52010PC0521

[pic] | EIROPAS KOMISIJA |

Briselē, 30.9.2010

COM(2010) 521 galīgā redakcija

2010/0275 (COD)

Priekšlikums

EIROPAS PARLAMENTA UN PADOMES REGULA,

kas attiecas uz Eiropas Tīklu un informācijas drošības aģentūru ( ENISA )

{SEC(2010) 1126}{SEC(2010) 1127}

PASKAIDROJUMA RAKSTS

1. PRIEKŠLIKUMA KONTEKSTS

1.1. Politikas konteksts

Eiropas Tīklu un informācijas drošības aģentūra ( ENISA ) ir izveidota 2004. gada martā ar Regulu (EK) Nr. 460/2004[1] uz piecu gadu sākotnējo darbības termiņu galvenokārt, lai „ [ES] nodrošinātu efektīvu augsta līmeņa tīklu un informācijas drošību un lai attīstītu tīklu un informācijas drošības kultūru Eiropas Savienības iedzīvotāju, patērētāju, uzņēmumu un valsts sektora organizāciju interesēs, tā veicinot netraucētu iekšējā tirgus darbību ”. Ar Regulu (EK) Nr. 1007/2008[2] ENISA pilnvaru termiņš pagarināts līdz 2012. gada martam.

Vienlaikus ar ENISA pilnvaru termiņa pagarināšanu 2008. gadā tika sākta arī diskusija par vispārējo virzienu, kādā jāvērš centieni Eiropā uzlabot tīklu un informācijas drošību, ko Komisija atbalstīja, sākot sabiedrisko apspriešanu par iespējamiem mērķiem, kuri jāsasniedz, lai ES līmenī nostiprinātu tīklu un informācijas drošības politiku. Minētā sabiedriskā apspriešana turpinājās no 2008. gada novembra līdz 2009. gada janvārim, un tika saņemtas gandrīz 600 atsauksmes[3].

Komisija 2009. gada 30. martā pieņēma Paziņojumu par informācijas kritiskās infrastruktūras aizsardzību[4] ( Critical information infrastructure protection — CIIP ), kurā galvenā uzmanība pievērsta Eiropas aizsardzībai pret kiberuzbrukumiem un kibertraucējumiem, uzlabojot gatavību, drošību un noturību, un iekļauts rīcības plāns, kurā ENISA aicināta iesaistīties galvenokārt, lai palīdzētu dalībvalstīm. Rīcības plāns guva plašu atbalstu informācijas kritiskās infrastruktūras aizsardzībai ( CIIP ) veltītajā ministru konferencē, kas notika 2009. gada 27. un 28. aprīlī Tallinā, Igaunijā[5]. Eiropas Savienības prezidentvalsts konferences secinājumos uzsvērts, ka ir svarīgi „ palielināt darbības atbalstu ” ENISA , ievērojot, ka tā „ ir vērtīgs ES mēroga sadarbības centienu atbalsta instruments šajā jomā ”, un norādīts, ka Aģentūras pilnvaras jāpārskata un jāgroza to formulējums, lai „ ciešāk pievērstos ES prioritātēm un vajadzībām, panāktu noturīgākas reaģēšanas spējas, attīstītu prasmes un kompetenci un palielinātu Aģentūras darbības efektivitāti un kopējo ietekmi ”, lai Aģentūra kļūtu par „ pastāvīgu vērtību katrai dalībvalstij un Eiropas Savienībai kopumā ”.

Pēc apspriedēm Telekomunikāciju Padomes 2009. gada 11. jūnija sanāksmē, kur dalībvalstis atbalstīja ENISA pilnvaru termiņa pagarināšanu un tās resursu palielināšanu, ņemot vērā tīklu un informācijas drošības nozīmi un jaunās problēmas šajā jomā, Savienības prezidentvalsts Zviedrijas vadībā diskusija tika slēgta. Padomes 2009. gada 18. decembra Rezolūcijā par Eiropas sadarbības pieeju tīklu un informācijas drošībai[6] ir atzīta ENISA loma un iespējas un nepieciešamība „ turpināt veidot ENISA par efektīvu struktūru ”. Tajā uzsvērts arī, ka Aģentūra jāmodernizē un jānostiprina, lai tā palīdzētu Komisijai un dalībvalstīm mazināt plaisu starp tehnoloģijām un politiku, kļūstot par Savienības kompetences centru tīklu un informācijas drošības jautājumos.

1.2. Vispārīgais konteksts

Informācijas un sakaru tehnoloģijas (IST) ir kļuvušas par Eiropas ekonomikas un visas sabiedrības dzīves pamatu. IST ir pakļautas apdraudējumiem, kuriem valstu robežas vairs nav šķērslis un kas ir mainījušies līdz ar tehnoloģiju un tirgu attīstību. Tā kā IST ir globālas, savstarpēji saistītas ar citām infrastruktūrām un savstarpēji atkarīgas no tām, to drošību un noturību nevar nodrošināt valstu individuāla un nekoordinēta pieeja. Vienlaikus strauji rodas ar tīklu un informācijas drošību saistītas jaunas problēmas. Tīkliem un informācijas sistēmām jābūt efektīvi aizsargātiem pret jebkuriem darbības traucējumiem un atteicēm, tostarp cilvēku uzbrukumiem.

Tīklu un informācijas drošības politikai ir svarīga loma Eiropas digitalizācijas programmā[7], vienā no stratēģijas „Eiropa 2020” pamatiniciatīvām, kas izvirzīta, lai izpētītu un attīstītu IST potenciālu un pārvērstu šo potenciālu ilgtspējīgā izaugsmē un jauninājumos. Vienas no galvenajām Eiropas digitalizācijas programmā izvirzītajām prioritātēm paredz veicināt plašāku IST ieviešanu un vairot uzticību un pārliecību par informācijas sabiedrību.

ENISA sākotnēji tika izveidota, lai Savienībā nodrošinātu efektīvu augsta līmeņa tīklu un informācijas drošību. Gūtā pieredze, kā arī problēmas un apdraudējumi uzskatāmi apliecina, ka Aģentūras pilnvaras jāatjaunina, lai tā spētu labāk apmierināt Eiropas Savienības vajadzības, ko nosaka:

- dalībvalstu sadrumstalotā pieeja jauno problēmu risināšanā,

- sadarbības modeļu trūkums tīklu un informācijas drošības politikas īstenošanā,

- nepietiekamais gatavības līmenis, ko rada arī ierobežotās Eiropas agrīnās brīdināšanas un reaģēšanas spējas,

- ticamu Eiropas līmeņa datu trūkums un ierobežota informācija par jaunām problēmām,

- zemais informētības līmenis par tīklu un informācijas drošības riskiem un problēmām,

- ar tīklu un informācijas drošības aspektu efektīvāku iekļaušanu kibernoziedzības apkarošanas politikā saistītās problēmas.

1.3. Politikas mērķi

Ierosinātās regulas vispārīgais mērķis ir palīdzēt ES, dalībvalstīm un ieinteresētajām personām attīstīt augsta līmeņa spējas un gatavību novērst, atklāt un sekmīgāk risināt tīklu un informācijas drošības problēmas. Tas palīdzēs radīt uzticību, uz ko pamatojas informācijas sabiedrības attīstība, uzlabot Eiropas uzņēmumu konkurētspēju un nodrošināt iekšējā tirgus efektīvu darbību.

1.4. Spēkā esošie noteikumi priekšlikuma jomā

Šis priekšlikums papildina reglamentējošas un nereglamentējošas ES līmeņa politikas iniciatīvas tīklu un informācijas drošības jomā, kas izvirzītas, lai uzlabotu IST drošību un noturību:

- CIIP paziņojumā ierosinātajā rīcības plānā bija paredzēts izveidot:

- Eiropas Forumu dalībvalstīm, lai veicinātu diskusijas un apmaiņu ar politikas paraugpraksi, daloties informācijā par politikas mērķiem un prioritātēm IST infrastruktūras drošības un noturības jomā un arī tieši izmantojot Aģentūras darba un atbalsta sniegtās priekšrocības;

- Eiropas publiskā un privātā sektora partnerību infrastruktūru noturības jautājumos ( European Public-Private Partnership for Resilience — EP3R ), kas būtu noturīga Eiropas mēroga pārvaldības pamatstruktūra IST infrastruktūras noturības nodrošināšanai un veicinātu publiskā un privātā sektora sadarbību tādos jautājumos kā drošības un noturības mērķi, kopīgas pamatprasības, politikas paraugprakse un pasākumi;

- Eiropadomes 2009. gada 11. decembrī pieņemtā Stokholmas programma veicina politiku, kas garantē tīklu drošību un ļauj ES ātrāk reaģēt kiberuzbrukumu gadījumā;

- šīs iniciatīvas palīdz īstenot Eiropas digitalizācijas programmu. Tīklu un informācijas drošības politikai ir svarīga loma tajā stratēģijas daļā, kuras mērķis ir vairot uzticību informācijas sabiedrībai un pārliecību par to. Tās atbalsta arī Komisijas atbalsta pasākumus, privātuma (jo īpaši integrēta privātuma) un personas datu aizsardzības politiku (tiesiskā regulējuma pārskatīšanu), sadarbības tīklu patērētāju aizsardzībai, identitātes pārvaldību un programmu „Drošāks internets”.

1.5. Ar priekšlikumu saistītie tīklu un informācijas drošības politikas virzieni

ENISA atbalsts un kompetence palīdz īstenot vairākus tīklu un informācijas drošības politikas virzienus, jo īpaši tos, kas izklāstīti Eiropas digitalizācijas programmā. Tie ir šādi:

- sadarbības stiprināšana tīklu un informācijas drošības politikas jomā, paplašinot Eiropas Foruma dalībvalstīm darbību, lai ar tiešu ENISA atbalstu palīdzētu:

- noteikt veidus, kā izveidot efektīvu Eiropas tīklu, izmantojot valstu/valdību reaģēšanas grupu datorapdraudējumu gadījumos ( Computer Emergency Response Team — CERT ) pārrobežu sadarbību,

- noteikt ilgtermiņa mērķus un prioritātes visu Eiropu aptverošām mācībām reaģēšanai uz liela mēroga tīklu un informācijas drošības incidentiem,

- piemērot publiskā iepirkuma obligātās prasības, lai palielinātu publisko sistēmu un tīklu drošību un noturību,

- noteikt ekonomiskus un reglamentējošus stimulus drošības un noturības veicināšanai,

- novērtēt tīklu un informācijas drošības stāvokli Eiropā;

- publiskā un privātā sektora sadarbības un partnerību stiprināšana, atbalstot Eiropas publiskā un privātā sektora partnerību infrastruktūru noturības jautājumos ( EP3R ) . ENISA atbalsta nozīme EP3R sanāksmēs un pasākumos arvien pieaug. EP3R turpmāk ir paredzējusi:

- apspriest novatoriskus pasākumus un līdzekļus drošības un noturības uzlabošanai, pievēršoties, piemēram, šādiem jautājumiem:

- kopīgas drošības un noturības pamatprasības, jo īpaši IST produktu un pakalpojumu publiskā iepirkuma jomā, lai nodrošinātu vienlīdzīgus darbības nosacījumus, vienlaikus garantējot pienācīgu gatavības un apdraudējumu novēršanas līmeni;

- ar uzņēmumu atbildību saistīto jautājumu izpēte, piemēram, uzņēmumiem ieviešot obligātās drošības prasības;

- ekonomiski stimuli risku pārvaldības prakses, drošības procedūru un produktu izstrādei un ieviešanai;

- risku novērtēšanas un pārvaldības shēmas, lai novērtētu un pārvaldītu lielus incidentus, pamatojoties uz kopīgu izpratni;

- publiskā un privātā sektora sadarbība liela mēroga incidentos;

- ekonomiskiem šķēršļiem un drošības un noturības paaugstināšanas virzītājspēkiem veltītas uzņēmējdarbības augstākā līmeņa sanāksmes rīkošana;

- elektronisko sakaru jomas tiesiskā regulējuma drošības prasību ieviešana praksē — šajā nolūkā ENISA kompetence un atbalsts vajadzīgi, lai:

- attiecīgos gadījumos ņemot vērā privātā sektora viedokli, palīdzētu dalībvalstīm un Komisijai izstrādāt kopīgus noteikumus un procedūras drošības pārkāpumu paziņošanas noteikumu īstenošanai (saskaņā ar pārskatītās Pamatdirektīvas 13.a pantu);

- izveidotu gadskārtēju forumu, kurā valstu kompetentās struktūras / valstu regulatīvās iestādes tīklu un informācijas drošības jautājumos un privātā sektora ieinteresētās personas varētu apspriest gūto pieredzi un apmainīties ar paraugpraksi tīklu un informācijas drošības reglamentējošo pasākumu piemērošanas jomā;

- ES mēroga kiberdrošības gatavības mācību veicināšana ar Komisijas atbalstu un ENISA palīdzību, lai nākotnē rīkotu šādas mācības starptautiskā līmenī;

- CERT (reaģēšanas grupa datorapdraudējumu gadījumos) izveidošana ES iestādēs . Eiropas digitalizācijas programmas 6. pamatpasākums paredz, ka Komisija nāks klajā ar „pasākumiem, kuru mērķis ir pastiprināta augsta līmeņa tīkla un informācijas drošības politika, ieskaitot tādas [..] iniciatīvas kā [..] pasākumi, kas ļauj straujāk reaģēt kiberuzbrukuma gadījumā, ieskaitot CERT ES iestādēs”[8]. Tas nozīmē, ka Komisijai un pārējām ES iestādēm būs jāveic analīze un jāizveido reaģēšanas grupa datorapdraudējumu gadījumos, kam ENISA varēs sniegt tehnisku atbalstu un konsultācijas;

- dalībvalstu mobilizēšana un atbalstīšana, lai tās pabeigtu izveidot vai vajadzības gadījumā izveidotu valstu/valdību CERT , radot labi funkcionējošu CERT tīklu, kas aptvertu visu Eiropu . Šis pasākums palīdzēs arī iedzīvotājiem un MVU paredzētās Eiropas Informācijas apmaiņas un brīdināšanas sistēmas ( European Information Sharing and Alert System — EISAS ) izveidē, kas ar valstu resursiem un jaudām jāpabeidz līdz 2012. gada beigām;

- sabiedrības informēšana par tīklu un informācijas drošības problēmām, kas ietvers šādus pasākumus:

- Komisija sadarbībā ar ENISA izstrādās vadlīnijas par tīklu un informācijas drošības standartu, paraugprakses un risku pārvaldības kultūras veicināšanu. Tiks sagatavots vadlīniju signāleksemplārs,

- ENISA sadarbībā ar dalībvalstīm rīkos Eiropas mēnesi „Tīklu un informācijas drošība visiem” , kurā notiks arī valstu/Eiropas mēroga kiberdrošības sacensības.

1.6. Atbilstība pārējiem ES politikas virzieniem un mērķiem

Priekšlikums atbilst Eiropas Savienības politikas virzieniem un mērķiem un pilnīgi saskan ar mērķi sekmēt netraucētu iekšējā tirgus darbību, uzlabojot gatavību un reaģētspēju tīklu un informācijas drošības problēmu gadījumos.

2. APSPRIEŠANĀS AR IEINTERESĒTAJĀM PERSONĀM UN IETEKMES NOVĒRTĒJUMS

2.1. Apspriešanās ar ieinteresētajām personām

Šī politikas iniciatīva ir tapusi plašu diskusiju rezultātā, ievērojot iekļaujošu pieeju un līdzdalības, atklātības, atbildības, efektivitātes un saskaņotības principu. Plašajā apspriežu procesā tika veikts Aģentūras darba novērtējums 2006./2007. gadā, kam sekoja ENISA valdes ieteikumi, tika rīkotas divas sabiedriskās apspriešanas (2007. gadā un 2008.–2009. gadā) un vairāki tīklu un informācijas drošības jautājumiem veltīti darbsemināri.

Pirmā sabiedriskā apspriešana tika sākta saistībā ar Komisijas paziņojumu par ENISA starpposma novērtējumu. Tā bija veltīta Aģentūras nākotnei, ilga no 2007. gada 13. jūnija līdz 7. septembrim, un tās gaitā tika saņemtas 44 atsauksmes tiešsaistē un divas rakstiskas atsauksmes. Atsauksmes iesniedza dažādas ieinteresētās personas, tostarp dalībvalstu ministrijas, regulatīvās struktūras, nozares un patērētāju apvienības, akadēmiski institūti, uzņēmumi un privātpersonas.

Atsauksmēs bija uzsvērti vairāki interesanti jautājumi, piemēram, apdraudējuma scenārija attīstība, vajadzība ieviest regulā lielāku skaidrību un noturību, lai ļautu ENISA pielāgoties problēmām, efektīva mijiedarbība ar ieinteresētajām personām un iespēja ierobežotā apjomā palielināt Aģentūras resursus.

Otrā sabiedriskā apspriešana ilga no 2008. gada 7. novembra līdz 2009. gada 9. janvārim, lai noteiktu prioritāros mērķus, kas jāsasniedz, lai Eiropas līmenī nostiprinātu tīklu un informācijas drošības politiku, un šo mērķu sasniegšanas līdzekļus. Konsultāciju gaitā tika saņemtas gandrīz 600 atsauksmes no dalībvalstu iestādēm, akadēmiskiem/pētniecības institūtiem, nozares apvienībām, privātiem uzņēmumiem un citām ieinteresētajām personām, piemēram, datu aizsardzības organizācijām un konsultāciju dienestiem, kā arī privātpersonām.

Vairākums aptaujāto[9] atbalstīja Aģentūras pilnvaru termiņa pagarināšanu un funkciju paplašināšanu, koordinējot ar tīklu un informācijas drošību saistītās darbības Eiropas līmenī, kā arī resursu palielināšanu. Par galvenajām prioritātēm tika atzīta vajadzība pēc koordinētākas pieejas aizsardzībai pret kiberapdraudējumiem Eiropā, starptautiska sadarbība, lai reaģētu uz liela mēroga kiberuzbrukumiem, uzticības veidošana un labāka informācijas apmaiņa starp ieinteresētajām personām.

Tika veikts priekšlikuma ietekmes novērtējums, kas sākās 2009. gada septembrī, pamatojoties uz ārēja līgumdarba izpildītāja veiktu priekšizpēti. Ietekmes novērtējumā iesaistījās plašs ieinteresēto personu un ekspertu loks. Starp aptaujātajiem bija dalībvalstu tīklu un informācijas drošības struktūras, valstu regulatīvās iestādes, telekomunikāciju operatori un interneta pakalpojumu sniedzēji un saistītās nozares apvienības, patērētāju apvienības, IST ražotāji, reaģēšanas grupa datorapdraudējumu gadījumos ( CERT ), akadēmiķi un korporatīvi lietotāji. Lai atbalstītu ietekmes novērtējuma procesu, tika izveidota starpdienestu vadības grupa, kurā piedalījās attiecīgie Komisijas ģenerāldirektorāti.

2.2. Ietekmes novērtējums

Aģentūras saglabāšana tika atzīta par piemērotu risinājumu Eiropas politikas mērķu sasniegšanai[10]. Pēc iepriekšējas pārbaudes Komisijas dienesti sīkākai analīzei izvēlējās piecus politikas variantus:

- 1. variants — politikas nav,

- 2. variants — bez izmaiņām, t. i., saglabājas Aģentūras līdzšinējās pilnvaras un resursu apmērs,

- 3. variants — ENISA pienākumi paplašinās, tiesībsargājošās un privātuma aizsardzības iestādes kļūst par pilntiesīgām Aģentūras ieinteresētajām personām,

- 4. variants — Aģentūras pienākumus papildina ar kiberuzbrukumu apkarošanu un kiberincidentu risināšanu saistītas funkcijas,

- 5. variants — Aģentūras pienākumus papildina ar kiberuzbrukumu apkarošanu saistītas tiesībsargājošo un tiesu iestāžu atbalsta funkcijas.

Pēc salīdzinošas rentabilitātes analīzes par visizdevīgāko un efektīvāko politikas mērķu sasniegšanas veidu atzina 3. variantu.

Saskaņā ar 3. variantu paredzēts paplašināt ENISA funkcijas, lai tā:

- veidotu un uzturētu sakaru tīklu ar ieinteresētajām personām un zināšanu tīklu, nodrošinot ENISA vispusīgu informētību par stāvokli tīklu un informācijas drošības jomā Eiropā,

- būtu tīklu un informācijas drošības atbalsta centrs politikas izstrādē un politikas īstenošanā (jo īpaši attiecībā uz e-privātumu, e-parakstu, e-identitātes karti un tīklu un informācijas drošības iepirkuma standartiem),

- atbalstītu ES CIIP un noturības politiku (mācības, EP3R , Eiropas Informācijas apmaiņas un brīdināšanas sistēmu utt.),

- izveidotu ES sistēmu tīklu un informācijas drošības datu vākšanai, tostarp izstrādātu juridiskas ziņošanas un datu kopīgas izmantošanas metodes un praksi,

- pētītu tīklu un informācijas drošības ekonomiku,

- rosinātu sadarbību ar trešām valstīm un starptautiskām organizācijām, lai veicinātu kopēju globālu pieeju tīklu un informācijas drošībai un Eiropā palielinātu augsta līmeņa starptautisku iniciatīvu ietekmi,

- pildītu citus ar kibernoziedzības apkarošanas tīklu un informācijas drošības aspektiem saistītus pienākumus, kas skar tiesību aktu piemērošanas un tiesiskās sadarbības jomu.

3. PRIEKŠLIKUMA JURIDISKIE ASPEKTI

3.1. Ierosināto pasākumu kopsavilkums

Ierosinātās regulas mērķis ir nostiprināt un modernizēt Eiropas Tīklu un informācijas drošības aģentūru ( ENISA ) un noteikt tai jaunu pilnvaru termiņu uz pieciem gadiem.

Salīdzinājumā ar sākotnējo regulu priekšlikumā iekļautas dažas svarīgas pārmaiņas:

1. lielāka noturība, pielāgošanās spēja un mērķtiecīgas darbības iespējas . Aģentūras pienākumi ir atjaunināti, un to formulējums lielā mērā grozīts, lai paplašinātu Aģentūras darbības jomu, turklāt tie ir pietiekami precīzi, lai atspoguļotu mērķu sasniegšanai vajadzīgos līdzekļus. Tas precīzāk raksturo Aģentūras uzdevumu, ļauj labāk sasniegt mērķus un nostiprina pienākumus, kas tai jāpilda, lai palīdzētu īstenot ES politiku;

2. Aģentūra labāk iekļaujas Savienības politikā un reglamentējošajā procesā . Eiropas iestādes un struktūras var lūgt Aģentūrai palīdzību un konsultācijas. Tas atbilst politiskajām un reglamentējošajām norisēm — Padome ir sākusi tieši uzrunāt Aģentūru savās rezolūcijās, bet Eiropas Parlaments un Padome elektronisko komunikāciju tiesiskajā regulējumā ir uzticējuši Aģentūrai ar tīklu un informācijas drošību saistītus pienākumus;

3. saskarne ar kibernoziedzības apkarošanu . Izvirzīto mērķu sasniegšanā Aģentūra ņem vērā kibernoziedzības apkarošanas mērķi. Tiesībsargājošās un privātuma aizsardzības iestādes kļūst par pilntiesīgām Aģentūras ieinteresētajām personām, jo īpaši pastāvīgajā ieinteresēto personu grupā;

4. nostiprināta pārvaldības struktūra . Lielāka uzraugošā loma priekšlikumā piešķirta Aģentūras valdei, kurā ir pārstāvētas dalībvalstis un Komisija. Piemēram, valde var izdot vispārējus rīkojumus personāla jautājumos, par ko iepriekš atbildēja tikai izpilddirektors. Tā var veidot arī darba struktūras, kas tai palīdz pildīt pienākumus, tostarp uzraudzīt lēmumu īstenošanu;

5. procedūru vienkāršošana . Priekšlikumā vienkāršotas par nevajadzīgi apgrūtinošām atzītās procedūras. Piemēri: a) vienkāršota valdes iekšējo noteikumu procedūra, b) ENISA darba programmu pieņem saskaņā ar Komisijas dienestu atzinuma, nevis ar Komisijas lēmumu. Valdei piešķirti arī pietiekami resursi izpildlēmumu pieņemšanas un izpildes vajadzībām (piemēram, ja darbinieks iesniedz sūdzību par izpilddirektoru vai valdi);

6. pakāpeniska resursu palielināšana . Lai Aģentūra spētu sasniegt Eiropas pārskatītās prioritātes un risināt arvien pieaugošās problēmas, neskarot Komisijas priekšlikumu par nākamo daudzgadu finanšu shēmu, 2012.–2016. gadā pakāpeniski paredzēts palielināt tās finanšu un cilvēkresursus. Pamatojoties uz Komisijas priekšlikumu par regulu, ar ko nosaka daudzgadu finanšu shēmu pēc 2013. gada, un ņemot vērā ietekmes novērtējuma secinājumus, Komisija iesniegs grozītu tiesību akta finanšu pārskatu.

7. iespēja pagarināt izpilddirektora pilnvaru termiņu . Valde var uz trim gadiem pagarināt izpilddirektora pilnvaru termiņu.

3.2. Juridiskais pamats

Šā priekšlikuma pamatā ir Līguma par Eiropas Savienības darbību (LESD) 114. pants[11].

Saskaņā ar Eiropas Tiesas spriedumu[12] pirms Lisabonas līguma spēkā stāšanās EK līguma 95. pants bija uzskatāms par pareizo juridisko pamatu, lai izveidotu struktūru ar mērķi ES nodrošināt efektīvu augsta līmeņa tīklu un informācijas drošību. Ar frāzi „pasākumi, lai tuvinātu [..] aktus”, kas minēta 95. pantā, Līguma autori ir vēlējušies ES likumdevējam piešķirt izvērtēšanas brīvību attiecībā uz to, kādi pasākumi ir piemērotākie vēlamā rezultāta sasniegšanai. IST infrastruktūru drošības un noturības uzlabošana tādējādi ir svarīgs elements, kas palīdz nodrošināt netraucētu iekšējā tirgus darbību.

Pēc tam, kad stājās spēkā Lisabonas līgums, atbildība par iekšējā tirgus darbību gandrīz identiski ir aprakstīta LESD[13] 114. pantā. Iepriekš izklāstīto iemeslu dēļ tas turpinās būt piemērojamais juridiskais pamats, lai pieņemtu pasākumus, kas uzlabo tīklu un informācijas drošību. Atbildība par iekšējā tirgus darbību tagad ir joma, uz kuru attiecas ES un dalībvalstu dalītā kompetence (LESD 4. panta 2. punkta a) apakšpunkts). Tas nozīmē, ka ES un dalībvalstis drīkst pieņemt (juridiski saistošus) aktus un ka dalībvalstis rīkojas, ja ES nav īstenojusi vai ir pārtraukusi īstenot savu kompetenci (LESD 2. panta 2. punkts).

Ar atbildību par iekšējā tirgus darbību saistīti pasākumi jāpieņem saskaņā ar parasto likumdošanas procedūru (LESD 289. un 294. pants), kas ir līdzīga[14] agrākajai koplēmuma procedūrai (EK līguma 251. pants).

Pēc Lisabonas līguma spēkā stāšanās ir zudusi agrākā atšķirība starp pīlāriem. Noziedzības novēršana un apkarošana ir kļuvusi par ES dalītās kompetences jomu. Tas paver ENISA iespēju kļūt par platformu ar kibernoziedzības apkarošanu saistītajos tīklu un informācijas drošības jautājumos un apmainīties ar viedokļiem un paraugpraksi ar kiberaizsardzības, tiesībsargājošajām un privātuma aizsardzības iestādēm.

3.3. Subsidiaritātes princips

Priekšlikums atbilst subsidiaritātes principam, jo tīklu un informācijas drošības politikā jāievēro sadarbības pieeja, un dalībvalstis vienas pašas nevar sasniegt priekšlikuma mērķus.

Ja ES nolemtu pilnīgi norobežoties no dalībvalstu tīklu un informācijas drošības politikas, problēma būtu jārisina dalībvalstīm, lai gan pastāvošo informācijas sistēmu savstarpējā atkarība ir acīmredzama. Tāpēc pasākumā, kas garantē pienācīgu dalībvalstu koordinācijas līmeni, lai nodrošinātu pietiekamu risku pārvaldību pārrobežu kontekstā, kurā tie rodas, ir ievērots subsidiaritātes princips. Turklāt Eiropas mēroga rīcība uzlabotu dalībvalstu politikas efektivitāti, radot pievienoto vērtību.

Turklāt saskaņotas tīklu un informācijas drošības politikas izstrāde, pamatojoties uz sadarbības pieeju, uzlabos pamattiesību — jo īpaši personas datu un privātuma aizsardzības tiesību — aizsardzību. Pašlaik datu aizsardzībai jāpievērš īpaša uzmanība, ņemot vērā, ka Eiropas iedzīvotāji — vai nu brīvprātīgi vai tāpēc, ka tas ir obligāti, — arvien biežāk uztic personas datus sarežģītām informācijas sistēmām un ne vienmēr spēj pareizi novērtēt saistītos datu aizsardzības riskus. Tāpēc, notiekot incidentiem, viņi ne vienmēr spēs atbilstoši rīkoties, turklāt nevar apgalvot, ka, nepastāvot Eiropas līmeņa tīklu un informācijas drošības koordinācijai, dalībvalstis spēs efektīvi novērst starptautiska mēroga incidentus.

3.4. Proporcionalitātes princips

Priekšlikums ir saskaņā ar proporcionalitātes principu, jo tas nepārsniedz to, kas vajadzīgs tā mērķa sasniegšanai.

3.5. Juridisko instrumentu izvēle

Ierosinātais instruments ir regula, kas ir tieši piemērojama visās dalībvalstīs.

4. IETEKME UZ BUDŽETU

Priekšlikums ietekmēs ES budžetu.

Tā kā ir noteikti ar ENISA jaunajām pilnvarām saistītie pienākumi, sagaidāms, ka Aģentūrai tiks piešķirti resursi, lai tā varētu pienācīgi darboties. Aģentūras darba novērtējumā, plašajās visu līmeņu konsultācijās ar ieinteresētajām personām un ietekmes novērtējumā vienprātīgi atzīts, ka Aģentūras darbinieku skaits ir nepietiekams un tās resursi jāpalielina. Aģentūras darbinieku skaita un budžeta palielināšanas sekas un rezultāti izvērtēti priekšlikumam pievienotajā ietekmes novērtējumā.

ES finansējums pēc 2013. gada tiks izvērtēts, Komisijas mērogā debatējot par visiem priekšlikumiem laikposmam pēc 2013. gada.

5. PAPILDU INFORMĀCIJA

5.1. Darbības termiņš

Regula būs spēkā piecus gadus.

5.2. Pārskatīšanas klauzula

Regulā paredzēts novērtēt Aģentūras darbību, aptverot laikposmu no iepriekšējā novērtējuma 2007. gadā. Novērtējumā tiks analizēta Aģentūras darbības efektivitāte Regulā izklāstīto mērķu sasniegšanā, lai noteiktu, vai tā joprojām ir efektīvs instruments, un vai atkārtoti būtu jāpagarina Aģentūras darbības termiņš. Pamatojoties uz novērtējuma rezultātiem, valde iesniegs Komisijai ieteikumus par pārmaiņām šajā regulā, Aģentūrā un tās darba praksē. Lai Komisija varētu laicīgi sagatavot priekšlikumu par pilnvaru termiņa pagarināšanu, novērtējums būs jāveic līdz Regulā paredzētā pilnvaru termiņa otrā gada beigām.

5.3. Pagaidu pasākums

Komisija apzinās, ka saskaņā ar likumdošanas procedūru priekšlikuma apspriešana Eiropas Parlamentā un Padomē var būt saistīta ar ilgstošām debatēm un, ja Aģentūras jaunās pilnvaras netiks apstiprinātas pietiekami laicīgi pirms pašreizējo pilnvaru termiņa beigām, var rasties tiesisks vakuums. Tāpēc vienlaikus ar šo priekšlikumu Komisija ierosina pieņemt regulu, ar kuru Aģentūras pilnvaru termiņu pagarina uz 18 mēnešiem, lai atvēlētu pietiekamu laiku debatēm un procedūrai.

2010/0275 (COD)

Priekšlikums

EIROPAS PARLAMENTA UN PADOMES REGULA,

kas attiecas uz Eiropas Tīklu un informācijas drošības aģentūru ( ENISA )

EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,

ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 114. pantu,

ņemot vērā Eiropas Komisijas priekšlikumu,

ņemot vērā Eiropas Ekonomikas un sociālo lietu komitejas atzinumu[15],

ņemot vērā Reģionu komitejas atzinumu[16],

pēc priekšlikuma nosūtīšanas valstu parlamentiem,

saskaņā ar parasto likumdošanas procedūru,

tā kā:

(1) Elektroniskie sakari, infrastruktūra un pakalpojumi ir būtisks ekonomikas un sabiedrības attīstības faktors. Tiem ir vitāla nozīme sabiedrības dzīvē, un tie ir kļuvuši par vispārējiem pakalpojumiem tāpat kā elektroapgāde un ūdensapgāde. To darbības traucējumi var nodarīt ievērojamu ekonomisku kaitējumu, tāpēc jāveic aizsardzības un noturības uzlabošanas pasākumi, lai nodrošinātu kritiski svarīgu pakalpojumu nepārtrauktību. Arvien pieaug ar elektronisko sakaru, infrastruktūras un pakalpojumu drošību, jo īpaši ar to integritāti un pieejamību, saistītas problēmas. Sabiedrībā tas rada arvien lielākas bažas — arī tāpēc, ka sistēmu sarežģītības, avāriju, kļūdu un pret tām vērstu uzbrukumu dēļ var rasties problēmas, kuru sekas var skart fiziskās infrastruktūras, kas nodrošina Eiropas iedzīvotāju labklājībai kritiski svarīgus pakalpojumus.

(2) Apdraudējumu aina nepārtraukti mainās, un drošības incidenti var mazināt lietotāju uzticēšanos. Nopietni elektronisko sakaru, infrastruktūras un pakalpojumu darbības traucējumi var radīt ievērojamas ekonomiskas un sociālas sekas, bet drošības pārkāpumi, problēmas un darbības traucējumi ikdienā var mazināt arī sabiedrības uzticēšanos tehnoloģijām, tīkliem un pakalpojumiem.

(3) Tāpēc politikas veidotājiem, nozarei un lietotājiem ir svarīgi, lai tīklu un informācijas drošības stāvoklis Eiropā tiktu regulāri novērtēts, pamatojoties uz ticamiem Eiropas līmeņa datiem.

(4) Dalībvalstu pārstāvji, tiekoties 2003. gada 13. decembra Eiropadomē, nolēma, ka Eiropas Tīklu un informācijas drošības aģentūra ( ENISA ), kuru bija paredzēts izveidot, pamatojoties uz Komisijas iesniegto priekšlikumu, atradīsies Grieķijas valdības izraudzītā Grieķijas pilsētā.

(5) Eiropas Parlaments un Padome 2004. gadā pieņēma Regulu (EK) Nr. 460/2004[17], ar ko izveido Eiropas Tīklu un informācijas drošības aģentūru, lai tā sniegtu ieguldījumu ceļā uz augsta līmeņa tīklu un informācijas drošību ES un palīdzētu attīstīt tīklu un informācijas drošības kultūru Eiropas Savienības iedzīvotāju, patērētāju, uzņēmumu un valsts administrāciju interesēs. Eiropas Parlaments un Padome 2008. gadā pieņēma Regulu (EK) Nr. 1007/2008[18], pagarinot Aģentūras pilnvaru termiņu līdz 2012. gada martam.

(6) Kopš Aģentūras izveides ar tīklu un informācijas drošību saistītās problēmas ir mainījušās līdz ar tehnoloģiju, tirgu un sociālo un ekonomisko attīstību un ir bijušas turpmāku pārdomu un diskusiju priekšmets. Cenšoties risināt mainīgās problēmas, ES ir pārskatījusi tīklu un informācijas drošības jomā izvirzītās prioritātes, pieņemot vairākus dokumentus, tostarp Komisijas 2006. gada paziņojumu Drošas informācijas sabiedrības stratēģija — „Dialogs, partnerība un iespējas” [19], Padomes 2007. gada rezolūciju par drošas informācijas sabiedrības stratēģiju Eiropā[20], 2009. gada paziņojumu par informācijas kritiskās infrastruktūras aizsardzību — „Eiropas aizsardzība pret liela mēroga kiberuzbrukumiem un infrastruktūru darbības pārrāvumiem — gatavības, drošības un noturības uzlabošana” [21], informācijas kritiskās infrastruktūras aizsardzībai ( CIIP ) veltītās ministru konferences prezidentvalsts secinājumus, Padomes 2009. gada rezolūciju par Eiropas sadarbības pieeju tīklu un informācijas drošībai[22]. Atzīts, ka Aģentūra jāmodernizē un jānostiprina, lai sekmīgi atbalstītu Eiropas iestāžu un dalībvalstu centienus attīstīt Eiropas spējas ar tīklu un informācijas drošību saistīto problēmu risināšanā. Vēlāk Komisija pieņēma un Eiropas digitalizācijas programmu[23], kas ir viena no stratēģijas „Eiropa 2020” pamatiniciatīvām. Šīs visaptverošās programmas mērķis ir izmantot un attīstīt IST potenciālu, lai pārvērstu to ilgtspējīgā izaugsmē un jauninājumos. Viena no galvenajām šajā visaptverošajā programmā izvirzītajām prioritātēm paredz vairot uzticību un pārliecību par informācijas sabiedrību. Tajā paziņots arī par vairākām darbībām, kuras Komisija veiks šajā jomā, un viena no šādām darbībām ir šis priekšlikums.

(7) Iekšējā tirgus pasākumi elektronisko sakaru drošības un plašākā nozīmē tīklu un informācijas drošības jomā dalībvalstīm un Komisijai jāpiemēro tehniski un organizatoriski dažādos veidos. Šo prasību nesaskaņota piemērošana var radīt neefektīvus risinājumus un šķēršļus iekšējā tirgū. Tāpēc Eiropas līmenī jārada kompetences centrs, kas sniedz ieteikumus, konsultācijas un pēc pieprasījuma palīdzību ar tīklu un informācijas drošību saistītos jautājumos un uz ko dalībvalstis un Eiropas iestādes var paļauties. Aģentūra var apmierināt šīs vajadzības, attīstot un saglabājot augsta līmeņa kompetenci un atbalstot dalībvalstis un Komisiju, un līdz ar to arī uzņēmēju aprindas, lai palīdzētu tām ievērot tiesiskās un reglamentējošās prasības tīklu un informācijas drošības jomā, tādējādi sniedzot ieguldījumu iekšējā tirgus netraucētas darbības nodrošināšanā.

(8) Aģentūrai jāpilda pienākumi, kas tai uzticēti saskaņā ar elektronisko sakaru jomā spēkā esošajiem ES tiesību aktiem un vispārīgi jāpalīdz paaugstināt elektronisko sakaru drošības līmeni, tostarp daloties pieredzē un sniedzot konsultācijas, un veicinot paraugprakses apmaiņu.

(9) Eiropas Parlamenta un Padomes 2002. gada 7. marta Direktīvā 2002/21/EK par kopējiem reglamentējošiem noteikumiem attiecībā uz elektronisko komunikāciju tīkliem un pakalpojumiem (Pamatdirektīva)[24] turklāt ir prasība, ka publisku elektronisko komunikāciju tīklu un publiski pieejamu elektronisko komunikāciju pakalpojumu sniedzējiem jāveic atbilstoši pasākumi, lai garantētu savu integritāti un drošību, un ir paredzētas drošības pārkāpumu un integritātes zuduma paziņošanas prasības. Attiecīgos gadījumos valstu regulatīvajām iestādēm jāinformē arī Aģentūra un jāiesniedz Komisijai un Aģentūrai gada kopsavilkuma ziņojums par saņemtajiem paziņojumiem un veiktajiem pasākumiem. Saskaņā ar Direktīvu 2002/21/EK Aģentūra turklāt palīdz saskaņot atbilstošus tehniskus un organizatoriskus drošības pasākumus, sniedzot atzinumus.

(10) Eiropas Parlamenta un Padomes 2002. gada 12. jūlija Direktīvā 2002/58/EK par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (Direktīva par privāto dzīvi un elektroniskajām komunikācijām)[25] ir prasība, ka publiski pieejamu elektronisko komunikāciju pakalpojumu sniedzējiem jāveic atbilstoši tehniski un organizatoriski pasākumi, lai garantētu savu pakalpojumu drošību, un arī prasība, ka komunikācijai un saistītajai informācijai par datu plūsmu jābūt konfidenciālai. Direktīva 2002/58/EK nosaka arī, ka personas datu aizsardzības pārkāpumu gadījumā uz elektronisko komunikāciju pakalpojumu sniedzējiem attiecas informēšanas un paziņošanas prasības . Tā turklāt paredz, ka Komisijai jākonsultējas ar Aģentūru par visiem tehniskajiem īstenošanas pasākumiem, ko tā gatavojas pieņemt attiecībā uz informēšanas un paziņošanas prasību piemērošanas apstākļiem, veidu un kārtību. Saskaņā ar Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīvu 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti[26] dalībvalstis paredz, ka personas datu apstrādātājiem jāveic atbilstoši tehniski un organizatoriski pasākumi, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu pazaudēšanu, pārveidošanu, nesankcionētu izpaušanu vai piekļuvi, īpaši, ja apstrāde ir saistīta ar datu pārraidi tīklā, un pret visām citām nelikumīgām apstrādes formām.

(11) Aģentūrai jādod ieguldījums tīklu un informācijas drošības augsta līmeņa aizsardzībā ES un tīklu un informācijas drošības kultūras attīstībā Eiropas Savienībā iedzīvotāju, patērētāju, uzņēmumu un publiskā sektora organizāciju interesēs, tādējādi veicinot netraucētu iekšējā tirgus darbību.

(12) Aģentūras pienākumu kopumā jānorāda tās mērķu sasniegšanas ceļi, vienlaikus ļaujot tai darboties elastīgi. Jānosaka, ka Aģentūras pienākums ir vākt attiecīgu informāciju un datus, kas nepieciešami, lai veiktu to risku analīzi, kuri apdraud elektronisko sakaru, infrastruktūras un pakalpojumu drošību un noturību, un sadarbībā ar dalībvalstīm novērtētu tīklu un informācijas drošības stāvokli Eiropā. Aģentūrai jānodrošina koordinācija ar dalībvalstīm un Eiropā jāuzlabo sadarbība ieinteresēto personu starpā, jo īpaši iesaistot Aģentūras pasākumos kompetentās dalībvalstu iestādes un tīklu un informācijas drošības jomas privātā sektora ekspertus. Aģentūrai jāatbalsta Komisija un dalībvalstis to dialogā ar nozares pārstāvjiem, lai risinātu ar datoru aparatūras un programmatūras produktiem saistītas drošības problēmas, tādējādi palīdzot īstenot sadarbības pieeju tīklu un informācijas drošībai.

(13) Aģentūrai jākļūst par atskaites punktu, kas rada uzticību ar neatkarību, konsultāciju un izplatītās informācijas kvalitāti, procedūru un darbības metožu pārredzamību un neatlaidību tai uzticēto pienākumu izpildē. Aģentūrai jāpamatojas uz dalībvalstu un ES centieniem, tāpēc uzticētie pienākumi tai jāpilda, cieši sadarbojoties ar dalībvalstīm, un jābūt gatavai uzklausīt nozares pārstāvjus un citas attiecīgas ieinteresētās personas. Turklāt Aģentūrai būtu jāizmanto privātā sektora piedāvātais atbalsts un sadarbības iespējas, jo tiem ir svarīga loma elektronisko sakaru, infrastruktūru un pakalpojumu drošības garantēšanā.

(14) Komisija ir izveidojusi Eiropas publiskā un privātā sektora partnerību infrastruktūru noturības jautājumos — noturīgu Eiropas mēroga pārvaldības sistēmu IST infrastruktūru noturības jautājumos, kurā Aģentūrai jāuzņemas koordinatora loma, pulcinot publiskā un privātā sektora ieinteresētās personas, lai apspriestu sabiedriskās politikas prioritātes, problēmu ekonomiskos un ar tirgu saistītos aspektus un IST infrastruktūru noturības nodrošināšanas pasākumus un lai noteiktu ieinteresēto personu atbildības loku.

(15) Pēc Komisijas pieprasījuma vai pēc savas ierosmes Aģentūrai jāsniedz Komisijai konsultācijas atzinumu, tehniskas un sociālas un ekonomiskas analīzes veidā, lai palīdzētu izstrādāt politiku tīklu un informācijas drošības jomā. Turklāt pēc dalībvalstu un Eiropas iestāžu pieprasījuma Aģentūrai jāpalīdz tām izstrādāt politiku un attīstīt spējas tīklu un informācijas drošības jomā.

(16) Aģentūrai jāpalīdz dalībvalstīm un Eiropas iestādēm veidot un uzlabot pārrobežu spējas un gatavību novērst, atklāt, mazināt un risināt tīklu un informācijas drošības problēmas un incidentus, atvieglojot sadarbību dalībvalstu starpā un dalībvalstu un Komisijas sadarbību. Šajā nolūkā Aģentūrai jāuzņemas aktīva loma, atbalstot dalībvalstis, kas pastāvīgi cenšas uzlabot savas reaģēšanas spējas un rīko un vada drošības incidentu risināšanai veltītas valsts un Eiropas mēroga mācības.

(17) Saskaņā ar šo regulu veiktu personas datu apstrādi reglamentē Direktīva 95/46/EK.

(18) Lai labāk izprastu tīklu un informācijas drošības jomas problēmas, Aģentūrai jāanalizē pastāvošie un jaunie riski. Tādēļ tai sadarbībā ar dalībvalstīm un attiecīgos gadījumos sadarbībā ar statistikas iestādēm jāvāc attiecīga informācija. Turklāt Aģentūrai jāpalīdz dalībvalstīm un Eiropas iestādēm un struktūrām vākt, analizēt un izplatīt ar tīklu un informācijas drošību saistītus datus.

(19) Veicot uzraudzību Eiropas Savienībā, Aģentūrai jāatvieglo ES un dalībvalstu sadarbība tīklu un informācijas drošības stāvokļa novērtēšanā Eiropā un sadarbībā ar dalībvalstīm jāpalīdz veikt novērtēšanas pasākumus.

(20) Aģentūrai jāatvieglo dalībvalstu kompetento publisko struktūru sadarbība, jo īpaši atbalstot paraugprakses un izglītības un informētības uzlabošanas programmu standartu izstrādi un apmaiņu. Šo uzdevumu atvieglos labāka informācijas apmaiņa starp dalībvalstīm. Aģentūrai arī jāatbalsta publisko un privāto ieinteresēto personu sadarbība ES līmenī, cita starpā veicinot informācijas apmaiņu, informētības uzlabošanas kampaņas un izglītības un mācību programmas.

(21) Efektīvas drošības politikas pamatā publiskajā un privātajā sektorā jābūt labi izstrādātām riska novērtēšanas metodēm. Riska novērtēšanas metodes un procedūras izmanto dažādos līmeņos, un nav vienotas prakses to efektīvai piemērošanai. Ar riska novērtēšanu un sadarbspējīgu riska pārvaldības risinājumu meklēšanu saistītas paraugprakses veicināšana un izstrāde publiskā un privātā sektora organizācijās paaugstinās tīklu un informācijas sistēmu drošības līmeni Eiropā. Tādēļ Aģentūrai jāatbalsta publisko un privāto ieinteresēto personu sadarbība ES līmenī, palīdzot tām izstrādāt un ieviest elektronisko produktu, sistēmu, tīklu un pakalpojumu riska pārvaldības un drošības novērtēšanas standartus.

(22) Aģentūras darbā jāizmanto pētniecības, izstrādes un tehnoloģiju novērtēšanas procesi, jo īpaši tie, kas notiek saskaņā ar dažādām Eiropas Savienības pētniecības iniciatīvām.

(23) Ja tas ir vajadzīgi un lietderīgi attiecībā uz Aģentūras darbības jomu, mērķiem un pienākumu izpildi, Aģentūrai jāapmainās ar pieredzi un vispārīgu informāciju ar struktūrām un aģentūrām, kas izveidotas saskaņā ar Eiropas Savienības tiesību aktiem un nodarbojas ar tīklu un informācijas drošības jautājumiem.

(24) Ar kibernoziedzības apkarošanu saistītos drošības jautājumos sadarbojoties ar tiesībsargājošajām struktūrām, Aģentūra ņem vērā pastāvošos informācijas avotus un tīklus, piemēram, kontaktpunktus, kas minēti priekšlikumā Eiropas Parlamenta un Padomes Direktīvai par uzbrukumiem informācijas sistēmām, ar kuru atceļ Pamatlēmumu 2005/222/JHA, vai Eiropola Augsto tehnoloģiju noziedzības apkarošanas nodaļu vadītāju darba grupu.

(25) Lai Aģentūra pilnīgi sasniegtu izvirzītos mērķus, tai jāsadarbojas ar tiesībsargājošajām struktūrām un privātuma aizsardzības iestādēm, uzsverot un pienācīgi risinot ar kibernoziedzības apkarošanu saistītos tīklu un informācijas drošības jautājumus. Šo iestāžu pārstāvjiem būtu jākļūst par pilntiesīgām Aģentūras ieinteresētajām personām, kas ir pārstāvētas tās pastāvīgajā ieinteresēto personu grupā.

(26) Ar tīklu un informācijas drošību saistītās problēmas ir globālas. Lai uzlabotu drošības standartus un informācijas apmaiņu un veicinātu vienotu globālu pieeju tīklu un informācijas drošības jautājumiem, ciešāk jāsadarbojas starptautiskā līmenī. Tādēļ Aģentūrai jāatbalsta sadarbība ar trešām valstīm un starptautiskām organizācijām, vajadzības gadījumā sadarbībā ar Eiropas Ārējās darbības dienestu ( European External Action Service — EEAS ).

(27) Pildot savus pienākumus, Aģentūra nedrīkst ierobežot kompetenci un preventīvi ietekmēt, apgrūtināt vai dublēt attiecīgās pilnvaras un pienākumus, kas uzticēti dalībvalstu regulatīvajām iestādēm saskaņā ar elektronisko komunikāciju tīklu un pakalpojumu direktīvām, kā arī ar Eiropas Parlamenta un Padomes Regulu Nr. 1211/2009[27] izveidotajai Eiropas Elektronisko komunikāciju regulatoru iestādei un Direktīvā 2002/21/EK minētajai Komunikāciju komitejai, Eiropas standartizācijas struktūrām, dalībvalstu standartizācijas struktūrām un pastāvīgajai komitejai saskaņā ar Eiropas Parlamenta un Padomes 1998. gada 22. jūnija Direktīvu 98/34/EK, kas nosaka informācijas sniegšanas kārtību tehnisko standartu un noteikumu, un Informācijas sabiedrības pakalpojumu noteikumu sfērā[28], un dalībvalstu uzraudzības iestādēm saistībā ar personu aizsardzību attiecībā uz personas datu apstrādi un šo datu brīvu apriti.

(28) Lai nodrošinātu efektīvu Aģentūras darbu, dalībvalstīm un Komisijai jābūt pārstāvētām tās valdē, kam būtu jānosaka Aģentūras darbības vispārīgais virziens un jāgādā, lai tā pilda savus pienākumus saskaņā ar šo regulu. Valde jāpilnvaro izstrādāt budžetu, pārbaudīt tā izpildi, pieņemt atbilstošus finanšu noteikumus, noteikt pārredzamas darba procedūras Aģentūras lēmumu pieņemšanai, apstiprināt Aģentūras darba programmu, pieņemt savu reglamentu un Aģentūras darbības iekšējos noteikumus, iecelt amatā izpilddirektoru un lemt par viņa pilnvaru termiņa pagarināšanu vai izbeigšanu. Jāparedz, ka valde var veidot darba struktūras, kas tai palīdz pildīt pienākumus, piemēram, izstrādā tās lēmumus vai uzrauga to izpildi.

(29) Lai Aģentūras darbība būtu sekmīga, tās izpilddirektors jāieceļ, ņemot vērā nopelnus un ar dokumentiem apliecinātas administratīvā un pārvaldības darba iemaņas, kā arī kompetenci un pieredzi tīklu un informācijas drošības jomā, turklāt, organizējot Aģentūras iekšējo darbību, viņam jāpilda savi pienākumi pilnīgi neatkarīgi. Šajā nolūkā izpilddirektoram jāsagatavo priekšlikums Aģentūras darba programmai, iepriekš apspriežoties ar Komisijas dienestiem un pastāvīgo ieinteresēto personu grupu, un jāveic visi vajadzīgie pasākumi, lai nodrošinātu Aģentūras darba programmas pienācīgu izpildi. Izpilddirektoram katru gadu jāsagatavo un jāiesniedz valdei darbības pārskata projekts, jāizstrādā Aģentūras ieņēmumu un izdevumu tāmes projekts un jāizpilda budžets.

(30) Izpilddirektoram jābūt iespējai veidot ad hoc darba grupas, lai risinātu konkrētus jautājumus, jo īpaši zinātniskus, tehniskus, juridiskus, sociālus un ekonomiskus. Veidojot ad hoc darba grupas, izpilddirektoram būtu jācenšas iesaistīt un izmantot attiecīgus ārējus ekspertus, lai Aģentūra varētu piekļūt jaunākajai informācijai par drošības problēmām, kas rodas informācijas sabiedrības attīstības procesā. Aģentūrai jāgādā, lai ad hoc darba grupu locekļi tiktu izraudzīti saskaņā ar augstākajiem kompetences standartiem, nodrošinot dalībvalstu administrāciju, privātā sektora, tostarp nozares, lietotāju un tīklu un informācijas drošības jomas akadēmisko ekspertu pienācīgu pārstāvniecības līdzsvaru atbilstoši konkrēti risināmajiem jautājumiem. Aģentūra pēc vajadzības katrā konkrētā gadījumā atsevišķi darba grupās var iesaistīt atsevišķus attiecīgajā jomā atzītus ekspertus. Viņu izmaksas būtu jāsedz Aģentūrai saskaņā ar tās iekšējiem noteikumiem un spēkā esošajiem finanšu noteikumiem.

(31) Aģentūrai jābūt pastāvīgai ieinteresēto personu grupai — padomdevēju struktūrai, kas uzturētu regulāru dialogu ar privāto sektoru, patērētāju organizācijām un citām attiecīgām ieinteresētajām personām. Pastāvīgajai ieinteresēto personu grupai, ko saskaņā ar izpilddirektora priekšlikumu izveido valde, galvenokārt jārisina visām ieinteresētajām personām svarīgi jautājumi un par tiem jāinformē Aģentūra. Vajadzības gadījumā un saskaņā ar sanāksmju darba kārtību izpilddirektors var uzaicināt piedalīties grupas sanāksmēs Eiropas Parlamenta un citu attiecīgu struktūru pārstāvjus.

(32) Aģentūra darbojas i) saskaņā ar subsidiaritātes principu, t. i., ar tīklu un informācijas drošību saistītajos jautājumos nodrošina pienācīgu dalībvalstu koordinācijas līmeni un uzlabo valstu politikas efektivitāti, tādējādi radot pievienoto vērtību, un ii) saskaņā ar proporcionalitātes principu, nepārsniedzot to, kas vajadzīgs šajā regulā izklāstīto mērķu sasniegšanai.

(33) Aģentūrai jāievēro attiecīgie ES tiesību akti, kas attiecas uz publisku piekļuvi dokumentiem, kā noteikts Eiropas Parlamenta un Padomes Regulā (EK) Nr. 1049/2001[29], un uz personu aizsardzību attiecībā uz personas datu apstrādi, kā noteikts Eiropas Parlamenta un Padomes 2000. gada 18. decembra Regulā (EK) Nr. 45/2001 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti[30].

(34) Aģentūrai savā darbības jomā, mērķos un pienākumu pildīšanā jo īpaši jāievēro Eiropas iestādēm piemērojamie noteikumi un dalībvalstu tiesību akti, kas attiecas uz konfidenciālu dokumentu apstrādi. Valdei jābūt pilnvarotai pieņemt lēmumus, kas Aģentūrai ļauj apstrādāt klasificētu informāciju.

(35) Lai garantētu Aģentūras pilnīgu autonomiju un neatkarību, tai jāpiešķir atsevišķs budžets, kura ieņēmumus veido galvenokārt ES un Aģentūras darbā iesaistīto trešo valstu iemaksas. Jānosaka, ka mītnes dalībvalsts un pārējās dalībvalstis drīkst veikt brīvprātīgas iemaksas Aģentūras budžetā. Savienības budžeta procedūru turpina piemērot attiecībā uz visām subsīdijām, ko piešķir no Eiropas Savienības vispārējā budžeta. Turklāt Revīzijas palātai jāveic finanšu pārskatu revīzija.

(36) Aģentūrai jāturpina ar Regulu Nr. 460/2004 izveidotās ENISA darbs. Dalībvalstu pārstāvju 2003. gada 13. decembra Eiropadomes sanāksmes lēmuma satvarā uzņemošajai dalībvalstij jāsaglabā un jāattīsta pašreizējie praktiskie pasākumi, lai nodrošinātu Aģentūras raitu un efektīvu darbību, jo īpaši saistībā ar Aģentūras sadarbību un atbalstu Komisijai, dalībvalstīm un to kompetentajām struktūrām, citām Eiropas Savienības institūcijām un struktūrām un publiskajām un privātajām ieinteresētajām personām visā Eiropā.

(37) Aģentūra jāizveido uz ierobežotu laiku. Aģentūras darbība jānovērtē, ņemot vērā tās efektivitāti mērķu sasniegšanā un tās darba prakses efektivitāti, lai noteiktu, vai tās mērķi joprojām ir (vai vairs nav) spēkā, un vai, pamatojoties uz šo novērtējumu, atkārtoti jāpagarina Aģentūras darbības termiņš,

IR PIEŅĒMUŠI ŠO REGULU.

1 . IEDAĻA. DARBĪBAS JOMA, MĒRĶI UN PIENĀKUMI

1 . pants Priekšmets un darbības joma

1. Ar šo regulu izveido Eiropas Tīklu un informācijas drošības Aģentūru (turpmāk „Aģentūra”), lai ES veicinātu augsta līmeņa tīklu un informācijas drošību un lai uzlabotu sabiedrības informētību un attīstītu tīklu un informācijas drošības kultūru ES iedzīvotāju, patērētāju, uzņēmumu un publiskā sektora organizāciju interesēs, tādējādi sekmējot netraucētu iekšējā tirgus darbību.

2. Aģentūras mērķi un pienākumi neskar dalībvalstu kompetenci attiecībā uz tīklu un informācijas drošību un nekādā ziņā darbības, kas attiecas uz sabiedrisko drošību, aizsardzību, valsts drošību (tostarp valsts ekonomisko labklājību, ja darbības attiecas uz valsts drošības jautājumiem) un uz valsts pasākumiem krimināltiesību jomā.

3. Šajā regulā „ tīklu un informācijas drošība ” ir tīklu un informācijas sistēmu spēja noteiktā ticamības līmenī pretoties nejaušiem gadījumiem vai nelikumīgām un ļaunprātīgām darbībām, kas apdraud glabājamo vai pārraidāmo datu un šo tīklu un sistēmu piedāvāto vai ar to starpniecību pieejamo saistīto pakalpojumu pieejamību, autentiskumu, integritāti un konfidencialitāti.

2 . pants Mērķi

1. Aģentūra palīdz Komisijai un dalībvalstīm ievērot tiesiskās un reglamentējošās tīklu un informācijas drošības prasības, kas noteiktas pašreizējos un turpmākos ES tiesību aktos, tādējādi sekmējot netraucētu iekšējā tirgus darbību.

2. Aģentūra uzlabo ES un dalībvalstu spējas un gatavību novērst, atklāt un risināt tīklu un informācijas drošības problēmas un incidentus.

3. Aģentūra attīsta un saglabā augsta līmeņa kompetenci, un izmanto šo kompetenci, lai veicinātu plašu sadarbību starp valsts un privātā sektora dalībniekiem.

3 . pants Pienākumi

1. Saskaņā ar 1. pantā noteikto mērķi Aģentūra pilda šādus pienākumus:

a) pēc Komisijas pieprasījuma vai pēc savas ierosmes palīdz Komisijai izstrādāt politiku tīklu un informācijas drošības jomā, sniedzot konsultācijas un atzinumus, veicot tehnisku un sociālu un ekonomisku analīzi, un ar ES tiesību aktu izstrādi un atjaunināšanu tīklu un informācijas drošības jomā saistītus priekšdarbus;

b) atvieglo sadarbību dalībvalstu starpā un dalībvalstu un Komisijas sadarbību, atbalstot to centienus novērst, atklāt un risināt tīklu un informācijas drošības incidentus ar pārrobežu elementiem;

c) palīdz dalībvalstīm un Eiropas iestādēm un struktūrām vākt, analizēt un izplatīt ar tīklu un informācijas drošību saistītus datus;

d) sadarbībā ar dalībvalstīm un Eiropas iestādēm regulāri novērtē tīklu un informācijas drošības stāvokli Eiropā;

e) atbalsta Eiropas kompetento publisko struktūru sadarbību, jo īpaši atbalstot paraugprakses un standartu izstrādi un apmaiņu;

f) palīdz ES un dalībvalstīm veicināt elektronisko produktu, sistēmu un pakalpojumu riska pārvaldības un drošības paraugprakses un standartu izmantošanu;

g) atbalsta publisko un privāto ieinteresēto personu sadarbību ES līmenī, inter alia , veicinot informācijas apmaiņu un informētības uzlabošanu un palīdzot izstrādāt un ieviest elektronisko produktu, sistēmu, tīklu un pakalpojumu riska pārvaldības un drošības standartus;

h) atvieglo publisko un privāto ieinteresēto personu dialogu un paraugprakses apmaiņu tīklu un informācijas drošības jomā, aptverot kibernoziedzības apkarošanas jautājumus; palīdz Komisijai politikas virzienos, kuros ņemti vērā ar kibernoziedzības apkarošanu saistītie tīklu un informācijas drošības aspekti;

i) pēc pieprasījuma palīdz dalībvalstīm un Eiropas iestādēm un struktūrām attīstīt tīklu un informācijas drošības problēmu atklāšanas, analīzes un risināšanas spējas;

j) atbalsta ES dialogu un sadarbību ar trešām valstīm un starptautiskām organizācijām, vajadzības gadījumā sadarbībā ar EEAS , lai veicinātu starptautisku sadarbību un vienotu globālu pieeju tīklu un informācijas drošības jautājumiem;

k) pilda citus pienākumus, kas Aģentūrai uzticēti saskaņā ar ES leģislatīvajiem aktiem.

2 . IEDAĻA. ORGANIZĀCIJA

4. pants Aģentūras struktūras

Aģentūrai ir:

a) valde;

b) izpilddirektors un personāls;

c) pastāvīga ieinteresēto personu grupa.

5. pants Valde

1. Valde nosaka Aģentūras darbības vispārīgo virzienu un gādā, lai tā darbotos saskaņā ar šajā regulā paredzētajiem noteikumiem un principiem. Tā arī nodrošina Aģentūras darbības saskaņotību ar dalībvalstu un Kopienas līmeņa pasākumiem.

2. Valde pieņem savu reglamentu, vienojoties ar attiecīgajiem Komisijas dienestiem.

3. Valde pieņem Aģentūras darbības iekšējos noteikumus, vienojoties ar attiecīgajiem Komisijas dienestiem. Šos noteikumus publicē.

4. Valde saskaņā ar 10. panta 2. punktu ieceļ un var atbrīvot no amata izpilddirektoru. Valde īsteno disciplinārās pilnvaras attiecībā uz izpilddirektoru.

5. Valde pieņem Aģentūras darba programmu saskaņā ar 13. panta 3. punktu un Aģentūras iepriekšējā gada darbības pārskatu saskaņā ar 14. panta 2. punktu.

6. Valde pieņem Aģentūrai piemērojamos finanšu noteikumus. Tajos nedrīkst būt atkāpju no Komisijas 2002. gada 19. novembra Regulas (EK, Euratom) Nr. 2343/2002 par pamata Finanšu regulu struktūrām, kas minētas 185. pantā Padomes Regulā (EK) Nr. 1605/2002 par Finanšu regulu, ko piemēro Eiropas Kopienu vispārējam budžetam[31], ja vien šāda atkāpe nav īpaši vajadzīga Aģentūras darbībai un Komisija nav tam iepriekš piekritusi.

7. Valde, vienojoties ar Komisiju, pieņem atbilstošus īstenošanas noteikumus saskaņā ar Civildienesta noteikumu 110. pantu.

8. Valde var veidot darba struktūras, kurās darbojas tās locekļi un kuras tai palīdz pildīt tās pienākumus, tostarp izstrādāt lēmumus un uzraudzīt to izpildi.

9. Valde var pieņemt personāla politikas daudzgadu plānu, iepriekš konsultējoties ar Komisiju un attiecīgi informējot budžeta lēmējinstitūciju.

6. pants Valdes sastāvs

1. Valdē ir pa vienam pārstāvim no katras dalībvalsts, trīs pārstāvji, ko ieceļ Komisija, kā arī trīs pārstāvji bez balsstiesībām, kurus ieceļ Komisija un no kuriem katrs pārstāv vienu no šīm grupām:

a) informācijas un sakaru tehnoloģiju nozari;

b) patērētāju grupas;

c) akadēmiskos ekspertus tīklu un informācijas drošības jomā.

2. Valdes locekļus un viņu aizstājējus ieceļ, ņemot vērā attiecīgo pieredzi un kompetenci tīklu un informācijas drošības jomā.

3. Šā panta 1. punkta a), b) un c) apakšpunktā minēto grupu pārstāvju pilnvaru termiņš ir četri gadi. Termiņu drīkst pagarināt vienu reizi. Ja kāds pārstāvis vairs nav saistīts ar attiecīgo interešu grupu, Komisija ieceļ viņa aizstājēju.

7. pants Valdes priekšsēdētājs

Valde ievēl priekšsēdētāju un viņa vietnieku no savu locekļu vidus uz trīs gadu termiņu, ko var atjaunot. Priekšsēdētāja vietnieks ex officio aizstāj priekšsēdētāju, ja priekšsēdētājs nevar pildīt savus pienākumus.

8. pants Sanāksmes

1. Valdes sanāksmes sasauc tās priekšsēdētājs.

2. Valde sanāk uz regulārām sanāksmēm divreiz gadā. Tā sanāk arī uz ārkārtas sanāksmēm pēc priekšsēdētāja ierosmes vai pēc vismaz vienas trešdaļas balsstiesīgo locekļu pieprasījuma.

3. Izpilddirektors piedalās valdes sanāksmēs bez balsstiesībām.

9. pants Balsošana

1. Valde pieņem lēmumus ar balsstiesīgo locekļu balsu vairākumu.

2. Valdes reglamenta, Aģentūras darbības iekšējo noteikumu, budžeta un gada darba programmas pieņemšanai, kā arī izpilddirektora iecelšanai amatā, viņa pilnvaru termiņa pagarināšanai un atcelšanai no amata vajag divas trešdaļas visu balsstiesīgo locekļu balsu.

10. pants Izpilddirektors

1. Aģentūru vada izpilddirektors, kas savus pienākumus pilda neatkarīgi.

2. Izpilddirektoru ieceļ un atbrīvo no amata valde. Izpilddirektoru ieceļ no Komisijas izveidota kandidātu saraksta uz pieciem gadiem, ņemot vērā nopelnus un ar dokumentiem apliecinātas administratīvā un pārvaldības darba iemaņas, kā arī kompetenci un pieredzi attiecīgajā jomā. Pirms iecelšanas amatā Eiropas Parlamenta atbildīgā komiteja var uzaicināt valdes izraudzīto kandidātu sniegt paziņojumu un atbildēt uz komitejas locekļu jautājumiem.

3. Deviņos mēnešos pirms izpilddirektora pilnvaru termiņa beigām Komisija veic novērtējumu. Tajā Komisija jo īpaši novērtē:

- izpilddirektora darbību,

- Aģentūras pienākumus un vajadzības turpmākajos gados.

4. Pamatojoties uz Komisijas priekšlikumu un ņemot vērā novērtējuma ziņojumu, valde var ilgākais uz trim gadiem pagarināt izpilddirektora pilnvaru termiņu, taču vienīgi tad, ja to pamato Aģentūras pienākumi un vajadzības.

5. Valde informē Eiropas Parlamentu par nodomu pagarināt izpilddirektora pilnvaru termiņu. Vienā mēnesī pirms pilnvaru termiņa pagarināšanas Eiropas Parlamenta atbildīgā komiteja drīkst uzaicināt izpilddirektoru sniegt paziņojumu un atbildēt uz komitejas locekļu jautājumiem.

6. Ja izpilddirektora pilnvaru termiņu nepagarina, viņš paliek amatā līdz viņa pilnvaru pārņēmēja iecelšanai.

7. Izpilddirektors atbild par:

a) Aģentūras ikdienas pārvaldību;

b) valdes pieņemto darba programmu un lēmumu izpildi;

c) Aģentūras darbību saskaņā ar tās pakalpojumu izmantotāju vajadzībām, jo īpaši attiecībā uz sniegto pakalpojumu pietiekamību;

d) visiem konkrētajiem personāla jautājumiem, nodrošinot valdes vispārējo rīkojumu un vispārējo lēmumu izpildi;

e) sakaru veidošanu un uzturēšanu ar Eiropas iestādēm un struktūrām;

f) sakaru veidošanu un uzturēšanu ar uzņēmēju aprindām un patērētāju organizācijām, lai nodrošinātu regulāru dialogu ar attiecīgajām ieinteresētajām personām;

g) citu saskaņā ar šo regulu uzticētu pienākumu izpildi.

8. Vajadzības gadījumā un saskaņā ar Aģentūras mērķiem un pienākumiem izpilddirektors var veidot ekspertu ad hoc darba grupas. Par to iepriekš informē valdi. Procedūras, jo īpaši attiecībā uz ad hoc darba grupu sastāvu, kārtību, kādā izpilddirektors izraugās ekspertus, un ad hoc darba grupu darbību nosaka Aģentūras darbības iekšējos noteikumos.

9. Izpilddirektors vajadzības gadījumā nodod valdes rīcībā administratīvā personāla darbiniekus un citus resursus.

11. pants Pastāvīgā ieinteresēto personu grupa

1. Pamatojoties uz izpilddirektora priekšlikumu, valde izveido pastāvīgu ieinteresēto personu grupu, kurā ir eksperti, kas pārstāv attiecīgas ieinteresētās personas, piemēram, informācijas un sakaru tehnoloģiju nozari, patērētāju grupas, akadēmiskus ekspertus tīklu un informācijas drošības jomā un tiesībsargājošās un privātuma aizsardzības iestādes.

2. Procedūras, jo īpaši attiecībā uz grupas locekļu skaitu un sastāvu, kārtību, kādā valde izraugās ekspertus, izpilddirektora priekšlikumu un grupas darbību nosaka Aģentūras darbības iekšējos noteikumos un publicē.

3. Grupu vada izpilddirektors.

4. Grupas locekļu pilnvaru termiņš ir divarpus gadi. Grupas locekļi nedrīkst būt valdes locekļi. Komisijas pārstāvjiem ir tiesības piedalīties grupas sanāksmēs un darbā.

5. Grupa jo īpaši konsultē izpilddirektoru Aģentūras darba programmas priekšlikuma izstrādē un saziņas nodrošināšanā ar attiecīgajām ieinteresētajām personām par visiem jautājumiem, kas attiecas uz darba programmu.

3 . IEDAĻA. DARBĪBA

12. pants Darba programma

1. Aģentūra darbojas saskaņā ar darba programmu, kurā iekļauj visus plānotos pasākumus. Darba programma netraucē Aģentūrai veikt neparedzētus pasākumus, kas ir saskaņā ar tās mērķiem un pienākumiem un nepārsniedz tās budžeta ierobežojumus. Izpilddirektors informē valdi par Aģentūras darba programmā neparedzētiem pasākumiem.

2. Izpilddirektors atbild par Aģentūras darba programmas projekta izstrādi, iepriekš konsultējoties ar Komisijas dienestiem. Katru gadu līdz 15. martam izpilddirektors iesniedz valdei nākamā gada darba programmas projektu.

3. Katru gadu līdz 30. novembrim valde, konsultējoties ar Komisijas dienestiem, pieņem Aģentūras darba programmu nākamajam gadam. Darba programmu izstrādā daudzgadu perspektīvā. Valde gādā, lai darba programma atbilstu Aģentūras mērķiem un Savienības likumdošanas un politiskajām prioritātēm tīklu un informācijas drošības jomā.

4. Darba programmu organizē, ievērojot principu par budžeta līdzekļu pārvaldību pa darbības jomām ( Activity-Based Management — ABM ). Darba programma ir saskaņā ar Aģentūras ieņēmumu un izdevumu tāmi un budžetu attiecīgajam finanšu gadam.

5. Kad valde ir pieņēmusi darba programmu, izpilddirektors to nosūta Eiropas Parlamentam, Padomei, Komisijai un dalībvalstīm un nodrošina tās publicēšanu.

13. pants Darbības pārskats

1. Katru gadu izpilddirektors iesniedz valdei darbības pārskata projektu par Aģentūras darbību iepriekšējā gadā.

2. Katru gadu līdz 31. martam valde pieņem Aģentūras darbības pārskatu par Aģentūras darbību iepriekšējā gadā.

3. Kad valde ir pieņēmusi Aģentūras darbības pārskatu, izpilddirektors to nosūta Eiropas Parlamentam, Padomei, Komisijai Revīzijas palātai, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai un nodrošina tā publicēšanu.

14. pants Lūgumi Aģentūrai

1. Konsultāciju un palīdzības lūgumus, kas ir saskaņā ar Aģentūras mērķiem un pienākumiem, adresē izpilddirektoram, pievienojot vispārīgu informāciju, kurā izskaidro risināmo jautājumu. Izpilddirektors informē valdi par saņemtajiem lūgumiem un noteiktā laikā ziņo par turpmākajām darbībām pēc lūguma saņemšanas. Ja Aģentūra lūgumu noraida, atteikumu pamato.

2. Šā panta 1. punktā minētos lūgumus drīkst iesniegt:

a) Eiropas Parlaments;

b) Padome;

c) Komisija;

d) jebkura dalībvalstu izraudzīta kompetenta struktūra, piemēram, valsts pārvaldes iestāde [valsts regulatīvā iestāde] saskaņā ar Direktīvas 2002/21/EK 2. pantā izmantoto definīciju.

3. Praktiskos pasākumus 1. un 2. punkta piemērošanai, jo īpaši attiecībā uz lūgumu iesniegšanu Aģentūrai, prioritāšu noteikšanu, turpmākajām darbībām un valdes informēšanu valde paredz Aģentūras darbības iekšējos noteikumos.

15. pants Interešu deklarācija

1. Izpilddirektors un dalībvalstu uz laiku norīkotās amatpersonas iesniedz rakstisku saistību deklarāciju un rakstisku deklarāciju, kurā norāda, ka tām nav tiešu vai netiešu interešu, kuras varētu uzskatīt par tādām, kas ietekmē viņu neatkarību.

2. Ārējie eksperti, kas piedalās ad hoc darba grupās, katrā sanāksmē deklarē visas intereses, kuras varētu uzskatīt par tādām, kas ietekmē viņu neatkarību attiecībā uz darba kārtībā iekļautajiem jautājumiem, un nepiedalās šo jautājumu apspriešanā.

16. pants Pārredzamība

1. Aģentūra nodrošina savas darbības augsta līmeņa pārredzamību un darbojas saskaņā ar 13. un 14. pantu.

2. Aģentūra gādā, lai sabiedrība un visas ieinteresētās personas vajadzības gadījumā saņemtu objektīvu, ticamu un viegli pieejamu informāciju, jo īpaši attiecībā uz Aģentūras darba rezultātiem. Tā turklāt publicē interešu deklarācijas, ko iesniedz izpilddirektors un dalībvalstu uz laiku norīkotās amatpersonas, kopā ar interešu deklarācijām, kuras attiecībā uz ad hoc darba grupu sanāksmju darba kārtībā iekļautajiem jautājumiem iesniedz eksperti.

3. Valde pēc izpilddirektora priekšlikuma drīkst atļaut ieinteresētajām personām novērot dažu Aģentūras pasākumu norisi.

4. Aģentūra darbības iekšējos noteikumos paredz praktiskos pasākumus 1. un 2. punktā minēto pārredzamības noteikumu izpildei.

17. pants Konfidencialitāte

1. Neskarot 14. pantu, Aģentūra neizpauž trešām personām informāciju, ko tā apstrādā vai saņem un kas ir uzskatāma par konfidenciālu.

2. Uz valdes locekļiem, izpilddirektoru, pastāvīgās ieinteresēto personu grupas locekļiem, ārējiem ekspertiem, kas piedalās ad hoc darba grupās, un Aģentūras personāla locekļiem, tostarp dalībvalstu uz laiku norīkotajām amatpersonām, konfidencialitātes prasības saskaņā ar Līguma 339. pantu attiecas arī pēc tam, kad šīs personas ir beigušas pildīt savus pienākumus.

3. Aģentūra darbības iekšējos noteikumos paredz praktiskos pasākumus 1. un 2. punktā minēto konfidencialitātes noteikumu izpildei.

4. Valde var atļaut Aģentūrai apstrādāt klasificētu informāciju. Tādā gadījumā valde, vienojoties ar attiecīgajiem Komisijas dienestiem, pieņem darbības iekšējos noteikumos, piemērojot drošības principus, kas paredzēti Komisijas 2001. gada 29. novembra Lēmumā 2001/844/EK, EOTK, Euratom, ar ko groza tās iekšējo reglamentu[32]. Tas attiecas uz, inter alia , noteikumiem par klasificētas informācijas apmaiņu, apstrādi un glabāšanu.

18. pants Piekļuve dokumentiem

1. Uz Aģentūras rīcībā esošajiem dokumentiem attiecas Regula (EK) Nr. 1049/2001.

2. Sešu mēnešu laikā kopš Aģentūras izveides valde nosaka Regulas (EK) Nr. 1049/2001 izpildei vajadzīgos pasākumus.

3. Par lēmumiem, ko Aģentūra pieņem atbilstoši 8. pantam Regulā (EK) Nr. 1049/2001, var iesniegt sūdzību ombudam vai iesniegt prasību Eiropas Savienības Tiesā attiecīgi saskaņā ar Līguma 228. un 263. pantu.

4 . IEDAĻA. FINANŠU NOTEIKUMI

1 9. pants Budžeta pieņemšana

1. Aģentūras ieņēmumus veido Eiropas Savienības budžeta iemaksas, to trešo valstu iemaksas, kuras piedalās Aģentūras darbā saskaņā ar 29. pantu, un dalībvalstu iemaksas.

2. Aģentūras izdevumus veido personāla, administratīvā un tehniskā atbalsta pasākumu, infrastruktūras un darbības izmaksas un izmaksas, ko rada ar trešām personām noslēgti līgumi.

3. Katru gadu vēlākais līdz 1. martam izpilddirektors izstrādā Aģentūras ieņēmumu un izdevumu tāmes projektu nākamajam finanšu gadam un kopā ar štatu saraksta projektu nosūta valdei.

4. Ieņēmumi un izdevumi ir līdzsvarā.

5. Pamatojoties uz izpilddirektora sagatavoto ieņēmumu un izdevumu tāmes projektu, valde katru gadu sagatavo Aģentūras ieņēmumu un izdevumu tāmi nākamajam finanšu gadam.

6. Valde šo ieņēmumu un izdevumu tāmi, kurā iekļauj štatu saraksta un darba programmas projektu, vēlākais līdz 31. martam nosūta Komisijai un valstīm, ar kurām Eiropas Savienība ir noslēgusi nolīgumus saskaņā ar 24. pantu.

7. Komisija tāmi kopā ar Eiropas Savienības vispārējā budžeta projektu nosūta Eiropas Parlamentam un Padomei (turpmāk „budžeta lēmējinstitūcija”).

8. Pamatojoties uz šo tāmi, Komisija Eiropas Savienības vispārējā budžeta projektā, ko tā saskaņā ar Līguma 314. pantu iesniedz budžeta lēmējinstitūcijai, iekļauj paredzamos izdevumus, kurus tā uzskata par vajadzīgiem saskaņā ar štatu sarakstu, un no vispārējā budžeta piešķiramo subsīdiju apmēru.

9. Budžeta lēmējinstitūcija apstiprina Aģentūras subsīdiju apropriācijas.

10. Budžeta lēmējinstitūcija apstiprina Aģentūras štatu sarakstu.

11. Valde kopā ar darba programmu pieņem Aģentūras budžetu. Tas kļūst par galīgo budžetu pēc Eiropas Savienības vispārējā budžeta pieņemšanas galīgā variantā. Vajadzības gadījumā valde Aģentūras budžetu un darba programmu koriģē saskaņā ar Eiropas Savienības vispārējo budžetu. Valde Aģentūras budžetu nekavējoties nosūta Komisijai un budžeta lēmējinstitūcijai.

20. pants Krāpšanas apkarošana

1. Lai apkarotu krāpšanu, korupciju un citas nelikumīgas darbības, bez ierobežojuma piemēro Eiropas Parlamenta un Padomes 1999. gada 25. maija Regulas (EK) Nr. 1073/1999 par izmeklēšanu, ko veic Eiropas Birojs krāpšanas apkarošanai ( OLAF )[33], noteikumus.

2. Aģentūra pievienojas Eiropas Parlamenta, Eiropas Savienības Padomes un Eiropas Kopienu Komisijas 1999. gada 25. maija Iestāžu nolīgumam par iekšējo izmeklēšanu, ko veic Eiropas Birojs krāpšanas apkarošanai ( OLAF )[34], un nekavējoties pieņem atbilstošus noteikumus, kuri attiecas uz visiem Aģentūras darbiniekiem.

21. pants Budžeta izpilde

1. Aģentūras budžetu izpilda izpilddirektors.

2. Komisijas iekšējam revidentam Aģentūrā ir tādas pašas pilnvaras kā Komisijas departamentos.

3. Vēlākais līdz nākamā finanšu gada 1. martam Aģentūras grāmatvedis nosūta Komisijas grāmatvedim provizoriskos pārskatus kopā ar pārskatu par budžeta un finanšu pārvaldību iepriekšējā finanšu gadā. Komisijas grāmatvedis konsolidē iestāžu un decentralizēto struktūru provizoriskos pārskatus saskaņā ar 128. pantu Padomes 2002. gada 25. jūnija Regulā (EK, Euratom) Nr. 1605/2002 par Finanšu regulu, ko piemēro Eiropas Kopienu vispārējam budžetam[35] (turpmāk „Vispārējā finanšu regula”).

4. Vēlākais līdz nākamā finanšu gada 31. martam Komisijas grāmatvedis nosūta Revīzijas palātai Aģentūras provizoriskos pārskatus kopā ar pārskatu par budžeta un finanšu pārvaldību iepriekšējā finanšu gadā. Pārskatu par budžeta un finanšu pārvaldību iepriekšējā finanšu gadā nosūta arī budžeta lēmējinstitūcijai.

5. Saņemot Revīzijas palātas piezīmes par Aģentūras provizoriskajiem pārskatiem, izpilddirektors saskaņā ar Vispārējās finanšu regulas 129. pantu uz savu atbildību sagatavo Aģentūras galīgos pārskatus un iesniedz tos valdei atzinuma sniegšanai.

6. Valde sniedz atzinumu par Aģentūras galīgajiem pārskatiem.

7. Vēlākais līdz nākamā finanšu gada 1. jūnijam izpilddirektors nosūta galīgos pārskatus kopā ar valdes atzinumu Eiropas Parlamentam, Padomei, Komisijai un Revīzijas palātai.

8. Izpilddirektors publicē galīgos pārskatus.

9. Vēlākais līdz 30. septembrim izpilddirektors nosūta Revīzijas palātai atbildi uz tās piezīmēm. Šo atbildi viņš nosūta arī valdei.

10. Izpilddirektors pēc Eiropas Parlamenta pieprasījuma sniedz tam visu vajadzīgo informāciju, lai netraucēti piemērotu attiecīgā finanšu gada budžeta izpildes apstiprinājuma procedūru, kā noteikts Vispārējās finanšu regulas 146. panta 3. punktā.

11. Eiropas Parlaments saskaņā ar Padomes ieteikumu līdz N+2 gada 30. aprīlim sniedz izpilddirektoram apstiprinājumu par N gada budžeta izpildi.

5 . IEDAĻA. VISPĀRĪGI NOTEIKUMI

22. pants Juridiskais statuss

1. Aģentūra ir ES struktūra. Tā ir juridiska persona.

2. Dalībvalstīs Aģentūrai ir visplašākā tiesībspēja un rīcībspēja, ko saskaņā ar to tiesību aktiem piešķir juridiskām personām. Jo īpaši tā var iegādāties un atsavināt kustamo un nekustamo īpašumu un būt puse tiesas procesā.

3. Aģentūru pārstāv izpilddirektors.

23. pants Personāls

1. Uz Aģentūras personālu, tostarp uz izpilddirektoru, attiecas noteikumi, ko piemēro Eiropas Savienības amatpersonām un pārējiem darbiniekiem.

2. Attiecībā uz izpilddirektoru valde izmanto pilnvaras, kas saskaņā ar Civildienesta noteikumiem piešķirtas iecēlējiestādei, un saskaņā ar Nodarbināšanas kārtību iestādei, kura ir tiesīga noslēgt līgumus.

3. Attiecībā uz Aģentūras personālu izpilddirektors izmanto pilnvaras, kas saskaņā ar Civildienesta noteikumiem piešķirtas iecēlējiestādei, un saskaņā ar Nodarbināšanas kārtību iestādei, kura ir tiesīga noslēgt līgumus.

4. Aģentūra var nodarbināt dalībvalstu uz laiku norīkotus ekspertus. Aģentūra darbības iekšējos noteikumos paredz attiecīgos praktiskos pasākumus.

24. pants Privilēģijas un neaizskaramība

Uz Aģentūru un tās personālu attiecas Protokols par privilēģijām un neaizskaramību Eiropas Kopienās.

25. pants Atbildība

1. Aģentūras līgumatbildību reglamentē attiecīgajiem līgumiem piemērojamie tiesību akti.

Eiropas Savienības Tiesas kompetencē ir pieņemt spriedumu saskaņā ar jebkuru šķīrējklauzulu, kas ietverta Aģentūras noslēgtā līgumā.

2. Ārpuslīguma atbildības gadījumā Aģentūra saskaņā ar vispārīgajiem principiem, kas dalībvalstu tiesību aktos ir kopīgi, atlīdzina visus zaudējumus, kurus radījusi Aģentūra vai tās darbinieki, pildot savus pienākumus.

Tiesas kompetencē ir visi ar šādu zaudējumu kompensēšanu saistītie strīdi.

3. Darbinieku personisko atbildību pret Aģentūru reglamentē attiecīgie nosacījumi, kas attiecas uz Aģentūras personālu.

26. pants Valodas

1. Uz Aģentūru attiecas 1958. gada 15. aprīļa Regula Nr. 1, ar ko nosaka Eiropas Ekonomikas kopienā lietojamās valodas[36]. Dalībvalstis un pārējās struktūras, ko tās ieceļ, var vērsties pie Aģentūras un saņemt atbildi jebkurā Eiropas Savienības valodā pēc izvēles.

2. Aģentūras darbībai vajadzīgos tulkošanas pakalpojumus nodrošina Eiropas Savienības iestāžu tulkošanas centrs.

27. pants Personas datu aizsardzība

Ja Aģentūra apstrādā fizisku personu datus, uz to attiecas Regulas (EK) Nr. 45/2001 noteikumi.

28. pants Trešo valstu līdzdalība

1. Aģentūras darbā var piedalīties trešās valstis, kas noslēgušas nolīgumus ar Eiropas Savienību, ja tās saskaņā ar minētajiem nolīgumiem šīs regulas darbības jomā ir pieņēmušas un piemēro ES tiesību aktus.

2. Saskaņā ar minēto nolīgumu attiecīgajiem noteikumiem nosaka kārtību, kādā šīs valstis piedalās Aģentūras darbā, jo īpaši paredzot noteikumus par līdzdalības veidu, apmēru un metodēm, tostarp par līdzdalību Aģentūras iniciatīvās, finanšu iemaksām un personālu.

6 . IEDAĻA. NOBEIGUMA NOTEIKUMI

29. pants Pārskatīšanas klauzula

1. Trīs gados no 34. pantā minētās Aģentūras izveidošanas dienas Komisija veic novērtējumu, ņemot vērā visu attiecīgo ieinteresēto personu viedokļus un saskaņā ar darba uzdevumu, par ko panākta vienošanās ar valdi. Novērtējumā analizē Aģentūras ietekmi un efektivitāti 2. pantā izklāstīto mērķu sasniegšanā un Aģentūras darba prakses efektivitāti. Komisija veic novērtējumu jo īpaši, lai noteiktu, vai aģentūra joprojām ir efektīvs instruments, un vai pēc 34. pantā minētā termiņa beigām būtu atkārtoti jāpagarina Aģentūras darbības termiņš.

2. Novērtējuma rezultātus Komisija nosūta Eiropas Parlamentam un Padomei un publicē.

3. Valde pēc novērtējuma saņemšanas iesniedz Komisijai ieteikumus par pārmaiņām šajā regulā, Aģentūrā un tās darba praksē. Valde un izpilddirektors ņem vērā novērtējuma rezultātus Aģentūras daudzgadu plāna izstrādē.

30. pants Sadarbība ar mītnes dalībvalsti

Aģentūras mītnes dalībvalsts nodrošina pēc iespējas labākus apstākļus Aģentūras netraucētai un efektīvai darbībai.

31. pants Administratīvā kontrole

Aģentūras darbību saskaņā ar Līguma 228. pantu uzrauga ombuds.

32. pants Atcelšana un pēctecība

1. Regulu (EK) Nr. 460/2004 atceļ.

Atsauces uz Regulu (EK) Nr. 460/2004 un uz ENISA uzskata par atsaucēm uz šo regulu un Aģentūru.

2. Aģentūra pārņem visas ar Regulu (EK) Nr. 460/2004 izveidotās Aģentūras īpašumtiesības, nolīgumus, tiesiskos pienākumus, darba līgumus, finanšu saistības un pienākumus.

33. pants Darbības termiņš

Aģentūru izveido uz pieciem gadiem, sākot no […].

34. pants Stāšanās spēkā

Šī regula stājas spēkā nākamajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī , un to piemēro no 2012. gada 14. marta vai no nākamās dienas pēc tās publicēšanas atkarībā no tā, kura no šīm dienām ir vēlāk.

Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.

[...],

Eiropas Parlamenta vārdā — Padomes vārdā —

priekšsēdētājs priekšsēdētājs

LEĢISLATĪVO AKTU PRIEKŠLIKUMU FINANŠU PĀRSKATS

1. PRIEKŠLIKUMA/INICIATĪVAS KONTEKSTS

1.1. Priekšlikuma/iniciatīvas nosaukums

Priekšlikums Eiropas Parlamenta un Padomes Regulai, kas attiecas uz Eiropas Tīklu un informācijas drošības aģentūru ( ENISA )

1.2. Attiecīgās politikas jomas ABM/ABB struktūrā[37]

Informācijas sabiedrība un saziņas līdzekļi

Digitālās programmas tiesiskais regulējums

1.3. Priekšlikuma/iniciatīvas veids

( priekšlikums/iniciatīva attiecas uz jaunu darbību

( priekšlikums/iniciatīva attiecas uz jaunu darbību, pamatojoties uz izmēģinājuma projektu / sagatavošanas darbību[38]

( priekšlikums/iniciatīva attiecas uz pastāvošas darbības termiņa pagarināšanu

( priekšlikums/iniciatīva attiecas uz darbību, kas pārveidota jaunā darbībā

1.4. Mērķi

1.4.1. Komisijas daudzgadu stratēģiskie mērķi, ko plānots sasniegt ar priekšlikumu/iniciatīvu

Regulatīvo pieeju saskaņotība — sniegt ieteikumus un konsultācijas Komisijai un dalībvalstīm, lai tīklu un informācijas drošības jomā atjauninātu un izstrādātu visaptverošu normatīvu regulējumu.

Problēmu novēršana, atklāšana un risināšana — uzlabot gatavību, piedaloties Eiropas agrīnās brīdināšanas un reaģēšanas spēju stiprināšanā, Eiropas negadījumu plānu izstrādē un mācību rīkošanā.

Politikas veidotāju kompetences līmeņa paaugstināšana — sniegt palīdzību un konsultācijas Komisijai un dalībvalstīm, lai visā ES sasniegtu augstu kompetences līmeni jautājumos, kas attiecas uz tīklu un informācijas drošības politiku un tās piemērošanu nozares ieinteresētajām personām. Tas ietver arī ar tīklu un informācijas drošības ekonomiku un pārkāpumu ietekmi saistītu datu vākšanu, analīzi un izplatīšanu, ieinteresēto personu motivēšanu ieguldīt līdzekļus tīklu un informācijas drošības pasākumos, risku apzināšanu, rādītājus, kas raksturo tīklu un informācijas drošības stāvokli Savienībā, utt.

Ieinteresēto personu iesaistīšana — attīstīt drošības un riska pārvaldības kultūru, veicinot informācijas apmaiņu un plašu sadarbību publiskā un privātā sektora dalībnieku starpā, tostarp iedzīvotāju tiešās interesēs un lai attīstītu kultūru ar izpratni par tīklu un informācijas drošību.

Eiropas aizsardzība pret starptautiskiem apdraudējumiem — sasniegt augstu sadarbības līmeni ar trešām valstīm un starptautiskām organizācijām, lai veicinātu kopēju globālu pieeju tīklu un informācijas drošībai un Eiropā palielinātu augsta līmeņa starptautisku iniciatīvu ietekmi.

Virzība uz sadarbības pieeju politikas īstenošanā — atvieglot sadarbību tīklu un informācijas drošības politikas īstenošanā.

Kibernoziedzības apkarošana — iekļaut ar kibernoziedzības apkarošanu saistītos tīklu un informācijas drošības jautājumus publiskā un privātā sektora ieinteresēto personu diskusijās un paraugprakses apmaiņā, jo īpaši sadarbojoties ar (bijušā) 2. un 3. pīlāra iestādēm, piemēram, Eiropolu.

1.4.2. Konkrētie mērķi un attiecīgās ABM/ABB darbības

Konkrētais mērķis Nr.

Uzlabot tīklu un informācijas drošību, attīstīt tīklu un informācijas drošības kultūru Eiropas Savienības iedzīvotāju, patērētāju, uzņēmumu un publiskā sektora organizāciju interesēs un apzināt ar nākotnes tīkliem un internetu saistītās politikas problēmas.

Attiecīgās ABM/ABB darbības

Elektronisko sakaru politika un tīklu drošība.

1.4.3. Paredzamie rezultāti un ietekme

Paredzams, ka iniciatīvai būs šāda ekonomiskā ietekme:

- būs labāk pieejama informācija par pašreizējām un paredzamām ar drošību un noturību saistītām problēmām un riskiem;

- nedublēsies atsevišķu dalībvalstu darbs, vācot attiecīgu informāciju par riskiem, apdraudējumiem un vājajām vietām;

- pieņemot lēmumus, politikas veidotāji būs labāk informēti;

- paraugprakses izplatīšana palīdzēs uzlabot tīklu un informācijas drošības politikas kvalitāti dalībvalstīs;

- tiks gūti apjomradīti ietaupījumi, reaģējot uz incidentiem ES līmenī;

- kopīgi politikas mērķi un ES mēroga drošības un noturības standarti sekmēs ieguldījumu apjoma pieaugumu;

- paaugstinoties drošības un noturības līmenim, samazināsies uzņēmumu darbības riski;

- kibernoziedzības apkarošanas pasākumi kļūs saskaņotāki.

Paredzams, ka iniciatīvai būs šāda sociālā ietekme:

- lietotāji vairāk uzticēsies informācijas sabiedrības pakalpojumiem un sistēmām;

- sasniedzot augstāku patērētāju aizsardzības līmeni, pieaugs iedzīvotāju uzticība ES iekšējā tirgus darbībai;

- pieaugs informācijas un zināšanu apmaiņa ar valstīm ārpus ES;

- nodrošinot vienlīdzīgu ES iedzīvotāju personas datu un privātuma aizsardzības līmeni, tiks uzlabota pamattiesību un cilvēktiesību aizsardzība ES.

Paredzamā ietekme uz vidi ir minimāla:

- samazināsies CO2 emisijas, piemēram, tāpēc, ka cilvēki mazāk ceļos, vairāk paļaujoties uz IST sistēmām un pakalpojumiem, un enerģijas patēriņš, pateicoties drošības pasākumu īstenošanā gūtiem apjomradītiem ietaupījumiem.

1.4.4. Rezultātu un ietekmes rādītāji

Uzraudzības rādītāji katram mērķim ir šādi:

Regulatīvo pieeju saskaņotība :

- to dalībvalstu skaits, kas politikas izstrādes procesā ir izmantojušas Aģentūras ieteikumus;

- pētījumu skaits, lai apzinātu ar tīklu un informācijas drošību saistītās nepilnības un pretrunas standartizācijas jomā;

- saskaņotāka dalībvalstu pieeja tīklu un informācijas drošībai.

Problēmu novēršana, atklāšana un risināšana :

- ar tīklu drošību saistīto izglītojošo pasākumu skaits;

- funkcionējoša agrīnās brīdināšanas sistēma jaunu risku un uzbrukumu atklāšanai;

- Aģentūras koordinēto ES mēroga tīklu un informācijas drošības mācību skaits;

Politikas veidotāju kompetences līmeņa paaugstināšana :

- pētījumu skaits, lai iegūtu informāciju par pašreizējiem un paredzamiem tīklu un informācijas drošības riskiem un risku novēršanas tehnoloģijām;

- ar tīklu un informācijas drošību saistītajām publiskajām struktūrām sniegto konsultāciju skaits;

- Eiropas sistēma ar tīklu un informācijas drošību saistītu datu vākšanas organizēšanai.

Ieinteresēto personu iesaistīšana :

- apzināto nozares paraugprakses piemēru skaits;

- privātu ieinteresēto personu ieguldījumu līmenis drošības pasākumos.

Eiropas aizsardzība pret starptautiskiem apdraudējumiem :

- ES dalībvalstu konferenču/sanāksmju skaits, lai noteiktu kopīgi saskaņotus tīklu un informācijas drošības mērķus;

- Eiropas un starptautisko tīklu un informācijas drošības jomas ekspertu sanāksmju skaits.

Virzība uz sadarbības pieeju politikas īstenošanā :

- reglamentējošo prasību ievērošanas novērtējumu skaits;

- ES mēroga tīklu un informācijas drošības prakses piemēru skaits;

Kibernoziedzības apkarošana:

- regulāra sadarbība ar bijušā 2. un 3. pīlāra aģentūrām;

- ar kriminālizmeklēšanu saistītu ekspertu atzinumu skaits.

1.5. Priekšlikuma/iniciatīvas pamatojums

1.5.1. Īstermiņa vai ilgtermiņa vajadzības

ENISA sākotnēji tika izveidota 2004. gadā, lai risinātu jautājumus, kas attiecas uz tīklu un informācijas drošības apdraudējumiem un ar tiem saistītiem iespējamiem pārkāpumiem. Kopš Aģentūras izveides ar tīklu un informācijas drošību saistītās problēmas ir mainījušās līdz ar tehnoloģiju un tirgus attīstību un ir bijušas turpmāku pārdomu un diskusiju priekšmets, — tagad pienācis laiks precizēt un sīkāk aprakstīt konkrēti apzinātās problēmas un to, kā tās ietekmē mainīgā tīklu un informācijas drošības vide.

1.5.2. ES iesaistīšanās pievienotā vērtība

Tīklu un informācijas drošības problēmas nebeidzas pie valstu robežām, tāpēc tās nav iespējams efektīvi risināt atsevišķu valstu līmenī. Turklāt dažādu dalībvalstu publiskās iestādes risina šīs problēmas ļoti atšķirīgi. Šīs atšķirības var ievērojami kavēt atbilstošu ES mēroga mehānismu ieviešanu, kas Eiropā ļautu uzlabot tīklu un informācijas drošību. Ņemot vērā, ka IST infrastruktūras ir savstarpēji saistītas, vienā dalībvalstī veiktu valsts mēroga pasākumu efektivitāti ievērojami ietekmē neatbilstoši pasākumi pārējās dalībvalstīs un sistemātiskas pārrobežu sadarbības trūkums. Incidenti, kas nepietiekamu tīklu un informācijas drošības pasākumu dēļ notiek vienā dalībvalstī, var radīt pakalpojumu traucējumus pārējās dalībvalstīs.

Turklāt dažādas drošības prasības palielina izmaksas uzņēmumiem, kas darbojas Eiropas Savienības līmenī, un noved pie Eiropas iekšējā tirgus sadrumstalotības un konkurētspējas trūkuma.

Pieaugot tīklu un informācijas sistēmu atkarībai, šķiet, ka gatavība risināt incidentus ir nepietiekama.

Dalībvalstu agrīnās brīdināšanas un incidentu novēršanas sistēmām ir ievērojami trūkumi. Tīklu drošības incidentu uzraudzības un paziņošanas prakse dažādās dalībvalstīs ievērojami atšķiras. Dažās valstīs nav oficiālu procedūru, bet citās trūkst kompetentu iestāžu, kas pieņem un apstrādā ziņojumus par incidentiem. Nav Eiropas mēroga sistēmu. Līdz ar to tīklu un informācijas drošības incidenti var radīt ļoti nopietnus pamatpakalpojumu traucējumus, tāpēc būtu jānodrošina atbilstošas reaģēšanas spējas. Komisijas Paziņojumā par CIIP arī ir uzsvērta vajadzība pēc stabilām Eiropas agrīnās brīdināšanas un incidentu novēršanas spējām, ko varētu papildināt ar Eiropas mēroga mācībām.

Nav šaubu, ka ir vajadzīgi politikas instrumenti, kas ļautu aktīvi apzināt tīklu un informācijas drošības riskus un vājās vietas, izveidot atbilstošus reaģēšanas mehānismus (piemēram, apzinot un izplatot paraugpraksi) un panākt, ka ieinteresētās personas ir informētas par šiem reaģēšanas mehānismiem un tos izmanto.

1.5.3. Līdzīgā iepriekšējā pieredzē gūtās atziņas

Sk. 1.5.1. un 1.5.2. punktu.

1.5.4. Saskaņotība un iespējamā sinerģija ar citiem attiecīgiem instrumentiem

Šī iniciatīva pilnīgi saskan ar vispārējām diskusijām par tīklu un informācijas drošību un ar pārējām tīklu un informācijas drošības nākotnei veltītajām politikas iniciatīvām. Tā ir viena no galvenajām sastāvdaļām Eiropas digitalizācijas programmā, kas ir viena no stratēģijas „Eiropa 2020” pamatiniciatīvām.

1.6. Termiņš un finansiālā ietekme

( Priekšlikums/iniciatīva ar ierobežotu termiņu

- ( termiņa pagarinājums uz 5 gadiem no 14.03.2012. vai no jaunās regulas spēkā stāšanās dienas atkarībā no tā, kura no šīm dienām ir vēlāk

- ( finansiālā ietekme no 2012. līdz 2017. gadam

( Beztermiņa priekšlikums/iniciatīva

- īstenošanas sākuma periods no GGGG. līdz GGGG. gadam

- pēc sākuma perioda notiek īstenošana pilnā apjomā

1.7. Paredzētie pārvaldības veidi[39]

( Centralizēta tieša pārvaldība, ko īsteno Komisija

( Centralizēta netieša pārvaldība , atbildību par īstenošanu deleģējot:

- ( izpildaģentūrām

- ( Kopienu izveidotām struktūrām[40]

- ( dalībvalstu publiskā sektora struktūrām / struktūrām, kas pilda publisko pasūtījumu

- ( personām, kam uzticēts veikt īpašas darbības saskaņā ar Līguma par Eiropas Savienību V sadaļu un kas noteiktas attiecīgajā pamataktā Finanšu regulas 49. panta izpratnē

( Dalīta pārvaldība kopā ar dalībvalstīm

( Decentralizēta pārvaldība kopā ar trešām valstīm

( Pārvaldība kopā ar starptautiskām organizācijām (precizēt)

2. PĀRVALDĪBAS PASĀKUMI

2.1. Uzraudzības un ziņošanas noteikumi

Izpilddirektors atbild par Aģentūras darbības faktisku uzraudzību un novērtēšanu, ņemot vērā tās mērķus, un katru gadu sniedz pārskatu valdei.

Izpilddirektors sagatavo darbības pārskata projektu par Aģentūras darbību iepriekšējā gadā, jo īpaši salīdzinot sasniegtos rezultātus ar gada darba programmas mērķiem. Kad valde ir pieņēmusi šo pārskatu, to nosūta Eiropas Parlamentam, Padomei, Komisijai, Revīzijas palātai, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai un publicē.

2.2. Pārvaldības un kontroles sistēma

2.2.1. Apzinātie riski

Kopš ENISA izveides 2004. gadā ir veikts tās ārējs un iekšējs novērtējums.

Saskaņā ar ENISA regulas 25. pantu pirmais solis šajā procesā bija neatkarīgs ENISA novērtējums, ko 2006./2007. gadā veica ārēju ekspertu grupa. Novērtējuma ziņojumā[41] ārējo ekspertu grupa apstiprināja, ka ENISA izveides sākotnējie mērķi un politiskais pamatojums vēl arvien ir spēkā, un izvirzīja dažus no turpmāk risināmajiem jautājumiem.

Komisija 2007. gada martā par novērtējumu informēja valdi, kas izstrādāja ieteikumus attiecībā uz Aģentūras nākotni un ENISA regulā veicamajiem grozījumiem[42].

Komisija 2007. gada jūnijā pieņēma paziņojumu Eiropas Parlamentam un Padomei, kurā tā sniedza savu vērtējumu par ārējā novērtējuma rezultātiem un valdes ieteikumiem[43]. Paziņojumā bija teikts, ka jāizvēlas, vai nu pagarināt Aģentūras pilnvaru termiņu, vai aizvietot Aģentūru ar citu mehānismu, piemēram, ieinteresēto personu pastāvīgu forumu vai drošības organizāciju tīklu. Komisija sāka arī sabiedrisko apspriešanu par šo jautājumu, aicinot Eiropas ieinteresētās personas izteikt viedokli, atbildot uz vairākiem turpmāku diskusiju ievirzes jautājumiem[44].

2.2.2. Paredzētās kontroles metodes

Sk. iepriekš 2.1. un 2.2.1. punktu.

2.3. Krāpšanas un pārkāpumu novēršanas pasākumi

Maksājumus par visiem pieprasītajiem pakalpojumiem vai pētījumiem pirms apmaksas pārbauda Aģentūras darbinieki, ņemot vērā līgumsaistības, ekonomiskus principus un labu finanšu pārvaldības praksi. Krāpšanas novēršanas noteikumus (uzraudzības, ziņošanas prasības utt.) iekļauj visos starp Aģentūru un maksājumu saņēmējiem noslēgtajos nolīgumos un līgumos.

3. PRIEKŠLIKUMA/INICIATĪVAS PAREDZAMĀ FINANSIĀLĀ IETEKME*

3.1. Attiecīgās daudzgadu finanšu shēmas izdevumu kategorijas un budžeta izdevumu daļas pozīcijas

- Pastāvošās budžeta izdevumu daļas pozīcijas

Daudzgadu finanšu shēmas izdevumu kategorija | Budžeta pozīcija | Izdevumu veids | Iemaksas |

Numurs/apraksts | Dif./nedif.[45] | no EBTA valstīm[46] | no kandidātvalstīm[47] | no trešām valstīm | Finanšu regulas 18. panta 1. punkta aa) apakšpunkta izpratnē |

1.a Konkurētspēja izaugsmei un nodarbinātībai | 09 02 03 01 Eiropas Tīklu un informācijas drošības aģentūra — Subsīdija saskaņā ar 1. un 2. sadaļu | Dif. | JĀ | NĒ | NĒ | NĒ |

09 02 03 02 Eiropas Tīklu un informācijas drošības aģentūra — Subsīdija saskaņā ar 3. sadaļu | Dif. | JĀ | NĒ | NĒ | NĒ |

5 Administratīvie izdevumi | 09 01 01 Izdevumi, kas saistīti ar politikas jomā „Informācijas sabiedrība un saziņas līdzekļi” nodarbināto personālu | Nedif. | NĒ | NĒ | NĒ | NĒ |

09 01 02 11 Citi pārvaldības izdevumi | Nedif. | NĒ | NĒ | NĒ | NĒ |

* Šis tiesību akta finanšu pārskats neaptver priekšlikuma paredzamo finansiālo ietekmi laikposmā pēc pašreizējā finanšu plānošanas perioda (2007.–2013. gads). Pamatojoties uz Komisijas priekšlikumu regulai, ar ko nosaka daudzgadu finanšu shēmu pēc 2013. gada, un ņemot vērā ietekmes novērtējuma secinājumus, Komisija iesniegs grozītu tiesību akta finanšu pārskatu.

3.2. Paredzamā ietekme uz izdevumiem

3.2.1. Kopsavilkums par paredzamo ietekmi uz izdevumiem

Miljonos EUR (3 zīmes aiz komata)

Daudzgadu finanšu shēmas izdevumu kategorija | 1.a | Konkurētspēja izaugsmei un nodarbinātībai |

Problēmu novēršana, atklāšana un risināšana | 0,114 | 0,494 | 0,620 | -- | -- | -- | -- | -- |

Štatu saraksta amata vietas (ierēdņi un pagaidu darbinieki) |

XX 01 01 01 (Galvenā mītne un Komisijas pārstāvniecības) | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- |

KOPĀ | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- |

- b) ENISA cilvēkresursi

2012. gada 1. janvāris–13. marts | 2012. gada 14. marts–31. decembris | 2013. gads | 2014. gads | 2015. gads | 2016. gads | 2017. gada 1. janvāris–13. marts |

ENISA štatu saraksts (izteikts ar pilnslodzes ekvivalentu — FTE (Full Time Equivalent)) |

Pārējais personāls (FTE) |

Līgumpersonāls | 13 | 14 | 14 | -- | -- | -- | -- |

Valsts norīkotie eksperti | 5 | 5 | 5 | -- | -- | -- | -- |

Pārējais personāls kopā | 18 | 19 | 19 | -- | -- | -- | -- |

KOPĀ | 62 | 66 | 66 | -- | -- | -- | -- |

Aģentūras personāla pienākumu apraksts:

Ierēdņi un pagaidu darbinieki | Aģentūra turpinās: pildīt padomdevēja un koordinatora funkcijas, vācot un analizējot datus par informācijas drošību. Pašlaik gan publiskas, gan privātas organizācijas ar atšķirīgiem mērķiem vāc datus par IT incidentiem un citus datus, kas attiecas uz informācijas drošību. Tomēr Eiropas mērogā nav centrālas struktūras, kas visaptveroši var vākt un analizēt datus un sniegt atzinumus un konsultācijas, atbalstot Savienības politisko darbību tīklu un informācijas drošības jomā; būt kompetences centrs, kam dalībvalstis un Eiropas iestādes var lūgt atzinumus un konsultācijas tehniskos jautājumos saistībā ar drošību; veicināt plašu sadarbību starp dažādiem informācijas drošības jomā iesaistītiem dalībniekiem, piemēram, piedalīsies papildu pasākumos drošas e-uzņēmējdarbības atbalstam. Šāda sadarbība būs svarīgs priekšnoteikums tīklu un informācijas sistēmu drošai darbībai Eiropā. Nepieciešama visu ieinteresēto personu dalība un iesaistīšanās; veicināt koordinētu pieeju informācijas drošībai, atbalstot dalībvalstis piemēram, riska novērtējuma veicināšanā un informētības uzlabošanas pasākumos; nodrošināt tīklu un informācijas sistēmu sadarbspēju gadījumos, kad dalībvalstis piemēro tehniskas prasības, kas ietekmē drošību; apzināt attiecīgas standartizācijas vajadzības, novērtēt spēkā esošos drošības standartus un sertifikācijas sistēmas un veicināt to iespējami plašu izmantošanu, atbalstot Eiropas tiesību aktus; atbalstīt starptautisko sadarbību šajā jomā, kas kļūst arvien aktuālāka, ievērojot, ka tīklu un informācijas drošības problēmas ir globālas. |

Ārštata darbinieki | Sk. iepriekš |

- 3.2.4. Saderība ar kārtējo daudzgadu finanšu shēmu

- ( Priekšlikums/iniciatīva atbilst kārtējai daudzgadu finanšu shēmai

- ( Pieņemot priekšlikumu/iniciatīvu, jāpārplāno attiecīgā izdevumu kategorija daudzgadu finanšu shēmā

- ( Pieņemot priekšlikumu/iniciatīvu, jāpiemēro elastības instruments vai jāpārskata daudzgadu finanšu shēma[49]

ES finansējumu no 2013. gada izvērtēs, ņemot vērā Komisijas debates par visiem priekšlikumiem par finansējumu pēc 2013. gada. Tas nozīmē, ka tad, kad Komisija ir iesniegusi priekšlikumu nākamajai daudzgadu finanšu shēmai, Komisija iesniegs grozītu tiesību akta finanšu pārskatu, ņemot vērā ietekmes novērtējuma secinājumus.

3.2.5. Trešo personu līdzfinansējums

- ( Priekšlikums/iniciatīva neparedz trešo personu līdzfinansējumu

- ( Priekšlikums/iniciatīva paredz šādu līdzfinansējumu

Indikatīvās apropriācijas miljonos EUR (3 zīmes aiz komata)

|2012. gada 1. janvāris–13. marts |2012. gada 14. marts–31. decembris |2013. gads |2014. gads |2015. gads |2016. gads |2017. gada 1. janvāris–13. marts | Kopā 2012. gada 14. marts –2017. gada 13. marts | | EBTA |0,042 |0,160 |0,206 |-- |-- |-- |-- |-- | |

3.3. Paredzamā ietekme uz ieņēmumiem

- ( Priekšlikums finansiāli neietekmē ieņēmumus

- ( Priekšlikumam ir šāda finansiāla ietekme uz ieņēmumiem:

- ( uz pašu resursiem

- ( uz dažādiem ieņēmumiem

[1] Eiropas Parlamenta un Padomes 2004. gada 10. marta Regula (EK) Nr. 460/2004, ar ko izveido Eiropas Tīklu un informācijas drošības aģentūru (OV L 77 13.3.2004., 1. lpp.).

[2] Eiropas Parlamenta un Padomes 2008. gada 24. septembra Regula (EK) Nr. 1007/2008, ar kuru Eiropas Parlamenta un Padomes 2004. gada 10. marta Regulu (EK) Nr. 460/2004, ar ko izveido Eiropas Tīklu un informācijas drošības aģentūru, groza attiecībā uz aģentūras darbības termiņu (OV L 293, 31.10.2008., 1. lpp.).

[3] Kopsavilkuma ziņojumu par sabiedrisko apspriešanu „Ceļā uz tīklu un informācijas drošības politikas nostiprināšanu Eiropā” rezultātiem skatīt šim priekšlikumam pievienotā ietekmes novērtējuma 11. pielikumā.

[4] COM(2009) 149, 30.3.2009.

[5] Diskusiju dokuments: http://www.tallinnciip.eu/doc/discussion_paper_-_tallinn_ciip_conference.pdf

Prezidentvalsts secinājumi:http://www.tallinnciip.eu/doc/EU_Presidency_Conclusions_Tallinn_CIIP_Conference.pdf.

[6] Padomes 2009. gada 18. decembra rezolūcija par Eiropas sadarbības pieeju tīklu un informācijas drošībai (OV C 321, 29.12.2009., 1. lpp.), http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2009:321:0001:0004:EN:PDF.

[7] COM(2010) 245, 19.5.2010.

[8] Padomes 2009. gada 18. decembra rezolūcijā par Eiropas sadarbības pieeju tīklu un informācijas drošībai arī ir teikts: „ Padome [..] atzīst [..], ka ir svar ī gi p ē t ī t strat ēģ isko ietekmi, apdraud ē jumus un Eiropas Savien ī bas iest ā žu iesp ē jas izveidot rea ģē šanas grupas datorapdraud ē jumu gad ī jumos un apsv ē rt iesp ē jamo lomu, k ā da šaj ā jaut ā jum ā n ā kotn ē b ū s ENISA ” .

[9] Sk. ietekmes novērtējuma XI pielikumu.

[10] Sk. ietekmes novērtējuma IV pielikumu.

[11] OV C 115, 9.5.2008., 94. lpp.

[12] EKT spriedums lietā C-217/04 Lielbritānijas un Ziemeļīrijas Apvienotā Karaliste pret Eiropas Parlamentu un Eiropas Savienības Padomi , 02.05.2006 .

[13] Sk. iepriekš.

[14] Parastā likumdošanas procedūra atšķiras galvenokārt balsu vairākuma prasību ziņā Padomē un EP.

[15] OV C , , . lpp.

[16] OV C , , . lpp.

[17] OV L 77 13.3.2004., 1. lpp.

[18] OV L 293, 31.10.2008., 1. lpp.

[19] COM(2006) 251, 31.5.2006.

[20] Padomes 2007. gada 22. marta rezolūcija par drošas informācijas sabiedrības stratēģiju Eiropā (OV C 68, 24.3.2007., 1. lpp.).

[21] COM(2009) 149, 30.3.2009.

[22] Padomes 2009. gada 18. decembra rezolūcija par Eiropas sadarbības pieeju tīklu un informācijas drošībai (OV C 321, 29.12.2009., 1. lpp.).

[23] COM(2010) 245, 19.5.2010.

[24] OV L 108, 24.4.2002., 33. lpp.

[25] OV L 201, 31.7.2002., 37. lpp.

[26] OV L 281, 23.11.1995., 31. lpp.

[27] OV L 337, 18.12.2009., 1. lpp.

[28] OV L 204, 21.7.1998., 37. lpp.

[29] Eiropas Parlamenta un Padomes 2001. gada 30. maija Regula (EK) Nr. 1049/2001 par publisku piekļuvi Eiropas Parlamenta, Padomes un Komisijas dokumentiem (OV L 145, 31.5.2001., 43. lpp.).

[30] Eiropas Parlamenta un Padomes 2000. gada 18. decembra Regula (EK) Nr. 45/2001 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV L 8, 12.1.2001., 1. lpp.).

[31] OV L 357, 31.12.2002., 72. lpp.

[32] OV L 317, 3.12.2001., 1. lpp.

[33] OV L 136, 31.5.1999., 1. lpp.

[34] OV L 136, 31.5.1999., 15. lpp.

[35] OV L 248, 16.9.2002., 1. lpp.

[36] OV 17, 6.10.1958, 385./58. lpp. Regulā jaunākie grozījumi izdarīti ar 1994. gada Pievienošanās aktu.

[37] ABM ( Activity-Based Management ) — budžeta līdzekļu pārvaldība pa darbības jomām, ABB ( Activity-Based Budgeting ) — budžeta līdzekļu sadale pa darbības jomām.

[38] Kā minēts Finanšu regulas 49. panta 6. punkta a) vai b) apakšpunktā.

[39] Skaidrojumus par pārvaldības veidiem un atsauces uz Finanšu regulu sk. BudgWeb tīmekļa vietnē http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html.

[40] Kā minēts Finanšu regulas 185. pantā.

[41] http://ec.europa.eu/dgs/information_society/evaluation/studies/index_en.htm.

[42] Kā paredzēts ENISA regulas 25. pantā. ENISA valdes pieņemtā dokumenta pilnu tekstu, kurā iekļauti arī valdes apsvērumi, sk. tīmekļa vietnē http://enisa.europa.eu/pages/03_02.htm.

[43] Komisijas Paziņojums Eiropas Parlamentam un Padomei par Eiropas Tīklu un informācijas drošības aģentūras ( ENISA ) novērtējumu, COM(2007) 285 galīgā redakcija, 01.6.2007. : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52007DC0285:EN:NOT.

[44] http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=EnisaFuture&lang=en.

[45] Dif. — diferencētās apropriācijas, nedif. — nediferencētās apropriācijas.

[46] EBTA — Eiropas Brīvās tirdzniecības asociācija.

[47] Kandidātvalstis un attiecīgos gadījumos potenciālās kandidātvalstis no Rietumbalkāniem.

[48] Tiesību akta finanšu pārskata pielikumu neaizpilda, jo šim priekšlikumam tas nav piemērojams.

[49] Sk. Iestāžu nolīguma 19. un 24. punktu.