében egy európai szintű, rugalmas irányítási keret az IKT-infrastruktúra ellenálló képessége területén, amely azon keresztül fejti ki hatását, hogy ösztönzi a köz- és a magánszektor együttműködését a biztonsággal és az ellenálló képességgel összefüggő célok, a viszonyításként szolgáló követelmények, valamint a szakpolitikában alkalmazott helyes gyakorlati megoldások és intézkedések terén, - az Európai Tanács által 2009. december 11-én elfogadott stockholmi programhoz, amely a hálózatok biztonságossá tételére és a számítógépes támadások esetén az Európai Unió által adott válaszlépések felgyorsítására irányuló politikai törekvéseket támogatja, - az európai digitális menetrendhez, amelynek végrehajtásához mindezek a kezdeményezések hozzájárulnak. A hálózat- és információbiztonságra vonatkozó szakpolitikai törekvések központi helyet foglalnak el a stratégiának abban a részében, amely az információs társadalmon belüli bizalom és biztonság megerősítésére összpontosít, és egyben támogatják a Bizottságnak a magánélet védelmével (a „beépített adatvédelem” elve), a személyes adatok védelmével (a keretszabályozás felülvizsgálata), a fogyasztóvédelmi együttműködési hálózattal, a személyazonosság-megállapítással és a „Biztonságosabb internet” programmal összefüggő támogatási intézkedéseit és politikáját. A hálózat- és információbiztonságra vonatkozó politikán belül a javaslattal összefüggésben zajló folyamatok A hálózat- és információbiztonságra vonatkozó politikán belül több olyan, az európai digitális menetrendben is megjelölt folyamat zajlik, amelyek hasznát láthatják az ENISA támogatásának és szakértelmének. Közéjük tartozik: - a hálózat- és információbiztonságra vonatkozó szakpolitikai törekvések koordinálásának megerősítése a tagállamok európai fóruma (EFMS) tevékenységének fokozásával, amely az ENISA közvetlen támogatásával segíteni fog: - annak meghatározásában, hogy miként lehet hatékony európai hálózatot létrehozni a nemzeti, illetőleg kormányszinten működő számítástechnikai katasztrófaelhárító csoportok (Computer Emergency Response Team – CERT) határon átnyúló együttműködése révén, - a hálózat- és információbiztonsági eseményekkel kapcsolatos nagyszabású páneurópai gyakorlatok hosszú távú célkitűzéseinek és prioritásainak megállapításában, - a közbeszerzések minimumkövetelményeinek jobb meghatározásában, miáltal javulhat a közszektorban működő rendszerek és hálózatok biztonsága és ellenálló képessége, - a biztonság és az ellenálló képesség gazdasági és szabályozási jellegű ösztönzőinek felkutatásában, - az európai hálózat- és információbiztonság „egészségi állapotának” felmérésében, - a köz- és a magánszektor együttműködésének és partnerségeinek megerősítése az ellenálló képesség javításáért felelős köz-magán partnerség (EP3R) támogatásával. Az ENISA egyre nagyobb szerepet vállal az EP3R üléseinek és tevékenységének előkészítésében. Az EP3R-rel kapcsolatos következő lépések között szerepel: - azon innovatív intézkedések és eszközök megvitatása, amelyek révén javítható a biztonság és az ellenálló képesség, így például: - a biztonság és az ellenálló képesség területén, különösen pedig az IKT-termékek és -szolgáltatások közbeszerzésével összefüggésben viszonyítási alapként szolgáló követelményeké, amelyek egyrészről azonos versenyfeltételeket, másrészről pedig megfelelő szintű felkészültséget és megelőző intézkedéseket biztosíthatnak; - a gazdasági szereplők által – például a biztonsági minimumkövetelmények megállapításával összefüggésben – viselt felelősséggel kapcsolatos kérdések feltérképezéséé; - a kockázatkezelési módszerek, valamint a biztonsági folyamatok és termékek kifejlesztését és alkalmazását elősegítő gazdasági ösztönzőké; - a komolyabb biztonsági események közös elveken nyugvó értékelését és elhárítását támogató kockázatértékelési és kockázatkezelési rendszereké; - a köz- és a magánszektor által a komolyabb biztonsági események bekövetkeztekor tanúsítandó együttműködésé; - a biztonság és az ellenálló képesség gazdasági akadályairól és meghatározó szempontjairól szervezendő üzleti csúcstalálkozóé , - az elektronikus hírközlés keretszabályozásában meghatározott biztonsági követelmények átültetése a gyakorlatba, amellyel kapcsolatban az ENISA szakértelmére és segítségére a következő területeken lesz szükség: - abban, hogy – a magánszektor véleményének kellő mértékű figyelembevételével – támogassa a tagállamokat és a Bizottságot a biztonság megsértésének eseteire vonatkozóan a felülvizsgált keretirányelv 13a. cikkében előírt értesítési kötelezettség szabályainak és eljárásainak kialakításában, - egy olyan éves fórum létrehozásában a hálózat- és információbiztonság területén működő nemzeti illetékes testületek, illetőleg nemzeti szabályozó hatóságok, valamint a magánszektorbeli érdekeltek számára, amelyen megvitathatók a hálózat- és információbiztonságra vonatkozó szabályozási intézkedések alkalmazásával kapcsolatos tanulságok, és kicserélhetők az ezen a területen szerzett gyakorlati tapasztalatok, - EU-szintű „kiberbiztonsági” készültségi gyakorlatok szervezésének segítése a Bizottság támogatásával és az ENISA közreműködésével, e gyakorlatok nemzetközi szintre való későbbi kiterjesztésének lehetőségével, - számítástechnikai katasztrófaelhárító csoport (CERT) létrehozása az EU-intézmények számára . Az európai digitális menetrend 6. kulcsintézkedése szerint a Bizottságnak feladata „a megerősített és magas szintű hálózat- és információbiztonsági politikára irányuló intézkedések bemutatása […], beleértve […] a számítógépes támadások esetén gyorsabb reakciókat lehetővé tevő intézkedéseket, köztük az EU intézményeit védő, számítógépes szükséghelyzeteket kezelő csoport létrehozását”.[8] Ehhez a Bizottságnak és a többi uniós intézménynek elemeznie kell és fel kell állítania egy számítástechnikai katasztrófaelhárító csoportot, amihez az ENISA biztosíthatná a technikai támogatást és a szakmai hozzáértést, - a tagállamok biztatása és támogatása a nemzeti, illetőleg kormányszintű CERT-ek felállításában (vagy, ahol szükséges, ennek megkezdésében), annak érdekében, hogy létrejöjjön a CERT-ek Európa egészére kiterjedő, jól működő hálózata . Ez a tevékenység a nemzeti forrásból és nemzeti eszközrendszer felhasználásával 2012 végéig kiépítendő, a polgárok és a kkv-k javát szolgáló európai információmegosztási és figyelmeztető rendszer (European Information Sharing and Alert System – EISAS) továbbfejlesztése szempontjából is rendkívül fontos lesz, - figyelemfelkeltés a hálózat- és információbiztonsági kihívásokkal kapcsolatban, aminek keretében: - a Bizottság az ENISA-val együttműködésben iránymutatást fog kidolgozni a hálózat- és információbiztonsági szabványok létrehozásának ösztönzéséről, a helyes gyakorlati megoldások elterjesztéséről és egy megfelelő kockázatkezelési kultúra kialakításáról. Első lépésben az iránymutatás első változatát kell előállítani, - az ENISA a tagállamokkal együttműködésben „ az egyetemes hálózat- és információbiztonság európai hónapja ” elnevezéssel figyelemfelkeltő akciót fog szervezni, amelyben nemzeti, illetve európai szintű „kiberbiztonsági” versenyekre is sor kerül. Összhang az Unió egyéb szakpolitikáival és célkitűzéseivel A javaslat összhangban van az Európai Unió meglévő szakpolitikáival és célkitűzéseivel, és azáltal, hogy növeli a hálózat- és információbiztonság területén jelentkező kihívásokra való felkészültséget és válaszadási képességet, teljes mértékben igazodik a belső piac zavartalan működésének biztosítására irányuló törekvésekhez. AZ ÉRDEKELTEKKEL FOLYTATOTT KONZULTÁCIÓK EREDMÉNYEI, HATÁSVIZSGÁLAT Konzultáció az érdekeltekkel A kezdeményezés megfogalmazását kiterjedt egyeztetések előzték meg, amelyekbe igyekeztünk minden érintettet bevonni, és amelyek során tiszteletben tartottuk a részvétel, a nyitottság, az elszámoltathatóság, az eredményesség és a koherencia elvét. E széles körű folyamat keretében 2006–2007-ben sor került az Ügynökség működésének értékelésére, amelynek alapján az ENISA igazgatósága ajánlásokat fogalmazott meg; ezt két nyilvános konzultáció követte (2007-ben és 2008–2009-ben), majd pedig több műhelytalálkozót is szerveztünk a hálózat- és információbiztonsággal összefüggő kérdések megvitatására. Az első nyilvános konzultációra az ENISA működésének időközi értékeléséről készített bizottsági közlemény kapcsán került sor. Középpontjában az Ügynökség jövője állt, és keretében a válaszadók 2007. június 13. és szeptember 7. között összesen 44 online és két írásos hozzászólásban fejtették ki álláspontjukat. A válaszadók között az érdekeltek és az érintettek széles köre képviseltette magát: tagállami minisztériumok, szabályozó testületek, ágazati és fogyasztói szervezetek, felsőoktatási intézmények, vállalkozások, magánszemélyek. A hozzászólások a veszélyforrások lehetséges forgatókönyveit, a rendelet egyértelműbbé és rugalmasabbá tétele iránti igényt (ami szükséges ahhoz, hogy az ENISA alkalmazkodni tudjon a kihívásokhoz), az érdekeltekkel való tényleges interakció biztosításának fontosságát és a források korlátozott mértékű növelésének lehetőségét illetően több érdekes kérdésre is ráirányították a figyelmet. A 2008. november 7. és 2009. január 9. között tartott második nyilvános konzultáció a hálózat- és az információbiztonságra vonatkozó megerősített európai szintű szakpolitikai törekvések legfontosabb célkitűzéseinek meghatározására, valamint a megvalósításukhoz szükséges eszközrendszer kialakítására irányult. A konzultáció keretében tagállami hatóságok, egyetemek és kutatóintézetek, ágazati szervezetek, magánszektorbeli vállalkozások és más érdekeltek, köztük adatvédelmi szervezetek és tanácsadók, valamint magánszemélyek csaknem 600 hozzászólásban fogalmazták meg véleményüket. A válaszadók túlnyomó többsége[9] támogatta az Ügynökség megbízatásának kiterjesztését, és amellett foglalt állást, hogy az Ügynökségnek – több forrás mozgósítása mellett – nagyobb szerepet kellene vállalnia a hálózat- és információbiztonság területén európai szinten folytatott tevékenység koordinálásában. A hozzászólók legfontosabb kérdésként a számítógépes fenyegetésekkel szembeni, egész Európára kiterjedő összehangoltabb fellépést, a nagyszabású számítógépes támadásokra való reagálás terén folytatandó transznacionális együttműködést, a bizalom megteremtését és az érdekeltek közötti információcsere javítását jelölték meg. A javaslattal kapcsolatban 2009 szeptemberétől kezdve hatásvizsgálatot is végrehajtottunk, melynek kiindulópontja egy külső alvállalkozó által elkészített előkészítő tanulmány volt. A folyamatban az érdekeltek és a szakértők széles köre vett részt. A hálózat- és információbiztonsággal foglalkozó tagállami testületek, nemzeti szabályozó hatóságok, távközlési és internetszolgáltatók és ágazati szövetségeik, fogyasztói szervezetek, IKT-gyártók, számítástechnikai katasztrófaelhárító csoportok (CERT), egyetemek és vállalatok egyaránt megfogalmazták véleményüket. A hatásvizsgálat elvégzésének támogatására az érintett főigazgatóságok képviselőiből szolgálatközi projektirányító csoport alakult. Hatásvizsgálat A hatásvizsgálat során világossá vált, hogy Európa szakpolitikai céljainak elérését az Ügynökség megtartása szolgálja a legjobban.[10] Egy előzetes szűrést követően a következő öt lehetőséget vetettük alá további elemzésnek: - 1. lehetőség: a beavatkozás mellőzése, - 2. lehetőség: a jelenlegi politika folytatása változatlan formában, azaz a mostanihoz hasonló megbízatás megfogalmazása és a mostanihoz hasonló erőforrások biztosítása, - 3. lehetőség: az ENISA feladatkörének kiterjesztése a bűnüldöző és a magánélet védelmével foglalkozó hatóságok teljes bevonásával, - 4. lehetőség: az ENISA feladatkörének kiterjesztése a számítógépes támadások és a biztonsági események elleni küzdelemben való részvételre, - 5. lehetőség: az ENISA feladatkörének kiterjesztése a bűnüldöző hatóságok és az igazságszolgáltatás munkájának a számítástechnikai bűnözés területén való segítésére. Az elvégzett összehasonlító költség-haszon elemzés alapján a megfogalmazott szakpolitikai célkitűzések figyelembevételével a 3. lehetőség bizonyult a költségek szempontjából leghatékonyabbnak és legeredményesebbnek. A 3. lehetőség értelmében az ENISA kibővített feladatkörének középpontjában a következő kérdések állnak: - kapcsolattartási hálózat létrehozása és fenntartása az érdekeltek között, továbbá egy tudáshálózat létrehozása és fenntartása annak érdekében, hogy az ENISA átfogó információkhoz jusson a hálózat- és információbiztonság európai helyzetéről, - támogató központként való működés a hálózat- és információbiztonság területén a szakpolitikai előkészítő és végrehajtó munka támogatására (különösen az elektronikus hírközlés adatvédelmi aspektusaival, az elektronikus aláírással és személyazonosság-megállapítással, valamint a hálózat- és információbiztonságra vonatkozó beszerzési standardokkal kapcsolatban), - a kritikus informatikai infrastruktúrák védelmére és a számítógépes rendszerek ellenálló képességére vonatkozó európai uniós politika támogatása (gyakorlatok, EP3R, európai információmegosztási és figyelmeztető rendszer stb.), - európai uniós keret létrehozása a hálózat- és információbiztonságra vonatkozó adatok gyűjtése érdekében, ennek részeként az adatközlés és az információmegosztás jogi keretei módszertanának és gyakorlati megvalósításának kidolgozása, - a hálózat- és információbiztonság gazdaságtanának tanulmányozása, - az együttműködés serkentése harmadik országokkal és nemzetközi szervezetekkel a hálózat- és információbiztonság területén alkalmazandó globális stratégia kialakítása, valamint az európai hatókörű magas szintű nemzetközi kezdeményezések megtételének elősegítése érdekében, - nem operatív feladatok ellátása a számítástechnikai bűnözéssel kapcsolatban a bűnüldöző hatóságok és az igazságszolgáltató szervek által folytatott együttműködés keretében, a hálózat- és információbiztonság területén. A JAVASLAT JOGI ELEMEI A javaslat összefoglalása A javasolt rendelet célja az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) megerősítése, korszerűsítése és új, ötéves megbízatásának meghatározása. A javaslat több alapvető fontosságú kérdésben eltér az eredeti rendelettől: 1. Nagyobb rugalmasság, alkalmazkodó- és összpontosító képesség. A javaslat széles körben korszerűsíti és újrafogalmazza az Ügynökség feladatkörét, és ezáltal szélesebb mozgásteret biztosít működéséhez, miközben a feladatok kellően pontos meghatározásával a célok teljesítésének eszközei is kirajzolódnak. Mindez egyértelműbben kijelöli az Ügynökség tevékenységének fókuszát, javítja az Ügynökség felkészültségét céljainak teljesítésére, és az európai uniós szakpolitika végrehajtásának támogatása érdekében megszilárdítja feladatkörét. 2. Az Ügynökség jobb összehangolása az Unió szakpolitikai és szabályozási folyamataival. Az európai intézmények és szervek segítséget és tanácsadást kérhetnek az Ügynökségtől. Ez az új szerepkör igazodik a szakpolitika és a szabályozás területén eddig bekövetkezett fejleményekhez: a Tanács állásfoglalásaiban elkezdte közvetlenül is megszólítani az Ügynökséget, és az elektronikus hírközlés keretszabályozásában az EP és a Tanács hálózat- és információbiztonsági feladatokkal ruházta fel a szervet. 3. Feladatok a számítástechnikai bűnözés elleni küzdelemmel kapcsolatban. Céljainak teljesítése során az Ügynökség figyelembe veszi a számítástechnikai bűnözés elleni küzdelem szempontjait. A bűnüldöző hatóságok és a magánélet védelmével foglalkozó szervek teljes jogú taggá válnak az Ügynökségben, ezen belül is az Érdekeltek Állandó Csoportjában. 4. Megerősített irányítási struktúra. A javaslat megerősíti a tagállamok és a Bizottság képviselőnek részvételével működő igazgatóság felügyeleti szerepkörét. Például az igazgatóság általános irányelveket bocsáthat ki személyzeti ügyekben, melyek eddig az ügyvezető igazgató kizárólagos hatáskörébe tartoztak. Az igazgatóság emellett operatív csoportokat is létrehozhat, amelyek közreműködnek feladatainak ellátásában, ezen belül különösen döntései végrehajtásának figyelemmel kísérésében. 5. Az eljárások egyszerűsítése. A javaslat egyszerűsíti azokat az eljárásokat, amelyek a korábbiakban szükségtelenül bonyolultnak bizonyultak. Példák: (a) egyszerűsödik az igazgatóság belső szabályzataival kapcsolatos eljárás; (b) az ENISA munkaprogramjáról a Bizottság szolgálatai alkotnak véleményt, melyet nem kell bizottsági határozatba foglalni. Az igazgatótanács emellett elegendő forrást kap az esetleg szükségessé váló igazgatási jellegű döntések meghozatalához és végrehajtásához (például ha a személyi állomány valamely tagja az ügyvezető igazgatóval vagy magával az igazgatósággal szemben panaszt tesz). 6. Fokozatos forrásnövelés. A hangsúlyosabb európai prioritásokhoz és az egyre nagyobb hatókörű kihívásokhoz kapcsolódó feladatok ellátásának biztosítása érdekében e javaslat – anélkül bármilyen formában megelőlegezné a következő többéves pénzügyi keretre vonatkozóan a Bizottság által előterjesztendő javaslatot – abból indul ki, hogy az Ügynökség pénzügyi és humánerőforrásai 2012-től 2016-ig fokozatosan nőni fognak. A 2013. évet követő időszakra vonatkozó többéves pénzügyi keretet megállapító rendelet elfogadása céljából előterjesztendő bizottsági javaslat alapján, a hatásvizsgálat megállapításainak figyelembevételével a Bizottság a most előterjesztett pénzügyi kimutatást a későbbiekben módosított formában ismételten elő fogja terjeszteni. 7. Lehetőség az ügyvezető igazgató megbízatási idejének három évvel való meghosszabbítására. Az igazgatóság az ügyvezető igazgató megbízatási idejét három évvel meghosszabbíthatja. Jogalap A javaslat az Európai Unió működéséről szóló szerződés[11] (EUMSz.) 114. cikkén alapul. Az Európai Bíróság egyik ítélete[12] értelmében a Lisszaboni Szerződés hatálybalépése előtt az EK-Szerződés 95. cikke megfelelő jogalapként szolgált egy olyan szerv létrehozásához, amelynek célja a magas szintű és eredményes hálózat- és információbiztonság biztosítása az Unió területén. A 95. cikk „közelítésére vonatkozó intézkedéseket” fordulatával a Szerződés megalkotói olyan diszkrecionális jogkört kívántak az uniós jogalkotóra ruházni, amelyben az megválaszthatja a kívánt cél eléréséhez alkalmas eszközt. Az IKT-infrastruktúra biztonságának és ellenálló képességének fokozása így fontos eleme a belső piac zavartalan működéséhez való hozzájárulásnak. A Lisszaboni Szerződés nyomán az EUMSz.[13] 114. cikke csaknem azonos módon határozza meg a belső piaccal kapcsolatos feladatokat. Az előzőeknek megfelelően tehát ez a rendelkezés megfelelő jogalapként szolgál a hálózat- és információbiztonság javítása érdekében elfogadandó intézkedések számára. A belső piaccal kapcsolatos feladatok most az Unió és a tagállamok megosztott hatáskörébe tartoznak (EUMSz. 4. cikk (2) bekezdés a) pont). Ez azt jelenti, hogy az Unió és a tagállamok egyaránt elfogadhatnak (kötelező erejű) intézkedéseket, továbbá hogy a tagállamok akkor léphetnek fel, ha az Unió nem élt hatáskörével, vagy úgy döntött, hogy a továbbiakban nem kíván élni vele (EUMSz. 2. cikk (2) bekezdés). A belső piaccal kapcsolatos feladatok körébe tartozó intézkedéseket a rendes jogalkotási eljárással kell elfogadni (EUMSz. 289. és 294. cikk), mely hasonlít[14] a korábbi együttdöntési eljáráshoz (EK-Szerződés 251. cikk). A Lisszaboni Szerződéssel megszűnt a pillérek közötti korábbi különbségtétel. A bűnözés megelőzése és az ellene való küzdelem az Unió megosztott hatáskörébe került. Ez lehetőséget teremtett arra, hogy az ENISA platformként szolgáljon a számítástechnikai bűnözés hálózat- és információbiztonsági vonatkozásaiban, illetőleg a bűnüldöző hatóságokkal, valamint a „kibervédelemmel” és a magánélet védelmével foglalkozó szervekkel való tapasztalatcserében és a bevált gyakorlati megoldások egymással való megosztásában. A szubszidiaritás elve A javaslat megfelel a szubszidiaritás elvének: a hálózat- és információbiztonsági politika együttműködésen alapuló megközelítésmódot igényel, a javaslat céljait a tagállamok önállóan nem képesek elérni. Ha az Unió teljes mértékben tartózkodna a hálózat- és információbiztonság területén nemzeti szinten alkalmazott politikákba való beavatkozástól, azzal a feladatot a tagállamokra hagyná, és ezzel figyelmen kívül hagyná a meglévő informatikai rendszerek közötti nyilvánvaló kölcsönös függőséget. Megfelel tehát a szubszidiaritás elvének az az intézkedés, amely kellő mértékű tagállamok közötti koordinációt biztosít a hálózat- és információbiztonságot fenyegető veszélyforrások megfelelő szintű kezeléséhez abban a határokon átnyúló kontextusban, amelyben azok jelentkeznek. Az európai szintű fellépés emellett növeli a nemzeti szinten ma is folytatott politikák eredményességét, ezért hozzáadott értéket képvisel. A hálózat- és információbiztonságra vonatkozó kellően összpontosított, együttműködésen alapuló politika kialakítása jótékony hatással lesz az alapjogok, különösen pedig a személyes adatok és a magánélet védelméhez fűződő jog érvényesülésére is. Az adatvédelem napjainkban különösen fontos, hiszen az európai polgárok – akár szabad akaratukból, akár kényszerből – egyre nagyobb mértékben bízzák adataikat komplex informatikai rendszerekre, anélkül, hogy minden esetben pontosan tisztában lennének az adatvédelmi kockázatokkal. A biztonságot veszélyeztető események bekövetkeztekor emiatt nem képesek mindig megtenni a megfelelő lépéseket, mint ahogyan abban sem lehetünk biztosak, hogy a tagállamok mindenkor eredményesen fognak tudni fellépni a nemzetközi szinten bekövetkező váratlan eseményekkel szemben, ha a hálózat- és információbiztonság területén nincs európai szintű koordináció. Az arányosság elve A javaslat megfelel az arányosság elvének, mert nem lép túl a céljai eléréséhez szükséges mértéken. A jogi aktus típusának megválasztása Javasolt aktus: rendelet, amely közvetlenül alkalmazandó valamennyi tagállamban. KÖLTSÉGVETÉSI VONZATOK A javaslatnak vannak az Unió költségvetését érintő vonzatai. A javaslat az ENISA új megbízatása keretében meghatározott feladatok megfogalmazásakor abból indul ki, hogy az Ügynökség rendelkezni fog a feladatai megfelelő szintű ellátásához szükséges forrásokkal. Amint az Ügynökség értékelése, a különböző érdekeltekkel az összes lehetséges szinten folytatott konzultációk és a hatásvizsgálat egyaránt rámutattak, általános az egyetértés abban, hogy az Ügynökség nem éri el a kritikus tömeget, így növelni szükséges forrásait. Az Ügynökség létszáma és költségvetése növelésének következményeit és hatásait részletesen a javaslatot kísérő hatásvizsgálat elemzi. A 2013 utáni időszakra vonatkozó EU-finanszírozás meghatározására a 2013 utánra tervezett összes javaslat figyelembevételével, a Bizottság szintjén folytatandó egyeztetések keretében fog sor kerülni. KIEGÉSZÍTŐ MEGJEGYZÉSEK Időtartam A rendelet ötéves időtartamot fed le. Felülvizsgálatra vonatkozó rendelkezés A rendelet értelmében az Ügynökség által az előző értékelés, azaz 2007 óta elvégzett munkát újabb értékelésnek kell alávetni. Az értékelés keretében meg kell határozni, hogy az Ügynökségnek milyen mértékben sikerült teljesítenie a rendeletben előírt céljait, hogy az Ügynökség még az értékelés elvégzésekor is eredményes eszköznek mondható-e, valamint hogy az Ügynökség megbízatási idejét meg szükséges-e hosszabbítani. Az értékelés eredményei alapján az igazgatóság ajánlásokat fogalmaz meg a Bizottság számára e rendelet módosításáról, valamint az Ügynökségen vagy annak módszerein végrehajtandó változtatásokról. Ahhoz, hogy a Bizottság kellő időben összeállíthassa javaslatát a megbízatás meghosszabbítására, az értékelést a rendeletben előírt megbízatási idő második évének végéig kell végrehajtani. Ideiglenes intézkedés A Bizottság tudatában van annak, hogy a javaslattal kapcsolatos jogalkotási eljárás és a kapcsolódó egyeztetések az Európai Parlamentben és a Tanácsban viszonylag sok időt vehetnek igénybe, ami azt jelenti, hogy jogi vákuum keletkezhet, ha az Ügynökségre vonatkozó új rendeletet a jelenlegi megbízatási idő végéig nem sikerül kellő időben elfogadni. Mindezekre tekintettel a Bizottság az egyeztetések lefolytatásához szükséges kellő idő biztosítása érdekében e javaslattal párhuzamosan javaslatot terjeszt elő az Ügynökség megbízatási idejének 18 hónappal történő meghosszabbítására is. 2010/0275 (COD) Javaslat: AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE az Európai Hálózat- és Információbiztonsági Ügynökségről (ENISA) AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA, tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 114. cikkére, tekintettel az Európai Bizottság javaslatára, tekintettel az Európai Gazdasági és Szociális Bizottság véleményére,[15] tekintettel a Régiók Bizottsága véleményére,[16] a javaslat nemzeti parlamenteknek való megküldését követően, a rendes jogalkotási eljárás keretében, mivel: 8. Az elektronikus hírközlés, az elektronikus infrastruktúra és az elektronikus szolgáltatások a gazdasági és a társadalmi fejlődés alapvető tényezői. Létfontosságú szerepet töltenek be a társadalom működésében, és a villamos energiához vagy a vízellátáshoz hasonlóan mára mindent átható közüzemi szolgáltatássá váltak. Működési zavaraik jelentős gazdasági kárt okozhatnak, ami rámutat azoknak az intézkedéseknek a fontosságára, amelyek a kritikus szolgáltatások folyamatosságának biztosítása érdekében ellenálló képességük növelését célozzák. Az elektronikus hírközlés, az elektronikus infrastruktúra és az elektronikus szolgáltatások – különösen integritásukat és rendelkezésre állásukat tekintve – egyre nagyobb kihívásokkal néznek szembe. Mindez egyre nagyobb aggodalommal tölti el társadalmunkat, nem utolsósorban azért, mert a rendszerek összetettsége, a balesetek, az emberi hibák és a támadások olyan problémákat okozhatnak, amelyek az európai polgárok jóléte szempontjából kritikus jelentőségű szolgáltatásokat közvetítő fizikai infrastruktúrára is kihathatnak. 9. A veszélyforrások folyamatosan változnak, és a biztonságot veszélyeztető események gyengíthetik a felhasználók bizalmát. Miközben az elektronikus hírközlésben, az elektronikus infrastruktúrában és az elektronikus szolgáltatásokban bekövetkező komolyabb mértékű működési zavarok nagy gazdasági és társadalmi hatásokkal járhatnak, a biztonság megsértésének mindennapos esetei, a mindennapos problémák és kellemetlenségek azzal fenyegetnek, hogy aláássák az embereknek a technológiába, a hálózatokba és a szolgáltatásokba vetett bizalmát. 10. Ennek megfelelően a politika formálói, a gazdasági élet szereplői és a felhasználók számára egyaránt fontos, hogy megbízható európai adatok alapján rendszeres értékelés készüljön az európai hálózat- és információbiztonság állapotáról. 11. Az Európai Tanács 2003. december 13-i ülésén a tagállamok képviselői úgy határoztak, hogy a Bizottság által előterjesztett javaslat alapján létrehozandó Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) székhelye Görögországban, egy, a görög kormány által kijelölendő városban lesz. 12. Az Európai Parlament és a Tanács 2004-ben azzal a céllal fogadta el az Európai Hálózat- és Információbiztonsági Ügynökség (a továbbiakban: Ügynökség) létrehozásáról szóló 460/2004/EK rendeletet,[17] hogy hozzájáruljon az Unión belüli magas szintű és hatékony hálózat- és információbiztonság biztosításához, valamint – a polgárok, a fogyasztók, a vállalkozások és a közszervek érdekeit szem előtt tartva – a hálózat- és információbiztonság kultúrájának kialakításhoz. Az Európai Parlament és a Tanács 2008-ban az 1007/2008/EK rendelettel[18] az Ügynökség megbízatási idejét 2012 márciuság meghosszabbította. 13. Az Ügynökség létrehozása óta a hálózat- és információbiztonságot érintő kihívások a technológia változásaihoz, a piaci fejleményekhez és a társadalmi-gazdasági folyamatokhoz igazodva folyamatos változást mutatnak, ami az elmúlt időszakban újabb gondolkodási folyamatot és vitákat indukált. A változó kihívásokra reagálva az Unió különböző dokumentumokban többször kiigazította a hálózat- és információbiztonsággal összefüggő szakpolitikai prioritásait; ilyen dokumentum volt „ A biztonságos információs társadalomra irányuló stratégia: párbeszéd, partnerség, felvértezés és felelősségvállalás ” címmel 2006-ban közzétett bizottsági közlemény,[19] a biztonságos európai információs társadalomra irányuló stratégiáról szóló 2007. évi tanácsi állásfoglalás,[20] az „ Európa védelme a nagyszabású számítógépes támadások és hálózati zavarok ellen: a felkészültség, a védelem és az ellenálló képesség fokozása ” címmel 2009-ben a kritikus informatikai infrastruktúrák védelméről közzétett bizottsági közlemény,[21] a kritikus informatikai infrastruktúrák védelme tárgyában tartott miniszteri konferenciáról közreadott elnökségi következtetések, valamint a hálózat- és információbiztonság együttműködésre építő európai megközelítéséről szóló 2009. évi tanácsi állásfoglalás.[22] Felismerést nyert, hogy ahhoz, hogy a hálózat- és információbiztonság területén jelentkező kihívások kiküszöbölését lehetővé tévő európai képességek kialakítása céljából az európai intézmények és a tagállamok által tett erőfeszítésekhez sikeresen hozzájárulhasson, az Ügynökséget korszerűsíteni kell és meg kell erősíteni. A Bizottság ezen túlmenően nemrégiben az Európa 2020 stratégia kiemelt kezdeményezéseként elfogadta az európai digitális menetrendet.[23] Ez az átfogó menetrend azt tűzi ki célul, hogy az IKT-ban rejlő lehetőségeket oly módon kell hasznosítani és – egyúttal – növelni, hogy az előrelendítse a fenntartható növekedés és az innováció ügyét. A menetrend központi célkitűzésként határozza meg az információs társadalmon belüli bizalom és megbízhatóság növelését, és ennek érdekében megjelöli azokat a konkrét lépéseket, köztük e javaslat előterjesztését is, amelyeket a Bizottságnak a közeljövőben meg kell tennie. 14. A belső piac összefüggésében az elektronikus hírközlés biztonságára és – általánosabban – a hálózat- és információbiztonságra irányuló intézkedések a tagállamok és a Bizottság részéről különböző technikai és szervezési megoldásokat igényelnek. A vonatkozó követelmények heterogén alkalmazása csökkentheti a hatékonyságot, és akadályozhatja a belső piac működését. Ezért egy olyan európai szintű szakértői központot szükséges létrehozni, amely a hálózat- és információbiztonság területén iránymutatással, tanácsadással és – kérésre – segítségnyújtással szolgál, és amelyre a tagállamok és az európai intézmények bátran támaszkodhatnak. Az Ügynökség ezeket az igényeket magas szintű szaktudás kialakítása és fenntartása útján elégítheti ki, illetőleg azáltal, hogy segíti a tagállamokat és a Bizottságot, valamint rajtuk keresztül az üzleti élet szereplőit a hálózat- és információbiztonság területén alkalmazandó jogi és szabályozási jellegű kötelezettségeik teljesítésében, és ezzel végső soron hozzájárul a belső piac zavartalan működéséhez. 15. Kívánatos, hogy az Ügynökség ellássa az elektronikus hírközlés területén a hatályos uniós jog által számára kijelölt feladatokat, és ezen túlmenően – egyebek mellett szaktudásának rendelkezésre bocsátásával, tanácsadással és a helyes gyakorlati megoldások cseréjének ösztönzésével – általában véve is hozzájáruljon az elektronikus hírközlés biztonságának javításához. 16. Az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról szóló, 2002. március 7-i 2002/21/EK európai parlamenti és tanácsi irányelv (keretirányelv)[24] úgy rendelkezik, hogy a nyilvános hírközlő hálózatokat szolgáltató és a nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó vállalkozások kötelesek megfelelő módon gondoskodni integritásuk és biztonságuk megőrzéséről, a biztonság sérülésének és az integritás megszűnésének esetére pedig bejelentési kötelezettséget ír elő számukra. A nemzeti szabályozó hatóságoknak bizonyos esetekben az Ügynökséget is értesíteniük kell, és a Bizottság és az Ügynökség felé éves gyakorisággal összefoglaló jelentést kell tenniük a beérkezett bejelentésekről és a megtett intézkedésekről. A 2002/21/EK irányelv értelmében továbbá az Ügynökség köteles tanácsadás útján hozzájárulni az ilyen tárgyú műszaki és szervezési jellegű biztonsági intézkedések harmonizálásához. 17. Az elektronikus hírközlési ágazatban a személyes adatok kezeléséről és a magánélet védelméről szóló, 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv)[25] úgy rendelkezik, hogy a nyilvánosan elérhető elektronikus hírközlési szolgáltatások szolgáltatói kötelesek szolgáltatásaik biztonságának biztosítása érdekében megfelelő műszaki és szervezeti intézkedéseket tenni, továbbá előírja a közlések és az azokra vonatkozó forgalmi adatok titkosságának biztosítását is. A 2002/58/EK irányelv tájékoztatási és bejelentési kötelezettséget ír elő az elektronikus hírközlési szolgáltatásokat nyújtó vállalkozások számára a személyes adatokkal kapcsolatos jogsértésekre vonatkozóan. Rendelkezései a Bizottságot arra kötelezik, hogy a tájékoztatási és bejelentési kötelezettségek körülményeire és formájára, valamint az alkalmazandó eljárásokra vonatkozó műszaki végrehajtási intézkedések elfogadása előtt egyeztessen az Ügynökséggel. A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv[26] értelmében a tagállamok kötelesek gondoskodni arról, hogy az adatkezelők megfelelő technikai és szervezeti intézkedéseket alkalmazzanak a személyes adatoknak a véletlen vagy jogellenes megsemmisüléssel, a véletlen elvesztéssel, a megváltoztatással, a jogosulatlan nyilvánosságra hozatallal és a jogosulatlan hozzáféréssel szembeni védelme érdekében, különösen abban az esetben, ha az adatfeldolgozás az adatok hálózaton keresztüli továbbításával jár, továbbá ezen túlmenően a feldolgozás minden más jogellenes formájával szemben is. 18. Az Ügynökségnek indokolt hozzájárulnia az Európai Unión belüli magas szintű hálózat- és információbiztonság megteremtéséhez, illetőleg az Európai Unió polgárai, fogyasztói, vállalkozásai és közszektorbeli szervezetei javára részt vennie a hálózat- és információbiztonság kultúrájának kialakításában, mindezzel pedig elősegítenie a belső piac zavartalan működését. 19. A feladatmeghatározásnak indokolt tükröznie, hogy az Ügynökségnek hogyan kell céljait elérnie, de egyben rugalmasságot is biztosítania kell működéséhez. Az Ügynökség feladatkörének ki kell terjednie az elektronikus hírközlés, az elektronikus infrastruktúra és az elektronikus szolgáltatások biztonságát és ellenálló képességét fenyegető veszélyforrások elemzéséhez szükséges információk és adatok gyűjtésére, valamint az európai hálózat- és információbiztonság állapotának a tagállamokkal együttműködésben történő felmérésére. Az Ügynökségnek koordinációs feladatokat kell ellátnia a tagállamok irányában, és javítania kell az európai érdekeltek közötti együttműködést; ennek érdekében indokolt bevonnia tevékenységébe a hálózat- és információbiztonság területén működő illetékes nemzeti szerveket és magánszektorbeli szakembereket. Az Ügynökségnek segítenie kell a Bizottságot és a tagállamokat a hardver- és a szoftvertermékekkel kapcsolatos biztonsági természetű problémák megoldása érdekében az iparral folytatott párbeszédükben, és ezáltal hozzá kell járulnia a hálózat- és információbiztonság területén megvalósuló együttműködéshez. 20. Az Ügynökségnek referenciapontként kell működnie, és függetlensége, az általa nyújtott tanácsok és az általa terjesztett információk minősége, eljárásainak és működési módszereinek átláthatósága, valamint a számára kijelölt feladatok ellátásában tanúsított gondossága révén bizalmat kell sugároznia a külvilág felé. Az Ügynökségnek a nemzeti és az uniós szinten tett erőfeszítésekre kell támaszkodnia; ennek érdekében feladatait a tagállamokkal teljes együttműködésben kell ellátnia, és nyitottnak kell lennie az ágazattal és más érdekeltekkel való kapcsolatra. Az Ügynökségnek emellett a magánszektor visszajelzéseire és a magánszektorral folytatott együttműködésre is indokolt támaszkodnia, hiszen ez a kör is fontos szerepet játszik az elektronikus hírközlés, az elektronikus infrastruktúra és az elektronikus szolgáltatások biztonságának megteremtésében. 21. A Bizottság köz-magán partnerség létrehozását kezdeményezte az ellenálló képesség területén, amely az elképzelések szerint egész Európára kiterjedő, rugalmas irányítási keretként fog szolgálni az IKT-infrastruktúra ellenálló képességének biztosításában, és amelynek keretében az Ügynökség előmozdíthatja a köz- és a magánszektorbeli érdekeltek együttműködését a közpolitikai prioritások és a kihívások gazdasági és piaci vetületeinek megvitatásában, az IKT-infrastruktúra ellenálló képességével kapcsolatos intézkedések előkészítésében, illetőleg az egyes érdekeltek felelősségi körének meghatározásában. 22. Kívánatos, hogy az Ügynökség – a Bizottság kérésére és saját kezdeményezésre egyaránt – vélemények megfogalmazása, valamint műszaki és társadalmi-gazdasági elemzések készítése útján tanácsadással segítse a Bizottságot a hálózat- és információbiztonság területén folytatott politikafejlesztési tevékenységében. Az Ügynökségnek emellett – kérésre – a tagállamokat, valamint az európai intézményeket és szerveket is indokolt segítenie hálózat- és információbiztonsági politika- és képességfejlesztő tevékenységükben. 23. Kívánatos, hogy az Ügynökség a tagállamokat és az európai intézményeket a hálózat- és információbiztonság területét érintő problémák és váratlan események megelőzésével, észlelésével, hatásainak csökkentésével és kezelésével összefüggő határokon átívelő képesség és felkészültség kialakítására és fokozására irányuló erőfeszítéseikben is segítse; ebben a vonatkozásban az Ügynökségnek elő kell segítenie a tagállamok közötti, illetőleg a tagállamok és a Bizottság közötti együttműködést. Ennek érdekében az Ügynökségnek aktív szerepet kell vállalnia a válaszadási képességek javítására és a biztonsági eseményekkel kapcsolatos nemzeti és európai szintű gyakorlatok megszervezésére és lefolytatására irányuló folyamatos tagállami erőfeszítések támogatásában. 24. A személyes adatok e rendelet alapján végzett feldolgozása a 95/46/EK irányelv hatálya alá tartozik. 25. A hálózat- és információbiztonság területén jelentkező kihívások jobb megértése érdekében célszerű, hogy az Ügynökség elemezze a meglévő és a kialakulóban lévő kockázatokat. Ebből a célból az Ügynökségnek a tagállamokkal és – az adott kérdés természetének megfelelően – a statisztikai szervekkel együttműködve gyűjtenie kell a releváns információkat. Az Ügynökségnek emellett segítenie kell a tagállamokat, valamint az európai intézményeket és szerveket a hálózat- és információbiztonságra vonatkozó adatok gyűjtésére, elemzésére és terjesztésére irányuló tevékenységükben. 26. Az Unióban végrehajtandó nyomonkövetési tevékenysége keretében az Ügynökségnek indokolt elősegítenie az Unió és a tagállamok által az európai hálózat- és információbiztonság állapotának felmérése céljából folytatott együttműködést, és a tagállamokkal együttműködve indokolt hozzájárulnia az ilyen tárgyú értékelő tevékenységhez. 27. Kívánatos, hogy az Ügynökség elősegítse a tagállamok illetékes hatóságai közötti együttműködést, és ennek keretében támogassa az oktatási és a tudatosságnövelő programok területén a helyes gyakorlati megoldások és a standardok kialakítását és cseréjét. Ezt a tevékenységet segíti a tagállamok közötti fokozott információcsere. Az Ügynökségnek ugyancsak támogatnia kell a köz- és a magánszektorbeli érdekeltek között uniós szinten folytatott együttműködést, és ennek érdekében elő kell mozdítania az információk egymás közötti megosztását, a tudatosságnövelő kezdeményezéseket, valamint az oktatási és a képzési programokat. 28. A hatékony biztonsági politikáknak a köz- és a magánszektorban egyaránt kellően kidolgozott kockázatértékelési módszereken kell alapulniuk. A kockázatértékelési módszereket és eljárásokat különböző szinteken használják, és hatékony alkalmazásukat illetően nincs közös gyakorlat. A kockázatértékeléssel és az együttműködtethető kockázatkezelési megoldásokkal kapcsolatos bevált gyakorlati megoldások ösztönzése és kialakítása a köz- és a magánszektorbeli szervezetekben fokozza az európai hálózatok és informatikai rendszerek biztonságát. Ebből a megfontolásból az Ügynökségnek a kockázatkezelésre és az elektronikus termékek, rendszerek, hálózatok és szolgáltatások mérhető biztonságára vonatkozó standardok kidolgozását és alkalmazását célzó erőfeszítések előmozdításán keresztül támogatnia kell a köz- és a magánszektorbeli érdekeltek uniós szintű együttműködését. 29. Az Ügynökségnek munkája során indokolt hasznosítania a – különösen a különböző európai uniós kutatási kezdeményezések keretében – folyamatban lévő kutatási, fejlesztési és technológiaértékelési tevékenységeket. 30. Annyiban, amennyiben ez tevékenységi területe, céljai és feladatköre szempontjából helyénvaló és hasznos, az Ügynökségnek célszerű tapasztalat- és általános információcserét folytatnia az európai uniós jog alapján a hálózat- és információbiztonság területén létrehozott szervekkel és ügynökségekkel. 31. A számítástechnikai bűnözés biztonsági vonatkozásai területén a bűnüldöző szervekkel fenntartott kapcsolataiban az Ügynökségnek indokolt tiszteletben tartania a meglévő információs csatornákat és hálózatokat, így különösen igénybe vennie az információs rendszerek elleni támadásokról és a 2005/222/IB kerethatározat hatályon kívül helyezéséről szóló európai parlamenti és tanácsi irányelv elfogadása érdekében előterjesztett javaslatban említett kapcsolattartó pontokat vagy a csúcstechnológiát alkalmazó bűnözés elleni küzdelem területén működő egységek vezetőiből álló Europol-munkacsoportot. 32. Céljai maradéktalan teljesítésének biztosítása érdekében és különösen abból a célból, hogy a számítástechnikai bűnözés hálózat- és információbiztonsági vonatkozásaira megfelelő mértékű figyelem és kellő erőfeszítések irányuljanak, az Ügynökségnek kívánatos munkakapcsolatot fenntartania a bűnüldöző szervekkel és a magánélet védelme területén működő hatóságokkal. E hatóságok képviselőinek indokolt teljes körűen részt venniük az Ügynökség munkájában, és képviselettel rendelkezniük az Ügynökségen belül működő Érdekeltek Állandó Csoportjában. 33. A hálózat- és információbiztonsági problémák globális jellegűek. Szorosabb nemzetközi együttműködés szükséges a biztonsági standardok továbbfejlesztése, az információcsere jobbítása, valamint a hálózat- és információbiztonsági kérdéseket érintő közös globális megközelítésmód kialakítása érdekében. Az Ügynökségnek ennek jegyében – az adott esetnek megfelelően esetleg az Európai Külügyi Szolgálattal karöltve – támogatnia kell a harmadik országokkal és a nemzetközi szervezetekkel folytatott együttműködést. 34. Kívánatos, hogy az Ügynökség feladatainak ellátása ne érintse az elektronikus hírközlő hálózatokra és az elektronikus hírközlési szolgáltatásokra irányadó irányelvek szerinti nemzeti szabályozó hatóságok, az 1211/2009/EK európai parlamenti és tanácsi rendelettel[27] létrehozott Elektronikus Hírközlési Szabályozók Testülete (Body of European Regulators for Electronic Communications – BEREC), a 2002/21/EK irányelv szerinti Hírközlési Bizottság, a műszaki szabványok és szabályok terén történő információszolgáltatási eljárás megállapításáról szóló, 1998. június 22-i 98/34/EK európai parlamenti és tanácsi irányelv[28] szerinti európai szabványügyi testületek, nemzeti szabványügyi testületek és állandó bizottság, valamint a személyes adatok feldolgozása és szabad áramlása vonatkozásában az egyének védelmével foglalkozó tagállami felügyelő hatóságok hatásköreit, ne zárja ki eleve a felsorolt szervek hatásköreinek gyakorlását és feladatainak ellátását, ne akadályozza azt, és ne legyen azzal átfedésben. 35. Az Ügynökség munkája eredményességének biztosítása érdekében kívánatos, hogy a tagállamok és a Bizottság képviselettel rendelkezzék az Ügynökség tevékenységének általános irányát megszabó és az Ügynökség számára kijelölt feladatoknak e rendelettel összhangban történő ellátását biztosító igazgatóságban. Az igazgatóságot fel kell ruházni mindazokkal a hatáskörökkel, amelyek a költségvetés meghatározásához és végrehajtásának ellenőrzéséhez, a vonatkozó pénzügyi szabályzat elfogadásához, az Ügynökség átlátható döntéshozatali eljárásainak kialakításához, az Ügynökség munkaprogramjának elfogadásához, saját eljárási szabályzatának és az Ügynökség belső működési szabályzatának elfogadásához, valamint az ügyvezető igazgató kinevezéséhez és felmentéséhez szükségesek. Az igazgatóság számára lehetőséget kell biztosítani arra, hogy a feladatai elvégzésében való közreműködés – például határozatainak megszövegezése vagy határozatai végrehajtásának figyelemmel kísérése – céljából operatív csoportokat hozzon létre. 36. Az Ügynökség zavartalan működése azt kívánja, hogy az ügyvezető igazgató kinevezése érdemei, igazolt igazgatási és vezetői készségei, valamint a hálózat- és információbiztonság területén szerzett szakmai hozzáértése és tapasztalatai alapján történjék, és feladatait az Ügynökség belső működésének szervezését illetően teljes mértékben független módon végezze. Ebből a célból úgy indokolt rendelkezni, hogy az Ügynökség munkaprogramjára – a Bizottság szolgálataival folytatott előzetes konzultációt követően – az ügyvezető igazgató tegyen javaslatot, és ugyanő tegye meg mindazokat a lépéseket, amelyek az Ügynökség munkaprogramja helyes végrehajtásának biztosításához szükségesek. Az ügyvezető igazgató feladataként szükséges továbbá meghatározni, hogy az igazgatóság elé való terjesztés végett évente elkészítse az általános jelentést, összeállítsa az Ügynökség bevételeire és kiadásaira vonatkozó kimutatás tervezetét, és végrehajtsa a költségvetést. 37. Az ügyvezető igazgató részére lehetőséget kell biztosítani arra, hogy egyes konkrét – így különösen tudományos-műszaki, jogi vagy társadalmi-gazdasági – kérdésekben eseti munkacsoportokat hozzon létre. Kívánatos, hogy az eseti munkacsoportok létrehozása során az ügyvezető igazgató azt a megfelelő külső szaktudást kutassa fel és mozgósítsa, amelynek révén az Ügynökség hozzájuthat a információs társadalom fejlődésével felmerülő biztonsági jellegű kihívásokról rendelkezésre álló legfrissebb információkhoz. Az Ügynökségnek biztosítania kell, hogy az eseti munkacsoportok tagjainak kiválasztása a lehető legnagyobb szakmai hozzáértés alapján, a csoport feladatkörének sajátosságaihoz igazodva a tagállami közigazgatási szervek, a magánszektor (beleértve az ipart is), a felhasználók és a hálózat- és információbiztonság területén működő tudományos szakemberek közötti reprezentatív egyensúly kellő figyelembevételével történjék. Az Ügynökség a munkacsoport munkájában való részvételre eseti alapon egy-egy, az adott szakterületen elismert szakértőnek számító személyt is felkérhet. E részvétel költségeit az Ügynökségnek saját belső szabályzata szerint, a hatályos pénzügyi szabályzatokkal összhangban kell fedeznie. 38. A magánszektorral, a fogyasztói szervezetekkel és más érdekeltekkel való rendszeres párbeszéd biztosítása céljából az Ügynökségen belül tanácsadó szervként indokolt létrehozni az Érdekeltek Állandó Csoportját. Az ügyvezető igazgató javaslata alapján az igazgatóság által felállított Érdekeltek Állandó Csoportja feladatául azt kell meghatározni, hogy az összes érdekelt számára fontos kérdésekre összpontosítson, és ezekre a kérdésekre ráirányítsa az Ügynökség figyelmét. Az ügyvezető igazgató az ülések napirendjéhez igazodva az alkalmasnak ítélt körben meghívhatja az Európai Parlament és más illetékes szervek képviselőit a csoport üléseire. 39. Az Ügynökségnek működése során kívánatos tiszteletben tartania egyrészről a szubszidiaritás elvét, azaz megfelelő mértékű koordinációt indokolt biztosítania a tagállamok között a hálózat- és információbiztonságot érintő kérdésekben és a nemzeti politikák eredményességének javításában, ami hozzáadott értéket képez, másrészről pedig az arányosság elvét, azaz nem lépheti túl az e rendeletben meghatározott célok eléréséhez szükséges mértéket. 40. Az Ügynökségnek a dokumentumokhoz való nyilvános hozzáférés vonatkozásában az 1049/2001/EK európai parlamenti és tanácsi rendelet szerint,[29] az egyéneknek a személyes adatok feldolgozásával kapcsolatos védelme vonatkozásában pedig a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18-i 45/2001/EK európai parlamenti és tanácsi rendelet[30] szerint kell eljárnia. 41. Hatásköre gyakorlásának, céljai teljesítésének és feladatai ellátásának keretein belül az Ügynökségnek igazodnia kell különösen az európai intézményekre alkalmazandó rendelkezésekhez, valamint a minősített dokumentumok kezelésére vonatkozó nemzeti jogszabályokhoz. Az igazgatóságot olyan döntéshozatali jogkörrel kell felruházni, amelynek gyakorlásával lehetővé teheti, hogy az Ügynökség minősített adatokat kezeljen. 42. Teljes mértékű autonómiájának és függetlenségének biztosítása érdekében az Ügynökség számára olyan önálló költségvetést szükséges biztosítani, amelynek bevételei elsősorban az Unió és az Ügynökség munkájában részt vevő harmadik országok hozzájárulásából származnak. Lehetőséget kell biztosítani arra, hogy az Ügynökség székhelye szerinti tagállam vagy bármely más tagállam az Ügynökség bevételeihez önkéntes alapon hozzájáruljon. Az Európai Unió általános költségvetését terhelő támogatások vonatkozásában mindenkor az uniós költségvetési eljárást kell alkalmazni. A Számvevőszéknek ellenőriznie kell az elszámolásokat. 43. Az Ügynökséget a 460/2004/EK rendelettel korábban létrehozott ügynökség jogutódjaként indokolt létrehozni. A tagállamok képviselői által az Európai Tanács 2003. december 13-i ülése keretében elfogadott határozat értelmében az Ügynökség székhelye szerinti tagállamnak a meglévő politikai egyezségek fenntartásával és továbbfejlesztésével biztosítania kell az Ügynökség zökkenőmentes és hatékony működését, tekintettel különösen arra a szempontra, hogy az Ügynökségnek együttműködés és segítségnyújtás révén támogatnia kell a Bizottság, a tagállamok és azok illetékes szervei, az Európai Unió más intézményei és szervei, valamint a szerte Európában működő köz- és magánszektorbeli érdekeltek munkáját. 44. Az Ügynökséget határozott időtartamra kell létrehozni. Működését a kitűzött célok teljesítésének eredményessége és munkamódszereinek hatékonysága szempontjából értékelésnek kell alávetni annak megállapítása céljából, hogy a kitűzött célok továbbra is érvényesek-e, és ennek alapján meg kell határozni, hogy működésének időtartamát célszerű-e ismét meghosszabbítani, ELFOGADTA EZT A RENDELETET: 1. SZAKASZ: HATÁLY, CÉLOK ÉS FELADATOK 1. CIKK Tárgy és hatály (1) Annak érdekében, hogy az Európai Unión belül hozzájáruljon a magas szintű hálózat- és információbiztonsághoz, növelje az ezzel kapcsolatos tudatosságot, és az Európai Unió polgárai, fogyasztói, vállalkozásai és közszektorbeli szervezetei javára hálózat- és információbiztonsági kultúrát alakítson ki a társadalomban, ezáltal pedig hozzájáruljon a belső piac zavartalan működéséhez, ez a rendelet létrehozza az Európai Hálózat- és Információbiztonsági Ügynökséget (a továbbiakban: Ügynökség). (2) Az Ügynökség céljai és feladatai nem sértik a hálózat- és információbiztonsággal kapcsolatos tagállami hatásköröket, sem pedig általában a közbiztonsággal, a védelemmel és a nemzetbiztonsággal kapcsolatos tevékenységeket (beleértve az állam gazdasági jólétével kapcsolatos tevékenységet is, ha nemzetbiztonsági vonatkozással rendelkezik), illetőleg az államnak a büntetőjog területén folytatott tevékenységét. (3) E rendelet alkalmazásában „ hálózat- és információbiztonság ”: valamely hálózat vagy informatikai rendszer arra való képessége, hogy a rajta tárolt vagy továbbított adatok és az ezen adatokkal kapcsolatban általa nyújtott vagy rajta keresztül elérhető szolgáltatások hozzáférhetőségét, hitelességét, integritását és titkosságát veszélyeztető véletlen eseményeknek és jogellenes és rosszindulatú cselekményeknek meghatározott megbízhatósággal ellenálljon. 2. cikk Célok (1) Az Ügynökség segíti a Bizottságot és a tagállamokat a hálózat- és információbiztonság területén az Európai Unió joga értelmében jelenleg és a jövőben alkalmazandó jogszabályi és szabályozási természetű kötelezettségek teljesítésében, ezáltal pedig hozzájárul a belső piac zavartalan működéséhez. (2) Az Ügynökség javítja az Európai Unió és a tagállamok képességét és felkészültségét a hálózat- és információbiztonságot érintő problémák és váratlan események megelőzésére, észlelésére és kezelésére. (3) Az Ügynökség magas szintű szakmai hozzáértést alakít ki és tart fenn, és ennek felhasználásával ösztönzi a köz- és a magánszektorbeli szereplők közötti széles körű együttműködést. 3. cikk Feladatok (1) Az 1. cikkben meghatározott cél szabta keretek között az Ügynökség: a) kérésre és saját kezdeményezésből segítséget nyújt a Bizottságnak a hálózat- és információbiztonságra irányuló politika fejlesztésében, ennek keretében tanácsokat ad, véleményeket fogalmaz meg, műszaki és társadalmi-gazdasági elemzéseket készít, és előkészítő munkát végez a hálózat- és információbiztonság területén alkalmazandó európai uniós jogi rendelkezések fejlesztése és korszerűsítése érdekében; b) elősegíti a tagállamok által egymással és a Bizottsággal a hálózat- és információbiztonságot érintő váratlan események megelőzésére, észlelésére és kezelésére irányuló, határokon átívelő vetülettel rendelkező erőfeszítéseikben folytatott együttműködést; c) segíti a tagállamokat, valamint az európai intézményeket és szerveket a hálózat- és információbiztonságra vonatkozó adatok gyűjtésére, elemzésére és terjesztésére irányuló tevékenységükben; d) a tagállamokkal és az európai intézményekkel együttműködve rendszeresen felméri az európai hálózat- és információbiztonság állapotát; e) támogatja Európa illetékes közszerveinek együttműködését, ennek érdekében támogatja a helyes gyakorlati megoldások kialakítása és cseréje, valamint a standardok kidolgozása és cseréje érdekében tett erőfeszítéseiket; f) az elektronikus termékek, rendszerek és szolgáltatások körében segíti az Uniót és a tagállamokat a kockázatkezelési eljárások, valamint a biztonsági tárgyú helyes gyakorlati megoldások és standardok alkalmazásának ösztönzésében; g) támogatja a köz- és a magánszektorbeli érdekeltek uniós szintű együttműködését, ennek érdekében egyebek mellett ösztönzi az információcserét és a tudatosságnövelő kezdeményezéseket, és segíti a kockázatkezelésre, valamint az elektronikus termékek, hálózatok és szolgáltatások biztonságára vonatkozó standardok kidolgozására és alkalmazására irányuló erőfeszítéseiket; h) elősegíti a köz- és a magánszektorbeli érdekeltek által a hálózat- és információbiztonság területén folytatott párbeszédet és a helyes gyakorlati megoldások cseréjét, ideértve a számítógépes bűnözés elleni küzdelemmel kapcsolatos vonatkozásokat is; segíti a Bizottságot a számítógépes bűnözés elleni küzdelem hálózat- és információbiztonsági vonatkozásait figyelembe vevő politikafejlesztési tevékenységében; i) kérésre segíti a tagállamokat, valamint az európai intézményeket és szerveket hálózat- és információbiztonsággal összefüggő észlelési, elemzési és válaszadási képességfejlesztő tevékenységükben; j) az adott esetnek megfelelően az Európai Külügyi Szolgálattal karöltve támogatja az Európai Unió által harmadik országokkal és nemzetközi szervezetekkel a hálózat- és információbiztonság területére irányuló nemzetközi együttműködés elősegítése és egy közös globális megközelítésmód kialakítása érdekében folytatott párbeszédet és együttműködést; k) ellátja az Európai Unió jogalkotási aktusaiban az Ügynökség számára kijelölt feladatokat. 2. SZAKASZ: SZERVEZET 4. CIKK Az Ügynökség szervei Az Ügynökség szervei: a) az igazgatóság; b) az ügyvezető igazgató és a személyi állomány; valamint c) az Érdekeltek Állandó Csoportja. 5. cikk Az igazgatóság (1) Az igazgatóság meghatározza az Ügynökség működésének általános irányát, és gondoskodik arról, hogy az Ügynökség az e rendeletben megállapított szabályoknak és elveknek megfelelően végezze tevékenységét. Az igazgatóság biztosítja, hogy az Ügynökség munkája összhangban legyen a tagállamok által és az Unió szintjén folytatott tevékenységekkel. (2) Az igazgatóság a Bizottság érintett szervezeti egységeivel egyetértésben elfogadja saját eljárási szabályzatát. (3) Az igazgatóság a Bizottság érintett szervezeti egységeivel egyetértésben elfogadja az Ügynökség belső működési szabályzatát. Ezt a szabályzatot nyilvánosan közzé kell tenni. (4) Az igazgatóság a 10. cikk (2) bekezdésének megfelelően kinevezi az ügyvezető igazgatót, és jogosult felmenteni az ügyvezető igazgatót. Az igazgatóság az ügyvezető igazgató felett fegyelmi jogkört gyakorol. (5) Az igazgatóság a 13. cikk (3) bekezdésének megfelelően elfogadja az Ügynökség munkaprogramját, továbbá a 14. cikk (2) bekezdésének megfelelően elfogadja az Ügynökség előző évi tevékenységére vonatkozó általános jelentést. (6) Az igazgatóság elfogadja az Ügynökség pénzügyi szabályzatát. Ez a szabályzat csak akkor és annyiban térhet el az Európai Közösségek általános költségvetésére alkalmazandó költségvetési rendeletről szóló 1605/2002/EK, Euratom tanácsi rendelet 185. cikkében említett szervekre vonatkozó költségvetési keretrendeletről szóló, 2002. november 19-i 2343/2002/EK, Euratom bizottsági rendelettől,[31] ha és amennyiben az eltérést az ügynökség működése kifejezetten szükségessé teszi, és az eltéréshez a Bizottság előzetesen hozzájárulását adta. (7) Az igazgatóság – a Bizottsággal egyetértésben, a személyzeti szabályzat 110. cikkének megfelelően – elfogadja a szükségessé váló végrehajtási szabályokat. (8) Az igazgatóság saját tagjaiból operatív csoportokat hozhat létre, amelyek közreműködnek feladatainak ellátásában, ezen belül különösen határozatainak megszövegezésében és határozatai végrehajtásának figyelemmel kísérésében. (9) Az igazgatóság – a Bizottság szolgálataival folytatott konzultációt és a költségvetési hatóság megfelelő tájékoztatását követően – többéves személyzetpolitikai tervet fogadhat el. 6. cikk Az igazgatóság összetétele (1) Az igazgatóság tagállamonként egy-egy képviselőből, a Bizottság által kijelölt három képviselőből, valamint a Bizottság által kijelölt három további olyan, szavazati joggal nem rendelkező képviselőből áll, akik rendre a következő három csoportot képviselik: a) az információs és kommunikációs technológiai ágazatot; b) a fogyasztói csoportokat; c) a hálózat- és információbiztonság területén működő tudományos szakembereket. (2) Az igazgatóság tagjait és helyetteseiket a hálózat- és információbiztonság területén szerzett megfelelő tapasztalataik és szakmai hozzáértésük alapján kell kijelölni. (3) Az (1) bekezdés a), b) és c) pontjában megjelölt csoportokat képviselő tagok megbízatási ideje négy év. A megbízatási idő egyszer megújítható. Ha valamely ilyen tagnak megszűnik az adott csoporthoz való kötődése, a helyére a Bizottság új tagot jelöl ki. 7. cikk Az igazgatóság elnöke Az igazgatóság tagjai közül három évre elnököt és elnökhelyettest választ; e személyek megbízatása megújítható. Az elnökhelyettes hivatalból helyettesíti az elnököt abban az esetben, ha az elnök nem tudja ellátni feladatait. 8. cikk Ülések (1) Az igazgatóság üléseit az elnök hívja össze. (2) Az igazgatóság évente két alkalommal rendes ülést tart. Az igazgatóság az elnök kezdeményezésére vagy szavazati joggal rendelkező tagjai legalább egyharmadának kérésére rendkívüli ülést tart. (3) Az igazgatóság ülésein az ügyvezető igazgató szavazati jog nélkül részt vesz. 9. cikk Szavazás (1) Az igazgatóság a szavazati joggal rendelkező tagjai többségi szavazatával hozza határozatait. (2) Saját eljárási szabályzata, az Ügynökség belső működési szabályzata, a költségvetés és az éves munkaprogram elfogadásához, valamint az ügyvezető igazgató kinevezéséhez, megbízatásának meghosszabbításához és felmentéséhez az igazgatóság valamennyi szavazati joggal rendelkező tagjának kétharmados szavazattöbbségére van szükség. 10. cikk Az ügyvezető igazgató (1) Az Ügynökséget az ügyvezető igazgató vezeti, aki a feladatai ellátásában független. (2) Az ügyvezető igazgatót az igazgatóság nevezi ki és menti fel. Az igazgatóság az ügyvezető igazgatót a Bizottság által javasolt jelöltek jegyzékéről, ötéves időtartamra, érdemei, igazolt igazgatási és vezetői készségei, valamint konkrét szakmai hozzáértése és tapasztalatai alapján nevezi ki. Kinevezése előtt az igazgatóság által kiválasztott jelölt felkérhető arra, hogy az Európai Parlament illetékes bizottsága előtt nyilatkozatot tegyen, és válaszoljon a tagok kérdéseire. (3) A megbízatás végét megelőző kilenc hónapban a Bizottság értékelést végez. Az értékelés keretében a Bizottság elemzi különösen: - az ügyvezető igazgató teljesítményét, - a következő években az Ügynökségre váró feladatokat és az Ügynökséggel szemben támasztott elvárásokat. (4) Az igazgatóság – a Bizottság javaslatára, az értékelés eredményeinek figyelembevételével, kizárólag akkor, ha ezt az Ügynökségre váró feladatok és az Ügynökséggel szemben támasztott elvárások indokolják – az ügyvezető igazgató megbízatását legfeljebb három évvel meghosszabbíthatja. (5) Amennyiben az igazgatóság meg kívánja hosszabbítani az ügyvezető igazgató megbízatását, erről tájékoztatja az Európai Parlamentet. Legfeljebb egy hónappal megbízatásának meghosszabbítása előtt az ügyvezető igazgató felkérhető arra, hogy az Európai Parlament illetékes bizottsága előtt nyilatkozatot tegyen, és válaszoljon a tagok kérdéseire. (6) Ha megbízatását nem hosszabbították meg, az ügyvezető igazgató az utódja kinevezéséig hivatalban marad. (7) Az ügyvezető igazgató feladatai kiterjednek: a) az Ügynökség napi szintű vezetésére; b) az igazgatóság által elfogadott munkaprogram és határozatok végrehajtására; c) annak biztosítására, hogy az Ügynökség – különösen az általa nyújtott szolgáltatások megfelelőségét illetően – a szolgáltatásait igénybe vevők elvárásainak megfelelően végezze tevékenységét; d) valamennyi személyzeti kérdésre, valamint az igazgatóság általános irányelvei és általános természetű határozatai végrehajtásának biztosítására; e) kapcsolat kialakítására és fenntartására az európai intézményekkel és szervekkel; f) kapcsolat kialakítására és fenntartására az üzleti élet szereplőivel és a fogyasztói szervezetekkel, az érdekeltekkel folytatott rendszeres párbeszéd biztosítása érdekében; g) az e rendeletben számára előírt további feladatokra. (8) Szükség esetén és az Ügynökség céljai és feladatai által kijelölt keretek között az ügyvezető igazgató szakértőkből eseti munkacsoportokat hozhat létre. Az igazgatóságot erről előzetesen tájékoztatni kell. Az Ügynökség belső működési szabályzatában meg kell határozni a különösen az eseti munkacsoportok összetételével, a szakértőknek az ügyvezető igazgató általi kinevezésével, valamint az eseti munkacsoportok működésével kapcsolatos eljárásokat. (9) Az ügyvezető igazgató szükség szerint adminisztratív kiszolgáló személyzetet és más erőforrásokat bocsát az igazgatóság rendelkezésére. 11. cikk Az Érdekeltek Állandó Csoportja (1) Az igazgatóság az ügyvezető igazgató javaslatára, a releváns érdekelteket, így különösen az informatikai és hírközlési technológiai ágazatot, a fogyasztói csoportokat, a hálózat- és információbiztonság területén működő tudományos szakembereket, valamint a bűnüldöző és a magánélet védelmével foglalkozó hatóságokat képviselő szakértőkből létrehozza az Érdekeltek Állandó Csoportját. (2) Az Ügynökség belső működési szabályzatában meg kell határozni és nyilvánosan közzé kell tenni a különösen a csoport létszámával, összetételével, tagjainak az igazgatóság általi kinevezésével, az ügyvezető igazgató általi javaslattétellel, valamint a csoport működésével kapcsolatos eljárásokat. (3) A csoportban az elnöki teendőket az ügyvezető igazgató látja el. (4) A csoport tagjainak megbízatása két és fél évre szól. A csoportnak nem lehetnek tagjai az igazgatóság tagjai. A Bizottság munkatársai a csoport ülésein jelen lehetnek, és a csoport munkájában részt vehetnek. (5) A csoport tanácsadással segíti az Ügynökséget feladatainak ellátásában. A csoport tanácsokat ad különösen az ügyvezető igazgatónak az Ügynökség munkaprogramjára vonatkozó javaslat elkészítéséhez és a releváns érdekeltekkel a munkaprogramot érintő valamennyi kérdésről folytatandó párbeszéd biztosításához. 3. SZAKASZ: MŰKÖDÉS 12. CIKK Munkaprogram (1) Az Ügynökség a munkaprogramnak megfelelően végzi munkáját, melynek tartalmaznia kell az Ügynökség valamennyi tervezett tevékenységét. A munkaprogramban foglaltakon túlmenően az Ügynökség a céljai, feladatköre és költségvetése által kijelölt keretek között előre nem tervezett tevékenységeket is végezhet. Az ügyvezető igazgató tájékoztatja az igazgatóságot az Ügynökség azon tevékenységeiről, amelyek a munkaprogramban nem szerepelnek. (2) Az ügyvezető igazgató a Bizottság szolgálataival folytatott előzetes konzultációt követően gondoskodik az Ügynökség munkaprogramja tervezetének összeállításáról. Az ügyvezető igazgató minden évben március 15. előtt átadja az igazgatóságnak a következő évi munkaprogram tervezetét. (3) Az igazgatóság a Bizottság szolgálataival folytatott konzultáció alapján minden évben november 30. előtt elfogadja az Ügynökség következő évi munkaprogramját. A munkaprogramnak többéves kitekintést is tartalmaznia kell. Az igazgatóság biztosítja, hogy a munkaprogram igazodjék az Ügynökség céljaihoz és az Európai Unió által a hálózat- és információbiztonság területén meghatározott jogalkotási és politikai prioritásokhoz. (4) A munkaprogramot a tevékenységalapú irányítás elvének megfelelően kell összeállítani. A munkaprogramnak összhangban kell lennie az Ügynökség adott évi bevételeire és kiadásaira vonatkozó kimutatással és az Ügynökség adott évi költségvetésével. (5) Az ügyvezető igazgató a munkaprogramot az igazgatóság általi elfogadását követően megküldi az Európai Parlamentnek, a Tanácsnak, a Bizottságnak és a tagállamoknak, továbbá gondoskodik közzétételéről. 13. cikk Általános jelentés (1) Az ügyvezető igazgató minden évben megküldi az igazgatóságnak az Ügynökség valamennyi előző évi tevékenységéről összeállított általános jelentés tervezetét. (2) Az igazgatóság minden évben március 31. előtt elfogadja az Ügynökség előző évi tevékenységéről összeállított általános jelentést. (3) Az ügyvezető igazgató az Ügynökség általános jelentését az igazgatóság általi elfogadását követően megküldi az Európai Parlamentnek, a Tanácsnak, a Bizottságnak, a Számvevőszéknek, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának, továbbá gondoskodik közzétételéről. 14. cikk Az Ügynökség megkeresése (1) Az Ügynökség céljai és feladatai által kijelölt körön belül a tanácsadásra és a segítségnyújtásra vonatkozó megkereséseket az ügyvezető igazgatóhoz kell intézni, és mellékelni kell hozzájuk a megoldandó kérdéssel kapcsolatos háttér-információkat. Az ügyvezető igazgató tájékoztatja az igazgatóságot a beérkezett megkeresésekről, valamint – megfelelő időben – a megkeresések nyomán megtett lépésekről. Ha az Ügynökség egy megkeresést elutasít, ilyen értelmű döntését megindokolja. (2) Az (1) bekezdés alapján a következő szervek intézhetnek megkeresést az Ügynökséghez: a) az Európai Parlament; b) a Tanács; c) a Bizottság; d) bármely tagállam bármely hatósága, köztük különösen a 2002/21/EK irányelv 2. cikke szerinti nemzeti szabályozó hatóság. (3) Az igazgatóság az Ügynökség belső működési szabályzatában megállapítja az (1) és a (2) bekezdés alkalmazására, ezen belül különösen az Ügynökséghez intézett megkeresések benyújtására, fontossági sorrendjük megállapítására, a megkeresések nyomán megteendő lépésekre, valamint az igazgatóságnak a megkeresésekkel kapcsolatos tájékoztatására vonatkozó gyakorlati szabályokat. 15. cikk Érdekeltségi nyilatkozat (1) Az ügyvezető igazgató és a tagállamok által ideiglenesen kirendelt tisztviselők írásban kötelezettségvállalási nyilatkozatot tesznek, továbbá írásban nyilatkoznak arról, hogy nincs olyan közvetlen vagy közvetett érdekük, amelyről feltehető, hogy függetlenségüket befolyásolhatja. (2) Az eseti munkacsoportok munkájában részt vevő külső szakértők minden ülésen nyilatkoznak az egyes napirendi pontokkal kapcsolatos minden olyan érdekükről, amelyről feltehető, hogy függetlenségüket befolyásolhatja, és tartózkodnak a kérdéses napirendi pontok megvitatásában való részvételtől. 16. cikk Átláthatóság (1) Az Ügynökség biztosítja, hogy tevékenységét magas fokú átláthatóság mellett, a 13. és a 14. cikknek megfelelően végezze. (2) Az Ügynökség biztosítja, hogy a nyilvánosság és minden érdekelt – különösen, a körülményeknek megfelelően, az Ügynökség munkájának eredményeiről – tárgyilagos, megbízható és könnyen hozzáférhető tájékoztatást kapjon. Az Ügynökség köteles továbbá a nyilvánosság elé tárni az ügyvezető igazgató és a tagállamok által ideiglenesen kirendelt tisztviselők érdekeltségi nyilatkozatait, valamint a szakértők által az eseti munkacsoportok üléseinek napirendi pontjaival összefüggő érdekeikről tett nyilatkozatokat is. (3) Az igazgatóság az ügyvezető igazgató javaslatára engedélyezheti, hogy meghatározott érdekeltek az Ügynökség egyes tevékenységeiben megfigyelőként részt vegyenek. (4) Az Ügynökség a belső működési szabályzatában megállapítja az (1) és a (2) bekezdésben előírt átláthatósági szabályok végrehajtására vonatkozó gyakorlati szabályokat. 17. cikk Titoktartás (1) A 14. cikk sérelme nélkül az Ügynökség nem adhatja tovább harmadik személyeknek az általa feldolgozott és a hozzá beérkezett olyan információkat, amelyeknek kérték a bizalmas kezelését. (2) Az igazgatóság tagjai, az ügyvezető igazgató, az Érdekeltek Állandó Csoportja tagjai, az eseti munkacsoportok munkájában részt vevő külső szakértők és az Ügynökség személyi állományának tagjai, beleértve a tagállamok által ideiglenesen kirendelt tisztviselőket is, még feladataik megszűntét követően is, a Szerződés 339. cikke szerinti titoktartási kötelezettségek hatálya alá tartoznak. (3) Az Ügynökség a belső működési szabályzatában megállapítja az (1) és a (2) bekezdés szerinti titoktartási szabályok végrehajtására vonatkozó gyakorlati szabályokat. (4) Az igazgatóság lehetővé teheti, hogy az Ügynökség minősített adatokat is kezeljen. Ebben az esetben az igazgatóság a Bizottság érintett szervezeti egységeivel egyetértésben belső működési szabályzatot fogad el az eljárási szabályzatának módosításáról szóló, 2001. november 29-i 2001/844/EK, ESZAK, Euratom bizottsági határozatban[32] előírt biztonsági elvek alkalmazásáról. Ennek a belső működési szabályzatnak különösen a minősített információk cseréjére, feldolgozására és tárolására vonatkozóan kell rendelkezéseket tartalmaznia. 18. cikk Hozzáférés a dokumentumokhoz (1) Az Ügynökség birtokában lévő dokumentumokra alkalmazni kell az 1049/2001/EK rendeletet. (2) Az igazgatóság az Ügynökség létrejöttét követően hat hónapon belül elfogadja az 1049/2001/EK rendelet végrehajtására vonatkozó rendelkezéseket. (3) Az Ügynökség által az 1049/2001/EK rendelet 8. cikke alapján elfogadott határozatokkal szemben a Szerződés 228. cikke alapján az ombudsmannál panasznak, továbbá a Szerződés 263. cikke alapján az Európai Unió Bíróságánál keresetindításnak van helye. 4. SZAKASZ: PÉNZÜGYI RENDELKEZÉSEK 19. CIKK A költségvetés elfogadása (1) Az Ügynökség bevételeit az Európai Unió költségvetéséből származó hozzájárulás, a 29. cikk értelmében az Ügynökség munkájában részt vevő harmadik országok hozzájárulásai, valamint a tagállamok hozzájárulásai alkotják. (2) Az Ügynökség kiadásait különösen a személyi, az adminisztratív és a műszaki támogatási, az infrastrukturális és a működési kiadások, valamint a harmadik felekkel kötött szerződésekből eredő kiadások alkotják. (3) Az ügyvezető igazgató minden évben legkésőbb március 1-jéig elkészíti és a létszámterv tervezetével együtt továbbítja az igazgatóságnak az Ügynökség következő pénzügyi évre tervezett bevételeire és kiadásaira vonatkozó kimutatás tervezetét. (4) A bevételeknek és a kiadásoknak egyensúlyban kell lenniük. (5) Az igazgatóság az ügyvezető igazgató által a tervezett bevételekre és kiadásokra vonatkozóan összeállított kimutatás tervezete alapján minden évben elkészíti az Ügynökség következő pénzügyi évre tervezett bevételeire és kiadásaira vonatkozó kimutatást. (6) Az igazgatóság a tervezett bevételekre és kiadásokra vonatkozó kimutatást, melynek a létszámterv tervezetét is magában kell foglalnia, az ideiglenes munkaprogrammal együtt legkésőbb március 31-ig megküldi a Bizottságnak és azoknak az államoknak, amelyekkel az Európai Unió a 24. cikk értelmében megállapodást kötött. (7) A Bizottság a kimutatást az Európai Unió általános költségvetésének tervezetével együtt továbbítja az Európai Parlamentnek és a Tanácsnak (a továbbiakban együtt: költségvetési hatóság). (8) A Bizottság a kimutatás alapján bevezeti az Európai Unió általános költségvetésének tervezetébe a létszámtervhez szükségesnek ítélt előirányzatokat és az általános költségvetést terhelő támogatás összegét, majd a Szerződés 314. cikkének megfelelően a tervezetet benyújtja a költségvetési hatósághoz. (9) A költségvetési hatóság engedélyezi az Ügynökségnek szánt támogatási előirányzatokat. (10) A költségvetési hatóság elfogadja az Ügynökség létszámtervét. (11) Az igazgatóság a munkaprogrammal együtt elfogadja az Ügynökség költségvetését. A költségvetés az Európai Unió általános költségvetésének végleges elfogadását követően válik véglegessé. Az igazgatóság az Ügynökség költségvetését és munkaprogramját szükség szerint az Európai Unió általános költségvetéséhez igazítja. Az igazgatóság a költségvetést haladéktalanul továbbítja a Bizottságnak és a költségvetési hatóságnak. 20. cikk Csalás elleni küzdelem (1) A csalás, a korrupció és más jogellenes tevékenységek elleni küzdelem területén az Európai Csalás Elleni Hivatal (OLAF) által lefolytatott vizsgálatokról szóló, 1999. május 25-i 1073/1999/EK európai parlamenti és tanácsi rendeletet[33] korlátozás nélkül alkalmazni kell. (2) Az Ügynökség csatlakozik az Európai Parlament, az Európai Unió Tanácsa és az Európai Közösségek Bizottsága között az Európai Csalás Elleni Hivatal (OLAF) belső vizsgálatai tárgyában létrejött 1999. május 25-i intézményközi megállapodáshoz,[34] és haladéktalanul meghozza az Ügynökség valamennyi alkalmazottjára alkalmazandó megfelelő rendelkezéseket. 21. cikk A költségvetés végrehajtása (1) Az Ügynökség költségvetését az ügyvezető igazgató hajtja végre. (2) A Bizottság belső ellenőre ugyanazokkal a hatáskörökkel rendelkezik az Ügynökséggel szemben, mint a Bizottság szervezeti egységeivel szemben. (3) Az Ügynökség számvitelért felelős tisztviselője minden pénzügyi évet követően legkésőbb március 1-jéig megküldi a Bizottság számvitelért felelős tisztviselője részére az előzetes beszámolókat, valamint a szóban forgó pénzügyi évre vonatkozó költségvetési és pénzgazdálkodási jelentést. A Bizottság számvitelért felelős tisztviselője az intézmények és a decentralizált szervek előzetes beszámolóit az Európai Közösségek általános költségvetésére alkalmazandó költségvetési rendeletről szóló, 2002. június 25-i 1605/2002/EK, Euratom tanácsi rendelet[35] (a továbbiakban: általános költségvetési rendelet) 128. cikkének megfelelően összevonja. (4) A Bizottság számvitelért felelős tisztviselője minden egyes pénzügyi évet követően legkésőbb március 31-ig megküldi a Számvevőszék részére az Ügynökség előzetes beszámolóját, valamint az adott pénzügyi évre vonatkozó költségvetési és pénzgazdálkodási jelentést. Az adott pénzügyi évre vonatkozó költségvetési és pénzgazdálkodási jelentést a költségvetési hatóság részére is meg kell küldeni. (5) Az ügyvezető igazgató, miután az általános költségvetési rendelet 129. cikkének megfelelően kézhez kapta a Számvevőszék által az Ügynökség előzetes beszámolóira vonatkozóan tett észrevételeket, saját felelősségi körében elkészíti és véleményezésre az igazgatóságnak megküldi az Ügynökség végleges beszámolóit. (6) Az igazgatóság az Ügynökség végleges beszámolóit véleményezi. (7) Az ügyvezető igazgató minden pénzügyi évet követően legkésőbb július 1-jéig a végleges beszámolókat az igazgatóság véleményével együtt megküldi az Európai Parlament, a Tanács, a Bizottság és a Számvevőszék részére. (8) Az ügyvezető igazgató a végleges beszámolókat nyilvánosan közzéteszi. (9) Az ügyvezető igazgató legkésőbb szeptember 30-ig válaszol a Számvevőszéknek az általa tett észrevételekre. Az ügyvezető igazgató ezt a választ az igazgatóságnak is megküldi. (10) Az ügyvezető igazgató az általános költségvetési rendelet 146. cikke (3) bekezdésének megfelelően az Európai Parlament kérésére benyújtja az Európai Parlamenthez a szóban forgó pénzügyi évre vonatkozó mentesítési eljárás szabályszerű lefolytatásához szükséges valamennyi információt. (11) Az Európai Parlament a Tanács ajánlása alapján az (N + 2)-edik év április 30-a előtt mentesíti az ügyvezető igazgatót az N-edik év költségvetésének végrehajtása alól. 5. SZAKASZ: ÁLTALÁNOS RENDELKEZÉSEK 22. CIKK Jogállás (1) Az Ügynökség az Unió szerve. Az Ügynökség jogi személy. (2) Az Ügynökség valamennyi tagállamban az adott tagállam jogában a jogi személyek részére biztosított legszélesebb jogképességgel rendelkezik. Jogosult különösen ingó és ingatlan vagyont szerezni és elidegeníteni, valamint jogi eljárásban félként részt venni. (3) Az Ügynökséget ügyvezető igazgatója képviseli. 23. cikk A személyi állomány (1) Az Ügynökség személyi állományára, az ügyvezető igazgatót is beleértve, az Európai Unió tisztviselőire és egyéb alkalmazottaira irányadó szabályokat és rendelkezéseket kell alkalmazni. (2) Az ügyvezető igazgató tekintetében a személyzeti szabályzat szerinti kinevezésre jogosult hatóság hatáskörét, valamint az alkalmazási feltételek szerinti munkaszerződés megkötésére jogosult hatóság hatáskörét az igazgatóság gyakorolja. (3) Az Ügynökség személyi állománya tekintetében a személyzeti szabályzat szerinti kinevezésre jogosult hatóság hatáskörét, valamint az alkalmazási feltételek szerinti munkaszerződés megkötésére jogosult hatóság hatáskörét az ügyvezető igazgató gyakorolja. (4) Az Ügynökség foglalkoztathat a tagállamoktól ideiglenesen kirendelt nemzeti szakértőket. Az Ügynökség a belső eljárási szabályzatában megállapítja az e rendelkezés végrehajtására vonatkozó gyakorlati szabályokat. 24. cikk Kiváltságok és mentességek Az Ügynökségre és személyi állományára alkalmazni kell az Európai Közösségek kiváltságairól és mentességeiről szóló jegyzőkönyvet. 25. cikk Felelősség (1) Az Ügynökség szerződéses felelősségére az adott szerződésre alkalmazandó jog irányadó. Az Ügynökség által kötött szerződésekben választott bíróság igénybevételére vonatkozóan megállapított rendelkezések alapján történő határozathozatal tekintetében az Európai Unió Bírósága rendelkezik joghatósággal. (2) Szerződésen kívüli felelősség esetén az Ügynökség az általa vagy alkalmazottai által feladataik ellátása során okozott károkért a tagállamok jogában közös általános jogelveknek megfelelően áll helyt. Az ilyen károk megtérítésére vonatkozó jogviták tekintetében a Bíróság rendelkezik joghatósággal. (3) Az Ügynökség alkalmazottainak az Ügynökséggel szemben fennálló személyes felelősségére az Ügynökség személyi állományára e tekintetben irányadó feltételeket kell alkalmazni. 26. cikk Nyelvek (1) Az Ügynökségre alkalmazni kell az Európai Gazdasági Közösség által használt nyelvek meghatározásáról szóló, 1958. április 15-i 1. rendelet[36] rendelkezéseit. A tagállamok és az általuk kijelölt egyéb szervek az Európai Unió bármely nyelvén fordulhatnak az Ügynökséghez, és jogosultak ugyanezen a nyelven választ kapni. (2) Az Ügynökség működéséhez szükséges fordítási szolgáltatásokat az Európai Unió Szerveinek Fordítóközpontja biztosítja. 27. cikk A személyes adatok védelme Az egyénekre vonatkozó adatok feldolgozása vonatkozásában az Ügynökségre a 45/2001/EK rendelet rendelkezéseit kell alkalmazni. 28. cikk Harmadik országok részvétele (1) Az Ügynökség nyitott azon harmadik országok részvétele előtt, amelyek az Európai Unióval olyan megállapodást kötöttek, amelynek értelmében az e rendelet hatálya alá tartozó területen átvették és alkalmazzák az Európai Unió jogát. (2) Az említett megállapodások vonatkozó rendelkezései alapján rendelkezni kell a szóban forgó országoknak az Ügynökség munkájában való részvétele jellegéről, terjedelméről és módjáról, ezen belül különösen az Ügynökség kezdeményezéseiben való részvételre, a pénzügyi hozzájárulásra és a személyi állományra vonatkozó szabályokról. 6. SZAKASZ: ZÁRÓ RENDELKEZÉSEK 29. CIKK Felülvizsgálat (1) A Bizottság a 34. cikkben megállapított létrehozási naptól számítva három éven belül valamennyi releváns érdekelt álláspontjának figyelembevételével, az igazgatósággal egyeztetett feladatmeghatározás alapján értékelést hajt végre. Az értékelés keretében a 2. cikkben előírt célok teljesítése szempontjából elemzi az Ügynökség munkájának hatásait és eredményességét, továbbá értékeli az Ügynökség munkavégzési módszereinek hatékonyságát. A Bizottság ezt az értékelést különösen annak megállapítása érdekében végzi, hogy az ügynökségi forma továbbra is eredményes eszköznek tekinthető-e, valamint hogy az Ügynökség megbízatási idejét a 34. cikkben meghatározotthoz képest indokolt-e meghosszabbítani. (2) A Bizottság az értékelés megállapításait megküldi az Európai Parlamentnek és a Tanácsnak, továbbá nyilvánosan is közzéteszi. (3) Az értékelés kézhezvételét követően az igazgatóság ajánlásokat fogalmaz meg a Bizottság számára e rendelet szükségesnek ítélt módosításáról, valamint az Ügynökségen vagy annak munkavégzési módszerein végrehajtandó változtatásokról. Az igazgatóság és az ügyvezető igazgató az értékelés eredményeit az Ügynökség tevékenységének többéves tervezése keretében figyelembe veszi. 30. cikk A székhely szerinti tagállam együttműködése Az Ügynökség székhelye szerinti tagállam az Ügynökség zavartalan és eredményes működéséhez a lehető legkedvezőbb feltételeket biztosítja. 31. cikk Igazgatási felügyelet Az ombudsman a Szerződés 228. cikkének megfelelően az Ügynökség működése felett felügyeleti jogkört gyakorol. 32. cikk Hatályon kívül helyezés és utódlás (1) A 460/2004/EK rendelet hatályát veszti. A 460/2004/EK rendeletre és az ENISA-ra való utalásokat e rendeletre, illetőleg az Ügynökségre való utalásnak kell tekinteni. (2) Az Ügynökség mindennemű tulajdonviszony, megállapodás, jogi természetű kötelezettség, munkaszerződés, pénzügyi kötelezettségvállalás és felelősség vonatkozásában a 460/2004/EK rendelettel létrehozott ügynökség jogutódja. 33. cikk Időtartam Az Ügynökség […]-ával/-ével, öt évre jön létre. 34. cikk Hatálybalépés Ez a rendelet Az Európai Unió Hivatalos Lapjában való kihirdetését követő napon lép hatályba, és rendelkezéseit a kihirdetését követő naptól, de legkorábban 2012. március 14-től kell alkalmazni. Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban. Kelt […]-ban/-ben, […]-án/-én. az Európai Parlament részéről a Tanács részéről az elnök az elnök PÉNZÜGYI KIMUTATÁS JAVASLATOKHOZ A JAVASLAT/KEZDEMÉNYEZÉS FŐBB ADATAI A javaslat/kezdeményezés címe Javaslat: Az Európai Parlament és a Tanács rendelete az Európai Hálózat- és Információbiztonsági Ügynökségről (ENISA) Érintett szakpolitikai terület(ek) a tevékenységalapú irányítás / tevékenységalapú költségvetés-tervezés keretében[37] Információs társadalom és médiaügy A digitális menetrend szabályozási kerete A javaslat/kezdeményezés típusa ( A javaslat/kezdeményezés új fellépésre irányul ( A javaslat/kezdeményezés kísérleti projektet/előkészítő fellépést követő új fellépésre irányul[38] ( A javaslat/kezdeményezés jelenlegi fellépés meghosszabbítására irányul ( A javaslat/kezdeményezés új fellépésnek megfelelően módosított fellépésre irányul Célkitűzések A javaslat/kezdeményezés által érintett többéves bizottsági stratégiai célkitűzések Koherensebb szabályozás – iránymutatás és tanácsadás a Bizottság és a tagállamok részére a hálózat- és információbiztonság holisztikus normatív keretének kialakításában, illetőleg naprakésszé tételében Megelőzés, észlelés és reagálóképesség – a készültség javítása, ennek érdekében hozzájárulás egy európai korai figyelmeztető és eseményreagáló képességhez; páneurópai készenléti tervek és gyakorlatok Ismeretbővítés a szakpolitikai döntéshozatal támogatására – segítségnyújtás és tanácsadás a Bizottság és a tagállamok részére annak érdekében, hogy az Európai Unió teljes területén magas szintű tudás legyen mozgósítható a hálózat- és információbiztonsággal összefüggő kérdésekben, valamint ennek alkalmazása az ipari érdekeltekre. Ide tartozik a hálózat- és információbiztonság megsértése eseteinek gazdaságtanára és hatásaira, az érdekeltek hálózat- és információbiztonsági beruházásokkal kapcsolatos ösztönzőire, a kockázatok azonosítására, a hálózat- és információbiztonság EU-beli állapotára stb. vonatkozó adatok előállítása, elemzése és rendelkezésre bocsátása is Az érdekeltek felkészítése a kihívásokra – a biztonság és a kockázatkezelés kultúrájának kialakítása a köz- és a magánszektor szereplői közötti információcsere és széles körű együttműködés ösztönzésével, a lakosság közvetlen előnyére is; a hálózat- és információbiztonsággal kapcsolatos tudatosság kultúrájának kialakítása Európa megóvása a nemzetközi veszélyforrásokkal szemben – magas szintű együttműködés kialakítása harmadik országokkal és nemzetközi szervezetekkel a hálózat- és információbiztonság területén alkalmazandó globális stratégia kialakítása, valamint az európai hatókörű magas szintű nemzetközi kezdeményezések megtételének elősegítése érdekében Az együttműködésen alapuló végrehajtás felé – az együttműködés elősegítése a hálózat- és információbiztonságra vonatkozó szakpolitikák végrehajtásában Küzdelem a számítástechnikai bűnözés ellen – a számítástechnikai bűnözés elleni küzdelem hálózat- és információbiztonsággal kapcsolatos vonatkozásainak integrálása a köz- és a magánszektorbeli érdekeltek között folyó párbeszédbe és a helyes gyakorlati megoldások cseréjébe, különösképpen a (volt) második és harmadik pilléres hatóságokkal (pl. Europol) folytatott együttműködés útján Meghatározott célkitűzés(ek) és érintett tevékenység(ek) a tevékenységalapú irányítás / tevékenységalapú költségvetés-tervezés keretében [...] sz. meghatározott célkitűzés A hálózat- és az információbiztonság növelése, hálózat- és információbiztonsági kultúra kialakítása a polgárok, a fogyasztók, a vállalkozások és a közszektorbeli szervezetek javára, a jövő hálózatai és az internet kapcsán jelentkező szakpolitikai kihívások azonosítása. Érintett tevékenység(ek) a tevékenységalapú irányítás / tevékenységalapú költségvetés-tervezés keretében Elektronikus hírközlési politika és hálózatbiztonság Várható eredmény(ek) és hatás(ok) A kezdeményezés várható gazdasági hatásai: – több hozzáférhető információ a biztonságot és az ellenálló képességet jelenleg és a jövőben érintő kihívásokról és kockázatokról, – a kockázatokra, a veszélyforrásokra és a sérülékeny elemekre vonatkozó tagállami szintű adatgyűjtések esetleges átfedéseinek kiküszöbölése, – a szakpolitikai döntéshozók több információ birtokában hozhatják meg döntéseiket, – jobb minőségű tagállami szintű rendelkezések a hálózat- és információbiztonság területén, a bevált gyakorlati megoldások terjesztésének köszönhetően, – méretgazdaságosság az EU-szintű reagálási képességben, – a biztonság és az ellenálló képesség területén EU-szinten meghatározott közös szakpolitikai célok és standardok több beruházást generálnak, – kisebb működési kockázat a vállalkozások számára, a biztonság és az ellenálló képesség növekedésének köszönhetően, – koherensebb intézkedések a számítógépes bűnözés elleni küzdelemben. A kezdeményezés várható társadalmi hatásai: – nagyobb felhasználói bizalom az információs társadalom körébe tartozó szolgáltatások és rendszerek iránt, – nagyobb bizalom az uniós belső piac működése iránt, a fogyasztóvédelem megerősödésének köszönhetően, – az EU-n kívüli országokkal folytatott információ- és tudáscsere fokozódása, – nagyobb fokú védelem az EU által elismert alapvető emberi jogok számára, annak köszönhetően, hogy a személyes adatok és magánélet védelme minden uniós polgár számára azonos szinten lesz biztosítva. A várható környezeti hatások minimálisak: – a CO2-kibocsátás csökkenése például annak köszönhetően, hogy az IKT-rendszerek és -szolgáltatások nagyobb fokú igénybevétele miatt az emberek kevesebbet fognak utazni, vagy a biztonsági természetű kötelezettségek teljesítésében elérhető méretgazdaság miatt kevesebb villamos energia fog fogyni. Az eredmények és hatások mutatói Az egyes célkitűzésekhez a következő monitoringmutatók tartoznak: Koherensebb szabályozás: – azon tagállamok száma, amelyek a szakpolitikai döntés-előkészítés során felhasználták az Ügynökség ajánlásait, – azon tanulmányok száma, amelyek a hálózat- és információbiztonság területén alkalmazott standardok hiányosságainak és ellentmondásainak feltérképezésére irányulnak, – a tagállamok hálózat- és információbiztonsági vonatkozású erőfeszítéseiben tapasztalható eltérések csökkenése. Megelőzés, észlelés és reagálóképesség: – a hálózatbiztonság területén szervezett továbbképzések száma, – működő korai figyelmeztető rendszer rendelkezésre állása az újszerű kockázatok és támadások területén, – az Ügynökség által koordinált EU-szintű gyakorlatok száma a hálózat- és információbiztonság területén. Ismeretbővítés a szakpolitikai döntéshozatal támogatására: – azon tanulmányok száma, amelyek célja a hálózat- és információbiztonságot jelenleg és a jövőben érintő kockázatokkal és a kapcsolódó kockázatmegelőző technológiákkal kapcsolatos információk összegyűjtése, – a hálózat- és információbiztonság területén működő közszervekkel folytatott konzultációk száma, – a hálózat- és információbiztonság területén folytatott adatgyűjtés szervezésére vonatkozó európai keret rendelkezésre állása. Az érdekeltek felkészítése a kihívásokra: – az iparban azonosított helyes gyakorlati megoldások száma, – a biztonsági célú beruházások szintje a magánszektorbeli érdekelteknél. Európa megóvása a nemzetközi veszélyforrásokkal szemben: – azon konferenciák/találkozók száma, amelyeket az EU tagállamai a hálózat- és információbiztonság területén követendő közös célok meghatározása érdekében tartottak, – a hálózat- és információbiztonság európai és nemzetközi szakértői közötti találkozók száma. Az együttműködésen alapuló végrehajtás felé: – az előírásoknak való megfelelés értékelésére irányuló tevékenységek száma, – a hálózat- és információbiztonság területén EU-szinten követett gyakorlati megoldások száma. Küzdelem a számítógépes bűnözés ellen: – a volt második és harmadik pilléres hatóságokkal ápolt kapcsolatok rendszeressége, – azon esetek száma, amikor az Ügynökség a bűncselekmények kivizsgálásához szakértelmével hozzájárult. A javaslat/kezdeményezés indoklása Rövid vagy hosszú távú szükséglet(ek) Az ENISA eredetileg 2004-ben jött létre a hálózat- és az információbiztonságra leselkedő veszélyek és a hálózatok és az informatikai rendszerek biztonságának ezekből fakadó esetleges sérüléseinek kezelésére. Azóta a hálózat- és az információbiztonsággal kapcsolatos kihívások a technológia fejlődését és a piaci körülmények alakulását követve komoly változásokon mentek át; a kérdéskörrel kapcsolatos gondolkodási és vitafolyamat eredményeképpen ma már más és sokkal részletesebb leírást tudunk adni a beazonosított problémákról és arról, hogy ezek a problémák a hálózat- és információbiztonság területén megfigyelhető változások tükrében miképpen változnak. Az uniós részvételből adódó többletérték A hálózat- és az információbiztonság területén jelentkező problémák nem igazodnak az országhatárokhoz, ezért eredményesen nem lehet ellenük kizárólag nemzeti szintű eszközökkel küzdeni. Ugyanakkor rendkívül tarka képet mutat az, ahogyan az egyes tagállamok közszervei megpróbálják kezelni a problémát. Ezek az eltérések nagyban hátráltathatják az európai hálózat- és információbiztonság területén uniós szinten létrehozandó mechanizmusok működtetését. Mivel az IKT-infrastruktúrák nem függetlenek egymástól, a tagállami szinten tett intézkedések eredményességére nagymértékben kihat, ha más tagállamokban hiányoznak az azonos szintű intézkedések, vagy ha nincs meg a kellően rendszeres határokon átnyúló együttműködés. Ha a hálózat- és információbiztonság területén egyik tagállam intézkedései elégtelenek, és ez biztonsági eseményt idéz elő, annak a többi tagállamban nyújtott szolgáltatások is kárát láthatják. A biztonsági előírások sokfélesége ugyanakkor az európai uniós szinten működő vállalkozásokra is többletterhet ró, ami az erőfeszítések elaprózódását és a versenyképesség gyengülését eredményezi az európai belső piacon. Miközben a hálózatoktól és az informatikai rendszerektől való függés egyre nagyobb mértékű, a biztonsági eseményekre való felkészültség elégtelennek tűnik. Az idejekorán történő riasztásra és a biztonsági események kezelésére szolgáló meglévő tagállami szintű rendszerek több tekintetben rendkívül hiányosak. A biztonsággal kapcsolatos váratlan események felügyeletének és jelentésének gyakorlata és folyamatai jelentős eltéréseket mutatnak a különböző tagállamokban. Bizonyos országokban a folyamatok alig formalizáltak, míg másutt nincs meg az az illetékes hatóság, amely fogadhatná és feldolgozhatná a biztonsági eseményekkel kapcsolatban beérkező jelentéseket. Európai szinten egyáltalán nincsenek rendszerek. Mindezek miatt a hálózat- és információbiztonság területén bekövetkező biztonsági események alapjaiban rázhatják meg az alapvető szükségletek kielégítésének folyamatát, ami megfelelő válaszadást kíván. A kritikus informatikai infrastruktúrák védelméről elfogadott bizottsági közlemény az európai szintű korai figyelmeztető rendszerek és reagálóképesség szükségességét is hangsúlyozta, amelyet európai léptékű gyakorlatok is alátámaszthatnának. Egyértelműen szükség van egy olyan szakpolitikai eszközrendszerre, amely proaktív módon képes azonosítani a hálózat- és az információbiztonság területén jelentkező kockázatokat és rendszereink gyenge pontjait, amely létrehozza a válaszadás mechanizmusait (például a bevált gyakorlati megoldások terjesztésével), és amely képes gondoskodni arról, hogy ezeket a válaszadási mechanizmusokat az érdekeltek ismerjék és alkalmazzák. Hasonló, korábbi tapasztalatok tanulsága Lásd a fenti 1.5.1. és 1.5.2. pontot. A javaslatnak az egyéb pénzügyi eszközökkel való összeegyeztethetősége és esetleges szinergiája A kezdeményezés teljes mértékben igazodik a hálózat- és információbiztonságról és a kérdéskör jövőjére összpontosító más politikai kezdeményezésekről lefolytatott általános vitafolyamat eredményeihez. A kezdeményezés az új Európa 2020 stratégia kiemelt kezdeményezésének számító európai digitális menetrend egyik legfontosabb alkotóeleme. A fellépés és a pénzügyi hatás időtartama ( A javaslat/kezdeményezés korlátozott időtartamra vonatkozik - ( A megbízatás ötéves meghosszabbítása 2012. március 14-én, de legkorábban az új rendelet hatálybalépésének napján veszi kezdetét. - ( A pénzügyi hatás 2012-től 2017-ig tart. ( A javaslat/kezdeményezés korlátlan időtartamra vonatkozik - A beindítási időszak ÉÉÉÉ-tól/-től ÉÉÉÉ-ig tart, - majd a végrehajtás rendes ütemben folytatódik tovább. Tervezett irányítási módszer(ek)[39] ( Centralizált irányítás közvetlenül a Bizottság által ( Centralizált irányítás közvetetten a következőknek történő hatáskör-átruházással: - ( végrehajtó ügynökségek - ( a Közösségek által létrehozott szervek[40] - ( tagállami közintézmények/közfeladatot ellátó szervek - ( az Európai Unióról szóló szerződés V. címe értelmében külön intézkedések végrehajtásával megbízott, a költségvetési rendelet 49. cikke szerinti vonatkozó jogalapot megteremtő jogi aktusban meghatározott személyek ( Megosztott irányítás a tagállamokkal ( Decentralizált irányítás harmadik országokkal ( Nemzetközi szervezetekkel közös irányítás ( nevezze meg ) IRÁNYÍTÁSI INTÉZKEDÉSEK A nyomon követésre és a jelentéstételre vonatkozó rendelkezések Az ügyvezető igazgató a célkitűzések tükrében folyamatosan figyelemmel kíséri és értékeli az Ügynökség teljesítményét, és erről évente jelentést tesz az igazgatóságnak. Az ügyvezető igazgató minden évben „általános jelentést” készít az Ügynökség előző évi valamennyi tevékenységéről, amelyben egyebek mellett összeveti az elért eredményeket az éves munkaprogramban kitűzött célokkal. Az igazgatóság általi elfogadást követően az ügyvezető igazgató a jelentést megküldi az Európai Parlamentnek, a Tanácsnak, a Bizottságnak, a Számvevőszéknek, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának, majd pedig nyilvánosan is közzéteszi. Irányító és ellenőrző rendszer Felismert kockázat(ok) Mivel az ENISA már 2004 óta működik, tevékenységéről több külső és belső értékelés is készült. Az ENISA-rendelet 25. cikkével összhangban a folyamat első lépése az volt, hogy 2006–2007-ben egy külső szakértőkből álló testület független értékelést készített az ENISA munkájáról. A külső szakértőkből álló testület jelentése[41] megerősítette, hogy az Ügynökség létrehozását és eredeti céljait eredetileg megalapozó politikai megfontolások továbbra is érvényben vannak, és ez a jelentés abból a szempontból is fontos volt, hogy több olyan kérdésre rávilágított, amely további figyelmet igényel. A Bizottság 2007 márciusában jelentést nyújtott be az értékelésről az igazgatóságnak, amely ezt követően saját ajánlást adott ki az Ügynökség jövőjéről és az ENISA-rendelet általa szükségesnek tartott módosításairól.[42] 2007 júniusában a Bizottság egy, az Európai Parlamentnek és a Tanácsnak címzett közleményben[43] elemezte a külső értékelés eredményeit és az igazgatóság ajánlásait. A közlemény kijelentette: „mindenekelőtt választani kell, hogy meghosszabbítják-e az Ügynökség megbízatását vagy más mechanizmussal helyettesítik az Ügynökséget, pl. érdekelt felek állandó fórumával vagy biztonsági szervezetek hálózatával.” A Bizottság a kérdésről nyilvános konzultációt is szervezett, amelyben a további vita irányának megszabása céljából egy konkrét kérdéssor alapján várta az európai érdekeltek hozzászólásait.[44] Tervezett ellenőrzési eszköz(ök) Lásd a fenti 2.1. és 2.2.1. pontot. A csalások és a szabálytalanságok megelőzésére vonatkozó intézkedések A megrendelt szolgáltatásokat és felméréseket az Ügynökség személyi állománya a kifizetés előtt a szerződéses kötelezettségek, a gazdaságossági elvek, valamint a helyes pénzügyi és vezetési gyakorlat figyelembevételével ellenőrzi. Az Ügynökség és a kifizetések kedvezményezettjei között létrejövő mindennemű megállapodás és szerződés – felügyelet, jelentéstételi kötelezettség stb. formájában – tartalmazni fog csalás elleni rendelkezéseket. A JAVASLAT/KEZDEMÉNYEZÉS BECSÜLT PÉNZÜGYI HATÁSA* A kiadások a többéves pénzügyi keret mely fejezetét/fejezeteit és a költségvetés mely kiadási tételét/tételeit érintik? - Jelenlegi költségvetési kiadási tételek A többéves pénzügyi keret fejezete | Költségvetési tétel | Kiadás típusa | Részvétel | Szám / Megnevezés | diff./nem diff. előirányzat[45] | EFTA-országokból[46] | tagjelölt országokból[47] | harmadik országokból | a költségvetési rendelet 18. cikke (1) bekezdésének a) pontja értelmében | 1.a Versenyképesség a növekedésért és a foglalkoztatásért | 09 02 03 01. Európai Hálózat- és Információbiztonsági Ügynökség – Hozzájárulás az 1. és 2. címhez | diff. | IGEN | NEM | NEM | NEM | 09 02 03 02. Európai Hálózat- és Információbiztonsági Ügynökség – Hozzájárulás a 3. címhez | diff. | IGEN | NEM | NEM | NEM | 5. Igazgatási kiadások | 09 01 01. Az „Információs társadalom és média” szakpolitikai területen aktív állományban foglalkoztatott alkalmazottakkal kapcsolatos kiadások | nem diff. | NEM | NEM | NEM | NEM | 09 01 02 11. Egyéb igazgatási kiadások | nem diff. | NEM | NEM | NEM | NEM | * Ez a pénzügyi kimutatás nem kísérli meg felbecsülni a javaslat azon költségvetési kihatásait, amelyek a 2007-tól 2013-ig tartó jelenlegi pénzügyi programozási időszak után jelentkeznek. A 2013. évet követő időszakra vonatkozó többéves pénzügyi keretet megállapító rendelet elfogadása céljából előterjesztendő bizottsági javaslat alapján, a hatásvizsgálat megállapításainak figyelembevételével a Bizottság a most előterjesztett pénzügyi kimutatást a későbbiekben módosított formában ismételten elő fogja terjeszteni. A kiadásokra gyakorolt becsült hatás A kiadásokra gyakorolt becsült hatás összegzése millió EUR (három tizedesjegyig) A többéves pénzügyi keret fejezete: | 1.a | Versenyképesség a növekedésért és a foglalkoztatásért | Megelőzés, észlelés és reagálóképesség | 0,114 | 0,494 | 0,620 | – | – | – | – | – | A létszámtervben szereplő álláshelyek (tisztviselői és ideiglenes alkalmazotti álláshelyek) | XX 01 01 01 (a központban és a bizottsági képviseleteken) | 3,5 | 3,5 | 3,5 | – | – | – | – | ÖSSZESEN | 3,5 | 3,5 | 3,5 | – | – | – | – | - b) Humánerőforrás az Ügynökségnél 2012. jan. 1.–márc. 13. | 2012. márc. 14.–dec. 31. | 2013 | 2014 | 2015 | 2016 | 2017. jan. 1.–márc. 13. | Az ENISA létszámterve szerint (teljes munkaidős egyenértékben) | Egyéb állomány (teljes munkaidős egyenértékben) | Szerződéses alkalmazottak | 13 | 14 | 14 | – | – | – | – | Nemzeti szakértők | 5 | 5 | 5 | – | – | – | – | Egyéb állomány összesen | 18 | 19 | 19 | – | – | – | – | ÖSSZESEN | 62 | 66 | 66 | – | – | – | – | Az Ügynökség személyi állománya által elvégzendő feladatok leírása: Tisztviselők és ideiglenes alkalmazottak | Az Ügynökség a jövőben is ellátja a következő feladatait: tanácsadással szolgál és koordinációs feladatokat lát el, gyűjti és elemzi az információbiztonsággal kapcsolatos adatokat. Napjainkban közszervek és magánszektorbeli szervezetek különböző célokkal gyűjtenek adatokat az informatikai eseményekről, illetve általában az információbiztonsággal kapcsolatban. Ennek ellenére nincs olyan európai szintű központi szerv, amelynek átfogó módon lenne lehetősége az adatgyűjtésre és az adatelemzésre, illetőleg arra, hogy véleményt formáljon vagy tanácsadással szolgáljon a hálózat- és az információbiztonsággal kapcsolatos uniós szakpolitikai munka támogatására, olyan szakértői központként szolgál, amelyhez a tagállamok és az európai intézmények egyaránt fordulhatnak véleményért és tanácsért a biztonsággal kapcsolatos műszaki kérdésekben, hozzájárul az információbiztonság területén működő különböző szereplők közötti széles együttműködéshez például azáltal, hogy részt vesz a biztonságos elektronikus üzletvitelt támogató követő tevékenységekben. Ez a fajta együttműködés létfontosságú előfeltétele az európai hálózatok és informatikai rendszerek biztonságos működésének, és nagyon fontos, hogy valamennyi érdekelt részt vegyen benne, hozzájárul egy összehangolt információbiztonsági koncepció kialakításához, ennek érdekében támogatja a tagállamokat például a kockázatértékelés alkalmazásának ösztönzésében és a tudatosságnövelő kezdeményezésekben, gondoskodik a hálózatok és az informatikai rendszerek műszaki átjárhatóságáról azokban az esetekben, amikor a tagállamok biztonsági vonatkozású műszaki követelményeket alkalmaznak, meghatározza a releváns szabványosítási igényeket, értékeli a már meglévő biztonsági előírásokat és tanúsítási rendszereket, és az európai jogalkotás támogatása érdekében elősegíti ez utóbbiak minél szélesebb körű használatát, támogatja a szóban forgó területen folyó nemzetközi együttműködést, amely a hálózat- és információbiztonsági kérdések globálissá válása miatt egyre nagyobb jelentőségre tesz szert. | Külső személyzet | Lásd fent. | A jelenlegi többéves pénzügyi kerettel való összeegyeztethetőség - ( A javaslat/kezdeményezés összeegyeztethető a jelenlegi többéves pénzügyi kerettel. - ( A javaslat/kezdeményezés miatt a többéves pénzügyi keret vonatkozó fejezetének átdolgozása szükséges. - ( A javaslat/kezdeményezés miatt szükség van a rugalmassági eszköz alkalmazására vagy a többéves pénzügyi keret felülvizsgálatára.[49] A 2013 utáni időszakra vonatkozó EU-finanszírozás összegének meghatározására a 2013 utánra tervezett összes javaslat figyelembevételével, a Bizottság szintjén folytatandó egyeztetések keretében fog sor kerülni. Ez azt jelenti, hogy a következő többéves pénzügyi keretre vonatkozó javaslatának előterjesztése után a Bizottság – a hatásvizsgálat megállapításainak figyelembevételével – elő fogja terjeszteni e pénzügyi kimutatás módosítását is. Harmadik felek részvétele a finanszírozásban - ( A javaslat/kezdeményezés nem irányoz elő harmadik felek általi társfinanszírozást. - ( A javaslat/kezdeményezés az alábbi becsült társfinanszírozást irányozza elő: A kötelezettségvállalási előirányzat indikatív összege, millió EUR (három tizedesjegyig) |2012. jan. 1.–márc. 13. |2012. márc. 14.–dec. 31. |2013 |2014 |2015 |2016 |2017. jan. 1.–márc. 13. | 2012. márc. 14.–2017. márc. 13. összesen | |EFTA |0,042 |0,160 |0,206 |– |– |– |– | – | | A bevételre gyakorolt becsült pénzügyi hatás - ( A javaslatnak nincs pénzügyi hatása a bevételre. - ( A javaslatnak van pénzügyi hatása – a bevételre gyakorolt hatása a következő: - ( a javaslat a saját forrásokra gyakorol hatást - ( a javaslat az egyéb bevételekre gyakorol hatást [1] Az Európai Parlament és a Tanács 460/2004/EK rendelete (2004. március 10.) az Európai Hálózat- és Információbiztonsági Ügynökség létrehozásáról, HL L 77., 2004.3.13., 1. o. [2] Az Európai Parlament és a Tanács 1007/2008/EK rendelete (2008. szeptember 24.) az Európai Hálózat- és Információbiztonsági Ügynökség létrehozásáról szóló 460/2004/EK rendeletnek az Ügynökség megbízatási ideje tekintetében történő módosításáról, HL L 293., 2008.10.31., 1. o. [3] A nyilvános konzultáció eredményeit összefoglaló jelentés „Towards a Strengthened Network and Information Security Policy in Europe” („Egy megerősített európai hálózat- és információbiztonsági politika felé”) címmel az e javaslatot kísérő hatásvizsgálat 11. mellékletében olvasható. [4] COM(2009) 149, 2009. március 30. [5] Vitairat: http://www.tallinnciip.eu/doc/discussion_paper_-_tallinn_ciip_conference.pdf; az elnökség következtetései: http://www.tallinnciip.eu/doc/EU_Presidency_Conclusions_Tallinn_CIIP_Conference.pdf. [6] A Tanács állásfoglalása (2009. december 18.) a hálózat- és információbiztonság együttműködésre építő európai megközelítéséről, HL C 321., 2009.12.29., 1. o., http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2009:321:0001:0004:HU:PDF [7] COM(2010) 245, 2010. május 19. [8] A hálózat- és információbiztonság együttműködésre építő európai megközelítéséről szóló 2009. december 18-i tanácsi állásfoglalás szövegében ez áll: „ A Tanács […] elismeri, hogy […] fontos a számítástechnikai katasztrófaelhárító csoportok uniós intézmények számára való kialakítása vonatkozásában a stratégiai hatások, kockázatok és kilátások feltérképezése, valamint az ENISA e kérdésben játszandó jövőbeli szerepének vizsgálata ”. [9] Lásd a hatásvizsgálat XI. mellékletét. [10] Lásd a hatásvizsgálat IV. mellékletét. [11] HL C 115., 2008.5.9., 94. o. [12] EHBT, 2006. május 2., C-217/04., Nagy-Britannia és Észak-Írország Egyesült Királysága kontra Európai Parlament és Az Európai Unió Tanácsa. [13] L. fent. [14] De eltér attól például a Tanácsban és az EP-ben a többségi döntéshozatal tekintetében alkalmazandó eljárási szabályokban. [15] HL C […]., […]., […]. o. [16] HL C […]., […]., […]. o. [17] HL L 77., 2004.3.13., 1. o. [18] HL L 293., 2008.10.31., 1. o. [19] COM(2006) 251, 2006. május 31. [20] A Tanács állásfoglalása (2007. március 22.) a biztonságos európai információs társadalomra irányuló stratégiáról, HL C 68., 2007.3.24., 1. o. [21] COM(2009) 149, 2009. március 30. [22] A Tanács állásfoglalása (2009. december 18.) a hálózat- és információbiztonság együttműködésre építő európai megközelítéséről, HL C 321., 2009.12.29., 1. o. [23] COM(2010) 245, 2010. május 19. [24] HL L 108., 2002.4.24., 33. o. [25] HL L 201., 2002.7.31., 37. o. [26] HL L 281., 1995.11.23., 31. o. [27] HL L 337., 2009.12.18., 1. o. [28] HL L 204., 1998.7.21., 37. o. [29] Az Európai Parlament és a Tanács 1049/2001/EK rendelete (2001. május 30.) az Európai Parlament, a Tanács és a Bizottság dokumentumaihoz való nyilvános hozzáférésről, HL L 145., 2001.5.31., 43. o. [30] Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról, HL L 8., 2001.1.12., 1. o. [31] HL L 357., 2002.12.31., 72. o. [32] HL L 317., 2001.12.3., 1. o. [33] HL L 136., 1999.5.31., 1. o. [34] HL L 136., 1999.5.31., 15. o. [35] HL L 248., 2002.9.16., 1. o. [36] HL 17., 1958.10.6., 385/58. o. A legutóbb az 1994. évi csatlakozási okmánnyal módosított rendelet. [37] Tevékenységalapú irányítás: ABM ( Activity Based Management ), tevékenységalapú költségvetés-tervezés: ABB ( Activity Based Budgeting ). [38] A költségvetési rendelet 49. cikke (6) bekezdésének a) vagy b) pontja szerint. [39] Az egyes irányítási módszerek ismertetése, valamint a költségvetési rendeletben szereplő megfelelő hivatkozások megtalálhatók a Költségvetési Főigazgatóság honlapján: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html [40] A költségvetési rendelet 185. cikkében előírt szervek. [41] http://ec.europa.eu/dgs/information_society/evaluation/studies/index_en.htm [42] Az ENISA-rendelet 25. cikkének megfelelően. Az ENISA igazgatósága által elfogadott dokumentum teljes szövege, amely az igazgatóság érveit is tartalmazza, a http://enisa.europa.eu/pages/03_02.htm internetcímen olvasható.. [43] A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) értékeléséről, COM(2007) 285 végleges, 2007. június 1., http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52007DC0285:HU:NOT.. [44] http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=EnisaFuture&lang=en [45] Differenciált/nem differenciált előirányzatok. [46] EFTA: Európai Szabadkereskedelmi Társulás. [47] Tagjelölt országok és adott esetben a potenciális nyugat-balkáni tagjelölt országok. [48] A pénzügyi kimutatás mellékletét nem töltjük ki, mert e javaslat szempontjából nem releváns. [49] Lásd az intézményközi megállapodás 19. és 24. pontját.