This document is an excerpt from the EUR-Lex website
Document 32004R0460
Regulation (EC) No 460/2004 of the European Parliament and of the Council of 10 March 2004 establishing the European Network and Information Security Agency (Text with EEA relevance)
Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging (Voor de EER relevante tekst)
Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging (Voor de EER relevante tekst)
PB L 77 van 13.3.2004, p. 1–11
(ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV) Dit document is verschenen in een speciale editie.
(CS, ET, LV, LT, HU, MT, PL, SK, SL, BG, RO, HR)
No longer in force, Date of end of validity: 18/06/2013; opgeheven door 32013R0526
Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging (Voor de EER relevante tekst)
Publicatieblad Nr. L 077 van 13/03/2004 blz. 0001 - 0011
Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging (Voor de EER relevante tekst) HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE, Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 95, Gezien het voorstel van de Commissie, Gezien het advies van het Europees Economisch en Sociaal Comité(1), Na raadpleging van het Comité van de Regio's, Handelend volgens de procedure van artikel 251 van het Verdrag(2), Overwegende hetgeen volgt: (1) Communicatienetwerken en informatiesystemen zijn uitgegroeid tot een essentiële factor in de economische en maatschappelijke ontwikkeling. Computers en netwerken groeien uit tot alomtegenwoordige nutsinstellingen, zoals de elektriciteits- en watervoorziening dat reeds zijn. De beveiliging van communicatienetwerken en informatiesystemen, en in het bijzonder de beschikbaarheid ervan, is daarom van steeds groter belang voor de maatschappij, niet in de laatste plaats vanwege de mogelijkheid dat zich problemen voordoen in essentiële informatiesystemen, ten gevolge van de complexiteit van de systemen, ongevallen, vergissingen en aanslagen, die gevolgen kunnen hebben voor de fysieke infrastructuur die diensten levert welke voor het welzijn van de EU-burgers van cruciaal belang zijn. (2) Het groeiend aantal schendingen van de beveiliging heeft reeds aanzienlijke economische schade aangericht, het vertrouwen van gebruikers ondermijnd en afbreuk gedaan aan de ontwikkeling van e-commerce. Individuele personen, overheidsdiensten en bedrijven hebben hierop gereageerd met beveiligingstechnologieën en procedures voor beveiligingsbeheer. Lidstaten hebben verscheidene ondersteunende maatregelen getroffen, zoals voorlichtingscampagnes en onderzoeksprojecten, teneinde de netwerk- en informatiebeveiliging in de gehele samenleving te verbeteren. (3) De technische complexiteit van de netwerken en informatiesystemen, de verscheidenheid aan onderling verbonden producten en diensten en het enorme aantal particuliere en overheidsinstanties met elk hun eigen verantwoordelijkheid dreigen de goede werking van de interne markt te ondergraven. (4) Richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronische-communicatienetwerken en -diensten ("de kaderrichtlijn")(3) bevat een omschrijving van de taken van de nationale regelgevende instanties, met inbegrip van transparante samenwerking, zowel onderling als met de Commissie, teneinde de ontwikkeling van consistente regelgevingspraktijken te waarborgen, en bij te dragen tot de waarborging van een strenge beveiliging van persoonsgegevens en privacy, en van de integriteit en beveiliging van openbare communicatienetwerken. (5) De vigerende communautaire regelgeving omvat Richtlijn 2002/20/EG(4), Richtlijn 2002/22/EG(5), Richtlijn 2002/19/EG(6), Richtlijn 2002/58/EG(7), Richtlijn 1999/93/EG(8), Richtlijn 2000/31/EG(9) en de Resolutie van de Raad van 18 februari 2003 betreffende de uitvoering van het actieplan eEurope 2005(10). (6) Richtlijn 2002/20/EG geeft de lidstaten het recht om aan een algemene machtiging voorwaarden betreffende de beveiliging van openbare netwerken tegen ongeautoriseerde toegang te koppelen op grond van Richtlijn 97/66/EG(11). (7) Richtlijn 2002/22/EG schrijft voor dat de lidstaten alle noodzakelijke maatregelen nemen om de integriteit en beschikbaarheid van het openbaar telefoonnetwerk op vaste locaties te waarborgen en dat ondernemingen die openbare telefoondiensten op vaste locaties aanbieden, alle maatregelen nemen die redelijkerwijs van hen verwacht mogen worden om een ononderbroken toegang tot de hulpdiensten te waarborgen. (8) Richtlijn 2002/58/EG schrijft voor dat een leverancier van een openbaar beschikbare elektronische-communicatiedienst gepaste technische en organisatorische maatregelen neemt om de beveiliging van zijn diensten te waarborgen en vereist tevens de vertrouwelijke behandeling van de communicatie en daaraan gerelateerde gegevens. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(12) verplicht de lidstaten ervoor te zorgen dat de controlerende instantie passende technische en organisatorische maatregelen treft om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies per ongeluk, vervalsing, ongeautoriseerde verspreiding of toegang, met name als de verwerking betrekking heeft op de verzending van gegevens over een netwerk, en tegen enige andere vorm van onwettige verwerking. (9) Richtlijn 2002/21/EG en Richtlijn 1999/93/EG stellen normen die in het Publicatieblad van de Europese Unie moeten worden bekendgemaakt. De lidstaten maken tevens gebruik van normen van internationale instanties, alsmede de facto normen die ontwikkeld zijn door het internationale bedrijfsleven. De Commissie en de lidstaten moeten kunnen volgen welke normen aan de eisen van de communautaire wetgeving voldoen. (10) De internemarktmaatregelen vereisen verschillende vormen van technische en organisatorische toepassing door de lidstaten en de Commissie. Het gaat hier om technisch complexe taken zonder eenduidige, voor de hand liggende oplossingen. De heterogene toepassing van deze eisen kan tot inefficiënte oplossingen leiden en belemmeringen creëren voor de interne markt. Dit vraagt om de oprichting van een expertisecentrum op Europees niveau dat, binnen de grenzen van zijn doelstellingen, leiding, advies en, desgevraagd, vormen van bijstand kan geven waarop het Europees Parlement, de Commissie, of de door de lidstaten aangewezen bevoegde organen kunnen vertrouwen. De krachtens artikel 3 van Richtlijn 2002/21/EG aangewezen nationale regelgevende instanties kunnen door een lidstaat als bevoegd orgaan worden aangewezen. (11) Aan deze behoefte kan worden voldaan door de oprichting van een Europees agentschap, te weten het Europees Agentschap voor netwerk- en informatiebeveiliging, (hierna het Agentschap genoemd), dat als referentiepunt fungeert en vertrouwen geniet dankzij de onafhankelijkheid, de kwaliteit van de verstrekte adviezen en verspreide informatie, de transparantie van de procedures en werkmethoden en de voortvarendheid bij de uitvoering van de aan dit Agentschap toegewezen taken. Het Agentschap dient voort te bouwen op nationale en communautaire inspanningen en derhalve zijn taken uit te voeren in volledige samenwerking met de lidstaten. Het dient open te staan voor contacten met het bedrijfsleven en andere belanghebbenden. Aangezien elektronische netwerken overwegend in particuliere handen zijn, dienen de activiteiten van het Agentschap gebaseerd te zijn op de medewerking van en samenwerking met de particuliere sector. (12) De uitoefening van de taken van het Agentschap laat de bevoegdheden van de volgende instanties onverlet en mag hun bevoegdheden en taken niet uithollen, belemmeren of overlappen: - de nationale regelgevende instanties zoals omschreven in de richtlijnen inzake de elektronische-communicatienetwerken en -diensten, de Europese Groep van regelgevende instanties voor elektronische-communicatienetwerken en -diensten (Besluit 2002/627/EG van de Commissie(13)) en het Comité voor communicatie als bedoeld in Richtlijn 2002/21/EG; - de Europese normalisatie-instellingen, de nationale normalisatie-instellingen en het Permanent Comité zoals bepaald in Richtlijn 98/34/EG van het Europees Parlement en de Raad van 22 juni 1998 betreffende een informatieprocedure op het gebied van normen en technische voorschriften en regels betreffende de diensten van de informatiemaatschappij(14); - de toezichthoudende autoriteiten van de lidstaten inzake de bescherming van personen wat de verwerking van persoonsgegevens en het vrije verkeer van gegevens betreft. (13) Om de uitdagingen op het gebied van netwerk- en informatiebeveiliging beter te begrijpen, moet het Agentschap zowel bestaande als nieuwe risico's analyseren; daartoe kan het Agentschap relevante informatie verzamelen, met name aan de hand van vragenlijsten, maar mag het aan de particuliere sector of aan de lidstaten geen nieuwe verplichtingen inzake het genereren van gegevens opleggen. Onder nieuwe risico's moet worden verstaan, problemen die zich reeds aandienen als mogelijke toekomstige risico's voor netwerk- en informatiebeveiliging. (14) Wil men vertrouwen scheppen in netwerken en informatiesystemen, dan moeten individuele personen, bedrijven en overheidsdiensten voldoende geïnformeerd, geschoold en opgeleid worden op het gebied van beveiliging van netwerken en informatiesystemen. De overheid heeft een taak bij het vergroten van het bewustzijn door het publiek, het midden- en kleinbedrijf, bedrijven, overheden, scholen en universiteiten te informeren. Deze maatregelen dienen verder te worden ontwikkeld. Meer informatie-uitwisseling tussen de lidstaten zou een bijdrage kunnen vormen aan dergelijke bewustmakingscampagnes. Het Agentschap dient advies te verstrekken over beste praktijken inzake bewustmaking, opleiding en cursussen. (15) Het Agentschap heeft tot taak bij te dragen tot een hoog niveau van netwerk- en informatiebeveiliging in de Gemeenschap en de ontwikkeling van een cultuur van netwerk- en informatiebeveiliging ten behoeve van de burgers, consumenten, bedrijven en organisaties uit de publieke sector in de Europese Unie te bevorderen, en aldus bij te dragen tot de goede werking van de interne markt. (16) Efficiënte beveiligingsvoorschriften zijn gebaseerd op goed ontwikkelde methoden voor risicoanalyse, zowel in de openbare als in de particuliere sector. Methoden en procedures voor risicoanalyse worden op verschillende niveaus ingezet zonder dat er een gemeenschappelijke praktijk bestaat voor de efficiënte toepassing ervan. Door goede praktijken voor risicoanalyse en voor interoperabele oplossingen voor risicobeheersing binnen overheids- en particuliere organisaties te stimuleren en te ontwikkelen, kan het beveiligingsniveau van netwerken en informatiesystemen in Europa worden verbeterd. (17) Het Agentschap dient bij zijn werkzaamheden profijt te trekken van de lopende activiteiten op het gebied van onderzoek, ontwikkeling en technologie-evaluatie, met name van de verschillende onderzoeksinitiatieven van de Gemeenschap. (18) Voorzover dat nodig en nuttig is voor de uitvoering van zijn mandaat, doelstellingen en taken, kan het Agentschap ervaringen en algemene informatie uitwisselen met op grond van de EU-wetgeving ingestelde organen en agentschappen die zich met netwerk- en informatiebeveiliging bezighouden. (19) Problemen op het gebied van netwerk- en informatiebeveiliging zijn wereldwijde problemen. Er bestaat een behoefte aan nauwere samenwerking op mondiaal niveau om beveiligingsnormen en de informatievoorziening te verbeteren en een gemeenschappelijke algemene aanpak van netwerk- en informatiebeveiligingsvraagstukken te bevorderen, om aldus bij te dragen tot de ontwikkeling van een cultuur van netwerk- en informatiebeveiliging. Efficiënte samenwerking met derde landen en met de wereldgemeenschap is ook op Europees niveau een noodzaak geworden. Daarom dient het Agentschap een bijdrage te leveren aan de inspanningen van de Gemeenschap in het kader van haar samenwerking met derde landen en, in voorkomend geval, internationale organisaties. (20) Het Agentschap dient in het kader van zijn werkzaamheden rekening te houden met het midden- en kleinbedrijf. (21) Om de uitvoering van de taken van het Agentschap daadwerkelijk te kunnen garanderen, dienen de lidstaten en de Commissie te worden vertegenwoordigd in een raad van bestuur met de noodzakelijke bevoegdheden voor het vaststellen van de begroting, de controle op de uitvoering ervan, het vaststellen van de nodige financiële regels, het opstellen van transparante werkprocedures voor besluitvorming door het Agentschap, het goedkeuren van het werkprogramma van het Agentschap, het vaststellen van zijn eigen reglement van orde en van het huishoudelijk reglement van het Agentschap en de benoeming en de ambtsontheffing van de uitvoerend directeur. De raad van bestuur dient te waarborgen dat het Agentschap zijn taken onder zodanige omstandigheden uitvoert dat het diensten kan verlenen overeenkomstig deze verordening. (22) Een permanente groep van belanghebbenden zou dienstig zijn voor het onderhouden van een regelmatige dialoog met de particuliere sector, de consumentenorganisaties en andere belanghebbenden. Een dergelijke permanente groep van belanghebbenden, die wordt opgericht en voorgezeten door de uitvoerend directeur, dient haar werkzaamheden toe te spitsen op aangelegenheden die voor alle belanghebbenden relevant zijn en deze onder de aandacht van de uitvoerend directeur te brengen. De uitvoerend directeur kan, indien nodig en overeenkomstig de vergaderagenda, vertegenwoordigers van het Europees Parlement en van andere instanties uitnodigen om deel te nemen aan de vergaderingen van de groep. (23) Voor een goede werking van het Agentschap is het noodzakelijk dat de uitvoerend directeur wordt benoemd op grond van zowel verdiensten en aantoonbare administratieve en bestuurskundige vaardigheden, als van bekwaamheid en ervaring die relevant is voor netwerk- en informatiebeveiliging. Daarnaast dient hij zijn taken op flexibele en, ten aanzien van de interne werking van het Agentschap, volledig onafhankelijke wijze uit te voeren. Daartoe werkt de uitvoerend directeur, nadat hij de Commissie en de permanente groep van belanghebbenden heeft geraadpleegd, een voorstel voor het werkprogramma van het Agentschap uit en neemt hij alle nodige maatregelen met het oog op de correcte uitvoering van het werkprogramma van het Agentschap, stelt hij elk jaar een ontwerp op van het algemeen verslag dat aan de raad van bestuur wordt voorgelegd alsook een ontwerp-raming van de inkomsten en uitgaven van het Agentschap, en voert hij de begroting uit. (24) De uitvoerend directeur moet ad hoc werkgroepen kunnen oprichten om met name wetenschappelijke en technische vraagstukken te behandelen. Bij de oprichting van de ad hoc werkgroepen roept de uitvoerend directeur de medewerking van de particuliere sector in en maakt hij gebruik van de relevante deskundigheid van die sector. De ad hoc werkgroepen zouden het Agentschap toegang moeten verschaffen tot de meest actuele informatie die beschikbaar is, om te kunnen reageren op de beveiligingsproblemen die de informatiemaatschappij in ontwikkeling opwerpt. Het Agentschap dient er zorg voor te dragen dat zijn ad hoc werkgroepen bekwaam en representatief zijn, en zo nodig, al naargelang de specifieke kwestie, een vertegenwoordiging omvatten van de openbare diensten van de lidstaten, van de particuliere sector, met inbegrip van het bedrijfsleven, van de gebruikers en van universitaire deskundigen op het gebied van netwerk- en informatiebeveiliging. Het Agentschap kan de werkgroepen zo nodig aanvullen met onafhankelijke deskundigen die erkend zijn op grond van hun bevoegdheid op het betrokken gebied. De deskundigen die deelnemen aan de werkzaamheden van de ad hoc groepen die door het Agentschap worden georganiseerd, mogen geen deel uitmaken van het personeel van het Agentschap. Hun kosten dienen door het Agentschap te worden vergoed overeenkomstig zijn huishoudelijk reglement en overeenkomstig het vigerende Financieel Reglement. (25) Inzake toegang van het publiek tot documenten zoals bedoeld in Verordening (EG) nr. 1049/2001(15) en de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens zoals bedoeld in Verordening (EG) nr. 45/2001(16) dient het Agentschap de desbetreffende Gemeenschapswetgeving toe te passen. (26) In het kader van zijn werkingssfeer en van zijn doelstellingen, en bij de vervulling van zijn taken dient het Agentschap in het bijzonder de bepalingen na te leven die van toepassing zijn op de instellingen van de Gemeenschappen, alsmede de nationale wetgeving inzake de behandeling van gevoelige documenten. (27) Om de volledige autonomie en onafhankelijkheid van het Agentschap te waarborgen, wordt het noodzakelijk geacht aan het Agentschap een eigen begroting toe te kennen die hoofdzakelijk uit een bijdrage van de Gemeenschap wordt gefinancierd. De communautaire begrotingsprocedure blijft echter van toepassing op eventuele subsidies die ten laste van de algemene begroting van de Europese Unie komen. Bovendien dient de controle van de rekeningen te worden uitgevoerd door de Rekenkamer. (28) Waar nodig en op basis van nog overeen te komen regelingen, krijgt het Agentschap ook toegang tot de vertolkingdiensten verstrekt door het directoraat-generaal Vertaling (DGT) van de Commissie of door de tolkendiensten van andere communautaire instellingen. (29) Het Agentschap moet in eerste instantie voor een beperkte periode worden opgericht en de werking ervan moet worden geëvalueerd om na te gaan of de activiteiten ervan moeten worden voortgezet, HEBBEN DE VOLGENDE VERORDENING VASTGESTELD: HOOFDSTUK 1 WERKINGSSFEER, DOELSTELLINGEN EN TAKEN Artikel 1 Werkingssfeer 1. Om te zorgen voor een hoog en doeltreffend niveau van netwerk- en informatiebeveiliging in de Gemeenschap, en om een cultuur van netwerk- en informatiebeveiliging ten behoeve van de burgers, consumenten, bedrijven en publieke organen in de Europese Unie tot stand te brengen en op die manier bij te dragen tot de goede werking van de interne markt, wordt hierbij een Europees Agentschap voor netwerk- en informatiebeveiliging opgericht, hierna "het Agentschap" genoemd. 2. Om de goede werking van de interne markt te waarborgen, assisteert het Agentschap de Commissie en de lidstaten, en werkt het derhalve samen met het bedrijfsleven, om hen te helpen voldoen aan de vereisten inzake netwerk- en informatiebeveiliging, met inbegrip van de eisen van de huidige en toekomstige communautaire wetgeving, zoals vermeld in Richtlijn 2002/21/EG. 3. De doelstellingen en taken van het Agentschap doen geen afbreuk aan de bevoegdheden van de lidstaten inzake netwerk- en informatiebeveiliging die buiten de werkingssfeer van het EG-Verdrag vallen, zoals die welke onder de titels V en VI van het Verdrag betreffende de Europese Unie vallen, en laten in ieder geval de activiteiten op het gebied van openbare veiligheid, defensie, staatsveiligheid (inclusief de economische welvaart van de staat indien de vraagstukken verband houden met de staatsveiligheid) en activiteiten van de staat op het gebied van het strafrecht onverlet. Artikel 2 Doelstellingen 1. Het Agentschap stelt de Gemeenschap, de lidstaten en bijgevolg het bedrijfsleven in staat om netwerk- en informatiebeveiligingsproblemen beter te voorkomen, aan te pakken en het hoofd te bieden. 2. Het Agentschap verleent bijstand en geeft advies aan de Commissie en de lidstaten in verband met vraagstukken inzake netwerk- en informatiebeveiliging die vallen onder zijn bevoegdheden zoals die zijn vastgesteld in deze verordening. 3. Voortbouwend op nationale en communautaire inspanningen ontwikkelt het Agentschap een hoog niveau van deskundigheid. Het Agentschap wendt deze deskundigheid aan om een ruime samenwerking tussen de betrokkenen uit de publieke en particuliere sector te bevorderen. 4. Het Agentschap assisteert de Commissie desgevraagd bij de technische voorbereiding van de aanpassing en de ontwikkeling van de communautaire wetgeving op het gebied van netwerk- en informatiebeveiliging. Artikel 3 Taken Teneinde ervoor te zorgen dat de in de artikelen 1 en 2 omschreven werkingssfeer en doelstellingen in acht worden genomen, verricht het Agentschap de volgende taken: a) relevante informatie verzamelen met het oog op de analyse van bestaande en nieuwe risico's en, in het bijzonder op Europees niveau, risico's die gevolgen hebben voor de veerkracht en de beschikbaarheid van elektronische-communicatienetwerken en voor de authenticiteit, integriteit en vertrouwelijkheid van de informatie die via deze netwerken toegankelijk wordt gemaakt en wordt verzonden, en de resultaten van deze analyse aan de lidstaten en de Commissie meedelen; b) binnen de grenzen van zijn doelstellingen advies, en desgevraagd, bijstand verlenen aan het Europees Parlement, de Commissie, Europese instanties of de door de lidstaten aangewezen bevoegde nationale instanties; c) de samenwerking tussen de verschillende spelers op het gebied van netwerk- en informatiebeveiliging versterken, onder andere door middel van regelmatig overleg met het bedrijfsleven, de universiteiten en de andere betrokken sectoren, alsook door het opzetten van contactnetwerken voor communautaire instanties, door de lidstaten aangewezen openbare instanties, instanties uit de particuliere sector en consumentenorganisaties; d) de samenwerking tussen de Commissie en de lidstaten bij de ontwikkeling van gemeenschappelijke methoden bevorderen, teneinde problemen op het gebied van de netwerk- en informatiebeveiliging te voorkomen, aan te pakken en het hoofd te bieden; e) bijdragen tot de bewustmaking en de beschikbaarstelling van tijdige, objectieve en volledige informatie over problemen op het gebied van netwerk- en informatiebeveiliging voor alle gebruikers, onder andere door stimulering van de uitwisseling van actuele beste praktijken, waaronder waarschuwingsmethoden voor gebruikers, en het creëren van synergie tussen initiatieven uit de openbare en particuliere sector; f) de Commissie en de lidstaten assisteren bij de dialoog met het bedrijfsleven om beveiligingsproblemen in verband met apparatuur en programmatuur aan te pakken; g) de ontwikkeling van standaarden voor producten en diensten op het gebied van netwerk- en informatiebeveiliging volgen; h) de Commissie adviseren inzake onderzoek op het gebied van netwerk- en informatiebeveiliging en over het effectieve gebruik van risicopreventietechnologieën; i) activiteiten op het gebied van risicoanalyse, interoperabele oplossingen voor risicobeheer en studies inzake oplossingen voor preventief beheer binnen organisaties in de openbare en de particuliere sector stimuleren; j) bijdragen tot de communautaire inspanningen voor de samenwerking met derde landen en zo nodig met internationale organisaties, teneinde een gemeenschappelijke algemene aanpak van de vraagstukken van netwerk- en informatiebeveiliging te bevorderen en aldus bij te dragen aan de totstandbrenging van een cultuur van netwerk- en informatiebeveiliging; k) onafhankelijke conclusies, beleidslijnen en adviezen formuleren betreffende vraagstukken die tot zijn taakgebied behoren. Artikel 4 Definities In deze verordening wordt verstaan onder: a) "netwerk": de transmissiesystemen en, in voorkomend geval, de schakel- of routeringsapparatuur en andere middelen die het mogelijk maken signalen over te brengen via draad, radiogolven, optische of andere elektromagnetische middelen waaronder satellietnetwerken, vaste (circuit- en pakketgeschakelde, met inbegrip van internet) en mobiele terrestrische netwerken, elektriciteitsnetwerken voorzover deze voor overdracht van signalen worden gebruikt, netwerken voor radio- en televisieomroep en kabeltelevisienetwerken, ongeacht de aard van de overgebrachte informatie; b) "informatiesysteem": computers en elektronische-communicatienetwerken, alsmede de elektronische gegevens die daarmee worden opgeslagen, verwerkt, opgehaald of verzonden, met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan; c) "netwerk- en informatiebeveiliging": het vermogen van een netwerk of informatiesysteem om met een gegeven niveau van betrouwbaarheid bestand te zijn tegen toevallige gebeurtenissen of onwettige of kwaadaardige acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen of verzonden gegevens en de daaraan gerelateerde diensten die via deze netwerken en systemen worden aangeboden of toegankelijk zijn, in gevaar brengen; d) "beschikbaarheid": het toegankelijk zijn van gegevens en het operationeel zijn van diensten; e) "authentificatie": de bevestiging van een geclaimde identiteit van entiteiten of gebruikers; f) "integriteit van gegevens": de bevestiging dat verzonden, ontvangen of opgeslagen gegevens volledig en ongewijzigd zijn; g) "vertrouwelijkheid van gegevens": de bescherming van communicatie of opgeslagen gegevens tegen interceptie en tegen inzage door ongeautoriseerde personen; h) "risico": de waarschijnlijkheid dat een kwetsbaarheid in het systeem gevolgen heeft voor de authentificatie of voor de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van de verwerkte of verzonden gegevens en de ernst van die gevolgen bij opzettelijk of niet opzettelijk gebruik van die kwetsbaarheid; i) "risicoanalyse": een wetenschappelijk en technologisch gefundeerd proces, bestaande uit vier stappen: gevareninventarisatie, gevarenkarakterisering, blootstellingsschatting en risicokarakterisering; j) "risicobeheer": een van risicoanalyse te onderscheiden proces waarin de beleidsalternatieven in overleg met de belanghebbenden tegen elkaar worden afgewogen, rekening houdende met de risicoanalyse en andere legitieme factoren, en waarbij, zo nodig, passende preventie- en beheersingsmaatregelen worden gekozen; k) "cultuur van netwerk- en informatiebeveiliging": de betekenis die aan dit begrip wordt gegeven in de OESO-richtsnoeren voor de beveiliging van informatiesystemen en netwerken van 25 juli 2002 en in de Resolutie van de Raad van 18 februari 2003 betreffende een Europese aanpak ten behoeve van een cultuur van netwerk- en informatiebeveiliging(17). HOOFDSTUK 2 ORGANISATIE Artikel 5 Organen van het agentschap Het Agentschap bestaat uit: a) een raad van bestuur, b) een uitvoerend directeur en c) een permanente groep van belanghebbenden. Artikel 6 Raad van bestuur 1. De raad van bestuur bestaat uit één vertegenwoordiger per lidstaat, drie door de Commissie benoemde vertegenwoordigers, alsmede drie door de Commissie voorgedragen en door de Raad benoemde vertegenwoordigers zonder stemrecht, die ieder één van de volgende groepen vertegenwoordigen: a) de ict-industrie, b) de consumentenorganisaties, c) universitaire deskundigen inzake netwerk- en informatiebeveiliging. 2. De leden van de raad van bestuur worden benoemd op basis van hun relevant ervarings- en deskundigheidsniveau op het gebied van netwerk- en informatiebeveiliging. De vertegenwoordigers kunnen zich laten vervangen door gelijktijdig benoemde plaatsvervangers. 3. De raad van bestuur kiest uit zijn midden een voorzitter en een vice-voorzitter voor een periode van tweeëneenhalf jaar, die kan worden hernieuwd. De vice-voorzitter vervangt ambtshalve de voorzitter wanneer deze is verhinderd zijn taken te verrichten. 4. De raad van bestuur stelt, op basis van een voorstel van de Commissie, zijn reglement van orde vast. Tenzij anders bepaald, worden de besluiten van de raad van bestuur genomen met een meerderheid van alle stemgerechtigde leden. Voor de vaststelling van het reglement van orde van het Agentschap, zijn huishoudelijk reglement, de begroting, het jaarlijkse werkprogramma, alsmede voor de benoeming en de ambtsontheffing van de uitvoerend directeur is een tweederde meerderheid van alle stemgerechtigde leden vereist. 5. De raad van bestuur komt bijeen op convocatie van de voorzitter. De raad van bestuur belegt tweemaal per jaar een gewone vergadering. Op verzoek van de voorzitter of van ten minste eenderde van zijn stemgerechtigde leden belegt de raad van bestuur ook buitengewone vergaderingen. De uitvoerend directeur neemt zonder stemrecht deel aan de vergaderingen van de raad van bestuur en neemt het secretariaat daarvan waar. 6. De raad van bestuur stelt op basis van een voorstel van de Commissie het huishoudelijk reglement van het Agentschap vast. Het reglement wordt openbaar gemaakt. 7. De raad van bestuur stelt de algemene richting voor de activiteiten van het Agentschap vast. De raad van bestuur zorgt ervoor dat het Agentschap werkt overeenkomstig de in de artikelen 12 tot en met 14 en in artikel 23 vastgestelde beginselen. De raad van bestuur zorgt ook voor samenhang tussen de werkzaamheden van het Agentschap en de activiteiten van de lidstaten en van de Europese Gemeenschap. 8. De raad van bestuur stelt jaarlijks, na ontvangst van het advies van de Commissie, vóór 30 november het werkprogramma van het Agentschap voor het komende jaar vast. De raad van bestuur ziet erop toe dat het werkprogramma aansluit bij de werkingssfeer, doelstellingen en taken van het Agentschap, alsook bij de wetgevings- en beleidsprioriteiten van de Gemeenschap op het gebied van netwerk- en informatiebeveiliging. 9. De raad van bestuur stelt jaarlijks vóór 31 maart het algemeen verslag over de werkzaamheden van het Agentschap in het voorgaande jaar vast. 10. De financiële regelingen die op het Agentschap van toepassing zijn, worden na overleg met de Commissie door de raad van bestuur vastgesteld. Zij mogen niet afwijken van Verordening (EG, Euratom) nr. 2343/2002 van de Commissie van 19 november 2002 houdende de financiële kaderregeling van de organen, bedoeld in artikel 185 van Verordening (EG, Euratom) nr. 1605/2002 van de Raad houdende het Financieel Reglement van toepassing op de algemene begroting van de Europese Gemeenschappen(18) tenzij dit in verband met de activiteiten van het Agentschap een specifiek vereiste is en de Commissie vooraf toestemming heeft verleend. Artikel 7 Uitvoerend directeur 1. Het Agentschap wordt geleid door de uitvoerend directeur, die onafhankelijk is in de uitvoering van zijn/haar taken. 2. De uitvoerend directeur wordt benoemd door de raad van bestuur, op basis van een kandidatenlijst die door de Commissie wordt opgesteld na een algemeen vergelijkend onderzoek volgend op de publicatie van een oproep tot het indienen van blijken van belangstelling in het Publicatieblad van de Europese Unie en in andere bladen. De uitvoerend directeur wordt benoemd op grond van verdienste, van door bewijsstukken aangetoonde bestuurlijke en leidinggevende vaardigheden, en van voor netwerk- en informatiebeveiliging relevante bekwaamheid en ervaring. Vóór de benoeming wordt de door de raad van bestuur genomineerde kandidaat onverwijld uitgenodigd om ten overstaan van het Europees Parlement een verklaring af te leggen en vragen te beantwoorden van leden van die instelling. Het Europees Parlement of de Raad kan te allen tijde de uitvoerend directeur horen met betrekking tot onderwerpen die verband houden met de werkzaamheden van het Agentschap. De uitvoerend directeur kan door de raad van bestuur van zijn functie worden ontheven. 3. De ambtstermijn van de uitvoerend directeur bedraagt maximaal vijf jaar. 4. De uitvoerend directeur is verantwoordelijk voor: a) de dagelijkse leiding van het Agentschap; b) de opstelling van een voorstel voor de werkprogramma's van het Agentschap, na voorafgaand overleg met de Commissie en de permanente groep van belanghebbenden; c) de uitvoering van de werkprogramma's en de besluiten van de raad van bestuur; d) de taakuitoefening van het Agentschap conform de behoeften van de afnemers, met name wat betreft de doeltreffendheid van de verleende diensten; e) de opstelling van de ontwerp-ramingen van ontvangsten en uitgaven en de uitvoering van de begroting van het Agentschap; f) alle personeelszaken; g) het leggen en onderhouden van contacten met het Europees Parlement en het aangaan van een geregelde dialoog met de betrokken commissies; h) het leggen en onderhouden van contacten met het bedrijfsleven en consumentenorganisaties om een regelmatige dialoog met de belanghebbenden te waarborgen; i) het voorzitten van de permanente groep van belanghebbenden. 5. Elk jaar legt de uitvoerend directeur aan de raad van bestuur de volgende stukken ter goedkeuring voor: a) een ontwerp van een algemeen verslag over alle activiteiten van het Agentschap in het voorgaande jaar; b) een ontwerp-werkprogramma. 6. De uitvoerend directeur zendt het werkprogramma, nadat dit door de raad van bestuur is aangenomen, naar het Europees Parlement, de Raad, de Commissie en de lidstaten en draagt zorg voor de publicatie ervan. 7. De uitvoerend directeur zendt het algemeen verslag van het Agentschap, nadat dit door de raad van bestuur is aangenomen, toe aan het Europees Parlement, de Raad, de Commissie, de Rekenkamer, het Europees Economisch en Sociaal Comité en het Comité van de Regio's en draagt zorg voor de publicatie ervan. 8. Indien nodig kan de uitvoerend directeur binnen de werkingssfeer, doelstellingen en taken van het Agentschap, in overleg met de permanente groep van belanghebbenden, ad hoc werkgroepen van deskundigen oprichten. De raad van bestuur wordt daarvan naar behoren in kennis gesteld. De procedures betreffende met name de samenstelling, de benoeming van de deskundigen door de uitvoerend directeur en de werkwijze van de ad hoc groepen worden in het huishoudelijk reglement van het Agentschap vastgesteld. Eventuele ad hoc werkgroepen houden zich in het bijzonder bezig met technische en wetenschappelijke onderwerpen. De leden van de raad van bestuur kunnen geen lid van de ad hoc werkgroepen zijn. Vertegenwoordigers van de Commissie zijn gemachtigd de vergaderingen van die groepen bij te wonen. Artikel 8 Permanente groep van belanghebbenden 1. De uitvoerend directeur richt een permanente groep van belanghebbenden op, bestaande uit deskundigen van de betrokken belanghebbenden, zoals de informatie- en communicatietechnologie-industrie, consumentengroeperingen en academische deskundigen op het gebied van netwerk- en informatiebeveiliging. 2. De procedures betreffende met name het aantal, de samenstelling en de benoeming van de leden door de uitvoerend directeur en de werking van de groep worden in het huishoudelijk reglement van het Agentschap gespecificeerd en worden gepubliceerd. 3. De groep wordt voorgezeten door de uitvoerend directeur. De leden hebben een mandaat van tweeëneenhalf jaar. De leden van de groep kunnen geen lid van de raad van bestuur zijn. 4. Vertegenwoordigers van de Commissie kunnen de vergaderingen van de groep bijwonen en deelnemen aan haar werkzaamheden. 5. De groep kan de uitvoerend directeur adviseren bij de uitvoering van zijn/haar taken uit hoofde van deze verordening, bij het opstellen van een voorstel voor het werkprogramma van het Agentschap, alsmede bij de communicatie met de belanghebbenden over alle aspecten van het werkprogramma. HOOFDSTUK 3 WERKING Artikel 9 Werkprogramma Het Agentschap baseert zijn activiteiten op de uitvoering van het werkprogramma dat is aangenomen in overeenstemming met artikel 6, lid 8. Het werkprogramma belet het Agentschap niet om onvoorziene activiteiten op zich te nemen die binnen zijn werkingssfeer, zijn doelstellingen en de gegeven budgettaire grenzen vallen. Artikel 10 Verzoeken aan het Agentschap 1. Verzoeken om adviezen en bijstand die binnen de werkingssfeer, de doelstellingen en taken van het Agentschap vallen, dienen aan de uitvoerend directeur te worden gericht, vergezeld van achtergrondinformatie waarin het te behandelen probleem wordt uitgelegd. De uitvoerend directeur stelt de Commissie in kennis van de ontvangen verzoeken. Indien het Agentschap een verzoek weigert, dient zulks te worden gemotiveerd. 2. De in lid 1 genoemde verzoeken kunnen worden ingediend door: a) het Europees Parlement, b) de Europese Commissie, c) elke bevoegde instantie die door de lidstaten is aangewezen, zoals een nationale regelgevende instantie volgens de definitie van artikel 2 van Richtlijn 2002/21/EG. 3. De praktische regelingen voor de toepassing van de leden 1 en 2, in het bijzonder met betrekking tot de indiening, de vaststelling van prioriteiten, de follow-up en het op de hoogte brengen van de raad van bestuur over de bij het Agentschap ingediende verzoeken, worden door de raad van bestuur vastgesteld in het huishoudelijk reglement van het Agentschap. Artikel 11 Belangenverklaring 1. De uitvoerend directeur en de door de lidstaten op tijdelijke basis gedetacheerde ambtenaren leggen een verklaring af over hun verplichtingen en een verklaring over hun belangen waaruit blijkt dat zij geen directe of indirecte belangen hebben die als nadelig voor hun onafhankelijkheid kunnen worden beschouwd. Deze verklaringen dienen op schrift te worden gesteld. 2. Externe deskundigen die deelnemen aan ad hoc werkgroepen leggen op elke vergadering een verklaring af over belangen die met betrekking tot de agendapunten als nadelig voor hun onafhankelijkheid worden beschouwd. Artikel 12 Transparantie 1. Het Agentschap garandeert dat het zijn activiteiten uitvoert met een hoog niveau van transparantie, overeenkomstig de artikelen 13 en 14. 2. Het Agentschap zorgt ervoor dat het publiek en alle belanghebbenden van objectieve, betrouwbare en gemakkelijk toegankelijke informatie worden voorzien, in het bijzonder met betrekking tot eventuele resultaten van zijn werkzaamheden. Tevens maakt het de belangenverklaringen van de uitvoerend directeur en de door de lidstaten op een tijdelijke basis gedetacheerde ambtenaren openbaar, alsmede de belangenverklaringen die deskundigen met betrekking tot agendapunten op de vergaderingen van de ad hoc werkgroepen hebben afgelegd. 3. De raad van bestuur kan op voorstel van de uitvoerend directeur belanghebbenden toestemming geven om de uitvoering van activiteiten van het Agentschap te observeren. 4. Het Agentschap legt in zijn huishoudelijk reglement de praktische regelingen voor de toepassing van de in de leden 1 en 2 bedoelde transparantiebepalingen vast. Artikel 13 Vertrouwelijke behandeling 1. Onverminderd artikel 14, onthult het Agentschap aan derden geen verwerkte of ontvangen informatie waarvoor om vertrouwelijke behandeling is gevraagd. 2. De leden van de raad van bestuur, de uitvoerend directeur, de leden van de permanente groep van belanghebbenden, de externe deskundigen die deelnemen aan ad hoc werkgroepen en de personeelsleden van het Agentschap, met inbegrip van de door de lidstaten op een tijdelijke basis gedetacheerde ambtenaren, zijn ook na het beëindigen van hun functie gebonden aan de geheimhoudingsplicht uit hoofde van artikel 287 van het Verdrag. 3. Het Agentschap legt in zijn huishoudelijk reglement de praktische regelingen voor de toepassing van de in de leden 1 en 2 bedoelde vertrouwelijkheidsregels vast. Artikel 14 Toegang tot documenten 1. Op documenten die in het bezit zijn van het Agentschap is Verordening (EG) nr. 1049/2001 van toepassing. 2. De raad van bestuur stelt binnen zes maanden na de oprichting van het Agentschap regelingen voor de uitvoering van Verordening (EG) nr. 1049/2001 vast. 3. Tegen besluiten van het Agentschap uit hoofde van artikel 8 van Verordening (EG) nr. 1049/2001 kan een klacht bij de ombudsman worden ingediend of een beroep bij het Hof van Justitie van de Europese Gemeenschappen worden ingesteld, op grond van respectievelijk artikel 195 en artikel 230 van het Verdrag. HOOFDSTUK 4 FINANCIËLE BEPALINGEN Artikel 15 Vaststelling van de begroting 1. Het Agentschap wordt gefinancierd uit een bijdrage van de Gemeenschap en bijdragen van derde landen die deelnemen aan de werkzaamheden van het Agentschap, zoals bepaald in artikel 24. 2. De uitgaven van het Agentschap hebben betrekking op het personeel, administratieve en technische ondersteuning, infrastructuur, werkingskosten en uitgaven voortvloeiend uit contracten met derden. 3. De uitvoerend directeur stelt jaarlijks, uiterlijk op 1 maart, een ontwerp-raming op van de ontvangsten en uitgaven van het Agentschap voor het volgende begrotingsjaar en zendt die, tezamen met een ontwerp-overzicht van de personeelsformatie, aan de raad van bestuur. 4. De ontvangsten en uitgaven dienen in evenwicht te zijn. 5. De raad van bestuur stelt jaarlijks de raming van de ontvangsten en uitgaven van het Agentschap voor het volgende begrotingsjaar vast op basis van een door de uitvoerend directeur opgestelde ontwerp-raming van de ontvangsten en uitgaven. 6. Deze raming wordt, samen met het ontwerp-overzicht van de personeelsformatie en het voorlopig werkprogramma, uiterlijk 31 maart door de raad van bestuur voorgelegd aan de Commissie en de staten waarmee de Gemeenschap overeenkomstig artikel 24 een overeenkomst heeft gesloten. 7. De raming wordt door de Commissie toegezonden aan het Europees Parlement en de Raad ("de begrotingsautoriteit"), tezamen met het voorontwerp van algemene begroting van de Europese Unie. 8. Op basis van deze raming voert de Commissie in het voorontwerp van algemene begroting van de Europese Unie, dat zij overeenkomstig artikel 272 van het Verdrag bij de begrotingsautoriteit indient, de ramingen op die zij nodig acht voor het overzicht van de personeelsformatie en voor de subsidie ten laste van de algemene begroting. 9. De begrotingsautoriteit keurt de kredieten goed voor de subsidies voor het Agentschap. De begrotingsautoriteit stelt de personeelsformatie voor het Agentschap vast. 10. De raad van bestuur stelt de begroting van het Agentschap vast. Die begroting wordt definitief nadat de algemene begroting van de Europese Unie definitief is vastgesteld. Zo nodig wordt de begroting van het Agentschap dienovereenkomstig aangepast. De raad van bestuur zendt de begroting onverwijld toe aan de Commissie en de begrotingsautoriteit. 11. De raad van bestuur stelt de begrotingsautoriteit zo spoedig mogelijk in kennis van de projecten die hij voornemens is te realiseren en die aanzienlijke financiële gevolgen voor de financiering van zijn begroting kunnen hebben, met name onroerendgoedprojecten zoals de huur of aankoop van gebouwen. Hij brengt de Commissie daarvan op de hoogte. Wanneer een tak van de begrotingsautoriteit kennis heeft gegeven van zijn voornemen om een advies te verstrekken, doet hij dit advies aan de raad van bestuur toekomen binnen een termijn van zes weken te rekenen vanaf de kennisgeving van het project. Artikel 16 Fraudebestrijding 1. Teneinde fraude, corruptie en andere onwettige praktijken tegen te gaan, zijn de bepalingen van Verordening (EG) nr. 1073/1999 van het Europees Parlement en de Raad van 25 mei 1999 betreffende onderzoeken door het Europees Bureau voor fraudebestrijding (OLAF)(19) onverkort van toepassing. 2. Het Agentschap treedt toe tot het Interinstitutioneel akkoord van 25 mei 1999 tussen het Europees Parlement, de Raad van de Europese Unie en de Commissie van de Europese Gemeenschappen betreffende de interne onderzoeken verricht door het Europees Bureau voor fraudebestrijding (OLAF)(20) en treft onverwijld passende voorzieningen die op alle werknemers van het Agentschap van toepassing zijn. Artikel 17 Uitvoering van de begroting 1. De uitvoerend directeur voert de begroting van het Agentschap uit. 2. De interne controleur van de Commissie heeft ten aanzien van het Agentschap dezelfde bevoegdheden als ten aanzien van de diensten van de Commissie. 3. Uiterlijk op 1 maart van het jaar dat volgt op het afgesloten begrotingsjaar deelt de rekenplichtige van het Agentschap de voorlopige rekeningen mee aan de rekenplichtige van de Commissie, tezamen met een verslag over het budgettair en financieel beheer van het begrotingsjaar. De rekenplichtige van de Commissie consolideert de voorlopige rekeningen van de instellingen en gedecentraliseerde organen overeenkomstig artikel 128 van Verordening (EG, Euratom) nr. 1605/2002 van de Raad van 25 juni 2002 houdende het Financieel Reglement van toepassing op de algemene begroting van de Europese Gemeenschappen ("het Financieel Reglement")(21). 4. Uiterlijk op 31 maart van het jaar dat volgt op het afgesloten begrotingsjaar zendt de rekenplichtige van de Commissie de voorlopige rekeningen van het Agentschap naar de Rekenkamer, tezamen met een verslag over het budgettaire en financiële beheer van het begrotingsjaar. Het verslag over het budgettaire en financiële beheer van het begrotingsjaar wordt tevens aan de begrotingsautoriteit gezonden. 5. Na ontvangst van de opmerkingen van de Rekenkamer over de voorlopige rekeningen van het Agentschap krachtens artikel 129 van het algemeen Financieel Reglement maakt de uitvoerend directeur van het Agentschap onder zijn/haar eigen verantwoordelijkheid de definitieve rekeningen op en legt deze voor advies voor aan de raad van bestuur. 6. De raad van bestuur brengt advies uit over de definitieve rekeningen van het Agentschap. 7. Uiterlijk op 1 juli van het jaar dat volgt op het afgesloten begrotingsjaar zendt de uitvoerend directeur de definitieve rekeningen naar het Europees Parlement, de Raad, de Commissie en de Rekenkamer, tezamen met het advies van de raad van bestuur. 8. De definitieve rekeningen worden gepubliceerd. 9. De uitvoerend directeur geeft de Rekenkamer uiterlijk op 30 september antwoord op diens opmerkingen. Hij/zij zendt dit antwoord tevens naar de raad van bestuur. 10. De uitvoerend directeur verstrekt het Europees Parlement op verzoek, overeenkomstig artikel 146, lid 3, van het algemeen Financieel Reglement, alle inlichtingen die nodig zijn voor het goede verloop van de kwijtingsprocedure voor het betrokken begrotingsjaar. 11. Vóór 30 april van jaar N + 2 verleent het Europees Parlement op aanbeveling van de Raad, die met een gekwalificeerde meerderheid van stemmen besluit, de uitvoerend directeur kwijting voor de uitvoering van de begroting voor het jaar N. HOOFDSTUK 5 ALGEMENE BEPALINGEN Artikel 18 Juridische status 1. Het Agentschap is een orgaan van de Gemeenschap. Het Agentschap heeft rechtspersoonlijkheid. 2. Het Agentschap beschikt in alle lidstaten over de ruimste handelingsbevoegdheid die volgens de geldende wetgeving aan rechtspersonen wordt verleend. Het kan met name roerende en onroerende goederen verwerven en vervreemden, en in rechte optreden. 3. Het Agentschap wordt vertegenwoordigd door zijn uitvoerend directeur. Artikel 19 Personeel 1. Het personeel van het Agentschap, met inbegrip van de uitvoerend directeur, is onderworpen aan de verordeningen en regelingen van toepassing op de ambtenaren en andere personeelsleden van de Europese Gemeenschappen. 2. Onverminderd artikel 6 worden de bevoegdheden die bij het Statuut aan het tot aanstelling bevoegde gezag en bij de Regeling welke van toepassing is op de andere personeelsleden aan het tot het aangaan van overeenkomsten bevoegde gezag zijn toegekend, door het Agentschap uitgeoefend met betrekking tot zijn eigen personeel. Het Agentschap mag ook personeelsleden in dienst nemen die door de lidstaten op tijdelijke basis en voor ten hoogste vijf jaar worden gedetacheerd. Artikel 20 Voorrechten en immuniteiten Het Protocol betreffende de voorrechten en immuniteiten van de Europese Gemeenschappen is van toepassing op het Agentschap en op het personeel van het Agentschap. Artikel 21 Aansprakelijkheid 1. De contractuele aansprakelijkheid van het Agentschap wordt beheerst door het recht dat op de overeenkomst van toepassing is. Het Hof van Justitie van de Europese Gemeenschappen is bevoegd uitspraak te doen krachtens een arbitrageclausule in een door het Agentschap gesloten overeenkomst. 2. In geval van niet-contractuele aansprakelijkheid vergoedt het Agentschap, overeenkomstig de algemene beginselen die de wetgevingen van de lidstaten gemeen hebben, alle schade die door het Agentschap zelf of door zijn personeelsleden in de uitoefening van hun functie is veroorzaakt. Het Hof van Justitie is bevoegd voor alle geschillen over de vergoeding van dergelijke schade. 3. De persoonlijke aansprakelijkheid van de personeelsleden van het Agentschap ten aanzien van het Agentschap zijn geregeld bij de desbetreffende bepalingen die van toepassing zijn op het personeel van het Agentschap. Artikel 22 Talen 1. Op het Agentschap zijn de bepalingen van Verordening nr. 1 van 15 april 1958 tot regeling van het taalgebruik in de Europese Economische Gemeenschap(22) van toepassing. De lidstaten en de overige door de lidstaten aangewezen instanties kunnen hun verzoeken aan het Agentschap richten en daarop een antwoord verlangen in de communautaire taal van hun keuze. 2. De voor het functioneren van het Agentschap noodzakelijke vertalingen worden gemaakt door het Vertaalbureau voor de organen van de Europese Unie(23). Artikel 23 Bescherming van persoonsgegevens Bij het verwerken van gegevens met betrekking tot personen is het Agentschap onderworpen aan de bepalingen van Verordening (EG) nr. 45/2001. Artikel 24 Deelneming van derde landen 1. Het Agentschap staat open voor deelneming van landen die met de Europese Gemeenschap overeenkomsten gesloten hebben uit hoofde waarvan zij de communautaire wetgeving op het onder deze verordening vallende gebied hebben overgenomen en toegepast. 2. Overeenkomstig de desbetreffende bepalingen van deze overeenkomsten worden regelingen getroffen waarin met name de aard, de omvang en de methode van deelneming van deze landen aan de werkzaamheden van het Agentschap worden uiteengezet, met inbegrip van bepalingen met betrekking tot de deelneming aan de door het Agentschap ontwikkelde initiatieven, de financiële bijdragen en het personeel. HOOFDSTUK 6 SLOTBEPALINGEN Artikel 25 Herziening 1. Uiterlijk op 17 maart 2007 voert de Commissie, rekening houdend met het standpunt van alle belanghebbenden, een evaluatie uit op basis van het met de raad van bestuur overeengekomen mandaat. De Commissie richt zich bij de evaluatie met name op de vraag of het Agentschap moet blijven bestaan na de in artikel 27 vermelde periode. 2. Bij de evaluatie wordt bezien in hoeverre het Agentschap de verwezenlijking van zijn doelstellingen en taken dichterbij heeft gebracht en wordt tevens de werkwijze van het Agentschap beoordeeld en worden voorts, indien nodig, passende voorstellen geformuleerd. 3. De raad van bestuur ontvangt een verslag over deze evaluatie en doet aanbevelingen aan de Commissie betreffende eventueel nodig geachte wijzigingen van deze verordening. De resultaten van de evaluatie en de aanbevelingen worden door de Commissie toegezonden aan het Europees Parlement en de Raad en worden bekendgemaakt. Artikel 26 Bestuurlijke controle De activiteiten van het Agentschap staan onder het toezicht van de Ombudsman, overeenkomstig de bepalingen van artikel 195 van het Verdrag. Artikel 27 Looptijd Het Agentschap wordt opgericht met ingang van 14 maart 2004 voor een periode van vijf jaar. Artikel 28 Inwerkingtreding Deze verordening treedt in werking op de dag na haar bekendmaking in het Publicatieblad van de Europese Unie. Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat. Gedaan te Straatsburg, 10 maart 2004. Voor het Europees Parlement De voorzitter P. Cox Voor de Raad De voorzitter D. Roche (1) PB C 220 van 16.9.2003, blz. 33. (2) Advies van het Europees Parlement van 19 november 2003 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 19 februari 2004. (3) PB L 108 van 24.4.2002, blz. 33. (4) Richtlijn 2002/20/EG van het Europees Parlement en de Raad van 7 maart 2002 betreffende de machtiging voor elektronische-communicatienetwerken en -diensten (machtigingsrichtlijn) (PB 108 van 24.4.2002, blz. 21). (5) Richtlijn 2002/22/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake de universele dienst en gebruikersrechten met betrekking tot elektronische-communicatienetwerken en -diensten (universeledienstrichtlijn) (PB L 108 van 24.4.2002, blz. 51). (6) Richtlijn 2002/19/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake de toegang tot en interconnectie van elektronische-communicatienetwerken en bijbehorende faciliteiten (toegangsrichtlijn) (PB L 108 van 24.4.2002, blz. 7). (7) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37). (8) Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (PB L 13 van 19.1.2000, blz. 12). (9) Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt (richtlijn inzake elektronische handel) (PB L 178 van 17.7.2000, blz. 1). (10) PB C 48 van 28.2.2003, blz. 2. (11) Richtlijn 97/66/EG van het Europees Parlement en de Raad van 15 december 1997 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector (PB L 24 van 30.1.1998, blz. 1). Richtlijn ingetrokken en vervangen door Richtlijn 2002/58/EG. (12) PB L 281 van 23.11.1995, blz. 31. Richtlijn gewijzigd bij Verordening (EG) nr. 1882/2003 (PB L 284 van 31.10.2003, blz. 1). (13) PB L 200 van 30.7.2002, blz. 38. (14) PB L 204 van 21.7.1998, blz. 37. Richtlijn gewijzigd bij Richtlijn 98/48/EG (PB L 217 van 5.8.1998, blz. 18). (15) Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43). (16) Verordening (EG) nr. 45/2001van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de bescherming van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1). (17) PB C 48 van 28.2.2003, blz. 1. (18) PB L 357 van 31.12.2002, blz. 72. (19) PB L 136 van 31.5.1999, blz. 1. (20) PB L 136 van 31.5.1999, blz. 15. (21) PB L 248 van 16.9.2002, blz. 1. (22) PB 17 van 6.10.1958, blz. 385/58. Verordening laatstelijk gewijzigd bij de Toetredingsakte van 1994. (23) Verordening (EG) nr. 2965/94 van de Raad van 28 november 1994 tot oprichting van een Vertaalbureau voor de organen van de Europese Unie (PB L 314 van 7.12.1994, blz. 1). Verordening laatstelijk gewijzigd bij Verordening (EG) nr. 1645/2003 (PB L 245 van 29.9.2003, blz. 13).