EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52010PC0521
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL Concerning the European Network and Information Security Agency (ENISA)
Wniosek ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY w sprawie Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA)
Wniosek ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY w sprawie Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA)
/* COM/2010/0521 wersja ostateczna */
52010PC0521
[pic] | KOMISJA EUROPEJSKA | Bruksela, dnia 30.9.2010 KOM(2010) 521 wersja ostateczna 2010/0275 (COD) Wniosek ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY w sprawie Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) {SEC(2010) 1126}{SEC(2010) 1127} UZASADNIENIE 1. KONTEKST WNIOSKU 1.1. Kontekst polityczny Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA) ustanowiono w marcu 2004 r. rozporządzeniem 460/2004[1], początkowo na okres pięciu lat, a jej głównym celem było „ zapewnienie wysokiego i skutecznego poziomu bezpieczeństwa sieci i informacji [w Unii], […] oraz rozwijanie kultury bezpieczeństwa sieci i informacji na rzecz: obywateli, konsumentów, przedsiębiorstw oraz organizacji sektora publicznego Unii Europejskiej, a zatem, zapewnienie płynnego funkcjonowania rynku wewnętrznego .” Rozporządzeniem (WE) nr 1007/2008[2] przedłużono mandat ENISA do marca 2012 r. Przedłużenie mandatu ENISA w 2008 r. zapoczątkowało również debatę w sprawie ogólnego kierunku starań o zwiększenie bezpieczeństwa sieci i informacji, w którą Komisja wniosła wkład, organizując konsultacje społeczne w sprawie możliwych celów udoskonalonej polityki w tej dziedzinie na poziomie Unii. W ramach trwających od listopada 2008 r. do stycznia 2009 r. konsultacji uzyskano prawie 600 opinii[3]. Dnia 30 marca 2009 r. Komisja przyjęła komunikat w sprawie ochrony krytycznej infrastruktury informatycznej[4] skupiający się na ochronie Europy przed atakami i zakłóceniami cybernetycznymi poprzez zwiększenie gotowości, bezpieczeństwa i odporności, obejmujący plan działania, w którym wzywa się ENISA do odegrania roli polegającej głównie na zapewnieniu wsparcia dla państw członkowskich. Plan działania spotkał się z szeroką aprobatą podczas dyskusji w trakcie konferencji ministerialnej w sprawie ochrony krytycznej infrastruktury informatycznej (CIIP), która odbyła się w Tallinie, w Estonii, w dniach 27 i 28 kwietnia 2009 r.[5] W konkluzjach prezydencji UE dotyczących konferencji podkreślono wagę „wykorzystania wsparcia operacyjnego” ze strony ENISA; stwierdza się w nich, że ENISA „jest cennym narzędziem stymulowania wspólnych starań w tej dziedzinie na całym obszarze UE” oraz wskazuje się na potrzebę przemyślenia i ponownego sformułowania mandatu Agencji „aby lepiej skupić się na priorytetach i potrzebach UE; osiągnąć bardziej elastyczną zdolność reagowania; rozwinąć umiejętności i kompetencje ; oraz stymulować skuteczność operacyjną agencji i jej ogólny wpływ”, aby Agencja „mogła mieć trwałą wartość dla każdego państwa członkowskiego i Unii Europejskiej jako całości”. Po dyskusji w ramach Rady ds. Telekomunikacji z dnia 11 czerwca 2009 r., w trakcie której państwa członkowskie wyraziły poparcie dla przedłużenia mandatu ENISA i przydzielenia jej dodatkowych zasobów ze względu na wagę bezpieczeństwa sieci i informacji oraz zmieniające się wyzwania w tej dziedzinie, debata została zamknięta przez prezydencję szwedzką Unii. W rezolucji Rady z dnia 18 grudnia 2009 r. w sprawie wspólnego europejskiego podejścia do bezpieczeństwa sieci i informacji[6] uznaje się rolę i potencjał ENISA oraz potrzebę „dalszego rozwoju tej agencji, by uczynić z niej efektywny organ”. Podkreśla się także konieczność modernizacji i wzmocnienia Agencji, aby mogła ona wspierać Komisję i państwa członkowskie jako pomost między światem technologii a światem polityki oraz pełnić funkcję unijnego centrum wiedzy specjalistycznej w sprawach związanych z bezpieczeństwem sieci i informacji. 1.2. Kontekst ogólny Technologie informacyjno-komunikacyjne (TIK) stały się podstawą europejskiej gospodarki i społeczeństwa jako całości. Technologie te są podatne na zagrożenia, których nie powstrzymują już granice krajowe i które zmieniają się wraz z rozwojem techniki i sytuacji rynkowej. Ponieważ cechuje je globalny zasięg oraz wzajemne połączenia i wzajemne zależności z innymi infrastrukturami, ich bezpieczeństwa i odporności nie mogą zagwarantować wyłącznie krajowe i nieskoordynowane podejścia. Jednocześnie wyzwania związane z bezpieczeństwem sieci i informacji szybko ewoluują. Sieci i systemy informatyczne muszą być skutecznie chronione przed wszelkiego rodzaju zakłóceniami i awariami, w tym atakami dokonywanymi przez ludzi. Polityka w zakresie bezpieczeństwa sieci i informacji odgrywa kluczową rolę w europejskiej agendzie cyfrowej[7], flagowej inicjatywie realizowanej w ramach unijnej strategii „Europa 2020”, której celem jest wykorzystanie i rozwój potencjału TIK oraz przełożenie tego potencjału na zrównoważony rozwój i innowacje. Kluczowymi priorytetami europejskiej agendy cyfrowej są zachęcanie do wdrażania TIK oraz zwiększanie zaufania do społeczeństwa informacyjnego. ENISA została pierwotnie utworzona w celu zapewnienia wysokiego i skutecznego poziomu bezpieczeństwa sieci i informacji w Unii. Doświadczenie uzyskane w związku z Agencją oraz wyzwania i zagrożenia wskazują na konieczność unowocześnienia jej mandatu, aby dopasować go lepiej do potrzeb Unii Europejskiej wynikających z: - rozdrobnienia podejść krajowych w kwestii reagowania na zmieniające się wyzwania; - braku modeli współpracy w realizacji polityk bezpieczeństwa sieci i informacji; - niewystarczającego poziomu gotowości wynikającego również z ograniczonej europejskiej zdolności wczesnego ostrzegania i reagowania; - braku wiarygodnych danych w skali europejskiej i ograniczonej wiedzy o ewoluujących problemach; - niskiego stopnia świadomości zagrożeń i wyzwań związanych z bezpieczeństwem sieci i informacji; - wyzwania związanego z włączeniem aspektów bezpieczeństwa sieci i informacji w polityki służące bardziej efektywnemu zwalczaniu cyberprzestępczości. 1.3. Cele polityczne Celem ogólnym rozporządzenia będącego przedmiotem wniosku jest umożliwienie Unii, państwom członkowskim i zainteresowanym stronom uzyskania wysokiego poziomu zdolności i gotowości do zapobiegania problemom w zakresie bezpieczeństwa sieci i informacji, wykrywania ich oraz skuteczniejszego reagowania na nie. Pomoże to budować zaufanie, które jest podstawą rozwoju społeczeństwa informacyjnego, poprawić konkurencyjność przedsiębiorstw europejskich oraz zapewnić efektywne funkcjonowanie rynku wewnętrznego. 1.4. Obowiązujące przepisy w dziedzinie, której dotyczy wniosek Niniejszy wniosek stanowi uzupełnienie regulacyjnych i nieregulacyjnych inicjatyw dotyczących polityki w dziedzinie bezpieczeństwa sieci i informacji, podjętych na poziomie Unii w celu zwiększenia bezpieczeństwa i odporności TIK. - W planie działań zainicjowanym komunikatem w sprawie ochrony krytycznej infrastruktury informatycznej przewidziano utworzenie dwóch podmiotów: - europejskiego forum państw członkowskich (ang. European Forum for Member States, EFMS), ukierunkowanego na pobudzanie dyskusji i wymianę dobrych praktyk na rzecz ustalenia wspólnych celów politycznych i priorytetów w zakresie bezpieczeństwa i odporności infrastruktury TIK, korzystającego również bezpośrednio z prac Agencji i udzielanego przez nią wsparcia; - europejskiego partnerstwa publiczno-prywatnego na rzecz odporności (ang. European Public Private Partnership for Resilience , EP3R), które stanowi elastyczne ramy europejskie w zakresie zarządzania odpornością infrastruktury TIK i którego działalność polega na promowaniu współpracy między sektorem publicznym i sektorem prywatnym w zakresie celów, podstawowych wymagań, dobrych praktyk i środków dotyczących bezpieczeństwa i odporności. - Program sztokholmski, przyjęty przez Radę Europejską w dniu 11 grudnia 2009 r., promuje polityki zapewniające bezpieczeństwo sieci i umożliwiające szybsze reagowanie na wypadek ataków cybernetycznych w Unii. - Wspomniane inicjatywy przyczyniają się do urzeczywistnienia europejskiej agendy cyfrowej. Polityki w zakresie bezpieczeństwa sieci i informacji odgrywają kluczową rolę w tej części strategii, która skupia się na poprawie zaufania i bezpieczeństwa w społeczeństwie informacyjnym. Stanowią one również uzupełnienie środków wspierających i polityki w zakresie ochrony prywatności (w szczególności „poszanowanie prywatności od samego początku”) i danych osobowych (przegląd ram), sieci CPC, zarządzania tożsamością, a także programu „Safer Internet” („Bezpieczniejszy Internet”). 1.5. Rozwój sytuacji w zakresie obecnej polityki bezpieczeństwa sieci i informacji w związku z wnioskiem W przypadku niektórych bieżących działań w zakresie polityki bezpieczeństwa sieci i informacji, zwłaszcza tych, które zostały zapowiedziane w europejskiej agendzie cyfrowej, wykorzystuje się wsparcie i wiedzy specjalistycznej ENISA. Obejmują one: - Wzmocnienie polityki bezpieczeństwa sieci i informacji poprzez intensyfikację działań w ramach europejskiego forum państw członkowskich (EFMS) , które, korzystając z bezpośredniego wsparcia ENISA, pomoże: - określić sposoby ustanowienia efektywnej sieci europejskiej poprzez współpracę transgraniczną między krajowymi/rządowymi zespołami reagowania na incydenty komputerowe (CERT); - ustalić długookresowe cele i priorytety w odniesieniu do zakrojonych na szeroką skalę ćwiczeń ogólnoeuropejskich na wypadek incydentów w zakresie bezpieczeństwa sieci i informacji; - wykorzystać minimalne wymogi w ramach udzielania zamówień publicznych do poprawy bezpieczeństwa i odporności systemów i sieci publicznych; - określić bodźce o charakterze ekonomicznym i regulacyjnym sprzyjające bezpieczeństwu i odporności; - ocenić stan bezpieczeństwa sieci i informacji w Europie. - Wzmocnienie współpracy i partnerstwa między sektorem publicznym i sektorem prywatnym poprzez wsparcie europejskiego partnerstwa publiczno-prywatnego na rzecz odporności (EP3R) . ENISA odgrywa coraz większą rolę w ułatwianiu spotkań i działalności EP3R. Koleje działania EP3R będą obejmować: - dyskusje poświęcone innowacyjnym środkom i instrumentom służącym poprawie bezpieczeństwa i odporności, takim jak np.: - podstawowe wymogi dotyczące bezpieczeństwa i odporności, w szczególności w zakresie udzielania zamówień publicznych na produkty i usługi TIK, w celu zapewnienia równych szans i przy jednoczesnym zagwarantowaniu odpowiedniego poziomu gotowości i zapobiegania; - analiza kwestii związanych z odpowiedzialnością podmiotów gospodarczych, np. w przypadku wprowadzania przez nich minimalnych wymogów bezpieczeństwa; - bodźce ekonomiczne dla rozwoju i wdrażania metod zarządzania ryzykiem, procesów i produktów dotyczących bezpieczeństwa; - systemy oceny ryzyka i zarządzania ryzykiem służące ocenie poważnych incydentów i reagowaniu na nie według wspólnej podstawy odniesienia; - współpraca między sektorem prywatnym i sektorem publicznym na wypadek incydentów o dużym zasięgu; - organizacja szczytu biznesowego poświęconego korzystnym i niekorzystnym czynnikom ekonomicznym dotyczącym bezpieczeństwa i odporności. - Praktyczne wdrożenie wymogów bezpieczeństwa określonych w pakiecie regulacyjnym w sprawie łączności elektronicznej, do czego niezbędna jest wiedza specjalistyczna i pomoc ENISA, aby: - wspierać państwa członkowskie i Komisję, z uwzględnieniem, w stosownych przypadkach, opinii sektora prywatnego, w procesie ustanowienia ram w zakresie zasad i procedur służących wdrożeniu przepisów dotyczących powiadomień o naruszeniu bezpieczeństwa (określonych w art. 13a zrewidowanej dyrektywy ramowej); - ustanowić doroczne forum skupiające właściwe organy krajowe/krajowe organy regulacyjne ds. bezpieczeństwa sieci i informacji oraz zainteresowane strony z sektora prywatnego w celu przedyskutowania zdobytych doświadczeń oraz wymiany dobrych praktyk w kwestii stosowania środków regulacyjnych w tej dziedzinie. - Ułatwianie ogólnounijnych ćwiczeń w zakresie gotowości w dziedzinie bezpieczeństwa cybernetycznego przy wsparciu Komisji i udziale ENISA, z myślą o rozszerzeniu ich na późniejszym etapie na poziomie międzynarodowym. - Ustanowienie zespołu reagowania na incydenty komputerowe (CERT) dla instytucji UE . Główne działanie 6 określone w europejskiej agendzie cyfrowej dotyczy przedstawienia przez Komisję „środków ukierunkowanych na prowadzenie na wysokim szczeblu udoskonalonej polityki w zakresie bezpieczeństwa sieci i informacji, w tym […] środków umożliwiających szybsze reagowanie na wypadek ataków cybernetycznych, w tym CERT dla instytucji UE”[8]. Wymagać to będzie od Komisji i innych instytucji unijnych przeprowadzenia analizy oraz utworzenia zespołu reagowania na incydenty komputerowe, na potrzeby którego ENISA może zapewnić wsparcie techniczne i wiedzę specjalistyczną. - Mobilizowanie i wspieranie państw członkowskich w zakresie ustalania składu oraz, w razie konieczności, inicjowania działalności krajowych/rządowych CERT w celu ustanowienia dobrze funkcjonującej sieci CERT obejmującej całą Europę . Wspomniane działanie przyczyni się również do rozwoju europejskiego systemu wymiany informacji i wczesnego ostrzegania (EISAS), przeznaczonego dla obywateli i MŚP, który ma zostać zbudowany z wykorzystaniem środków i zasobów krajowych do końca 2012 r. - Podnoszenie świadomości wyzwań związanych z bezpieczeństwem sieci i informacji, co obejmować będzie: - współdziałanie Komisji z ENISA przy opracowywaniu wytycznych dotyczących promowania norm, dobrych praktyk oraz kultury zarządzania ryzykiem w zakresie bezpieczeństwa sieci i informacji. Przygotowany zostanie pierwszy zestaw wytycznych. - zorganizowanie przez ENISA, we współpracy z państwami członkowskimi, „ europejskiego miesiąca bezpieczeństwa sieci i informacji dla wszystkich ” obejmującego organizację krajowych/europejskich konkursów dotyczących bezpieczeństwa cybernetycznego. 1.6. Spójność z pozostałymi obszarami polityki i celami Unii Wniosek jest spójny z obowiązującą polityką i celami Unii Europejskiej oraz w pełni zgodny z celem dotyczącym wspierania sprawnego funkcjonowania rynku wewnętrznego poprzez zwiększenie gotowości i zdolności do reagowania na wyzwania związane z bezpieczeństwem sieci i informacji. 2. WYNIKI KONSULTACJI I OCENY WPŁYWU 2.1. Konsultacje z zainteresowanymi stronami Niniejsza inicjatywa dotycząca polityki jest rezultatem szerokiej dyskusji prowadzonej w oparciu o globalne podejście oraz z poszanowaniem zasad udziału, otwartości, odpowiedzialności, skuteczności i spójności. Ten szeroko zakrojony proces obejmował ocenę Agencji w latach 2006-2007, a następnie zalecenia zarządu ENISA, dwie tury konsultacji społecznych (w roku 2007 i w latach 2008-2009) oraz szereg warsztatów poświęconych kwestiom związanym z bezpieczeństwem sieci i informacji. Pierwsza tura konsultacji społecznych została zainicjowana w związku z komunikatem Komisji w sprawie oceny okresowej ENISA. W ramach tych konsultacji, które trwały od 13 czerwca do 7 września 2007 r., skupiono się na przyszłości Agencji oraz uzyskano łącznie 44 opinie on-line oraz dwie opinie na piśmie. Odpowiedzi zostały przekazane przez różne zainteresowane strony, w tym ministerstwa państw członkowskich, organy regulacyjne, stowarzyszenia branżowe i konsumenckie, instytucje akademickie, przedsiębiorstwa oraz pojedynczych obywateli. W odpowiedziach wskazano szereg interesujących kwestii dotyczących: ewolucji scenariusza zagrożenia; potrzeby wyjaśnienia i uelastycznienia rozporządzenia, aby umożliwić dostosowanie ENISA do wyzwań; znaczenia zapewnienia skutecznej interakcji z zainteresowanymi stronami; oraz możliwości ograniczonego wzrostu jej zasobów. Druga tura konsultacji społecznych, która trwała od 7 listopada 2008 r. do 9 stycznia 2009 r., miała określić priorytetowe cele w zakresie udoskonalonej polityki bezpieczeństwa sieci i informacji na poziomie europejskim oraz sposoby realizacji tych celów. Otrzymano prawie 600 opinii od organów państw członkowskich, instytucji akademickich/badawczych, stowarzyszeń branżowych, prywatnych przedsiębiorstw oraz innych zainteresowanych stron, m.in. podmiotów zajmujących się ochroną danych, firm doradczych i osób prywatnych. Znaczna większość respondentów[9] poparła przedłużenie mandatu Agencji oraz postulowała wzmocnienie jej roli w koordynacji działań w zakresie bezpieczeństwa sieci i informacji na poziomie europejskim, a także zwiększenie jej zasobów. Jako kluczowe priorytety wskazano potrzebę przyjęcia bardziej skoordynowanego podejścia do kwestii zagrożeń cybernetycznych w Europie, współpracę transgraniczną w zakresie reagowania na zakrojone na szeroką skalę ataki cybernetyczne, budowę zaufania oraz lepszą wymianę informacji między zainteresowanymi stronami. Ocena skutków dotycząca wniosku, która rozpoczęła się we wrześniu 2009 r., została przeprowadzona w oparciu o studium przygotowawcze wykonane przez konsultanta zewnętrznego. Wzięło w niej szereg różnych zainteresowanych stron i ekspertów. Wśród uczestników znalazły się instytucje z państw członkowskich zajmujące się bezpieczeństwem sieci i informacji, krajowe organy regulacyjne, operatorzy telekomunikacyjni i dostawcy usług internetowych, a także ich stowarzyszenia branżowe, stowarzyszenia konsumenckie, producenci z branży TIK, zespoły reagowania na incydenty komputerowe (CERT), środowisko akademickie oraz użytkownicy komercyjni. W celu ułatwienia procesu oceny skutków utworzono zespół kierujący złożony z przedstawicieli różnych służb, w którego skład weszli przedstawiciele odpowiednich dyrekcji generalnych Komisji. 2.2. Ocena skutków Ustalono, że właściwym rozwiązaniem umożliwiającym realizację celów polityki europejskiej jest zachowanie Agencji[10]. Po dokonaniu wstępnego przeglądu do dalszej analizy wybrano pięć wariantów polityki: - Wariant 1 — brak polityki; - Wariant 2 — kontynuacja dotychczasowej polityki, tzn. z podobnym mandatem i przy takim samym poziomie zasobów; - Wariant 3 — rozszerzenie zadań ENISA poprzez włączenie organów odpowiedzialnych za egzekwowanie prawa i ochronę prywatności jako pełnoprawnych zainteresowanych stron; - Wariant 4 — dodanie do zakresu zadań Agencji funkcji w zakresie zwalczania ataków cybernetycznych i reagowania na incydenty cybernetyczne; - Wariant 5 — dodanie do zakresu zadań Agencji funkcji w zakresie wspierania organów odpowiedzialnych za egzekwowanie prawa i organów sądowych w zwalczaniu cyberprzestępczości. W wyniku przeprowadzenia analizy porównawczej kosztów i korzyści ustalono, że wariant 3 zapewnia osiągnięcie celów politycznych w najbardziej efektywny i skuteczny sposób. Wariant 3 przewiduje większą rolę ENISA, która skupiać się będzie na: - budowie i utrzymaniu sieci kontaktów między zainteresowanymi stronami oraz sieci wiedzy, aby zapewnić ENISA kompleksowe informacje dotyczące stanu bezpieczeństwa sieci i informacji w Europie; - pełnieniu funkcji ośrodka wsparcia w zakresie opracowywania i realizacji polityki bezpieczeństwa sieci i informacji (w szczególności pod kątem kwestii prywatności w łączności elektronicznej, podpisu elektronicznego, identyfikacji elektronicznej oraz zasad udzielania zamówień dotyczących bezpieczeństwa sieci i informacji); - wspieraniu polityki UE w zakresie ochrony krytycznej infrastruktury informatycznej i odporności (np. ćwiczenia, EP3R, europejski system wymiany informacji i wczesnego ostrzegania itp.); - ustanowieniu unijnych ram prawnych dotyczących gromadzenia danych na temat bezpieczeństwa sieci i informacji, w tym rozwoju metod i praktyk w zakresie ich legalnego przekazywania i wymiany; - analizie aspektów gospodarczych związanych z bezpieczeństwem sieci i informacji; - stymulowaniu współpracy z państwami trzecimi i organizacjami międzynarodowymi w celu promowania wspólnego globalnego podejścia do bezpieczeństwa sieci i informacji oraz wprowadzenia w życie międzynarodowych inicjatyw wysokiego szczebla w Europie; - wykonywaniu zadań nieoperacyjnych związanych z bezpieczeństwem sieci i informacji w aspektach egzekwowania prawa i współpracy sądowej w obszarze cyberprzestępczości. 3. ASPEKTY PRAWNE WNIOSKU 3.1. Krótki opis proponowanych działań Rozporządzenie będące przedmiotem wniosku ma na celu wzmocnienie i zmodernizowanie Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz ustanowienie nowego mandatu na okres pięciu lat. W stosunku do pierwotnego rozporządzenia wniosek przewiduje pewne kluczowe zmiany: 1. Zwiększenie elastyczności, przystosowalności i zdolności do koncentracji działań . Zadania zostały zasadniczo zaktualizowane i przeformułowane, aby poszerzyć zakres działalności Agencji; są one wystarczająco precyzyjne, aby określić środki, za pomocą których mają zostać zrealizowane cele. Pozwala to na wyraźniejsze określenie misji Agencji, zwiększenie możliwości osiągania przez nią celów i wzmocnienie jej zadań w zakresie wsparcia realizacji polityki Unii. 2. Lepsze dostosowanie Agencji do procesu tworzenia polityki i prawa Unii . Instytucje i organy europejskie mogą zwracać się do Agencji w celu uzyskania pomocy i doradztwa. Jest to zgodne z rozwojem sytuacji politycznej i prawnej: w swoich rezolucjach Rada zaczęła odnosić się bezpośrednio do Agencji, a Parlament Europejski i Rada powierzyły Agencji realizację zadań związanych z bezpieczeństwem sieci i informacji w kontekście ram regulacyjnych łączności elektronicznej. 3. Powiązanie ze zwalczaniem cyberprzestępczości . W realizacji swoich celów Agencja uwzględnia zwalczanie cyberprzestępczości. Organy odpowiedzialne za egzekwowanie prawa i ochronę prywatności stają się dla Agencji pełnoprawnymi zainteresowanymi stronami, w szczególności w ramach Stałej Grupy Przedstawicieli Zainteresowanych Stron. 4. Wzmocnienie struktury zarządzania . Wniosek przewiduje wzmocnienie roli nadzorczej zarządu Agencji, w którym reprezentowane są państwa członkowskie oraz Komisja. Zarząd może np. wydawać ogólne wytyczne w sprawach dotyczących personelu, co było wcześniej wyłącznym zadaniem dyrektora wykonawczego. Może również ustanawiać grupy robocze, które będą pomagać w realizacji jego zadań, w tym w zakresie monitorowania wykonania jego decyzji. 5. Uproszczenie procedur . Procedury, które okazały się niepotrzebnym obciążeniem, zostają uproszczone. Na przykład: a) uproszczona zostaje procedura dotycząca regulaminu wewnętrznego zarządu, b) opinia na temat programu pracy ENISA jest wydawana przez służby Komisji, a nie w drodze decyzji Komisji. Przyznaje się również odpowiednie zasoby zarządowi na wypadek konieczności podejmowania przez niego decyzji wykonawczych oraz ich wdrażania (np. w przypadku wniesienia przez członka personelu skargi przeciwko dyrektorowi wykonawczemu lub samemu zarządowi). 6. Stopniowe zwiększanie zasobów . Aby umożliwić realizację udoskonalonych priorytetów europejskich oraz sprostanie coraz większym wyzwaniom, bez uszczerbku dla wniosku Komisji dotyczącego kolejnych wieloletnich ram finansowych, przewiduje się stopniowe zwiększanie zasobów finansowych i ludzkich Agencji w latach 2012–2016. Na podstawie wniosku Komisji dotyczącego rozporządzenia określającego wieloletnie ramy finansowe dla okresu po 2013 r. oraz przy uwzględnieniu wniosków wynikających z oceny skutków, Komisja przedstawi zmienioną ocenę skutków finansowych regulacji. 7. Możliwość przedłużenia kadencji dyrektora wykonawczego . Zarząd może przedłużyć kadencję dyrektora wykonawczego o trzy lata. 3.2. Podstawa prawna Podstawę prawną niniejszego wniosku stanowi art. 114 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE)[11]. Zgodnie z wyrokiem Europejskiego Trybunału Sprawiedliwości[12], przed wejściem w życie traktatu lizbońskiego, art. 95 Traktatu WE uznano za stosowną podstawę prawną dla utworzenia podmiotu mającego na celu zapewnienie wysokiego i efektywnego poziomu bezpieczeństwa sieci i informacji w Unii. Poprzez zastosowanie w art. 95 wyrażenia „środki dotyczące zbliżenia” autorzy traktatu zamierzali pozostawić prawodawcy unijnemu swobodę wyboru właściwych środków w celu realizacji oczekiwanego rezultatu. Poprawa bezpieczeństwa i odporności infrastruktur TIK jest zatem ważnym elementem przyczyniającym się do sprawnego funkcjonowania rynku wewnętrznego. Zgodnie z traktatem lizbońskim , art. 114 TFUE [13] opisuje — w prawie identyczny sposób — odpowiedzialność za sprawy rynku wewnętrznego. Ze względów przedstawionych powyżej stanowić on będzie nadal stosowną podstawę prawną dla przyjęcia środków służących poprawie bezpieczeństwa sieci i informacji. Odpowiedzialność za sprawy rynku wewnętrznego jest obecnie kompetencją dzieloną między Unią a państwami członkowskimi (art. 4 ust. 2 lit. a) TFUE). Oznacza to, że Unia i państwa członkowskie mogą przyjmować (prawnie wiążące) środki oraz że państwa członkowskie podejmują działanie, jeżeli Unia nie wykonała swojej kompetencji bądź postanowiła zaprzestać wykonywania swojej kompetencji (art. 2 ust. 2 TFUE). Przyjęcie środków w ramach odpowiedzialności za sprawy rynku wewnętrznego będzie wymagało zastosowania zwykłej procedury ustawodawczej (art. 289 i 294 TFUE), która jest podobna[14] do dawnej procedury współdecyzji (art. 251 Traktatu WE). Wraz z traktatem lizbońskim zniknęło dawne rozróżnienie między filarami. Zapobieganie i zwalczanie przestępczości stało się kompetencją dzieloną Unii. Stwarza to możliwość pełnienia przez ENISA roli platformy w zakresie aspektów bezpieczeństwa sieci i informacji dotyczących zwalczania cyberprzestępczości oraz wymiany opinii i najlepszych praktyk z organami odpowiedzialnymi za obronę przed atakami cybernetycznymi, egzekwowanie prawa i ochronę prywatności. 3.3. Zasada pomocniczości Wniosek jest zgodny z zasadą pomocniczości: polityka bezpieczeństwa sieci i informacji wymaga wspólnego podejścia, a cele wniosku nie mogą zostać osiągnięte przez poszczególne państwa członkowskie indywidualnie. Strategia zakładająca zupełny brak interwencji ze strony Unii w krajowe polityki bezpieczeństwa sieci i informacji pozostawiałaby realizację całości zadań państwom członkowskim pomimo występowania oczywistej współzależności między istniejącymi systemami informatycznymi. Środek zapewniający odpowiedni poziom koordynacji między państwami członkowskimi, umożliwiający właściwe reagowanie na zagrożenia związane z bezpieczeństwem sieci i informacji w kontekście transgranicznym, w którym zagrożenia te pojawiają się, jest zatem zgodny z zasadą pomocniczości. Ponadto działanie na poziomie europejskim zwiększy skuteczność wszelkich obecnych polityk krajowych, a tym samym zapewni wartość dodaną. Co więcej, ustanowienie uzgodnionej i opierającej się na współpracy polityki bezpieczeństwa sieci i informacji będzie miało korzystny wpływ na ochronę praw podstawowych, a zwłaszcza prawa do ochrony danych osobowych i prywatności. Potrzeba ochrony danych ma obecnie zasadnicze znaczenie, biorąc pod uwagę fakt, iż obywatele europejscy w coraz większym stopniu, z wyboru albo z konieczności, powierzają swoje dane złożonym systemom informatycznym, nie zawsze będąc w stanie prawidłowo ocenić związane z tym zagrożenia dla ochrony danych. W razie wystąpienia incydentów niekoniecznie będą zatem mogli podjąć odpowiednie kroki, a poza tym nie jest pewne, czy państwa członkowskie będą w stanie, w przypadku braku koordynacji dotyczącej bezpieczeństwa sieci i informacji na poziomie europejskim, skutecznie reagować na wszelkie incydenty o charakterze międzynarodowym. 3.4. Zasada proporcjonalności Niniejszy wniosek jest zgodny z zasadą proporcjonalności, ponieważ nie wykracza poza to, co jest konieczne dla osiągnięcia jego celu. 3.5. Wybór instrumentów Proponowany instrument: rozporządzenie stosowane bezpośrednio we wszystkich państwach członkowskich. 4. WPŁYW NA BUDŻET Wniosek ma wpływ na budżet Unii. Ponieważ określono zadania, które mają zostać uwzględnione w nowym mandacie ENISA, przewiduje się, że Agencja otrzyma zasoby pozwalające na realizację jej działań w sposób zadowalający. Ocena Agencji, szerokie konsultacje z zainteresowanymi stronami na wszystkich szczeblach oraz ocena skutków wskazują na powszechną zgodę co do tego, że wielkość Agencji nie przekroczyła masy krytycznej i że konieczne jest zwiększenie zasobów. Konsekwencje i skutki zwiększenia personelu i budżetu Agencji zostały przeanalizowane w ocenie skutków towarzyszącej wnioskowi. Finansowanie ze strony UE po roku 2013 zostanie przeanalizowane w kontekście debaty prowadzonej wewnątrz Komisji dotyczącej wniosków dla okresu po roku 2013. 5. UWAGI DODATKOWE 5.1. Okres działania Rozporządzenie obejmuje okres pięciu lat. 5.2. Klauzula przeglądowa Rozporządzenie przewiduje przeprowadzenie oceny Agencji, obejmującej okres od poprzedniej oceny w roku 2007. Dokonana zostanie ocena skuteczności Agencji pod względem realizacji celów określonych w rozporządzeniu oraz tego, czy jest ona nadal efektywnym instrumentem i czy okres jej działania powinien zostać przedłużony. W oparciu o te ustalenia zarząd wyda zalecenia dla Komisji w kwestii zmian dotyczących niniejszego rozporządzenia, Agencji i jej metod pracy. Aby umożliwić opracowanie przez Komisję w odpowiednim czasie projektu ewentualnego wniosku dotyczącego przedłużenia mandatu, ocena będzie musiała zostać przeprowadzona przed końcem drugiego roku mandatu ustanowionego rozporządzeniem. 5.3. Środek tymczasowy Komisja ma świadomość, że procedura ustawodawcza w Parlamencie Europejskim i Radzie może wiązać się z czasochłonną debatą nad wnioskiem, istnieje więc ryzyko powstania luki prawnej, gdyby nowego mandatu Agencji nie przyjęto w odpowiednim czasie przed wygaśnięciem obecnego mandatu. Wraz z niniejszym wnioskiem Komisja przedstawia zatem wniosek dotyczący rozporządzenia przedłużającego obecny mandat Agencji o 18 miesięcy, aby zapewnić wystarczającą ilość czasu na przeprowadzenie debaty i stosownego procesu. 2010/0275 (COD) Wniosek ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY w sprawie Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ, uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 114, uwzględniając wniosek Komisji Europejskiej, uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego[15], uwzględniając opinię Komitetu Regionów[16], po przekazaniu wniosku parlamentom narodowym, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, a także mając na uwadze, co następuje: (1) Łączność i infrastruktura elektroniczna oraz usługi elektroniczne są istotnym czynnikiem rozwoju gospodarczego i społecznego. Spełniają ważną funkcję dla społeczeństwa i stały się taki samymi niezbędnymi usługami jak dostawa energii elektrycznej czy wody. Zakłócenia w świadczeniu tych usług mogą powodować znaczne szkody ekonomiczne, co wskazuje na znaczenie środków zwiększających ochronę i odporność, których celem jest zapewnienie ciągłości krytycznych usług. Zapewnienie bezpieczeństwa łączności i infrastruktury elektronicznej oraz usług elektronicznych, w szczególności ich integralności i dostępności, stanowi coraz większe wyzwanie. Budzi to rosnące obawy społeczeństwa, głównie ze względu na możliwość pojawiania się problemów wynikających ze złożoności systemu, błędów oraz ataków, które mogą mieć konsekwencje dla infrastruktury fizycznej wykorzystywanej do świadczenia usług krytycznych dla dobrobytu Europejczyków. (2) Charakter zagrożeń zmienia się cały czas, a incydenty w zakresie bezpieczeństwa mogą podważać zaufanie użytkowników. O ile poważne zakłócenia bezpieczeństwa łączności i infrastruktury elektronicznej oraz usług elektronicznych mogą mieć istotne skutki gospodarcze i społeczne, o tyle przypadki naruszenia bezpieczeństwa oraz problemy i uciążliwości występujące na co dzień mogą również powodować erozję zaufania do technologii, sieci i usług. (3) Regularna ocena stanu bezpieczeństwa sieci i informacji w Europie, oparta na wiarygodnych danych Europejskich, ma zatem znaczenie dla decydentów, branży i użytkowników. (4) Przedstawiciele państw członkowskich na posiedzeniu Rady Europejskiej w dniu 13 grudnia 2003 r. postanowili, że Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA), która zostanie ustanowiona na podstawie wniosku przedłożonego przez Komisję, będzie miała siedzibę w Grecji w lokalizacji ustalonej przez rząd grecki. (5) W roku 2004 Parlament Europejski i Rada przyjęły rozporządzenie (WE) nr 460/2004[17] ustanawiające Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji, aby przyczynić się do realizacji celów w zakresie zapewnienia wysokiego i skutecznego poziomu bezpieczeństwa sieci i informacji w Unii oraz rozwijania kultury bezpieczeństwa sieci i informacji na rzecz obywateli, konsumentów, przedsiębiorstw oraz administracji publicznych. W roku 2008 Parlament Europejski i Rada przyjęły rozporządzenie (WE) nr 1007/2008[18] przedłużające mandat Agencji do marca 2012 r. (6) Od czasu utworzenia Agencji wyzwania związane z bezpieczeństwem sieci i informacji zmieniają się wraz z ewolucją technologii, rynku i sytuacji społeczno-gospodarczej i są przedmiotem pogłębionej refleksji i debaty. W odpowiedzi na zmieniające się wyzwania Unia zaktualizowała swoje priorytety dotyczące polityki bezpieczeństwa sieci i informacji w szeregu dokumentów, m.in. w komunikacie Komisji z 2006 r. w sprawie strategii na rzecz bezpiecznego społeczeństwa informacyjnego – „Dialog, partnerstwo i przejmowanie inicjatywy”[19], rezolucji Rady z 2007 r. w sprawie strategii na rzecz bezpiecznego społeczeństwa informacyjnego w Europie[20], komunikacie z 2009 r. w sprawie ochrony krytycznej infrastruktury informatycznej „Ochrona Europy przed zakrojonymi na szeroką skalę atakami i zakłóceniami cybernetycznymi: zwiększenie gotowości, bezpieczeństwa i odporności”[21], konkluzjach prezydencji z konferencji ministerialnej w sprawie ochrony krytycznej infrastruktury informatycznej (CIIP) oraz rezolucji Rady z 2009 r. w sprawie wspólnego europejskiego podejścia do bezpieczeństwa sieci i informacji[22]. Dostrzeżono konieczność zmodernizowania i wzmocnienia Agencji, aby skutecznie wesprzeć wysiłki instytucji europejskich i państw członkowskich zmierzające do budowy w Europie potencjału umożliwiającego sprostanie wyzwaniom związanym z bezpieczeństwem sieci i informacji. Niedawno Komisja przyjęła europejską agendę cyfrową[23], która jest flagową inicjatywą realizowaną w ramach strategii „Europa 2020”. Celem tej kompleksowej agendy jest wykorzystanie i zwiększanie potencjału TIK w celu przełożenia go na zrównoważony wzrost i innowacje. Zwiększanie zaufania do społeczeństwa informacyjnego jest jednym z kluczowych celów tej kompleksowej agendy, w ramach której zapowiedziano podjęcie przez Komisję szeregu działań w przedmiotowym obszarze, łącznie z niniejszym wnioskiem. (7) Środki dotyczące rynku wewnętrznego w dziedzinie bezpieczeństwa łączności elektronicznej, a także bezpieczeństwa sieci i informacji w ogóle, wymagają zastosowania przez państwa członkowskie i Komisję różnych rozwiązań technicznych i organizacyjnych. Niejednolite stosowanie tych wymogów może powodować nieskuteczność i tworzyć przeszkody na rynku wewnętrznym. Konieczne jest zatem stworzenie na poziomie europejskim centrum wiedzy specjalistycznej, dostarczającego wytycznych i udzielającego pomocy w kwestiach związanych z bezpieczeństwem sieci i informacji, z którego usług będą mogły korzystać państwa członkowskie i instytucje europejskie. Agencja może zaspokajać te potrzeby poprzez osiąganie i utrzymywanie wysokiego poziomu wiedzy specjalistycznej oraz pomaganie państwom członkowskim i Komisji, a w rezultacie środowisku przedsiębiorców, w spełnianiu wymogów prawnych i regulacyjnych w zakresie bezpieczeństwa sieci i informacji, przyczyniając się tym samym do sprawnego funkcjonowania rynku wewnętrznego. (8) Agencja powinna realizować zadania powierzone jej na mocy obecnych przepisów unijnych w dziedzinie łączności elektronicznej oraz przyczyniać się ogólnie do poprawy poziomu bezpieczeństwa łączności elektronicznej, zapewniając m.in. wiedzę specjalistyczną i doradztwo oraz promując wymianę dobrych praktyk. (9) Dyrektywa 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa)[24] wymaga ponadto, aby dostawcy publicznych sieci łączności lub publicznie dostępnych usług łączności elektronicznej podjęli odpowiednie środki w celu zapewnienia ich integralności i bezpieczeństwa, a także wprowadza wymogi dotyczące powiadomień o naruszeniu bezpieczeństwa i utracie integralności. W stosownych przypadkach, Agencja powinna być również powiadamiana przez krajowe organy regulacyjne, które muszą przekazywać Komisji oraz Agencji roczne sprawozdanie podsumowujące na temat otrzymanych powiadomień i podjętych działań. Dyrektywa 2002/21/WE przewiduje ponadto, iż Agencja będzie wnosić wkład w harmonizację odpowiednich środków technicznych i organizacyjnych w zakresie bezpieczeństwa poprzez wydawanie opinii. (10) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)[25] wymaga od dostawcy publicznie dostępnych usług łączności elektronicznej podjęcia właściwych środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa oferowanych przez siebie usług oraz poufności komunikacji i związanych z nią danych o ruchu. Dyrektywa 2002/58/WE nakłada na dostawców usług łączności elektronicznej obowiązki w zakresie informowania i powiadamiania o przypadkach naruszenia danych osobowych. Zobowiązuje również Komisję do konsultowania z Agencją wszelkich środków wykonawczych o charakterze technicznym, które mają zostać przyjęte i dotyczą okoliczności, formatu i procedur mających zastosowanie do wymogów w zakresie informowania i powiadamiania. Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych[26] wymaga od państw członkowskich zapewnienia wprowadzenia przez administratora danych odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych przed ich przypadkowym lub nielegalnym zniszczeniem, utratą, zmianą, niedozwolonym ujawnieniem lub dostępem do nich (w szczególności podczas przetwarzania obejmującego przesyłanie danych między sieciami), a także innymi nielegalnymi formami przetwarzania. (11) Agencja powinna przyczyniać się do uzyskania wysokiego poziomu bezpieczeństwa sieci i informacji w Unii oraz do rozwijania kultury bezpieczeństwa sieci i informacji na rzecz obywateli, konsumentów, przedsiębiorstw oraz organizacji z sektora publicznego Unii Europejskiej, a tym samym do wspierania sprawnego funkcjonowania rynku wewnętrznego. (12) W ramach zakresu zadań należy określić sposób, w jaki Agencja ma osiągnąć swoje cele, dopuszczając jednocześnie elastyczność w jej działalności. Zadania realizowane przez Agencję powinny obejmować gromadzenie odpowiednich informacji i danych potrzebnych do przeprowadzania analizy zagrożeń dla bezpieczeństwa i odporności łączności i infrastruktury elektronicznej oraz usług elektronicznych, a także do oceny, we współpracy z państwami członkowskimi, stanu bezpieczeństwa sieci i informacji w Europie. Agencja powinna zapewniać koordynację z państwami członkowskimi oraz zacieśniać współpracę między zainteresowanymi stronami w Europie, w szczególności poprzez włączanie w swoje działania właściwych organów krajowych i ekspertów w dziedzinie bezpieczeństwa sieci i informacji z sektora prywatnego. Agencja powinna pomagać Komisji i państwom członkowskim w zakresie dialogu prowadzonego przez nie z branżą w celu rozwiązywania problemów dotyczących bezpieczeństwa sprzętu i oprogramowania, przyczyniając się tym samym do realizacji wspólnego podejścia do bezpieczeństwa sieci i informacji. (13) Agencja powinna działać jako punkt odniesienia i służyć budowie zaufania z racji swojej niezależności, jakości oferowanego doradztwa i dostarczanych informacji, przejrzystości procedur i metod działania, a także staranności w realizacji powierzonych jej zadań. Agencja powinna opierać się na wysiłkach podejmowanych na poziomie krajowym oraz unijnym i w rezultacie prowadzić swoją działalność na zasadzie pełnej współpracy z państwami członkowskimi oraz otwartości na kontakty z branżą i innymi zainteresowanymi stronami. Ponadto podstawę działań Agencji powinny stanowić informacje dostarczane przez sektor prywatny oraz współpraca ze wspomnianym sektorem, który odgrywa ważną rolę w zapewnianiu bezpieczeństwa łączności i infrastruktury elektronicznej oraz usług elektronicznych. (14) Komisja zainicjowała europejskie partnerstwo publiczno-prywatne na rzecz odporności, stanowiące elastyczne ramy europejskie w zakresie zarządzania odpornością infrastruktury TIK, w ramach którego Agencja powinna pełnić rolę ułatwiającą, polegającą na zebraniu zainteresowanych stron z sektora publicznego i sektora prywatnego w celu przedyskutowania ogólnych priorytetów polityki, aspektów ekonomicznych i rynkowych dotyczących wyzwań oraz środków na rzecz odporności infrastruktury TIK, a także w celu określenia przez nie swoich obowiązków. (15) Agencja powinna udzielać doradztwa Komisji za pomocą opinii oraz analiz technicznych i społeczno-gospodarczych, na jej wniosek lub z własnej inicjatywy, aby pomagać w opracowywaniu polityki w dziedzinie bezpieczeństwa sieci i informacji. Agencja powinna również wspierać, na wniosek państw członkowskich oraz instytucji i organów europejskich, podejmowane przez nie wysiłki na rzecz rozwijania polityki i potencjału w zakresie bezpieczeństwa sieci i informacji. (16) Agencja powinna wspierać wysiłki państw członkowskich i instytucji europejskich na rzecz budowy i wzmacniania transgranicznego potencjału i gotowości w zakresie zapobiegania problemom związanym z bezpieczeństwem sieci i informacji, ich wykrywania i neutralizowania oraz reagowania na nie; w tym względzie Agencja powinna ułatwiać współpracę pomiędzy państwami członkowskimi oraz współpracę między państwami członkowskimi i Komisją. W tym celu Agencja powinna odgrywać aktywną rolę we wspieraniu wysiłków państw członkowskich na rzecz poprawy ich zdolności reagowania oraz organizacji i przeprowadzania krajowych i europejskich ćwiczeń dotyczących incydentów w zakresie bezpieczeństwa. (17) Dyrektywa 95/46/WE reguluje kwestie przetwarzania danych osobowych wynikające z niniejszego rozporządzenia. (18) Aby lepiej zrozumieć wyzwania w dziedzinie bezpieczeństwa sieci i informacji, Agencja musi dokonywać analizy aktualnych i pojawiających się zagrożeń. W tym celu Agencja powinna, we współpracy z państwami członkowskimi, oraz, w stosownych przypadkach, z instytucjami statystycznymi, gromadzić odpowiednie informacje. Ponadto Agencja powinna wspierać wysiłki podejmowane przez państwa członkowskie i instytucje europejskie w zakresie gromadzenia, analizy i rozpowszechniania danych związanych z bezpieczeństwem sieci i informacji. (19) Realizując działania monitorujące w Unii, Agencja powinna ułatwiać współpracę między Unią i państwami członkowskimi w zakresie oceny stanu bezpieczeństwa sieci i informacji w Europie oraz uczestniczyć w ocenie we współpracy z państwami członkowskimi. (20) Agencja powinna ułatwiać współpracę między właściwymi podmiotami państw członkowskich, wspierając w szczególności rozwój i wymianę dobrych praktyk i standardów w zakresie programów edukacyjnych i programów podnoszenia świadomości. Zwiększona wymiana informacji między państwami członkowskimi pomoże w realizacji tego rodzaju działań. Agencja powinna wspierać współpracę między publicznymi i prywatnymi zainteresowanymi stronami na poziomie unijnym, częściowo poprzez promowanie wymiany informacji, kampanie na rzecz podnoszenia świadomości oraz programy edukacyjne i szkoleniowe. (21) Skuteczna polityka bezpieczeństwa powinna opierać się na dobrze opracowanych metodach oceny ryzyka, zarówno w sektorze publicznym, jak i prywatnym. Metody i procedury oceny ryzyka są używane na różnych poziomach bez wspólnej praktyki dotyczącej ich skutecznego stosowania. Promowanie i rozwój najlepszych praktyk w zakresie oceny ryzyka oraz współdziałających ze sobą rozwiązań dotyczących zarządzania ryzykiem w sektorze publicznym i prywatnym zwiększy poziom bezpieczeństwa sieci i systemów informacyjnych w Europie. W tym celu Agencja powinna wspierać współpracę między publicznymi i prywatnymi zainteresowanymi stronami na poziomie unijnym, ułatwiając ich wysiłki związane z opracowaniem i wprowadzeniem norm dotyczących zarządzania ryzykiem oraz wymiernych wskaźników bezpieczeństwa produktów, systemów, sieci i usług elektronicznych. (22) Praca Agencji powinna opierać się na trwających działaniach w zakresie badań, rozwoju i oceny technologicznej, w szczególności tych, które są realizowane w ramach różnych inicjatyw badawczych Unii Europejskiej. (23) W stosownych przypadkach, przydatnych z punktu widzenia zakresu, celów i zadań Agencji, powinna ona dzielić się doświadczeniami i informacjami ogólnymi z organami i agencjami zajmującymi się bezpieczeństwem sieci i informacji, utworzonymi na mocy prawa Unii Europejskiej. (24) W kontaktach z organami odpowiedzialnymi za egzekwowanie prawa w zakresie aspektów bezpieczeństwa dotyczących cyberprzestępczości Agencja wykorzystuje istniejące kanały informacji i ustanowione sieci, takie jak punkty kontaktowe wymienione we wniosku dotyczącym dyrektywy Parlamentu Europejskiego i Rady w sprawie ataków na systemy informatyczne, uchylającej decyzję ramową 2005/222/WSiSW, bądź grupa zadaniowa Europolu złożona z szefów jednostek zajmujących się przestępczością w obszarze zaawansowanych technologii. (25) Aby zapewnić pełną realizację swoich celów, Agencja powinna współdziałać z organami odpowiedzialnymi za egzekwowanie prawa i ochronę prywatności w celu podkreślenia i właściwego traktowania aspektów bezpieczeństwa sieci i informacji związanych ze zwalczaniem cyberprzestepczości. Przedstawiciele tych organów powinni stać się dla Agencji pełnoprawnymi zainteresowanymi stronami i powinni być reprezentowani w ramach jej Stałej Grupy Przedstawicieli Zainteresowanych Stron. (26) Problemy bezpieczeństwa sieci i informacji mają charakter globalny. Istnieje potrzeba zacieśnienia współpracy międzynarodowej w celu ulepszenia norm bezpieczeństwa, poprawy wymiany informacji oraz promowania wspólnego globalnego podejścia do kwestii bezpieczeństwa sieci i informacji. W tym celu Agencja powinna wspierać współpracę z państwami trzecimi i organizacjami międzynarodowymi, współdziałając, w stosownych przypadkach, z Europejską Służbą Działań Zewnętrznych. (27) Realizacja zadań przez Agencję nie powinna ograniczać kompetencji ani też nie powinna wyprzedzać, hamować bądź dublować odpowiednich uprawnień i zadań powierzonych: krajowym organom regulacyjnym określonym w dyrektywach dotyczących sieci i usług łączności elektronicznej, a także Organowi Europejskich Regulatorów Łączności Elektronicznej (BEREC) ustanowionemu rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 1211/2009[27] oraz Komitetowi ds. Łączności, o którym mowa w dyrektywie 2002/21/WE, europejskim i krajowym organom normalizacyjnym oraz Komitetowi Stałemu określonemu w dyrektywie 98/34/WE Parlamentu Europejskiego i Rady z dnia 22 czerwca 1998 r. ustanawiającej procedurę dostarczania informacji w zakresie norm i przepisów technicznych, a także zasad dotyczących usług świadczonych na rzecz społeczeństwa informacyjnego[28], jak również organom nadzorczym państw członkowskich w odniesieniu do ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. (28) Aby zapewnić skuteczność Agencji, państwa członkowskie i Komisja powinny być reprezentowane w zarządzie, który powinien określać ogólny kierunek działalności Agencji oraz zapewniać wykonywanie zadań przez Agencję zgodnie z niniejszym rozporządzeniem. Zarząd powinien posiadać uprawnienia niezbędne do ustalania budżetu, weryfikacji jego wykonania, przyjmowania stosownych zasad finansowych, ustalania przejrzystych procedur pracy w zakresie podejmowania decyzji przez Agencję, zatwierdzania programu pracy Agencji, przyjmowania swojego regulaminu oraz wewnętrznych zasad działania Agencji, a także powoływania dyrektora wykonawczego oraz przedłużania i wygaszania jego mandatu . Zarząd powinien mieć możliwość ustanawiania grup roboczych pomagających w realizacji jego zadań; tego rodzaju grupy mogłyby na przykład przygotowywać projekty decyzji lub monitorować ich wykonanie. (29) Sprawne funkcjonowanie Agencji wymaga, aby dyrektor wykonawczy był wyznaczany w oparciu o względy merytoryczne oraz udokumentowane umiejętności administracyjne i zarządcze, a także kompetencje i doświadczenie w zakresie bezpieczeństwa sieci i informacji, oraz aby wykonywał swoje obowiązki w sposób całkowicie niezależny w odniesieniu do organizacji wewnętrznego funkcjonowania Agencji. W tym celu dyrektor wykonawczy powinien opracować propozycję programu pracy Agencji, po uprzedniej konsultacji ze służbami Komisji, oraz podjąć wszelkie niezbędne kroki w celu zapewnienia prawidłowej realizacji programu pracy Agencji. Dyrektor wykonawczy powinien przygotowywać każdego roku projekt sprawozdania ogólnego dla zarządu, sporządzać projekt zestawienia zawierającego szacunkowe dochody i wydatki Agencji oraz wykonywać budżet. (30) Dyrektor wykonawczy powinien mieć możliwość powoływania grup roboczych ad hoc w celu rozwiązywania określonych kwestii, w szczególności o charakterze naukowym lub technicznym bądź prawnym lub społeczno-gospodarczym. W zakresie powoływania grup roboczych dyrektor wykonawczy powinien gromadzić i uwzględniać opinie odpowiednich ekspertów zewnętrznych, aby umożliwić Agencji uzyskanie dostępu do aktualnych informacji na temat wyzwań związanych z bezpieczeństwem, które niesie ze sobą rozwój społeczeństwa informacyjnego. Agencja powinna dopilnować, aby członkowie grup roboczych ad hoc byli wybierani według najbardziej surowych kryteriów kompetencji, zapewniając w należyty sposób zrównoważoną reprezentację, stosownie do poszczególnych kwestii, przedstawicieli administracji publicznych państw członkowskich, sektora prywatnego, w tym branży, użytkowników oraz ekspertów akademickich w dziedzinie bezpieczeństwa sieci i informacji. W razie potrzeby, Agencja może zapraszać, po indywidualnym rozpatrzeniu każdej sprawy, pojedynczych ekspertów uznawanych za kompetentnych w danej dziedzinie do udziału w pracach grup roboczych Agencja powinna pokrywać ich wydatki zgodnie ze swoimi zasadami wewnętrznymi oraz istniejącymi rozporządzeniami finansowymi. (31) Agencja powinna posiadać organ doradczy w postaci Stałej Grupy Przedstawicieli Zainteresowanych Stron w celu zapewnienia regularnego dialogu z sektorem prywatnym, organizacjami konsumenckimi i innymi odpowiednimi zainteresowanymi stronami. Stała Grupa Przedstawicieli Zainteresowanych Stron, utworzona przez zarząd na wniosek dyrektora wykonawczego, powinna skupiać się na zagadnieniach istotnych dla wszystkich zainteresowanych stron i kierować na nie uwagę Agencji. W stosownych przypadkach i zgodnie z porządkiem obrad posiedzeń, dyrektor wykonawczy może zapraszać przedstawicieli Parlamentu Europejskiego i innych właściwych organów do udziału w posiedzeniach Grupy. (32) Agencja powinna działać zgodnie z, odpowiednio, (i) zasadą pomocniczości, zapewniając odpowiedni poziom koordynacji między państwami członkowskimi w kwestiach związanych z bezpieczeństwem sieci i informacji oraz poprawiając skuteczność polityk krajowych, a tym samym podnosząc ich wartość, (ii) zasadą proporcjonalności, nie wykraczając poza to, co jest niezbędne do osiągnięcia celów określonych w niniejszym rozporządzeniu. (33) Agencja powinna stosować właściwe przepisy unijne dotyczące publicznego dostępu do dokumentów, określone w rozporządzeniu (WE) nr 1049/2001 Parlamentu Europejskiego i Rady[29], oraz ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, określone w rozporządzeniu (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych[30]. (34) W granicach zakresu, celów i realizacji zadań, Agencja powinna działać zgodnie z przepisami mającymi zastosowanie do instytucji europejskich oraz ustawodawstwem krajowym dotyczącym postępowania z dokumentami sensytywnymi. Zarząd powinien mieć prawo podejmowania decyzji pozwalającej Agencji na korzystanie z informacji niejawnych. (35) W celu zapewnienia pełnej autonomii i niezależności Agencji powinna ona posiadać ustalony budżet autonomiczny, którego dochody pochodzą zasadniczo z wkładu Unii oraz z wkładów państw trzecich uczestniczących w pracach Agencji. Przyjmujące państwo członkowskie, bądź inne dowolne państwo członkowskie, powinno mieć możliwość przekazywania dobrowolnych wkładów na rzecz dochodów Agencji. Procedura budżetowa Unii powinna mieć nadal zastosowanie w zakresie subwencji, którymi obciążany jest budżet ogólny Unii Europejskiej. Ponadto Trybunał Obrachunkowy powinien przeprowadzać badanie sprawozdań finansowych. (36) Agencja powinna być następcą agencji ustanowionej rozporządzeniem (WE) nr 460/2004. Zgodnie z decyzją przedstawicieli państw członkowskich, podjętą na posiedzeniu Rady Europejskiej w dniu 13 grudnia 2003 r., przyjmujące państwo członkowskie powinno utrzymać i rozwijać obecne rozwiązania praktyczne w celu zapewnienia sprawnego i skutecznego działania Agencji, z uwzględnieniem w szczególności współpracy Agencji z Komisją, państwami członkowskimi i ich właściwymi organami, innymi instytucjami i organami unijnymi, publicznymi i prywatnymi zainteresowanymi stronami w całej Europie oraz pomocy Agencji dla wymienionych podmiotów. (37) Agencję należy ustanowić na czas określony. Jej działalność powinna zostać oceniona pod kątem skuteczności w realizacji celów oraz metod pracy w celu ustalenia, czy cele Agencji są w dalszym ciągu zasadne, oraz, w konsekwencji, czy należy przedłużyć okres jej działania, PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE: SEKCJA 1 ZAKRES STOSOWANIA, CELE I ZADANIA ARTYKUł 1 Przedmiot i zakres stosowania 1. Niniejsze rozporządzenie ustanawia Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (zwaną dalej „Agencją”) w celu zapewnienia wysokiego poziomu bezpieczeństwa sieci i informacji w Unii oraz podnoszenia świadomości i rozwijania kultury bezpieczeństwa sieci i informacji na rzecz obywateli, konsumentów, przedsiębiorstw oraz organizacji sektora publicznego w Unii, przyczyniając się tym samym do sprawnego funkcjonowania rynku wewnętrznego. 2. Cele i zadania Agencji pozostają bez uszczerbku dla kompetencji państw członkowskich dotyczących bezpieczeństwa sieci i informacji oraz wszystkich działań związanych z bezpieczeństwem publicznym, obroną, bezpieczeństwem państwa (w tym dobrobytem gospodarczym państwa w przypadku kwestii, które dotyczą bezpieczeństwa państwa), a także działań państwa w obszarze prawa karnego. 3. Do celów niniejszego rozporządzenia „bezpieczeństwo sieci i informacji” oznacza odporność sieci lub systemu informacyjnego (na danym poziomie poufności) na zdarzenia przypadkowe lub działania nielegalne albo podstępne, naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych oraz związanych z nimi usług oferowanych lub dostępnych poprzez te sieci i systemy. Artykuł 2 Cele 1. Agencja pomaga Komisji i państwom członkowskim w spełnianiu wymogów prawnych i regulacyjnych w zakresie bezpieczeństwa sieci i informacji określonych w obwiązujących i przyszłych przepisach unijnych, przyczyniając się tym samym do sprawnego funkcjonowania rynku wewnętrznego. 2. Agencja zwiększa zdolność i gotowość Unii i państw członkowskich do zapobiegania problemom i incydentom w zakresie bezpieczeństwa sieci i informacji, wykrywania ich oraz skuteczniejszego reagowania na nie 3. Agencja osiąga i utrzymuje wysoki poziom wiedzy specjalistycznej oraz wykorzystuje tę wiedzę do stymulowania szerokiej współpracy między podmiotami sektora publicznego i prywatnego. Artykuł 3 Zadania 1. W ramach celu określonego w art. 1 Agencja wykonuje następujące zadania: a) pomaga Komisji, na jej wniosek lub z własnej inicjatywy, w opracowywaniu polityki bezpieczeństwa sieci i informacji, zapewniając jej doradztwo i opinie oraz analizy techniczne i społeczno-gospodarcze, a także prace przygotowawcze w zakresie rozwoju i nowelizacji prawa unijnego w dziedzinie bezpieczeństwa sieci i informacji; b) ułatwia współpracę pomiędzy państwami członkowskimi oraz między państwami członkowskimi i Komisją w zakresie podejmowanych przez nie wysiłków o wymiarze transgranicznym na rzecz zapobiegania problemom związanych z bezpieczeństwem sieci i informacji, wykrywania ich oraz reagowania na nie; c) wspiera wysiłki podejmowane przez państwa członkowskie i instytucje europejskie w zakresie gromadzenia, analizy i rozpowszechniania danych związanych z bezpieczeństwem sieci i informacji; d) regularnie ocenia, we współpracy z państwami członkowskimi i instytucjami europejskimi, stan bezpieczeństwa sieci i informacji w Europie; e) popiera współpracę między właściwymi organami publicznymi w Europie, wspierając w szczególności ich wysiłki w zakresie opracowywania i wymiany dobrych praktyk i norm; f) pomaga Unii i państwom członkowskim w promowaniu dobrych praktyk i norm dotyczących zarządzania ryzykiem i bezpieczeństwa w odniesieniu do produktów, systemów i usług elektronicznych; g) wspiera współpracę między publicznymi i prywatnymi zainteresowanymi stronami na poziomie unijnym poprzez, między innymi, promowanie wymiany informacji i podnoszenie świadomości oraz ułatwianie ich wysiłków związanych z opracowywaniem i wprowadzaniem norm dotyczących zarządzania ryzykiem i bezpieczeństwa produktów, sieci i usług elektronicznych; h) ułatwia dialog i wymianę dobrych praktyk między publicznymi i prywatnymi zainteresowanymi stronami w zakresie bezpieczeństwa sieci i informacji, w tym aspektów związanych ze zwalczaniem cyberprzestępczości; pomaga Komisji w określaniu kierunków polityki uwzględniających aspekty bezpieczeństwa sieci i informacji związane ze zwalczaniem cyberprzestępczości; i) wspiera, na wniosek państw członkowskich oraz instytucji i organów europejskich, podejmowane przez nie wysiłki na rzecz rozwijania potencjału w zakresie wykrywania i analizy problemów bezpieczeństwa sieci i informacji oraz reagowania na nie; j) wspiera dialog i współpracę Unii z państwami trzecimi i organizacjami międzynarodowymi, współdziałając, w stosownych przypadkach, z Europejską Służbą Działań Zewnętrznych w celu promowania współpracy międzynarodowej i wspólnego globalnego podejścia do kwestii bezpieczeństwa sieci i informacji; k) realizuje zadania powierzone Agencji unijnymi aktami ustawodawczymi. SEKCJA 2 ORGANIZACJA ARTYKUł 4 Organy Agencji W skład Agencji wchodzą: a) zarząd; b) dyrektor wykonawczy i jego personel; oraz c) Stała Grupa Przedstawicieli Zainteresowanych Stron. Artykuł 5 Zarząd 1. Zarząd określa ogólny kierunek działalności Agencji oraz dopilnowuje, aby praca Agencji odbywała się zgodnie z przepisami i zasadami określonymi w niniejszym rozporządzeniu. Zarząd zapewnia również spójność pracy Agencji z działaniami realizowanymi przez państwa członkowskie oraz na poziomie unijnym. 2. Zarząd przyjmuje swój regulamin w porozumieniu z odpowiednimi służbami Komisji. 3. Zarząd przyjmuje wewnętrzne zasady działania Agencji w porozumieniu z odpowiednimi służbami Komisji. Zasady te są udostępniane do wiadomości publicznej. 4. Zarząd powołuje dyrektora wykonawczego zgodnie z art. 10 ust. 2 oraz może odwołać go ze stanowiska. Zarząd sprawuje władzę dyscyplinarną nad dyrektorem wykonawczym. 5. Zarząd przyjmuje program pracy Agencji zgodnie z art. 13 ust. 3 oraz sprawozdanie ogólne z działalności Agencji w roku poprzednim zgodnie z art. 14 ust. 2. 6. Zarząd przyjmuje zasady finansowe mające zastosowanie do Agencji. Nie mogą one zawierać odstępstw od rozporządzenia Komisji (WE, Euratom) nr 2343/2002 z dnia 19 listopada 2002 r. w sprawie ramowego rozporządzenia finansowego dotyczącego organów określonych w art. 185 rozporządzenia Rady (WE, Euratom) nr 1605/2002 w sprawie rozporządzenia finansowego mającego zastosowanie do budżetu ogólnego Wspólnot Europejskich[31], chyba że działalność Agencji wymaga w sposób szczególny tego rodzaju odstępstw, a Komisja wyrazi na nie uprzednią zgodę. 7. Zarząd przyjmuje, w porozumieniu z Komisją, odpowiednie przepisy wykonawcze, zgodnie z art. 110 regulaminu pracowniczego. 8. Zarząd może powoływać grupy robocze, złożone z jego członków, których zadaniem jest udzielanie pomocy zarządowi w realizacji jego zadań, w tym w przygotowaniu decyzji i monitorowaniu ich wykonania. 9. Zarząd może przyjąć wieloletni plan polityki kadrowej po konsultacji ze służbami Komisji oraz należytym poinformowaniu władzy budżetowej. Artykuł 6 Skład zarządu 1. W skład zarządu wchodzi po jednym przedstawicielu każdego z państw członkowskich, trzech przedstawicieli wyznaczonych przez Komisję oraz trzech przedstawicieli bez prawa głosowania wyznaczonych przez Komisję, z których każdy reprezentuje jedną z poniższych grup: a) branżę technologii informacyjnych i łączności; c) grupy konsumenckie; c) ekspertów akademickich w dziedzinie bezpieczeństwa sieci i informacji. 2. Członkowie zarządu są wyznaczani na podstawie poziomu odpowiedniego doświadczenia i wiedzy specjalistycznej w dziedzinie bezpieczeństwa sieci i informacji. 3. Kadencja przedstawicieli grup, o których mowa w ust. 1 lit. a), b) i c), wynosi cztery lata. Kadencję tę można przedłużyć jednokrotnie. W przypadku gdy jeden z tych przedstawicieli przestaje być powiązany z odpowiednią grupą interesu, Komisja wyznacza jego następcę. Artykuł 7 Przewodniczący zarządu Zarząd wybiera spośród swoich członków przewodniczącego i zastępcę przewodniczącego, na okres trzech lat z możliwością przedłużenia. Zastępca przewodniczącego zastępuje z urzędu przewodniczącego, jeżeli przewodniczący nie jest w stanie pełnić swoich obowiązków. Artykuł 8 Posiedzenia 1. Posiedzenia zarządu są zwoływane przez jego przewodniczącego. 2. Zwykłe posiedzenia zarządu odbywają się dwa razy do roku. Na wniosek przewodniczącego lub co najmniej jednej trzeciej członków posiadających prawo głosowania, odbywają się również posiedzenia nadzwyczajne zarządu. 3. Dyrektor wykonawczy bierze udział w posiedzeniach zarządu bez prawa głosowania. Artykuł 9 Głosowanie 1. Zarząd podejmuje decyzje większością głosów członków posiadających prawo głosowania. 2. Do przyjęcia regulaminu zarządu, wewnętrznych zasad działania Agencji, budżetu, rocznego planu pracy, a także do powołania, przedłużenia kadencji i odwołania dyrektora wykonawczego, wymagana jest większość dwóch trzecich głosów wszystkich członków zarządu posiadających prawo głosowania. Artykuł 10 Dyrektor wykonawczy 1. Agencja jest zarządzana przez dyrektora wykonawczego, który zachowuje niezależność podczas pełnienia swoich obowiązków. 2. Dyrektor wykonawczy jest powoływany i odwoływany przez zarząd. Powołania dokonuje się w drodze wyboru z listy kandydatów zaproponowanych przez Komisję, na okres pięciu lat, w oparciu o względy merytoryczne oraz udokumentowane umiejętności administracyjne i kierownicze, a także określone kompetencje i doświadczenie. Przed powołaniem kandydat wybrany przez zarząd może zostać wezwany do złożenia oświadczenia przed właściwym komitetem Parlamentu Europejskiego i udzielenia odpowiedzi na pytania zadane przez członków tego komitetu. 3. Podczas dziewięciu miesięcy poprzedzających koniec kadencji Komisja przeprowadza ocenę. W ramach oceny Komisja bada w szczególności: - wykonywanie obowiązków przez dyrektora wykonawczego; - zadania i potrzeby Agencji w nadchodzących latach. 4. Zarząd, działając na wniosek Komisji i uwzględniając sprawozdanie z oceny oraz wyłącznie w przypadkach, gdy jest to uzasadnione zadaniami i potrzebami Agencji, może przedłużyć kadencję dyrektora wykonawczego o okres nie dłuższy niż trzy lata. 5. Zarząd informuje Parlament Europejski o swoim zamiarze przedłużenia kadencji dyrektora wykonawczego. W ciągu miesiąca poprzedzającego przedłużenie jego kadencji dyrektor wykonawczy może zostać wezwany do złożenia oświadczenia przed właściwym komitetem Parlamentu Europejskiego i do udzielenia odpowiedzi na pytania zadane przez członków tego komitetu. 6. W przypadku nieprzedłużenia kadencji dyrektor wykonawczy pełni swoje funkcje do czasu powołania jego następcy. 7. Dyrektor wykonawczy jest odpowiedzialny za: a) bieżące zarządzanie Agencją; b) wdrażanie programów pracy oraz decyzji przyjętych przez zarząd; c) zapewnienie wykonywania zadań przez Agencję zgodnie z wymogami podmiotów korzystających z jej usług, w szczególności w odniesieniu do ich adekwatności; d) wszelkie sprawy pracownicze, zapewniając zgodność z ogólnymi kierunkami zarządu oraz jego decyzjami o charakterze ogólnym; e) nawiązywanie i utrzymywanie kontaktów z instytucjami i organami europejskimi; f) nawiązywanie i utrzymywanie kontaktów ze środowiskiem przedsiębiorców i organizacjami konsumenckimi w celu zapewnienia regularnego dialogu z odpowiednimi zainteresowanymi stronami; g) realizację innych zadań powierzonych mu niniejszym rozporządzeniem. 8. W razie potrzeby oraz w ramach celów i zadań Agencji, dyrektor wykonawczy może ustanawiać grupy robocze ad hoc złożone z ekspertów. Zarząd jest o tym informowany z wyprzedzeniem. Procedury dotyczące w szczególności składu, powoływania ekspertów przez dyrektora wykonawczego oraz działania grup roboczych ad hoc określa się w wewnętrznych zasadach działania Agencji. 9. W razie potrzeby dyrektor wykonawczy udostępnia zarządowi personel administracyjny i inne zasoby. Artykuł 11 Stała Grupa Przedstawicieli Zainteresowanych Stron 1. Zarząd ustanawia, na wniosek dyrektora wykonawczego, Stałą Grupę Przedstawicieli Zainteresowanych Stron złożoną z ekspertów reprezentujących odpowiednie zainteresowane strony, takie jak branża technologii informacyjnych i łączności, grupy konsumenckie, eksperci akademiccy w dziedzinie bezpieczeństwa sieci i informacji oraz organy odpowiedzialne za egzekwowanie prawa i ochronę prywatności. 2. Procedury dotyczące w szczególności liczby, składu i powoływania członków przez zarząd, wniosku dyrektora wykonawczego, a także działania Grupy, określa się w wewnętrznych zasadach działania Agencji i podaje do wiadomości publicznej. 3. Grupie przewodniczy dyrektor wykonawczy. 4. Kadencja członków Grupy wynosi dwa i pół roku. Członkowie zarządu nie mogą być członkami Grupy. Personel Komisji ma prawo brać udział w posiedzeniach i uczestniczyć w pracach Grupy. 5. Grupa doradza Agencji w związku z realizacją jej działań. Grupa doradza w szczególności dyrektorowi wykonawczemu w sprawie przygotowania projektu programu pracy Agencji oraz zapewnienia komunikacji z odpowiednimi zainteresowanymi stronami we wszystkich kwestiach związanych z programem pracy. SEKCJA 3 DZIAŁALNOŚĆ ARTYKUł 12 Program pracy 1. Agencja prowadzi działalność zgodnie ze swoim programem pracy, który zawiera jej wszystkie planowane działania. Program ten nie wyklucza podejmowania przez Agencję nieprzewidzianych działań, które wchodzą w zakres jej celów i zadań oraz mieszczą się w ramach jej budżetu. Dyrektor wykonawczy informuje zarząd o działaniach Agencji, które nie zostały przewidziane w programie pracy. 2. Dyrektor wykonawczy jest odpowiedzialny za opracowanie projektu programu pracy Agencji po uprzedniej konsultacji ze służbami Komisji. Przed dniem 15 marca każdego roku dyrektor wykonawczy przedstawia zarządowi program pracy na następny rok. 3. Przed dniem 30 listopada każdego roku zarząd przyjmuje program pracy Agencji na następny rok w konsultacji ze służbami Komisji. Program pracy uwzględnia zarys wieloletni. Zarząd zapewnia spójność programu pracy z celami Agencji, a także z priorytetami wynikającymi z prawa i polityki Unii w obszarze bezpieczeństwa sieci i informacji. 4. Struktura programu pracy jest oparta na zasadzie zarządzania kosztami działań (ABM). Program pracy jest zgodny z zestawieniem zawierającym szacunkowe dochody i wydatki Agencji oraz budżetem Agencji na dany rok budżetowy. 5. Po przyjęciu programu pracy przez zarząd dyrektor wykonawczy przekazuje go Parlamentowi Europejskiemu, Radzie, Komisji oraz państwom członkowskim, a także zapewnia jego publikację. Artykuł 13 Sprawozdanie ogólne 1. Każdego roku dyrektor wykonawczy przekazuje zarządowi projekt sprawozdania ogólnego obejmującego całą działalność Agencji w roku poprzednim. 2. Do dnia 31 marca każdego roku zarząd przyjmuje sprawozdanie ogólne z działalności Agencji w roku poprzednim. 3. Po przyjęciu sprawozdania ogólnego przez zarząd dyrektor wykonawczy przesyła je Parlamentowi Europejskiemu, Radzie, Komisji, Trybunałowi Obrachunkowemu, Europejskiemu Komitetowi Ekonomiczno-Społecznemu oraz Komitetowi Regionów, a także zapewnia jego publikację . Artykuł 14 Wnioski kierowane do Agencji 1. Wnioski o udzielenie doradztwa i pomocy w zakresie celów i zadań Agencji są kierowane do dyrektora wykonawczego wraz z informacjami uzupełniającymi wyjaśniającymi zgłaszane zagadnienie. Dyrektor wykonawczy informuje zarząd o otrzymanych wnioskach oraz, w odpowiednim terminie, o dalszych działaniach podjętych w odniesieniu do wniosków. W przypadku odrzucenia wniosku przez Agencję decyzję tę należy uzasadnić. 2. Wnioski, o których mowa w ust. 1, mogą być zgłaszane przez: a) Parlament Europejski; b) Radę; c) Komisję; d) dowolny inny właściwy organ wyznaczony przez państwo członkowskie, taki jak krajowy organ regulacyjny określony w art. 2 dyrektywy 2002/21/WE. 3. Praktyczne rozwiązania w zakresie stosowania ust. 1 i 2, dotyczące w szczególności składania wniosków, ustalania priorytetów, podejmowania działań w odniesieniu do wniosków oraz informowania zarządu o wnioskach, są określane przez zarząd w wewnętrznych zasadach działania Agencji. Artykuł 15 Deklaracja o braku konfliktu interesów 1. Dyrektor wykonawczy oraz urzędnicy oddelegowani czasowo przez państwa członkowskie składają pisemną deklarację dotyczącą zobowiązań oraz pisemną deklarację wskazująca na brak bezpośrednich lub pośrednich interesów, które mogłyby zostać uznane za szkodzące ich niezależności. 2. Eksperci zewnętrzni uczestniczący w grupach roboczych ad hoc zgłaszają na każdym posiedzeniu kwestie, które mogłyby zostać uznane za szkodzące ich niezależności w odniesieniu do zagadnień przewidzianych w porządku obrad oraz powstrzymują się od udziału w dyskusjach dotyczących tych punktów. Artykuł 16 Przejrzystość 1. Agencja zapewnia wykonywanie swoich działań w oparciu o wysoki stopień przejrzystości oraz zgodnie z art. 13 i 14. 2. Agencja dopilnowuje, aby instytucje publiczne i inne zainteresowane strony otrzymywały, w stosownych przypadkach, wiarygodne i łatwo dostępne informacje, w szczególności w odniesieniu do wyników jej pracy. Agencja publikuje również deklaracje o braku konfliktu interesów złożone przez dyrektora wykonawczego i urzędników oddelegowanych czasowo przez państwa członkowskie oraz deklaracje o braku konfliktu interesów złożone przez ekspertów w odniesieniu do zagadnień przewidzianych w porządkach obrad posiedzeń grup roboczych ad hoc. 3. Zarząd, działając na wniosek dyrektora wykonawczego, może upoważnić zainteresowane strony do obserwowania przebiegu niektórych działań Agencji. 4. W wewnętrznych zasadach działania Agencja określa praktyczne rozwiązania w zakresie wdrożenia zasad przejrzystości, o których mowa w ust. 1 i 2. Artykuł 17 Poufność 1. Nie naruszając przepisów art. 14, Agencja nie ujawnia stronom trzecim przetwarzanych i otrzymywanych informacji, w przypadku których wnioskowano o zachowanie poufności. 2. Członkowie zarządu, dyrektor wykonawczy, członkowie Stałej Grupy Przedstawicieli Zainteresowanych Stron, eksperci zewnętrzni uczestniczący w pracach grup roboczych ad hoc oraz członkowie personelu Agencji, w tym urzędnicy oddelegowani czasowo przez państwa członkowskie, podlegają wymogom dotyczącym poufności określonym w art. 339 Traktatu, nawet po zakończeniu pełnienia obowiązków. 3. W wewnętrznych zasadach działania Agencja określa praktyczne rozwiązania w zakresie wdrożenia zasad poufności, o których mowa w ust. 1 i 2. 4. Zarząd może postanowić o pozwoleniu Agencji na korzystanie z informacji niejawnych. W takim przypadku zarząd, w porozumieniu z odpowiednimi służbami Komisji, przyjmuje wewnętrzne zasady działania uwzględniające zasady bezpieczeństwa określone w decyzji Komisji 2001/844/WE, EWWiS, Euratom z dnia 29 listopada 2001 r. zmieniającej jej regulamin wewnętrzny[32]. Odnosi się to, między innymi, do przepisów dotyczących wymiany, przetwarzania i przechowywania informacji niejawnych. Artykuł 18 Dostęp do dokumentów 1. W odniesieniu do dokumentów pozostających w posiadaniu Agencji zastosowanie ma rozporządzenie (WE) nr 1049/2001. 2. Zarząd przyjmuje postanowienia dotyczące wykonania rozporządzenia (WE) nr 1049/2001 w ciągu sześciu miesięcy od ustanowienia Agencji. 3. Decyzje przyjęte przez Agencję na mocy art. 8 rozporządzenia (WE) nr 1049/2001 mogą być przedmiotem skarg składanych do Europejskiego Rzecznika Praw Obywatelskich lub spraw kierowanych do Trybunału Sprawiedliwości Unii Europejskiej, na mocy odpowiednio art. 228 i 263 Traktatu. SEKCJA 4 PRZEPISY FINANSOWE ARTYKUł 19 Przyjęcie budżetu 1. Dochody Agencji składają się z wkładu pochodzącego z budżetu Unii europejskiej, wkładów państw trzecich uczestniczących w pracach Agencji, zgodnie z art. 29, oraz wkładów państw członkowskich. 2. Wydatki Agencji obejmują wydatki na personel, wsparcie administracyjne i techniczne, infrastrukturę i działalność operacyjną oraz wydatki wynikające z umów zawartych ze stronami trzecimi. 3. Najpóźniej do dnia 1 marca każdego roku, dyrektor wykonawczy sporządza projekt zestawienia zawierającego szacunkowe dochody i wydatki Agencji w następnym roku budżetowym oraz przekazuje powyższy projekt zarządowi wraz z planem zatrudnienia . 4. Dochody i wydatki równoważą się. 5. Każdego roku zarząd opracowuje, na podstawie projektu zestawienia zawierającego szacunkowe dochody i wydatki sporządzonego przez dyrektora wykonawczego, szacunkowe zestawienie dochodów i wydatków Agencji w następnym roku budżetowym. 6. Najpóźniej do dnia 31 marca, zarząd przesyła Komisji oraz państwom, z którymi Unia Europejska zawarła umowy na mocy art. 24, wspomniane zestawienie szacunków obejmujące projekt planu zatrudnienia wraz z projektem programu pracy. 7. Wspomniane zestawienie szacunków jest przekazywane przez Komisję Parlamentowi Europejskiemu i Radzie (zwanym dalej „władzami budżetowymi”) wraz z projektem budżetu ogólnego Unii Europejskiej. 8. Na podstawie wspomnianego zestawienia szacunków Komisja wprowadza do projektu budżetu ogólnego Unii Europejskiej dane, które uważa za niezbędne w związku z planem zatrudnienia, oraz kwotę subwencji obciążającej budżet ogólny, i przekazuje go władzy budżetowej zgodnie z art. 314 Traktatu. 9. Władza budżetowa zatwierdza środki na subwencję dla Agencji. 10. Władza budżetowa przyjmuje plan zatrudnienia Agencji. 11. Zarząd przyjmuje budżet Agencji równocześnie z programem pracy. Budżet staje się ostateczny po ostatecznym przyjęciu budżetu ogólnego Unii Europejskiej. W stosownych przypadkach zarząd dostosowuje budżet i program pracy Agencji zgodnie z budżetem ogólnym Unii Europejskiej. Zarząd niezwłocznie przekazuje budżet Komisji oraz władzy budżetowej. Artykuł 20 Zwalczanie nadużyć finansowych 1. W celu zwalczania nadużyć finansowych, korupcji i innych działań bezprawnych stosuje się bez ograniczeń rozporządzenie (WE) nr 1073/1999 Parlamentu Europejskiego i Rady z dnia 25 maja 1999 r. dotyczące dochodzeń prowadzonych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF)[33]. 2. Agencja przystępuje do Porozumienia Międzyinstytucjonalnego z dnia 25 maja 1999 r. między Parlamentem Europejskim, Radą Unii Europejskiej i Komisją Wspólnot Europejskich dotyczącego dochodzeń wewnętrznych prowadzonych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) [34] oraz wydaje niezwłocznie odpowiednie przepisy mające zastosowanie do wszystkich pracowników Agencji. Artykuł 21 Wykonanie budżetu 1. Dyrektor wykonawczy wykonuje budżet Agencji. 2. Audytor wewnętrzny Komisji ma te same uprawnienia wobec Agencji co wobec służb Komisji. 3. Najpóźniej do dnia 1 marca następującego po każdym roku budżetowym, księgowy Agencji przesyła tymczasowe sprawozdanie finansowe księgowemu Komisji wraz ze sprawozdaniem dotyczącym zarządzania budżetem i finansami za dany rok budżetowy. Księgowy Komisji sporządza skonsolidowane tymczasowe sprawozdanie finansowe instytucji oraz organów zdecentralizowanych zgodnie z art. 128 rozporządzenia Rady (WE, Euratom) nr 1605/2002 z dnia 25 czerwca 2002 r. w sprawie rozporządzenia finansowego mającego zastosowanie do budżetu ogólnego Wspólnot Europejskich[35] (zwanego dalej „ogólnym rozporządzeniem finansowym”). 4. Najpóźniej do dnia 31 marca następującego po każdym roku budżetowym, księgowy Komisji przesyła tymczasowe sprawozdanie finansowe Agencji Trybunałowi Obrachunkowemu wraz ze sprawozdaniem dotyczącym zarządzania budżetem i finansami za dany rok budżetowy. Sprawozdanie dotyczące zarządzania budżetem i finansami za dany rok budżetowy przesyła się także władzy budżetowej. 5. Po otrzymaniu wniosków Trybunału Obrachunkowego na temat tymczasowego sprawozdania finansowego Agencji, zgodnie z art. 129 ogólnego rozporządzenia finansowego, dyrektor wykonawczy opracowuje na swoją odpowiedzialność końcowe sprawozdanie finansowe Agencji i przesyła je zarządowi w celu uzyskania opinii. 6. Zarząd przedstawia opinię na temat końcowego sprawozdania finansowego Agencji. 7. Najpóźniej do dnia 1 lipca następującego po każdym roku budżetowym, dyrektor wykonawczy przesyła ostateczne sprawozdanie finansowe Parlamentowi Europejskiemu, Radzie, Komisji i Trybunałowi Obrachunkowemu wraz z opinią zarządu. 8. Dyrektor wykonawczy publikuje ostateczne sprawozdanie finansowe. 9. Najpóźniej do dnia 30 września, dyrektor wykonawczy przesyła Trybunałowi Obrachunkowemu odpowiedź na jego uwagi. Dyrektor wykonawczy przesyła tę odpowiedź także zarządowi. 10. Dyrektor wykonawczy przekazuje Parlamentowi Europejskiemu, na jego wniosek, wszystkie informacje niezbędne do sprawnego stosowania procedury udzielenia absolutorium za dany rok budżetowy, zgodnie z art. 146 ust. 3 ogólnego rozporządzenia finansowego. 11. Parlament Europejski, działając na podstawie zalecenia Rady, udziela dyrektorowi wykonawczemu, przed dniem 30 kwietnia roku N+2, absolutorium z wykonania budżetu w roku N. SEKCJA 5 PRZEPISY OGÓLNE ARTYKUł 22 Forma prawna 1. Agencja jest organem Unii. Agencja posiada osobowość prawną. 2. W każdym państwie członkowskim Agencja posiada pełną zdolność prawną, należną osobowości prawnej zgodnie z prawem państwa członkowskiego. Agencja może w szczególności nabywać lub zbywać majątek ruchomy i nieruchomy oraz być stroną w postępowaniach sądowych. 3. Agencję reprezentuje jej dyrektor wykonawczy. Artykuł 23 Personel 1. Zasady i regulacje mające zastosowanie do urzędników i innego personelu Unii Europejskiej mają zastosowanie do personelu Agencji, w tym do jej dyrektora wykonawczego. 2. W odniesieniu do dyrektora wykonawczego zarząd korzysta z uprawnień przyznanych organowi powołującemu na mocy regulaminu pracowniczego oraz organowi uprawnionemu do zawierania umów na mocy warunków zatrudnienia. 3. W odniesieniu do swoich pracowników dyrektor wykonawczy korzysta z uprawnień przyznanych organowi powołującemu na mocy regulaminu pracowniczego oraz organowi uprawnionemu do zawierania umów na mocy warunków zatrudnienia. 4. Agencja może zatrudniać ekspertów krajowych oddelegowanych z państw członkowskich. W wewnętrznych zasadach działania Agencja określa praktyczne rozwiązania dotyczące stosowania tego przepisu. Artykuł 24 Przywileje i immunitety W odniesieniu do Agencji i jej personelu zastosowanie ma protokół w sprawie przywilejów i immunitetów Wspólnot Europejskich. Artykuł 25 Odpowiedzialność 1. Odpowiedzialność umowna Agencji podlega prawu właściwemu dla danej umowy. Trybunał Sprawiedliwości Unii Europejskiej jest właściwy do rozstrzygania sporów na podstawie klauzul arbitrażowych zamieszczonych w umowie zawartej przez Agencję. 2. W przypadku odpowiedzialności pozaumownej Agencja, zgodnie z ogólnymi zasadami przepisów prawnych państw członkowskich, rekompensuje wszelkie szkody wyrządzone przez Agencję lub jej pracowników w trakcie wykonywania swoich obowiązków. Trybunał Sprawiedliwości jest właściwy do orzekania we wszelkich sporach dotyczących rekompensaty za tego rodzaju szkody. 3. Odpowiedzialność osobista pracowników Agencji jest regulowana właściwymi warunkami, które stosuje się w odniesieniu do personelu Agencji. Artykuł 26 Języki 1. W odniesieniu do Agencji stosuje się przepisy rozporządzenia nr 1 z dnia 15 kwietnia 1958 r. określającego języki stosowane w Europejskiej Wspólnocie Gospodarczej[36]. Państwa członkowskie i inne organy przez nie wyznaczone mogą zwracać się do Agencji i otrzymywać odpowiedzi w wybranym przez nich języku Unii Europejskiej. 2. Usługi tłumaczeniowe niezbędne dla funkcjonowania Agencji zapewnia Centrum Tłumaczeń dla Organów Unii Europejskiej. Artykuł 27 Ochrona danych osobowych W odniesieniu do przetwarzania danych dotyczących osób fizycznych Agencja podlega przepisom rozporządzenia (WE) nr 45/2001. Artykuł 28 Udział państw trzecich 1. Agencja jest otwarta na udział państw trzecich, które zawarły umowy z Unią Europejską, zgodnie z którymi przyjęły i stosują przepisy unijne w dziedzinie objętej niniejszym rozporządzeniem. 2. Na mocy odpowiednich postanowień tych umów dokonuje się uzgodnień określających w szczególności charakter, zakres i sposób udziału tych państw w pracach Agencji, w tym postanowienia dotyczące udziału w inicjatywach podejmowanych przez Agencję, wkładów finansowych oraz personelu. SEKCJA 6 PRZEPISY KOŃCOWE ARTYKUł 29 Klauzula przeglądowa 1. W ciągu trzech lat od daty ustanowienia Agencji, o której mowa w art. 34, Komisja, uwzględniając opinie wszystkich odpowiednich zainteresowanych stron, dokonuje oceny na podstawie kryteriów referencyjnych uzgodnionych z zarządem. Ocena dotyczy oddziaływania i skuteczności Agencji w realizacji celów określonych w art. 2 oraz efektywności jej metod pracy. Komisja przeprowadza ocenę w szczególności w celu ustalenia, czy Agencja jest nadal efektywnym instrumentem oraz czy okres działania Agencji powinien zostać przedłużony poza okres określony w art. 34. 2. Wnioski z oceny są przekazywane przez Komisję do Parlamentu Europejskiego i Rady oraz są podawane do wiadomości publicznej. 3. Zarząd otrzymuje ocenę i wydaje zalecenia dla Komisji dotyczące zmian w odniesieniu do niniejszego rozporządzenia, Agencji i jej metod pracy. Zarząd i dyrektor wykonawczy uwzględniają wyniki oceny w wieloletnim planowaniu działalności Agencji. Artykuł 30 Współpraca ze strony przyjmującego państwa członkowskiego Państwo członkowskie przyjmujące Agencję zapewnia możliwie najlepsze warunki dla sprawnego i skutecznego działania Agencji. Artykuł 31 Kontrola administracyjna Zgodnie z art. 228 Traktatu działalność Agencji podlega nadzorowi Europejskiego Rzecznika Praw Obywatelskich. Artykuł 32 Uchylenie oraz przejęcie praw i obowiązków 1. Rozporządzenie (WE) nr 460/2004 traci moc. Odniesienia do rozporządzenia (WE) nr 460/2004 i do ENISA traktuje się jako odniesienia do niniejszego rozporządzenia i do Agencji. 2. Agencja jest następcą agencji, która została ustanowiona rozporządzeniem (WE) nr 460/2004, w odniesieniu do wszystkich praw własności, umów, obowiązków prawnych, umów o pracę, zobowiązań finansowych i odpowiedzialności. Artykuł 33 Okres działania Agencję ustanawia się na okres pięciu lat, począwszy od dnia […] r. Artykuł 34 Wejście w życie Niniejsze rozporządzenie wchodzi w życie następnego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej i jest stosowane z mocą od dnia 14 marca 2012 r. lub od następnego dnia po jego opublikowaniu, w zależności od tego, która z tych dat będzie późniejsza. Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Sporządzono w […] W imieniu Parlamentu Europejskiego W imieniu Rady Przewodniczący Przewodniczący OCENA SKUTKÓW FINANSOWYCH REGULACJI DOTYCZĄCA WNIOSKÓW 1. STRUKTURA WNIOSKU/INICJATYWY 1.1. Tytuł wniosku/inicjatywy Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) 1.2. Dziedzina(-y) polityki w strukturze ABM/ABB, których dotyczy wniosek/inicjatywa [37] Społeczeństwo informacyjne i media. Ramy regulacyjne agendy cyfrowej 1.3. Charakter wniosku/inicjatywy ( Wniosek/inicjatywa dotyczy nowego działania ( Wniosek/inicjatywa dotyczy nowego działania będącego następstwem projektu pilotażowego/działania przygotowawczego[38] ( Wniosek/inicjatywa wiąże się z przedłużeniem bieżącego działania ( Wniosek/inicjatywa dotyczy działania, które zostało przekształcone pod kątem nowego działania 1.4. Cele 1.4.1. Wieloletni(e) cel(e) strategiczny(-e) Komisji wskazany(-e) we wniosku/inicjatywie Spójność podejść regulacyjnych – zapewnienie wytycznych i doradztwa dla Komisji i państw członkowskich w zakresie nowelizacji i rozwoju kompleksowych ram prawnych w dziedzinie bezpieczeństwa sieci i informacji. Zapobieganie, wykrywanie i reagowanie – poprawa gotowości poprzez zwiększenie europejskiej zdolności do wczesnego ostrzegania i reagowania na incydenty oraz wniesienie wkładu w ogólnoeuropejskie plany i ćwiczenia na wypadek zagrożenia. Podnoszenie wiedzy decydentów – udzielanie wsparcia i doradztwa Komisji oraz państwom członkowskim w celu osiągnięcia wysokiego poziomu wiedzy w całej Unii na temat kwestii związanych z bezpieczeństwem sieci i informacji oraz ich zastosowaniem do zainteresowanych stron z branży. Obejmuje to również generowanie, analizę i udostępnianie danych dotyczących aspektów gospodarczych i skutków naruszeń bezpieczeństwa sieci i informacji, czynników zachęcających zainteresowane strony do inwestowania w środki bezpieczeństwa sieci i informacji, identyfikacji zagrożeń, wskaźników stanu bezpieczeństwa sieci i informacji w Unii itp. Wzmacnianie pozycji zainteresowanych stron – rozwój kultury bezpieczeństwa i zarządzania ryzykiem poprzez stymulowanie wymiany informacji oraz szeroką współpracę między podmiotami z sektora publicznego i prywatnego, także bezpośrednio na rzecz obywateli, jak również rozwój kultury świadomości bezpieczeństwa sieci i informacji. Ochrona Europy przed zagrożeniami międzynarodowymi – osiągnięcie wysokiego poziomu współpracy z państwami trzecimi i organizacjami międzynarodowymi w celu promowania wspólnego globalnego podejścia do bezpieczeństwa sieci i informacji oraz wprowadzenia w życie międzynarodowych inicjatyw wysokiego szczebla w Europie. Działanie na rzecz współpracy wdrożeniowej – ułatwienie współpracy w zakresie realizacji polityki bezpieczeństwa sieci i informacji. Zwalczanie cyberprzestępczości – włączenie aspektów bezpieczeństwa sieci i informacji dotyczących zwalczania cyberprzestępczości do dyskusji i wymiany dobrych praktyk między publicznymi i prywatnymi zainteresowanymi stronami, w szczególności poprzez współpracę z instytucjami (dawnego) filaru drugiego i trzeciego, np. z Europolem. 1.4.2. Cel(e) szczegółowy(-e) i działanie(-a) ABM/ABB, których dotyczy wniosek/inicjatywa Cel szczegółowy nr: Poprawa bezpieczeństwa sieci i informacji, rozwój kultury bezpieczeństwa sieci i informacji na rzecz obywateli, konsumentów, przedsiębiorstw oraz organizacji sektora publicznego, a także identyfikacja wyzwań politycznych, jakie wystąpią w przyszłości w dziedzinie sieci i Internetu. Działanie(-a) ABM/ABB, którego(-ych) dotyczy wniosek/inicjatywa Polityka łączności elektronicznej i bezpieczeństwo sieci 1.4.3. Oczekiwany(-e) wynik(i) i wpływ Oczekuje się, że inicjatywa przyniesie następujące skutki gospodarcze: - większa dostępność informacji o obecnych i przyszłych wyzwaniach i zagrożeniach związanych z bezpieczeństwem i odpornością - uniknięcie powielania wysiłków podejmowanych w zakresie gromadzenia przez każde państwo członkowskie istotnych informacji o ryzyku, zagrożeniach i sytuacjach podatności na zagrożenia - wyższy poziom poinformowania decydentów w momencie podejmowania decyzji - lepsza jakość polityk bezpieczeństwa sieci i informacji w państwach członkowskich dzięki rozpowszechnianiu dobrych praktyk - korzyści skali związane z reagowaniem na incydenty na poziomie UE - więcej inwestycji wynikających z istnienia wspólnych celów politycznych i norm w zakresie bezpieczeństwa i odporności na poziomie UE - niższe ryzyko operacyjne dla przedsiębiorstw ze względu na wyższy poziom bezpieczeństwa i odporności - większa spójność środków służących zwalczaniu cyberprzestępczości. Oczekuje się, że inicjatywa przyniesie następujące skutki społeczne: - większe zaufanie użytkowników do usług i systemów społeczeństwa informacyjnego; - zwiększone zaufanie do funkcjonowania rynku wewnętrznego UE dzięki osiągnięciu wyższych poziomów ochrony konsumentów; - zwiększona wymiana informacji i wiedzy z państwami nienależącymi do UE; - lepsze zabezpieczenie praw podstawowych UE poprzez zapewnienie równych poziomów ochrony danych osobowych i prywatności obywateli UE. Oczekiwane skutki ekologiczne są minimalne: - mniejszy wpływ emisji CO2 z uwagi na, między innymi, mniejszą potrzebę przemieszczania się wynikającą z szerszego wykorzystania systemów i usług TIK oraz mniejsze zużycie energii wynikające z korzyści skali w związku z realizacją obowiązków dotyczących bezpieczeństwa. 1.4.4. Wskaźniki wyników i wpływu Wskaźniki dla poszczególnych celów na potrzeby monitorowania są następujące: Spójność podejść regulacyjnych : - liczba państw członkowskich, które zastosowały zalecenia Agencji w procesie opracowywania swojej polityki - liczba analiz mających na celu identyfikację luk i niespójności w regulacjach dotyczących normalizacji w odniesieniu do bezpieczeństwa sieci i informacji - mniejsza rozbieżność w podejściach państw członkowskich do bezpieczeństwa sieci i informacji. Zapobieganie, wykrywanie i reagowanie : - liczba zorganizowanych szkoleń z zakresu bezpieczeństwa sieci - dostępność działającego systemu wczesnego ostrzegania na wypadek zagrożeń i ataków - liczba ćwiczeń w zakresie bezpieczeństwa sieci i informacji koordynowanych przez Agencję na poziomie unijnym Podnoszenie wiedzy decydentów : - liczba analiz mających na celu zebranie informacji na temat aktualnych i przewidywanych zagrożeń oraz technologii zapobiegających powstawaniu ryzyka związanych z bezpieczeństwem sieci i informacji - liczba konsultacji z organami publicznymi zajmującymi się bezpieczeństwem sieci i informacji - obecność europejskich ram w zakresie organizacji gromadzenia danych dotyczących bezpieczeństwa sieci i informacji Wzmacnianie pozycji zainteresowanych stron : - liczba ustalonych dobrych praktyk dla przedsiębiorstw - poziom inwestycji prywatnych zainteresowanych stron w środki bezpieczeństwa Ochrona Europy przed zagrożeniami międzynarodowymi : - liczba konferencji/spotkań z udziałem państw członkowskich UE poświęconych wspólnemu ustaleniu celów w zakresie bezpieczeństwa sieci i informacji - liczba spotkań z udziałem europejskich i międzynarodowych ekspertów w dziedzinie bezpieczeństwa sieci i informacji Działanie na rzecz współpracy wdrożeniowej : - liczba ocen zgodności z regulacjami - liczba ogólnounijnych praktyk w zakresie bezpieczeństwa sieci i informacji Zwalczanie cyberprzestępczości: - częstotliwość interakcji z instytucjami (dawnego) filaru drugiego i trzeciego - liczba przypadków dostarczenia wiedzy specjalistycznej na potrzeby dochodzeń w sprawach karnych 1.5. Uzasadnienie wniosku/inicjatywy 1.5.1. Potrzeba(-y), która(-e) ma(-ją) zostać zaspokojona(-e) w perspektywie krótko- lub długoterminowej ENISA została pierwotnie utworzona w 2004 r. w celu zwalczania zagrożeń dla bezpieczeństwa sieci i informacji oraz jego ewentualnych późniejszych naruszeń. Od tego czasu wyzwania związane z bezpieczeństwem sieci i informacji ewoluowały wraz z technologią i rynkiem oraz były przedmiotem dalszej refleksji i debaty, które umożliwiają dziś aktualizację oraz bardziej szczegółowy opis konkretnych zidentyfikowanych problemów, a także wpływu, jaki wywiera na nie zmieniające się środowisko bezpieczeństwa sieci i informacji. 1.5.2. Wartość dodana z tytułu zaangażowania Unii Europejskiej Problemy w zakresie bezpieczeństwa sieci i informacji przekraczają granice państw, dlatego też niemożliwe jest ich skuteczne rozwiązanie wyłącznie na poziomie krajowym. Jednocześnie widoczne jest duże zróżnicowanie podejść do problemu przyjmowanych przez władze publiczne w poszczególnych państwach członkowskich. Różnice te mogą stanowić poważną przeszkodę dla wdrożenia właściwych ogólnounijnych mechanizmów poprawy bezpieczeństwa sieci i informacji w Europie. Ze względu na wzajemne połączenia infrastruktur TIK na skuteczność środków podejmowanych na poziomie krajowym w jednym państwie członkowskim nadal duży wpływ ma mniejsza skuteczność środków podejmowanych w innych państwach członkowskich oraz brak systematycznej współpracy transgranicznej. Niewystarczające środki w zakresie bezpieczeństwa sieci i informacji powodujące incydent w jednym państwie członkowskim mogą prowadzić do zakłóceń w usługach świadczonych w innych państwach członkowskich. Ponadto wielość wymogów w zakresie bezpieczeństwa oznacza większe koszty dla przedsiębiorstw działających na poziomie Unii Europejskiej oraz prowadzi do rozdrobnienia i braku konkurencji na europejskim rynku wewnętrznym. Podczas gdy rośnie uzależnienie od sieci i systemów informatycznych, gotowość do reagowania na incydenty wydaje się niewystarczająca. Obecne krajowe systemy wczesnego ostrzegania i reagowania na incydenty wykazują istotne braki. Procesy i praktyki monitorowania oraz zgłaszania incydentów w zakresie bezpieczeństwa różnią się znacznie w poszczególnych państwach członkowskich. W niektórych krajach procesy nie są sformalizowane, podczas gdy w innych brakuje właściwego organu odpowiedzialnego za przyjmowanie i przetwarzanie zgłoszeń dotyczących incydentów. Nie istnieją systemy europejskie. W rezultacie świadczenie podstawowych usług może podlegać poważnym zaburzeniom wskutek incydentów w zakresie bezpieczeństwa sieci i informacji, co oznacza, że należy przygotować odpowiednie reakcje. W komunikacie Komisji w sprawie ochrony krytycznej infrastruktury informatycznej podkreślono również potrzebę zapewnienia Europie zdolności do wczesnego ostrzegania i reagowania na incydenty, potencjalnie wspartej ćwiczeniami w skali europejskiej. Istnieje wyraźne zapotrzebowanie na instrumenty polityki mające na celu aktywną identyfikację czynników ryzyka w zakresie bezpieczeństwa sieci i informacji oraz sytuacji podatności na zagrożenia, ustanowienie odpowiednich mechanizmów reagowania (np. poprzez określanie i rozpowszechnianie dobrych praktyk), a także zagwarantowanie, aby takie mechanizmy reagowania były znane zainteresowanym stronom i stosowane przez nie. 1.5.3. Główne wnioski wyciągnięte z podobnych działań Zob. pkt 1.5.1 i 1.5.2. 1.5.4. Spójność z ewentualnymi innymi instrumentami finansowymi oraz możliwa synergia Niniejsza inicjatywa jest w pełni spójna z ogólną debatą dotyczącą bezpieczeństwa sieci i informacji oraz innymi inicjatywami w zakresie polityki, które koncentrują się na przyszłości bezpieczeństwa sieci i informacji. Stanowi ona jeden z głównych elementów europejskiej agendy cyfrowej, która jest flagową inicjatywą realizowaną w ramach strategii „Europa 2020”. 1.6. Czas trwania działania i jego wpływu finansowego ( Wniosek/inicjatywa o określonym czasie trwania - ( Datą wyjściową dla 5-letniego okresu przedłużenia będzie 14 marca 2012 r. lub data wejścia rozporządzenia w życie, w zależności od tego, która z tych dat będzie późniejsza. - ( Czas trwania wpływu finansowego: od 2012 r. do 2017 r. ( Wniosek/inicjatywa o nieokreślonym czasie trwania - Wprowadzenie w życie z okresem rozruchu od RRRR r. do RRRR r., - po którym następuje faza operacyjna. 1.7. Przewidywany(-e) tryb(y) zarządzania [39] ( Bezpośrednie zarządzanie scentralizowane przez Komisję ( Pośrednie zarządzanie scentralizowane poprzez przekazanie zadań wykonawczych: - ( agencjom wykonawczym - ( organom utworzonym przez Wspólnoty[40] - ( krajowym organom sektora publicznego/organom mającym obowiązek świadczenia usługi publicznej - ( osobom odpowiedzialnym za wykonanie określonych działań na mocy tytułu V Traktatu o Unii Europejskiej, określonym we właściwym prawnym akcie podstawowym w rozumieniu art. 49 rozporządzenia finansowego ( Zarządzanie dzielone z państwami członkowskimi ( Zarządzanie zdecentralizowane z państwami trzecimi ( Zarządzanie wspólne z organizacjami międzynarodowymi (należy wyszczególnić) 2. ŚRODKI ZARZĄDZANIA 2.1. Zasady nadzoru i sprawozdawczości Dyrektor wykonawczy ponosi odpowiedzialność za skuteczne monitorowanie i ocenę funkcjonowania Agencji w oparciu o wyznaczone cele oraz za przekazywanie sprawozdania rocznego zarządowi. Dyrektor wykonawczy sporządza projekt ogólnego sprawozdania obejmującego całą działalność Agencji w roku poprzednim, w którym, w szczególności, dokonuje zestawienia osiągniętych wyników z celami zapisanymi w rocznym programie prac. Po przyjęciu sprawozdania przez zarząd jest ono przekazywane do Parlamentu Europejskiego, Rady, Komisji, Trybunału Obrachunkowego, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów oraz podlega publikacji. 2.2. System zarządzania i kontroli 2.2.1. Zidentyfikowane ryzyko Od chwili powstania w 2004 r. ENISA podlega ocenie zewnętrznej i wewnętrznej. Zgodnie z art. 25 rozporządzenia w sprawie ENISA pierwszym etapem w tym procesie było dokonanie niezależnej oceny ENISA przez zespół ekspertów zewnętrznych w latach 2006-2007. Zespół ten potwierdził w swym sprawozdaniu[41], że początkowe argumenty za ustanowieniem ENISA oraz jej pierwotne cele są nadal zasadne. Podniósł on także pewne kwestie, które wymagają podjęcia działań. W marcu 2007 r. Komisja przekazała swoje sprawozdanie w sprawie oceny zarządowi, który następnie opracował własne zalecenia dotyczące przyszłości Agencji i zmian do rozporządzenia w sprawie ENISA[42]. W czerwcu 2007 r. Komisja przedłożyła Parlamentowi Europejskiemu oraz Radzie komunikat[43] zawierający jej opinię w sprawie wyników oceny zewnętrznej oraz zalecenia zarządu. W komunikacie stwierdzono, że należy dokonać wyboru między rozszerzeniem mandatu Agencji a zastąpieniem jej innym mechanizmem, takim jak stałe forum gromadzące zainteresowane strony lub sieć organizacji ds. bezpieczeństwa. Komunikat zapoczątkował również proces konsultacji społecznych w tej dziedzinie: zawarta w nim lista pytań miała ułatwić prowadzenie dalszej dyskusji[44] z zainteresowanymi stronami z całej Europy, zachęcając ich do przedstawiania opinii. 2.2.2. Przewidywane metody kontroli Zob. pkt 2.1 oraz pkt 2.2.1 powyżej. 2.3. Środki zapobiegania nadużyciom finansowym i nieprawidłowościom Przed dokonaniem płatności pracownicy Agencji dokonują weryfikacji płatności za usługi lub badania będące przedmiotem wniosku, z uwzględnieniem zobowiązań umownych, zasad gospodarczych oraz dobrej praktyki finansowej lub zarządczej. Postanowienia dotyczące zwalczania nadużyć finansowych (nadzór, wymogi sprawozdawcze itp.) będą określane we wszystkich umowach i kontraktach zawieranych między Agencją i beneficjentami płatności. 3. SZACUNKOWY WPŁYW FINANSOWY WNIOSKU/INICJATYWY* 3.1. Dział(y) wieloletnich ram finansowych i pozycja(pozycje) wydatków w budżecie, na które wniosek/inicjatywa ma wpływ - Istniejące pozycje w budżecie Dział wieloletnich ram finansowych | Pozycja w budżecie | Rodzaj środków | Wkład | Numer / treść | ZRÓŻNICOWANE /NIEZRÓŻNICOWANE ([45]) | państw EFTA[46] | krajów kandydujących[47] | państw trzecich | w rozumieniu art. 18 ust. 1 lit. aa) rozporządzenia finansowego | 1.a Konkurencyjność na rzecz wzrostu gospodarczego i zatrudnienia | 09 02 03 01 Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji – subwencja w ramach tytułów 1 i 2 | ZRÓŻNICOWANE | TAK | NIE | NIE | NIE | 09 02 03 02 Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji – subwencja w ramach tytułu 3 | ZRÓŻNICOWANE | TAK | NIE | NIE | NIE | 5 Wydatki administracyjne | 09 01 01 Wydatki związane z personelem czynnie zatrudnionym w obszarze polityki społeczeństwa informacyjnego i mediów | NIEZRÓŻNICOWANE | NIE | NIE | NIE | NIE | 09 01 02 11 Inne wydatki na zarządzanie | NIEZRÓŻNICOWANE | NIE | NIE | NIE | NIE | * Obecna ocena skutków finansowych regulacji nie obejmuje szacunkowego wpływu finansowego wniosku w okresie wykraczającym poza obecny okres programowania finansowego 2007-2013. Na podstawie wniosku Komisji dotyczącego rozporządzenia określającego wieloletnie ramy finansowe dla okresu po 2013 r. oraz przy uwzględnieniu wniosków wynikających z oceny skutków, Komisja przedstawi zmienioną ocenę skutków finansowych regulacji. 3.2. Szacunkowy wpływ na wydatki 3.2.1. Synteza szacunkowego wpływu na wydatki w mln EUR (do 3 miejsc po przecinku) Dział wieloletnich ram finansowych: | 1.a | Konkurencyjność na rzecz wzrostu gospodarczego i zatrudnienia | Stanowiska przewidziane w planie zatrudnienia (stanowiska urzędników i pracowników zatrudnionych na czas określony) | XX 01 01 01 (w centrali i w biurach przedstawicielstw Komisji) | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- | OGÓŁEM | 3,5 | 3,5 | 3,5 | -- | -- | -- | -- | - b) Zasoby ludzkie w ENISA 1 stycznia – 13 marca 2012 r. | 14 marca – 31 grudnia 2012 r. | 2013 | 2014 | 2015 | 2016 | 1 stycznia – 13 marca 2017 r. | Plan zatrudnienia ENISA (w ekwiwalentach pełnego czasu pracy) | Inni pracownicy (w ekwiwalentach pełnego czasu pracy) | Pracownicy kontraktowi | 13 | 14 | 14 | -- | -- | -- | -- | Oddelegowani eksperci krajowi (SNE) | 5 | 5 | 5 | -- | -- | -- | -- | Ogółem inni pracownicy | 18 | 19 | 19 | -- | -- | -- | -- | OGÓŁEM | 62 | 66 | 66 | -- | -- | -- | -- | Opis zadań wykonywanych przez personel Agencji: Urzędnicy i pracownicy zatrudnieni na czas określony | Agencja będzie w dalszym ciągu: pełnić funkcję doradczą i koordynującą, polegającą na gromadzeniu i analizie danych w zakresie bezpieczeństwa informacji. Obecnie zarówno organy publiczne, jak i podmioty prywatne gromadzą w różnym celu dane dotyczące incydentów IT oraz inne dane mające znaczenie dla bezpieczeństwa informacji. Na szczeblu europejskim nie istnieje jednak jednostka centralna, która w sposób kompleksowy zajmowałaby się gromadzeniem i analizą danych, wydawała opinie oraz udzielała doradztwa w celu wsparcia prac politycznych Unii w zakresie bezpieczeństwa sieci i informacji; działać jako centrum wiedzy specjalistycznej wydające opinie i służące pomocą w kwestiach technicznych dotyczących bezpieczeństwa, do którego mogą się zwracać zarówno państwa członkowskie, jak i instytucje europejskie; przyczyniać się do szerokiej współpracy między różnymi podmiotami w zakresie bezpieczeństwa informacji poprzez np. pomoc przy realizacji dalszych działań wspierających bezpieczny e-biznes. Taka współpraca będzie nieodzowna dla bezpiecznego funkcjonowania sieci i systemów informatycznych w Europie. Udział i zaangażowanie wszystkich zainteresowanych stron są niezbędne; wnosić wkład w skoordynowane podejście do bezpieczeństwa informacji poprzez wspieranie państw członkowskich, np. w propagowaniu oceny ryzyka lub w działaniach służących podnoszeniu świadomości; zapewniać interoperacyjność sieci i systemów informatycznych w przypadkach, gdy państwa członkowskie stosują wymogi techniczne mające wpływ na bezpieczeństwo; określać istotne potrzeby w zakresie normalizacji oraz dokonywać oceny istniejących norm bezpieczeństwa i systemów certyfikacji oraz promować ich jak najszersze stosowanie w celu wsparcia ustawodawstwa europejskiego; wspierać współpracę międzynarodową, która staje się coraz bardziej potrzebna w tej dziedzinie ze względu na globalny charakter problemów związanych z bezpieczeństwem sieci i informacji. | Personel zewnętrzny | Zob. wyżej. | - 3.2.4. Zgodność z obowiązującymi wieloletnimi ramami finansowymi - ( Wniosek/inicjatywa jest zgodny(-a) z obowiązującymi wieloletnimi ramami finansowymi. - ( Wniosek/inicjatywa wymaga przeprogramowania odpowiedniego działu w wieloletnich ramach finansowych. - ( Wniosek/inicjatywa wymaga zastosowania instrumentu elastyczności lub zmiany wieloletnich ram finansowych[49] Finansowanie ze strony UE po roku 2013 zostanie przeanalizowane w kontekście debaty prowadzonej wewnątrz Komisji dotyczącej wniosków dla okresu po roku 2013. Oznacza to, że po sporządzeniu przez Komisję wniosku dotyczącego kolejnych wieloletnich ram finansowych, Komisja przedstawi zmienioną ocenę skutków finansowych regulacji z uwzględnieniem wniosków wynikających z oceny skutków. 3.2.5. Udział osób trzecich w finansowaniu - ( Wniosek/inicjatywa nie przewiduje współfinansowania ze strony osób trzecich - ( Wniosek/inicjatywa przewiduje współfinansowanie szacowane zgodnie z poniższym: Orientacyjne środki w mln EUR (do 3 miejsc po przecinku) |1 stycznia – 13 marca 2012 r. |14 marca – 31 grudnia 2012 r. |2013 |2014 |2015 |2016 |1 stycznia – 13 marca 2017 r. | Ogółem 14 marca 2012 r. – 13 marca 2017 r. | |EFTA |0,042 |0,160 |0,206 |-- |-- |-- |-- |-- | | 3.3. Szacunkowy wpływ finansowy na dochody - ( Wniosek/inicjatywa nie ma wpływu finansowego na dochody. - ( Wniosek/inicjatywa ma wpływ finansowy określony poniżej: - ( wpływ na zasoby własne - ( wpływ na dochody różne. [1] Rozporządzenie (WE) nr 460/2004 Parlamentu Europejskiego i Rady z dnia 10 marca 2004 r. ustanawiające Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (Dz.U. L 77 z 13.3.2004, s. 1). [2] Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1007/2008 z dnia 24 września 2008 r. zmieniające rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 460/2004 z dnia 10 marca 2004 r. ustanawiające Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji w zakresie okresu jej działania (Dz. L 293 z 31.10.2008, s. 1). [3] Sprawozdanie podsumowujące wyniki konsultacji społecznych „Towards a Strengthened Network and Information Security Policy in Europe” („W stronę udoskonalonej polityki bezpieczeństwa sieci i informacji w Europie”) stanowi załącznik 11 do oceny skutków towarzyszącej niniejszemu wnioskowi. [4] COM(2009) 149 z 30.3.2009. [5] Dokument do dyskusji: http://www.tallinnciip.eu/doc/discussion_paper_-_tallinn_ciip_conference.pdf Konkluzje Prezydencji:http://www.tallinnciip.eu/doc/EU_Presidency_Conclusions_Tallinn_CIIP_Conference.pdf. [6] Rezolucja Rady z dnia 18 grudnia 2009 r. w sprawie wspólnego europejskiego podejścia do bezpieczeństwa sieci i informacji (Dz.U. C 321 z 29.12.2009, s. 1).http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2009:321:0001:0004:EN:PDF. [7] COM(2010) 245 z 19.5.2010. [8] Rezolucja Rady z dnia 18 grudnia 2009 r. w sprawie wspólnego europejskiego podejścia do bezpieczeństwa sieci i informacji przewiduje również, iż: „Rada […] uznaje […] znaczenie analizy strategicznych skutków, zagrożeń i perspektyw dla instytucji UE związanych ze stworzeniem CERT oraz znaczenie rozważenia możliwej przyszłej roli agencji ENISA w tym zakresie”. [9] Zob. załącznik XI do oceny skutków. [10] Zob. załącznik IV do oceny skutków. [11] Dz.U. C 115 z 9.5.2008, s. 94. [12] Wyrok ETS z 2.5.2006 w sprawie C-217/04, Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej przeciwko Parlamentowi Europejskiemu i Radzie Unii Europejskiej. [13] Zob. wyżej. [14] Zwykła procedura ustawodawcza różni się w szczególności, jeśli chodzi o większość wymaganą w Parlamencie Europejskim i Radzie. [15] Dz.U. C […] z […], s. […]. [16] Dz.U. C […] z […], s. […]. [17] Dz.U. L 77 z 13.3.2004, s. 1. [18] Dz.U. L 293 z 31.10.2008, s. 1. [19] COM(2006) 251 z 31.5.2006. [20] Rezolucja Rady z dnia 22 marca 2007 r. w sprawie strategii na rzecz bezpiecznego społeczeństwa informacyjnego w Europie (Dz.U. C 68 z 24.3.2007, s. 1). [21] COM(2009) 149 z 30.3.2009. [22] Rezolucja Rady z dnia 18 grudnia 2009 r. w sprawie wspólnego europejskiego podejścia do bezpieczeństwa sieci i informacji (Dz.U. C 321 z 29.12.2009, s. 1). [23] COM(2010) 245 z 19.5.2010. [24] Dz.U. L 108 z 24.4.2002, s. 33. [25] Dz.U. L 201 z 31.7.2002, s. 37. [26] Dz.U. L 281 z 23.11.1995, s. 31. [27] Dz.U. L 337 z 18.12.2009, s. 1. [28] Dz.U. L 204 z 21.7.1998, s. 37. [29] Rozporządzenie (WE) nr 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji (Dz.U. L 145 z 31.5.2001, s. 43). [30] Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1). [31] Dz.U. L 357 z 31.12.2002, s. 72. [32] Dz.U. L 317 z 3.12.2001, s. 1. [33] Dz.U. L 136 z 31.5.1999, s. 1. [34] Dz.U. L 136 z 31.5.1999, s. 15. [35] Dz.U. L 248 z 16.9.2002, s. 1. [36] Dz.U. 17 z 6.10.1958, s. 385/58. Rozporządzenie ostatnio zmienione aktem przystąpienia z 1994 r. [37] ABM: Activity Based Management: zarządzanie kosztami działań – ABB: Activity Based Budgeting: budżet zadaniowy. [38] O którym mowa w art. 49 ust. 6 lit. a) lub b) rozporządzenia finansowego. [39] Wyjaśnienia dotyczące trybów zarządzania oraz odniesienia do rozporządzenia finansowego znajdują się na następującej stronie: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html [40] Określonym w art. 185 rozporządzenia finansowego. [41] http://ec.europa.eu/dgs/information_society/evaluation/studies/index_en.htm. [42] Zgodnie z art. 25 rozporządzenia w sprawie ENISA. Pełny tekst przyjętego przez zarząd ENISA dokumentu, zawierającego również jego uwagi, jest dostępny na następującej stronie internetowej: http://enisa.europa.eu/pages/03_02.htm. [43] Komunikat Komisji do Parlamentu Europejskiego i Rady w sprawie oceny Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA), COM(2007) 285 wersja ostateczna z 1.6.2007: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52007DC0285:EN:NOT. [44] http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=EnisaFuture&lang=en. [45] Środki zróżnicowane/ środki niezróżnicowane [46] EFTA: Europejskie Stowarzyszenie Wolnego Handlu [47] Kraje kandydujące oraz w stosownych przypadkach potencjalne kraje kandydujące Bałkanów Zachodnich. [48] Załącznika do oceny skutków finansowych regulacji nie wypełniono, gdyż nie ma on zastosowania do bieżącego wniosku. [49] Zob. pkt 19 i 24 porozumienia międzyinstytucjonalnego.