15.12.2012   

NL

Publicatieblad van de Europese Unie

C 388/135

VERSLAG

over de jaarrekening van het Europees Agentschap voor netwerk- en informatiebeveiliging betreffende het begrotingsjaar 2011 vergezeld van de antwoorden van het Agentschap

2012/C 388/23

INLEIDING

1.

Het Europees Agentschap voor netwerk- en informatiebeveiliging (hierna: „Agentschap”), gevestigd te Heraklion, werd opgericht bij Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad (1), gewijzigd bij Verordening (EG) nr. 1007/2008 van het Europees Parlement en de Raad (2) en bij Verordening (EG) nr. 580/2011 (3). Het Agentschap heeft voornamelijk tot taak om, voortbouwend op nationale en Unie-inspanningen, de Unie in staat te stellen om netwerk- en informatiebeveiligingsproblemen beter te voorkomen en het hoofd te bieden (4).

TOELICHTING BIJ DE BETROUWBAARHEIDSVERKLARING

2.

De door de Rekenkamer gehanteerde controleaanpak omvat analytische controleprocedures, rechtstreekse toetsing van verrichtingen en een beoordeling van essentiële controles van de toezicht- en controlesystemen van het Agentschap. Hierbij komt nog controle-informatie die voorkomt uit het werk van andere controleurs (indien relevant) en een analyse van de „management representations”.

BETROUWBAARHEIDSVERKLARING

3.

Overeenkomstig het bepaalde in artikel 287 van het Verdrag betreffende de werking van de Europese Unie controleerde de Rekenkamer de jaarrekening (5) van het Agentschap, die bestaat uit de „financiële staten” (6) en de „verslagen over de uitvoering van de begroting” (7) betreffende het per 31 december 2011 afgesloten begrotingsjaar, alsmede de wettigheid en regelmatigheid van de onderliggende verrichtingen bij die rekening.

De verantwoordelijkheid van de leiding

4.

Als ordonnateur voert de directeur de begroting aan de ontvangsten- en uitgavenzijde uit overeenkomstig de financiële regeling van het Agentschap, onder zijn eigen verantwoordelijkheid en binnen de grens van de toegekende kredieten (8). De directeur is verantwoordelijk voor het opzetten (9) van de organisatorische structuur en van de interne beheers- en controlesystemen en -procedures die van belang zijn om definitieve rekeningen (10) te kunnen opstellen die geen afwijkingen van materieel belang als gevolg van fraude of fouten bevatten en om te verzekeren dat de onderliggende verrichtingen bij deze rekeningen wettig en regelmatig zijn.

De verantwoordelijkheid van de controleur

5.

De Rekenkamer heeft de verantwoordelijkheid om op basis van haar controle het Europees Parlement en de Raad (11) een verklaring voor te leggen over de betrouwbaarheid van de jaarrekening van het Agentschap en over de wettigheid en regelmatigheid van de onderliggende verrichtingen bij die rekening.

6.

De Rekenkamer heeft haar controle uitgevoerd overeenkomstig de internationale controlestandaarden en de regels inzake beroepsethiek van IFAC en de internationale standaarden van hoge controle-instanties van INTOSAI. Volgens die standaarden moet de Rekenkamer de controle zodanig plannen en uitvoeren dat redelijke zekerheid wordt verkregen dat de jaarrekening van het Agentschap geen afwijkingen van materieel belang bevat en de onderliggende verrichtingen bij die rekening wettig en regelmatig zijn.

7.

Een controle houdt in dat procedures worden uitgevoerd om controle-informatie te verkrijgen over de bedragen en mededelingen in de rekeningen en over de wettigheid en regelmatigheid van de onderliggende verrichtingen daarbij. De selectie van de procedures is afhankelijk van het oordeel van de controleur, dat een beoordeling omvat van de risico's op afwijkingen van materieel belang in de rekeningen en op niet-conformiteit van materieel belang van de onderliggende verrichtingen met de EU-regelgeving, hetzij door fraude, hetzij door fouten. Bij deze risicobeoordelingen kijkt de controleur naar de interne controle met betrekking tot de opstelling en getrouwe weergave van de rekeningen en naar de toezicht- en controlesystemen die worden gehanteerd ter waarborging van de wettigheid en regelmatigheid van de onderliggende verrichtingen, om controleprocedures op te zetten die onder de gegeven omstandigheden adequaat zijn. Een controle houdt tevens een beoordeling in van de geschiktheid van de gehanteerde grondslagen voor financiële verslaglegging en van de redelijkheid van de gemaakte boekhoudkundige schattingen, evenals een beoordeling van de algehele presentatie van de rekeningen.

8.

De Rekenkamer is van oordeel dat de verkregen controle-informatie toereikend is en geschikt als grondslag voor de navolgende oordelen.

Oordeel over de betrouwbaarheid van de rekeningen

9.

Naar het oordeel van de Rekenkamer geeft de jaarrekening van het Agentschap (12) op alle materiële punten een getrouw beeld van zijn financiële situatie per 31 december 2011 en van de resultaten van zijn verrichtingen en kasstromen in het op die datum afgesloten jaar, overeenkomstig de bepalingen van zijn financieel reglement en de door de rekenplichtige van de Commissie vastgestelde boekhoudregels (13).

Oordeel over de wettigheid en regelmatigheid van de onderliggende verrichtingen bij de rekeningen

10.

Naar het oordeel van de Rekenkamer zijn de onderliggende verrichtingen bij de jaarrekening van het Agentschap betreffende het per 31 december 2011 afgesloten begrotingsjaar op alle materiële punten wettig en regelmatig.

11.

De hiernavolgende opmerkingen doen niets af aan de oordelen van de Rekenkamer.

OPMERKINGEN OVER HET BUDGETTAIR EN FINANCIEEL BEHEER

12.

Evenals in 2010 beliep de begroting van het Agentschap 8,1 miljoen euro. De begrotingsuitvoering verbeterde in vergelijking met het voorgaande jaar. De naar 2012 overgedragen kredieten bedragen echter 1,1 miljoen euro. Voor titel II (administratieve uitgaven) werd 0,2 miljoen euro (34 %) aan kredieten overgedragen, en voor titel III (beleidsuitgaven) 0,8 miljoen euro (33 %). Dit hoge bedrag aan overdrachten is in strijd met het begrotingsbeginsel van jaarperiodiciteit.

OPMERKINGEN OVER ESSENTIËLE CONTROLES VAN DE TOEZICHT- EN CONTROLESYSTEMEN VAN HET AGENTSCHAP

13.

De Rekenkamer stelde vast dat verbetering van de documentatie van vaste activa noodzakelijk was. Aankopen van vaste activa worden per factuur, en niet per stuk geboekt. Wanneer diverse nieuwe activa in één enkele factuur zijn opgenomen, is er slechts één boeking voor alle aangekochte activa en het totaalbedrag.

OVERIGE OPMERKINGEN

14.

Het Agentschap dient de transparantie van wervingsprocedures te verbeteren. Er werden geen toereikende maatregelen getroffen om het door de Rekenkamer in 2010 gemelde gebrek aan transparantie te verhelpen. De minimaal vereiste score die kandidaten moesten behalen om te worden uitgenodigd voor een gesprek, de vragen voor schriftelijke tests en interviews en de weging ervan werden niet voorafgaand aan het onderzoek van de sollicitaties vastgesteld. Voordat de sollicitaties werden onderzocht, werden geen minimumcijfers vastgesteld die moesten zijn behaald om op een lijst van geschikte kandidaten te worden geplaatst.

Dit verslag werd door kamer IV onder voorzitterschap van de heer Louis GALEA, lid van de Rekenkamer, te Luxemburg vastgesteld op haar vergadering van 11 september 2012.

Voor de Rekenkamer

Vítor Manuel da SILVA CALDEIRA

President

(1)  PB L 77 van 13.3.2004, blz. 1.

(2)  PB L 293 van 31.10.2008, blz. 1.

(3)  PB L 165 van 24.6.2011, blz. 3.

(4)  Ter informatie geeft de bijlage een overzicht van de bevoegdheden en activiteiten van het Agentschap.

(5)  Bij deze rekening is een verslag gevoegd over het budgettair en financieel beheer tijdens het jaar, dat nadere informatie verschaft over de uitvoering en het beheer van de begroting.

(6)  De financiële staten omvatten de balans en de economische resultatenrekening, de tabel van de kasstromen, de staat van de veranderingen van de nettoactiva en een overzicht van belangrijke grondslagen voor financiële verslaglegging en andere toelichtingen.

(7)  De verslagen over de begrotingsuitvoering omvatten ook de resultatenrekening van de begrotingsuitvoering en de bijlage daarbij.

(8)  Artikel 33 van Verordening (EG, Euratom) nr. 2343/2002 van de Commissie (PB L 357 van 31.12.2002, blz. 72).

(9)  Artikel 38 van Verordening (EG, Euratom) nr. 2343/2002.

(10)  De regels inzake de rekening en verantwoording en de boekhouding van de agentschappen zijn vastgelegd in de hoofdstukken 1 en 2 van titel VII van Verordening (EG, Euratom) nr. 2343/2002, zoals laatstelijk gewijzigd bij Verordening (EG, Euratom) nr. 652/2008 (PB L 181 van 10.7.2008, blz. 23), en zijn als zodanig opgenomen in het financieel reglement van het Agentschap.

(11)  Artikel 185, lid 2, van Verordening (EG, Euratom) nr. 1605/2002 (PB L 248 van 16.9.2002, blz. 1).

(12)  De definitieve jaarrekening is op 25 juni 2012 opgesteld en op 2 juli 2012 bij de Rekenkamer ingekomen. De definitieve jaarrekening wordt geconsolideerd met die van de Commissie en vervolgens voor 15 november van het volgende jaar in het Publicatieblad van de Europese Unie bekendgemaakt. Ze is te vinden op de website http://eca.europa.eu of op http://www.enisa.europa.eu/.

(13)  De door de rekenplichtige van de Commissie vastgestelde boekhoudregels zijn afgeleid van de International Public Sector Accounting Standards (IPSAS) uitgebracht door de Internationale Federatie van Accountants (IFAC), of, bij ontbreken daarvan, de International Accounting Standards (IAS)/International Financial Reporting Standards (IFRS), uitgebracht door de International Accounting Standards Board (IASB).

BIJLAGE

Europees Agentschap voor netwerk- en informatiebeveiliging (Heraklion)

Bevoegdheden en activiteiten

Bevoegdheden van de Unie volgens het Verdrag

(Artikel 114)

Het Europees Parlement en de Raad stellen volgens de gewone wetgevingsprocedure en na raadpleging van het Europees Economisch en Sociaal Comité de maatregelen vast inzake de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten die de instelling en de werking van de interne markt betreffen.

De verantwoordelijkheid voor de interne markt is een gedeelde bevoegdheid tussen de Unie en de lidstaten (artikel 4, lid 2, onder a), VWEU).

Bevoegdheden van het Agentschap

(Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad)

Doelstellingen

1.

Het Agentschap stelt de Unie, de lidstaten en bijgevolg het bedrijfsleven in staat om netwerk- en informatiebeveiligingsproblemen beter te voorkomen, aan te pakken en het hoofd te bieden.

2.

Het Agentschap verleent bijstand en geeft advies aan de Commissie en de lidstaten in verband met vraagstukken inzake netwerk- en informatiebeveiliging die vallen onder zijn bevoegdheden zoals die zijn vastgesteld in deze verordening.

3.

Het Agentschap ontwikkelt een hoog niveau van deskundigheid en wendt deze deskundigheid aan om een ruime samenwerking tussen de betrokkenen uit de publieke en particuliere sector te bevorderen.

4.

Het Agentschap assisteert de Commissie desgevraagd bij de technische voorbereiding van de aanpassing en de ontwikkeling van de communautaire wetgeving op het gebied van netwerk- en informatiebeveiliging.

Taken

a)

Informatie verzamelen over bestaande en nieuwe risico's die gevolgen hebben voor elektronische-communicatienetwerken;

b)

advies en bijstand verlenen aan het Europees Parlement, de Commissie, Europese instanties of bevoegde nationale instanties;

c)

de samenwerking tussen de verschillende spelers op het betrokken terrein versterken;

d)

de samenwerking inzake gemeenschappelijke methoden bevorderen, teneinde problemen op het gebied van de netwerk- en informatiebeveiliging aan te pakken;

e)

bijdragen tot de bewustmaking van alle gebruikers van netwerk- en informatiebeveiliging, onder andere door stimulering van de uitwisseling van actuele beste praktijken, waaronder waarschuwingsmethoden voor gebruikers, en het creëren van synergie tussen initiatieven uit de openbare en particuliere sector;

f)

de Commissie en de lidstaten assisteren bij de dialoog met het bedrijfsleven;

g)

de ontwikkeling van standaarden voor producten en diensten op het gebied van netwerk- en informatiebeveiliging volgen;

h)

de Commissie adviseren inzake onderzoek op het gebied van netwerk- en informatiebeveiliging en over het effectieve gebruik van risicopreventietechnologieën;

i)

activiteiten op het gebied van risicoanalyse inzake preventief beheer binnen organisaties stimuleren;

j)

bijdragen tot de samenwerking met derde landen en internationale organisaties;

k)

onafhankelijke conclusies, beleidslijnen en adviezen formuleren betreffende vraagstukken die tot zijn taakgebied behoren.

Bestuur

Raad van bestuur

Eén vertegenwoordiger per lidstaat, drie door de Commissie benoemde vertegenwoordigers, en drie door de Commissie voorgestelde en door de Raad benoemde vertegenwoordigers zonder stemrecht die ieder een van de volgende groepen vertegenwoordigen:

a)

de ict-industrie;

b)

consumentenorganisaties;

c)

universitaire deskundigen op het gebied van netwerk- en informatiebeveiliging.

Permanente groep van belanghebbenden

30 deskundigen op hoog niveau die de betrokken belanghebbenden vertegenwoordigen, zoals de informatie- en communicatietechnologie-industrie, consumentengroeperingen en academische deskundigen op het gebied van netwerk- en informatiebeveiliging;

na een open uitnodiging worden de leden gekozen door de uitvoerend directeur, die — nadat hij de raad van bestuur van zijn besluit in kennis heeft gesteld — de geselecteerde kandidaat op persoonlijke titel aanstelt voor een mandaat van tweeënhalf jaar.

Uitvoerend directeur

Benoemd door de raad van bestuur op basis van een kandidatenlijst die door de Europese Commissie wordt voorgesteld en na een hoorzitting in het Europees Parlement, voor een termijn van vijf jaar.

Externe controle

Europese Rekenkamer.

Interne audit

Dienst Interne Audit van de Europese Commissie.

Kwijtingverlenende autoriteit

Europees Parlement, op aanbeveling van de Raad.

In 2011 (2010) ter beschikking van het Agentschap gestelde middelen

Definitieve begroting

8,1 miljoen euro (8,1 miljoen euro), waarvan 100 % (100 %) EU-subsidie.

Personeelsbestand per 31 december 2011

44 (44) posten opgenomen in de lijst van het aantal ambten, waarvan 41 (40) bezet.

Andere dienstverbanden: 13 (11) arbeidscontractanten, 4 (2) gedetacheerde nationale deskundigen.

Totaalaantal personeelsleden: 58 (53), waarvan er:

40 (34) uitvoerende, en

18 (19) administratieve taken verrichten.

In 2011 (2010) geleverde producten en diensten

WS  (1) 1:   Enisa als katalysator voor een verbeterde samenwerking

Het hoofddoel van de eerste werkstroom was de Europese Commissie en de lidstaten te ondersteunen bij het voortbouwen op de huidige samenwerkingsregelingen ter intensivering van de uitwisseling van informatie en van de samenwerking tussen de lidstaten. Hieronder valt het verschaffen van gegevens en adviezen aan de Commissie teneinde haar bij te staan bij het opstellen van nieuwe regelgeving alsmede bijhet onderkennen en bevorderen van goede praktijken ter onderbouwing van dergelijke regelgeving. Dit werk diende als inspiratie voor de — daarin tevens in aanmerking genomen — besprekingen binnen het Europees Forum voor de lidstaten (EFMS) en het Europees publiek-privaat partnerschap voor veerkracht (EP3R). De op te lossen problemen zijn in andere documenten beschreven, met name de mededelingen van de Europese Commissie inzake veiligheid (COM(2006) 251), de CIIP (COM(2009) 149), waarin het belang van netwerk- en informatiebeveiliging en veerkracht voor het creëren van een gemeenschappelijke Europese Informatieruimte wordt benadrukt, en de Digitale Agenda. Naarmate de onderlinge afhankelijkheid complexer wordt, kan de ontwrichting van één infrastructuur eenvoudig doorwerken over de grenzen heen (in geografisch en juridisch opzicht), alsmede in andere infrastructuren, en door heel Europa impact hebben. Het mondiale karakter van de telecommunicatie-industrie vergt een gemeenschappelijke benadering om zaken als veerkracht en beveiliging van openbare communicatienetwerken aan te pakken.

Aantal producten: 13

WS2:   Verbetering pan-Europese CIIP  (2) & veerkracht

De doelstelling van werkstroom 2 is, de lidstaten bij te staan bij het implementeren van veilige en veerkrachtige ICT-systemen en tot een hoger beveiligingsniveau van kritieke informatie-infrastructuren en –diensten in Europa te komen.

Deze werkstroom sluit nauw aan bij het CIIP-actieplan, omschreven in de mededeling van de Commissie van maart 2009 en maart 2011. Veel van dit werk draagt ook rechtstreeks bij tot doelstellingen die zijn opgenomen in het document over de interne veiligheidsstrategie, evenals de Digitale Agenda. Werkpakketten op het gebied van CIIP liggen per definitie grotendeels in het verlengde van werk dat als onderdeel van het werkprogramma van 2010 werd verricht.

Meer in het bijzonder kent deze werkstroom de volgende doelstellingen:

verbetering van de operationele capaciteit van de lidstaten om de relevante belanghebbenden te helpen hun efficiëntie en effectiviteit te verbeteren;

ondersteuning en bevordering van toepassingen op pan-Europees niveau;

onderkennen en aangaan van de uitdagingen op het gebied van informatiebeveiliging in de CIIP;

onderkennen en aanpakken van vraagstukken op het gebied van informatiebeveiliging in de ICT en onderling verbonden netwerken;

ondersteunen van de EU-VS-werkgroep cyberbeveiliging en cybercriminaliteit, die in het kader van de EU-VS-top van 20 november 2010 werd ingesteld.

Aantal producten: 16

WS3:   Enisa als stimulans voor privacy & vertrouwen

WS3 bestond uit vier werkpakketten (WPK):

begrip en analyse van economische prikkels en belemmeringen voor informatiebeveiliging;

waarborgen dat privacy, identiteit en vertrouwen op de juiste wijze zijn geïntegreerd in nieuwe diensten;

ondersteunen van de tenuitvoerlegging van artikel 4 van de ePrivacy-richtlijn (2002/58/EG);

bevorderen van het instellen van een Europese maand voor cyberveiligheid.

In het eerste WPK werden de economische belemmeringen en prikkels voor de verbetering van informatiebeveiliging op pan-Europees niveau geanalyseerd. Enisa analyseerde economische drijfveren en belemmeringen op juridisch, beleidsmatig, technisch en onderwijsgebied en stelde mogelijke verbeteringen vast.

In het tweede WPK werd onderzocht hoe privacy, identiteit en vertrouwen zijn geïntegreerd in nieuwe diensten, waarbij aanbevelingen voor verbeteringen werden gedaan. Het doel was, de huidige ontwikkelingen in de privacybescherming van individuele personen alsmede in de verbetering van het vertrouwensniveau in netwerkdiensten te beoordelen en te evalueren.

Het derde WPK betrof de ondersteuning die Enisa biedt bij de tenuitvoerlegging van artikel 4 van de ePrivacy-richtlijn. Dit vormde de voortzetting van de samenwerking met artikel 29, de EDPS (de Europese controleambtenaar voor gegevensbescherming) alsmede de Europese Commissie (DG’s JUST en INFSO), en was erop gericht na te gaan hoe de bepalingen van artikel 4 op EU-niveau praktisch moeten worden toegepast.

Ten slotte werkte Enisa samen met de lidstaten aan de organisatie van een Europese maand voor cyberveiligheid.

Aantal producten: 5

Bron: Door het Agentschap verstrekte gegevens.

(1)  WS: Werkstroom.

(2)  CIIP: bescherming van kritieke informatie-infrastructuren.

Bron: Door het Agentschap verstrekte gegevens.

ANTWOORDEN VAN HET AGENTSCHAP

12.

Zoals de Rekenkamer heeft bevestigd, is de begrotingsuitvoering in 2011 verbeterd. Teneinde de overgedragen kredieten verder te reduceren, is het Agentschap tijdig begonnen met de planning van de aanbestedingen voor 2012; het is gelukt om in het laatste kwartaal van 2011 te starten met de aanbestedingsprocedures met betrekking tot de activiteiten in het werkprogramma voor 2012. Eind 2012 zouden de resultaten van deze praktijk zichtbaar moeten worden.

13.

Met de invoering van ABAC heeft het Agentschap het beheer van de activa gestroomlijnd; ABAC is de beheersmodule die door de Commissie is geïntroduceerd en die door de instellingen en agentschappen wordt gebruikt. Dit hulpmiddel, dat in 2012 volledig operationeel is geworden, voorziet in een eenduidige identificatie van alle geregistreerde activa; hiermee is geheel tegemoetgekomen aan de opmerking van de Rekenkamer.

14.

Het Agentschap heeft op 2 maart 2012 richtsnoeren voor personeelswerving vastgesteld die volledig in lijn zijn met de opmerkingen van de Rekenkamer. De leden van de selectiecomités krijgen deze richtsnoeren uitgereikt zodra zij door de uitvoerend directeur zijn benoemd.