Sprawa C-217/04

Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej

przeciwko

Parlamentowi Europejskiemu

i

Radzie Unii Europejskiej

Rozporządzenie (WE) nr 460/2004 – Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji – Wybór podstawy prawnej

Opinia rzecznika generalnego J. Kokott przedstawiona w dniu 22 września 2005 r.  I-0000

Wyrok Trybunału (wielka izba) z dnia 2 maja 2006 r.  I-0000

Streszczenie wyroku

1.     Zbliżanie ustawodawstw – Artykuł 95 WE – Zakres

(art. 95 WE)

2.     Zbliżanie ustawodawstw – Sektor telekomunikacji

(art. 95 WE; rozporządzenie Parlamentu Europejskiego i Rady nr 460/2004)

1.     Przez sformułowanie „środki dotyczące zbliżenia” użyte w art. 95 WE autorzy traktatu WE pragnęli powierzyć prawodawcy wspólnotowemu, w zależności od sytuacji ogólnej i okoliczności konkretnego przypadku w ramach harmonizowanej dziedziny, pewien zakres swobodnej oceny co do techniki zbliżania prawodawstwa najwłaściwszej dla uzyskania zamierzonego rezultatu, w szczególności w dziedzinach, które charakteryzują się złożonymi właściwościami technicznymi.

W tym względzie brzmienie art. 95 WE nie pozwala na wniosek, iż przepisy przyjęte przez prawodawcę wspólnotowego na podstawie tego artykułu powinny zostać ograniczone, jeśli chodzi o ich adresatów, wyłącznie do państw członkowskich. W rzeczywistości bowiem może okazać się konieczne, według oceny tego prawodawcy, przewidzenie możliwości ustanowienia organu wspólnotowego mającego za zadanie przyczynianie się do realizacji procesu harmonizacji w sytuacjach gdy stosowne wydaje się przyjęcie niewiążących środków towarzyszących lub o charakterze ramowym dla ułatwienia jednolitego wykonania i stosowania aktów opartych na tym postanowieniu.

Jednakże zadania powierzone takiej jednostce powinny być ściśle związane z dziedzinami będącymi przedmiotem aktów dokonujących zbliżenia przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich. Tak jest w szczególności w przypadku gdy ustanowiony w ten sposób organ wspólnotowy wykonuje świadczenia na rzecz organów krajowych lub podmiotów, które mają wpływ na jednolite wykonanie przepisów harmonizujących i mogą ułatwić ich stosowanie.

(por. pkt 43–45)

2.     Podstawę rozporządzenia nr 460/2004 ustanawiającego Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji słusznie stanowi art. 95 WE.

Po pierwsze bowiem, jeśli chodzi o cele wyznaczone Agencji określone w art. 2 tego rozporządzenia, dyrektywa 2002/21 w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej ustanawia zgodnie z jej art. 1 ust. 1 zharmonizowane ramy prawne dla świadczenia usług łączności elektronicznej, sieci łączności elektronicznej oraz towarzyszących urządzeń i usług. Ponadto liczne przepisy dyrektyw szczegółowych wyrażają troskę prawodawcy wspólnotowego o bezpieczeństwo sieci i informacji. Jest tak w przypadku dyrektywy 2002/20 w sprawie zezwoleń na udostępnienie sieci i usług łączności elektronicznej, dyrektywy 2002/22 w sprawie usługi powszechnej i związanych z sieciami i usługami łączności elektronicznej praw użytkowników, dyrektywy 2002/58 dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej, dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych i dyrektywy 1999/93 w sprawie wspólnotowych ram w zakresie podpisów elektronicznych. Ponadto zadania powierzone Agencji na podstawie art. 3 tego rozporządzenia znajdują się w ścisłym związku z celami dyrektywy 2002/21 i dyrektyw szczegółowych w dziedzinie bezpieczeństwa sieci i informacji.

Po drugie, jeśli chodzi o wykonanie ustawodawstwa wspólnotowego w tej dziedzinie, wspomniane rozporządzenie nie stanowi odizolowanego zbioru przepisów, lecz wpisuje się w kontekst normatywny zakreślony przez dyrektywę 2002/21 oraz dyrektywy szczegółowe dotyczące sieci oraz łączności elektronicznej służący urzeczywistnieniu rynku wewnętrznego w dziedzinie łączności elektronicznej. Ponadto mając do czynienia z dziedziną wdrażającą technologie, które nie tylko mają charakter złożony, lecz także podlegają szybkim zmianom, prawodawca wspólnotowy uznał, że utworzenie organu wspólnotowego, takiego jak Agencja, stanowiło właściwe działanie w celu uniknięcia powstania różnic, które mogłyby stworzyć przeszkody w prawidłowym funkcjonowaniu rynku wewnętrznego w tej dziedzinie.

Wreszcie z łącznego brzmienia art. 25 ust. 1 i 2 oraz art. 27 rozporządzenia – zgodnie z którymi Agencja jest utworzona na czas określony i należy poddać ją ocenie w celu stwierdzenia, czy okres ten należy przedłużyć – wynika, że ustawodawca wspólnotowy uznał za stosowne, przed podjęciem decyzji co do dalszego losu Agencji, dokonanie oceny skuteczności działania tej Agencji, jak również jej rzeczywistego przyczyniania się do wykonania dyrektywy 2002/21 i dyrektyw szczegółowych.

(por. pkt 47, 48, 50–55, 58, 60–62, 65–67)

WYROK TRYBUNAŁU (wielka izba)

z dnia 2 maja 2006 r.(*)

Rozporządzenie (WE) nr 460/2004 – Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji – Wybór podstawy prawnej

W sprawie C‑217/04

mającej za przedmiot skargę o stwierdzenie nieważności na podstawie art. 230 WE, wniesioną w dniu 20 maja 2004 r.,

Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej, reprezentowane przez M. Bethella, działającego w charakterze pełnomocnika, wspieranego przez Lorda Goldsmitha i N. Painesa, QC, oraz T. Warda, barrister,

strona skarżąca,

przeciwko

Parlamentowi Europejskiemu, reprezentowanemu przez K. Bradleya i U. Rössleina, działających w charakterze pełnomocników, z adresem do doręczeń w Luksemburgu,

Radzie Unii Europejskiej, reprezentowanej przez M. Veiga i A. Lopesa Sabinę, działających w charakterze pełnomocników,

strona pozwana,

popieranym przez

Republikę Finlandii, reprezentowaną przez T. Pynnę i A. Guimaraes-Purokoski, działające w charakterze pełnomocników,

Komisję Wspólnot Europejskich, reprezentowaną przez F. Benyona i M. Shottera, działających w charakterze pełnomocników, z adresem do doręczeń w Luksemburgu,

interwenienci,

TRYBUNAŁ (wielka izba),

w składzie: V. Skouris, prezes, P. Jann, C.W.A. Timmermans, A. Rosas i J. Malenovský, prezesi izb, R. Schintgen, N. Colneric, S. von Bahr, J.N. Cunha Rodrigues, R. Silva de Lapuerta (sprawozdawca), M. Ilešič, J. Klučka i U. Lõhmus, sędziowie,

rzecznik generalny: J. Kokott,

sekretarz: K. Sztranc, administrator,

uwzględniając procedurę pisemną i po przeprowadzeniu rozprawy w dniu 7 września 2005 r.,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 22 września 2005 r.,

wydaje następujący

Wyrok

1       Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej wnosi o stwierdzenie nieważności rozporządzenia (WE) nr 460/2004 Parlamentu Europejskiego i Rady z dnia 10 marca 2004 r. ustanawiającego Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (Dz.U. L 77, str. 1, zwanego dalej „rozporządzeniem”).

2       Postanowieniem prezesa Trybunału z dnia 25 listopada 2004 r. Republika Finlandii oraz Komisja Wspólnot Europejskich zostały dopuszczone do udziału w postępowaniu w charakterze interwenientów popierających żądania Parlamentu Europejskiego i Rady Unii Europejskiej.

 Ramy prawne

 Uregulowania wspólnotowe ogólne

3       Zgodnie z art. 1 ust. 1 dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa) (Dz.U. L 108, str. 33), ma ona na celu ustanowienie zharmonizowanych ram prawnych dla świadczenia usług łączności elektronicznej oraz towarzyszących urządzeń i usług. Określa zadania krajowych organów regulacyjnych oraz procedury zmierzające do zapewnienia zharmonizowanego stosowania uregulowań prawnych w obrębie Wspólnoty.

4       Prawodawstwo wspólnotowe dotyczące sieci i łączności elektronicznej obejmuje również następujące dyrektywy (zwane dalej „dyrektywami szczegółowymi”):

–       dyrektywa 2002/19/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie dostępu do sieci łączności elektronicznej i urządzeń towarzyszących oraz wzajemnych połączeń (dyrektywa o dostępie) (Dz.U. L 108, str. 7);

–       dyrektywa 2002/20/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie zezwoleń na udostępnienie sieci i usług łączności elektronicznej (dyrektywa o zezwoleniach) (Dz.U. L 108, str. 21);

–       dyrektywa 2002/22/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie usługi powszechnej i związanych z sieciami i usługami łączności elektronicznej praw użytkowników (dyrektywa o usłudze powszechnej) (Dz.U. L 108, str. 51);

–       dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201, str. 37);

–       dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych (dyrektywa o podpisach elektronicznych) (Dz.U. 2000, L 13, str. 12);

–       dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (Dz.U. L 178, str. 1).

5       Decyzją 2002/627/WE z dnia 29 lipca 2002 r. (Dz.U. L 200, str. 38) Komisja ustanowiła Europejski Organ Nadzoru Sieci i Usług Łączności Elektronicznej.

 Rozporządzenie

6       Rozporządzenie zostało przyjęte na podstawie art. 95 WE. W art. 1 ust. 1 rozporządzenia ustanawia się Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (zwaną dalej „Agencją”).

7       Zgodnie z art. 1 ust. 2 rozporządzenia zadanie Agencji polega na „wspiera[niu] Komisj[i] i państw członkowski[ch], [na współpracy w związku z tym z sektorem biznesu, w celu świadczenia im pomocy] w spełnieniu wymagań z zakresu bezpieczeństwa sieci i informacji – […] z uwzględnieniem wymagań ustanowionych w obecnym i przyszłym ustawodawstwie Wspólnoty, takim jak dyrektywa 2002/21/WE – [i zapewnieniu w ten sposób prawidłowego funkcjonowania rynku wewnętrznego]”.

8       Artykuł 2 rozporządzenia, zatytułowany „Cele”, ma następujące brzmienie:

„1.      Agencja [wzmacnia] możliwości Wspólnoty, państw członkowskich oraz tym samym sektora biznesu, w zakresie [zapobiegania problemom] bezpieczeństwa sieci i informacji [oraz określania ich i reagowania na nie].

2.      Agencja oferuje Komisji i państwom członkowskim pomoc i doradztwo w dziedzinie bezpieczeństwa sieci i informacji w ramach swoich kompetencji ustanowionych niniejszym rozporządzeniem.

3.      W oparciu o [inicjatywy podjęte na poziomie krajowym i wspólnotowym] Agencja [wypracowuje wysoki poziom specjalistycznych kompetencji. Wykorzystuje je] do stymulowania szerokiej współpracy między instytucjami sektora publicznego i prywatnego.

4.      Agencja wspiera Komisję (na żądanie) w technicznych pracach przygotowawczych dotyczących aktualizacji i rozwoju [pr]awodawstwa Wspólnoty w dziedzinie bezpieczeństwa sieci i informacji”.

9       Artykuł 3 rozporządzenia definiuje zadania, jakie ma wykonywać Agencja „[w] celu zapewnienia [poszanowania] zakresu [stosowania] i [realizacji] celów ustanowionych w art. 1 i 2”. Zadania te są następujące:

„a)      zbieranie stosownych informacji w celu przeanalizowania ryzyka bieżącego i powstającego [oraz, w szczególności na poziomie europejskim, ryzyka], które może wpływać na [obciążalność i dostępność] sieci łączności elektronicznej oraz autentyczność, integralność i poufność informacji [dostępnych] i przesyłanych poprzez sieci – a także dostarczanie wyników analiz państwom członkowskim i Komisji;

b)      doradzanie Parlamentowi Europejskiemu, Komisji, organom europejskim lub właściwym organom krajowym wyznaczonym przez państwa członkowskie oraz oferowanie [im] na żądanie pomocy [mieszczącej się] w ramach celów Agencji;

c)      [wzmacnianie] współpracy pomiędzy różnymi [podmiotami] działającymi w obszarze bezpieczeństwa sieci i informacji, między innymi poprzez organizowanie regularnych konsultacji z [przedsiębiorstwami], uniwersytetami i innymi [zainteresowanymi] sektorami oraz tworzenie sieci kontaktów dla organów Wspólnoty, organów sektora publicznego wyznaczonych przez państwa członkowskie, sektora prywatnego oraz organów konsumenckich;

d)      ułatwianie współpracy Komisji z państwami członkowskimi w zakresie rozwoju wspólnych metodologii [mających na celu zapobieganie problemom bezpieczeństwa sieci i informacji oraz określanie ich i reagowanie na nie];

e)      przyczynianie się do wzrostu świadomości [wszystkich użytkowników] i [do zapewnienia im] dostępności [w rozsądnym terminie obiektywnych i pełnych] informacji na temat bezpieczeństwa sieci i informacji […], między innymi poprzez promowanie wymiany najlepszych bieżących praktyk, w tym metod ostrzegania użytkowników oraz poszukiwanie współdziałania między inicjatywami w sektorze publicznym i prywatnym;

f)      wspieranie Komisji i państw członkowskich w ich dialogu z [przedsiębiorstwami], w celu [rozwiązywania] problemów dotyczących bezpieczeństwa sprzętu i oprogramowania;

g)      śledzenie rozwoju norm w zakresie produktów i usług odnośnie do bezpieczeństwa sieci i informacji;

h)      doradzanie Komisji w obszarze badań bezpieczeństwa sieci i informacji oraz skuteczne[go] stosowani[a] technologii zapobiega[nia] powstawaniu ryzyka;

i)      promowanie działań z zakresu oceny ryzyka, współdziałających ze sobą rozwiązań z [zakresu zarządzania ryzykiem] oraz badania […] rozwiązań [w zakresie zarządzania środkami zapobiegawczymi] w [ramach] organizacj[i] sektora publicznego i prywatnego;

j)      uczestniczenie w [inicjatywach] Wspólnoty zmierzających do współpracy [z] krajami trzecimi i, w stosownych przypadkach, z organizacjami międzynarodowymi, w celu promowania wspólnej, globalnej [koncepcji] dotyczącej bezpieczeństwa sieci i informacji – i tym samym, przyczynianie się do rozwoju kultury bezpieczeństwa sieci i informacji;

k)      wyrażanie w sposób niezależny własnych wniosków, [wytycznych] i [rad] w sprawach zgodnych z zakresem i celami Agencji”.

10     Sekcje 2 i 3 rozporządzenia dotyczą odpowiednio organizacji i działania Agencji.

 W przedmiocie skargi

Argumentacja stron

11     Na poparcie swoich żądań dotyczących stwierdzenia nieważności rozporządzenia Zjednoczone Królestwo podnosi, że art. 95 WE nie dostarcza odpowiedniej podstawy prawnej dla przyjęcia tego rozporządzenia. Kompetencje przyznane prawodawcy wspólnotowemu w art. 95 WE dotyczą harmonizacji ustawodawstw krajowych; nie jest to upoważnienie do powoływania organów wspólnotowych i powierzania zadań takim organom.

12     Zdaniem Zjednoczonego Królestwa analiza, którą należy przeprowadzić, powinna sprowadzać się do określenia, czy instrument przyjęty na podstawie art. 95 WE służy celowi, jaki można by osiągnąć poprzez równoczesne uchwalenie identycznych przepisów w każdym państwie członkowskim. W takim przypadku rozporządzenie dokonywałoby harmonizacji przepisów krajowych. Jeżeli natomiast rozporządzenie „czyni coś”, czego nie można by osiągnąć wskutek jednoczesnego przyjęcia takich samych przepisów na poziomie państw członkowskich, tj. jeżeli ustanawia normy w dziedzinach, które nie są objęte kompetencją ustawodawczą poszczególnych państw, to wówczas nie może być mowy o środku harmonizującym.

13     Zjednoczone Królestwo przyznaje, że środek harmonizujący przyjęty na podstawie art. 95 WE może obejmować przepisy, które same przez się nie stanowią harmonizacji ustawodawstw krajowych, gdy przepisy te mają tylko charakter uboczny lub służą wykonaniu przepisów, które harmonizują przepisy krajowe.

14     Skarżące państwo członkowskie uważa, że żaden z przepisów rozporządzenia nie zbliża, nawet pośrednio i w sposób bardzo ograniczony, przepisów krajowych. Wręcz przeciwnie, Agencji wyraźnie zabroniono ingerencji w kompetencje organów krajowych, zważywszy, że powinna się ona ograniczyć do udzielania niewiążących porad w danej dziedzinie.

15     Zjednoczone Królestwo podnosi, że rozporządzenie stanowi odpowiedź na ryzyko, jakie niesie za sobą złożony charakter dziedziny dla prawidłowego funkcjonowania rynku wewnętrznego nie poprzez harmonizację przepisów krajowych, lecz przez utworzenie organu wspólnotowego pełniącego rolę doradczą. Tymczasem fakt, że przepis wspólnotowy może mieć pozytywny wpływ na funkcjonowanie rynku wewnętrznego, nie oznacza, że chodzi o środek harmonizujący w rozumieniu art. 95 WE.

16     Zjednoczone Królestwo precyzuje, że udzielanie niewiążących porad nie powinno być równoznaczne ze „zbliżeniem przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich” w rozumieniu art. 95 WE. Ponadto udzielanie takich porad mogłoby w praktyce spowodować zwiększenie istniejących różnic między uregulowaniami krajowymi. Kwestia, czy w praktyce porady udzielane przez Agencję doprowadziłyby państwa członkowskie do wykonywania w podobny sposób uprawnień dyskrecjonalnych przysługujących im na podstawie dyrektywy ramowej i dyrektyw szczegółowych, pozostaje całkowicie spekulatywna.

17     Skarżące państwo członkowskie podkreśla, że zadania Agencji ograniczają się do rozwoju wiedzy fachowej i udzielania porad szerokiemu kręgowi potencjalnych adresatów oraz że jedyny możliwy związek, jaki może istnieć pomiędzy wykonywanymi zadaniami a harmonizacją prawa, wynika z faktu, że Agencja wspomaga Komisję. Jednakże ta rola, która wydaje się polegać na badaniach technicznych, ma zbyt odległy związek z przepisami wspólnotowymi służącymi harmonizacji krajowych norm prawnych.

18     Zjednoczone Królestwo uważa, że obowiązywanie dyrektywy ramowej oraz dyrektyw szczegółowych nie stoi na przeszkodzie przeprowadzeniu takiej analizy. W rzeczywistości działalność Agencji rozciąga się poza zakres zastosowania tych dyrektyw. Ponadto udzielanie niewiążących porad, o których mowa w rozporządzeniu, nie ułatwia wykonania tych dyrektyw, zważywszy, że zadanie to jest zastrzeżone wyłącznie dla właściwych organów państw członkowskich, innych niż Agencja.

19     Twierdzi ono, że rola powierzona Agencji wykracza poza rolę określoną przez zakres zastosowania dyrektyw szczegółowych, ponieważ rozporządzenie dotyczy bezpieczeństwa nie tylko sieci łączności, lecz także systemów informacyjnych, takich jak bazy danych.

20     Zjednoczone Królestwo podnosi również, że uzasadnienie rozporządzenia jest niewystarczające w odniesieniu do prawdopodobieństwa wyłonienia się przeszkód w wymianie handlowej wynikających z istnienia różnych krajowych wymogów dotyczących bezpieczeństwa informacji. Wskazanie samej możliwości zróżnicowanego stosowania wymogów bezpieczeństwa sieci oraz okoliczność, że wymogi te mogą prowadzić do nieskutecznych rozwiązań i przeszkód dla rynku wewnętrznego, nie może stanowić dostatecznego uzasadnienia w tym względzie.

21     Ponadto to państwo członkowskie przyznaje, że powstanie Agencji odpowiada pożądanemu celowi, tj. utworzeniu przez Wspólnotę własnego centrum specjalistycznego w dziedzinie bezpieczeństwa sieci i informacji. Uściśla ono także, że nie sprzeciwia się treści przepisów rozporządzenia. Jednakże z całości przytoczonych argumentów wywodzi, że podstawą rozporządzenia powinien być art. 308 WE.

22     Parlament podnosi, że art. 95 WE nie określa, do jakiego stopnia rozpatrywany akt wspólnotowy powinien zbliżać porządki prawne państw członkowskich. Traktat WE nie stawia wymogu, aby działania oparte na tej podstawie prawnej zbliżały przepisy materialne prawa krajowego, w przypadku gdy bardziej stosowne jest działanie wspólnotowe o mniejszym zasięgu. Wystarczyłoby bowiem, aby środek oparty na postanowieniach tego artykułu odnosił się do zbliżenia przepisów krajowych, nawet jeżeli sam nie przeprowadza takiego zbliżenia.

23     Parlament twierdzi, że rozporządzenie jest wyrazem starania zbliżenia pewnych przepisów, które przyjęły lub właśnie przyjmują państwa członkowskie w dziedzinie bezpieczeństwa sieci i informacji, w celu ułatwienia skutecznego wykonania przepisów wspólnotowych obowiązujących w tej dziedzinie. W takiej sytuacji oparcie skargi na innej i bardziej restrykcyjnej podstawie prawnej byłoby niespójne, zważywszy, że rozporządzenie należy oceniać jako uzupełnienie zespołu dyrektyw dotyczących rynku wewnętrznego w zakresie sieci i usług łączności elektronicznej.

24     Parlament twierdzi, że prawodawca uznał za stosowne przyjęcie wspólnego podejścia do problemów obecnych i możliwych do przewidzenia dotyczących bezpieczeństwa sieci i informacji, ustanawiając organ mający za zadanie doradzanie organom publicznym na poziomie wspólnotowym i krajowym w ścisłym porozumieniu z sektorem prywatnym. Trzy dziedziny działalności Agencji, tj. zbieranie i rozpowszechnianie informacji, funkcje doradcze, jak również zadanie współpracy przyczyniają się do przyjęcia wspólnego podejścia wobec różnych aspektów bezpieczeństwa sieci i informacji.

25     Parlament podkreśla, że o ile Wspólnota mogła teoretycznie uchwalić normy harmonizujące przepisy państw członkowskich dotyczące wszystkich lub tylko niektórych dziedzin będących przedmiotem rozporządzenia, prawodawca wspólnotowy, mając na uwadze złożoność pod względem technicznym tej dziedziny oraz jej szybką ewolucję, przyjął rozporządzenie w celu uniknięcia powstania przeszkód w wymianie handlowej oraz utraty skuteczności, jakie mogłyby wyniknąć wskutek nieskoordynowanego przyjmowania przez państwa członkowskie regulacji technicznych i organizacyjnych. Prawodawca ten zamierzał osiągnąć ten cel poprzez „zbliżenie o niskim stopniu intensywności”, dzięki któremu państwa członkowskie mogłyby przyjąć jednolite akty prawne pozwalające na wykonanie różnych instrumentów wspólnotowych dotyczących łączności elektronicznej, tworząc specjalistyczne centrum mające za zadanie dostarczenie wytycznych, porad oraz pomocy w tej dziedzinie.

26     Parlament dodaje, że okoliczność, iż w dyrektywie ramowej oraz w dyrektywach szczegółowych zostały zawarte materialnoprawne przepisy harmonizujące, nie zmienia uzupełniającego charakteru rozporządzenia, którego celem jest ułatwienie wykonania tych dyrektyw.

27     Zdaniem Parlamentu zadania Agencji są raczej skromne, w tym sensie, że nie pociągają one za sobą uprawnień w zakresie określania „standardów”. Udzielanie bowiem porad pochodzących z jedynego źródła informacji specjalistycznej, stanowiącego autorytet na poziomie europejskim, przyczynia się do przyjęcia wspólnego stanowiska w sytuacjach, w których występowałoby ryzyko uzyskania przez Wspólnotę oraz podmioty krajowe różnych porad technicznych. Także różne formy współpracy, do których zachęca Agencja, stanowią ułatwienie zbliżania warunków rynkowych oraz podejmowania przez państwa członkowskie działań, które odpowiadają problemom bezpieczeństwa informacji.

28     Parlament podnosi wreszcie, że jeżeli Trybunał doszedłby do wniosku, iż art. 95 WE nie może stanowić podstawy rozporządzenia, to może ono w każdym razie być oparte na kompetencjach dorozumianych, przyznanych prawodawcy przez to postanowienie. Z punktu widzenia takich kompetencji dorozumianych utworzenie Agencji można by uznać za niezbędne w celu zagwarantowania osiągnięcia celów dyrektyw szczegółowych.

29     Rada twierdzi, że zbliżenie, o którym mowa w art. 95 WE, dotyczy nie tylko krajowych przepisów ustawowych, lecz także przepisów wykonawczych i administracyjnych państw członkowskich. Ponadto akty oparte na tej podstawie prawnej mogą zawierać przepisy, które same w sobie nie stanowią norm harmonizujących, lecz które ułatwiają zbliżanie uregulowań krajowych. W szczególności z brzmienia tego artykułu nie wynika nic, co nie pozwalałoby prawodawcy na stworzenie organu wspólnotowego odpowiedzialnego za wnoszenie fachowych kompetencji w dziedzinie będącej już przedmiotem działań harmonizujących.

30     W tym względzie Rada uściśla, że art. 95 WE nie wyklucza w stosunku do prawodawcy wspólnotowego możliwości podjęcia działań służących uniknięciu pojawienia się w przyszłości przeszkód w wymianie handlowej, wynikających z niejednorodnego rozwoju ustawodawstw krajowych. Prawodawca ten jest w rzeczywistości uprawniony do przyjmowania aktów, które nawet jeśli nie stanowią same przez się norm harmonizujących, odnoszą się bezpośrednio do zbliżenia norm krajowych, w szczególności w celu uniknięcia pojawienia się nieskutecznych rozwiązań oraz niejednorodnego rozwoju przepisów państw członkowskich.

31     Rada podnosi, że Agencja przyczynia się, poprzez świadczenie pomocy na rzecz Komisji przy dokonywaniu prac przygotowawczych o charakterze technicznym w celu opracowania przepisów wspólnotowych, nawet jeżeli sprowadza się ona do niewiążących porad, w sposób decydujący do harmonizacji przepisów i praktyk krajowych w dziedzinie bezpieczeństwa sieci i informacji, jak również do aktualizacji, rozwoju i wykonywania tych przepisów.

32     Zdaniem Rady opinia niezależnego organu udzielającego porad technicznych na żądanie Komisji i państw członkowskich ułatwia transpozycję do prawa wewnętrznego państw członkowskich dyrektyw przyjętych w tej dziedzinie. Rozporządzenie nie wywołuje zatem skutku ubocznego lub drugorzędnego jeśli chodzi o harmonizację warunków rynku wewnątrz Wspólnoty, lecz przyczynia się w sposób bezpośredni do zbliżenia regulacji krajowych.

33     Rada twierdzi wreszcie, że art. 308 WE przyznaje prawodawcy wspólnotowemu jedynie szczątkową kompetencję prawodawczą w dziedzinach, w których Wspólnocie nie została przyznana kompetencja prawodawcza w zakresie stanowienia norm prawa materialnego dla realizacji pewnych celów. Jeżeli bowiem istnieje szczególna podstawa prawna do przyjęcia aktu wspólnotowego, odwołanie się do art. 308 WE jest wykluczone, ponieważ przepis ten stanowi jedynie podstawę prawną o charakterze wyjątkowym.

34     Republika Finlandii podnosi, że cele i treść rozporządzenia są ściśle związane z utworzeniem i prawidłowym funkcjonowaniem rynku wewnętrznego. W rzeczywistości zasadnicze zadanie Agencji polega na zapewnieniu wysokiego i skutecznego poziomu bezpieczeństwa sieci i informacji, jak również redukcji przeszkód w funkcjonowaniu rynku wewnętrznego wynikających z różnic występujących w przepisach poszczególnych państw członkowskich w tej dziedzinie.

35     Państwo to uważa, że Agencja ułatwia jednolite stosowanie przepisów wspólnotowych w dziedzinie sieci i usług łączności elektronicznej. Agencja ma za zadanie w szczególności zapobiegać powstawaniu w przyszłości przeszkód w handlu, które mogą wystąpić w związku ze złożonym i technicznym charakterem sieci elektronicznych, jak również niejednorodnych praktyk państw członkowskich.

36     Republika Finlandii uznaje, że przy okazji poszukiwania podstawy prawnej dla przepisów ustanawiających wspólnotową jednostkę organizacyjną należy uwzględnić stopień zbliżenia przepisów wspólnotowych w danej dziedzinie. Zważywszy, że ujednolicanie realizowane za sprawą przepisów wspólnotowych w sprawie sieci i usług łączności elektronicznej jest już dość zaawansowane, regulacja wprowadzona na poziomie Wspólnoty może wymagać, w celu zapewnienia jednolitej praktyki stosowania tych przepisów, wprowadzenia środków, które wykraczają poza przyjęte zwyczajowo w tej dziedzinie.

37     Komisja uważa, że rozporządzenie zgodnie ze swoim celem i treścią stanowi środek, który bezpośrednio ułatwia zharmonizowane wykonanie i stosowanie określonych dyrektyw opartych na art. 95 WE. W rzeczywistości jedna z podstawowych cech charakterystycznych aktualnej regulacji polega na tym, że jej szczegółowe stosowanie w znacznej części jest zdecentralizowane i powierzone krajowym organom regulacyjnym.

38     Instytucja ta utrzymuje, że utworzenie Agencji wpisuje się w szersze pojęcie harmonizacji, w szczególności ułatwiając zharmonizowane stosowanie dyrektyw wspólnotowych przez krajowe organy regulacyjne. Cel rozporządzenia wykracza bowiem poza samo utworzenie Agencji, zważywszy że powinna ona doradzać i udzielać pomocy Komisji oraz tym organom. Istnieje zatem związek między utworzeniem tej Agencji a wspólnotowymi ramami prawnymi dotyczącymi łączności elektronicznej.

39     Komisja wskazuje, że dyrektywa ramowa tworzy zharmonizowany system dla regulacji usług i sieci łączności elektronicznej, jak również urządzeń towarzyszących. Dyrektywa ta wyznacza zadania spoczywające na krajowych organach regulacyjnych, ustanawiając szereg procedur służących zagwarantowaniu zharmonizowanego stosowania danego mechanizmu w całej Wspólnocie.

40     Podnosi ona, że nawet jeżeli parametry dotyczące zdecentralizowanego stosowania tych dyrektyw są jasno zdefiniowane, nie można wykluczyć, że w ramach wykonywania uprawnień dyskrecjonalnych przyznanych krajowym organom regulacyjnym przyjmą one różne stanowiska. Agencja została utworzona w celu świadczenia pomocy tym organom dla wspólnego technicznego zrozumienia kwestii dotyczących bezpieczeństwa sieci i informacji.

41     Komisja dodaje, że Agencja działa w granicach zharmonizowanych parametrów wspólnotowych ram prawnych w zakresie łączności elektronicznej i bez znaczenia pozostaje okoliczność, iż rola tego organu nie została zdefiniowana w trakcie przyjmowania tych ogólnych ram.

 Ocena Trybunału

 W przedmiocie znaczenia art. 95 WE

42     Jeśli chodzi o zakres kompetencji prawodawczych przewidzianych w art. 95 WE, to należy przypomnieć, że – jak orzekł Trybunał w pkt 44 wyroku z dnia 6 grudnia 2005 r. w sprawie C‑66/04 Zjednoczone Królestwo przeciwko Parlamentowi i Radzie (Zb.Orz. str. I‑10553) – postanowienie to jest stosowane jako podstawa prawna jedynie wówczas, gdy z aktu prawnego wynika w sposób obiektywny i rzeczywisty, iż jego celem jest usprawnienie warunków ustanowienia i funkcjonowania rynku wewnętrznego.

43     Trybunał stwierdził również w pkt 45 wspomnianego wyżej wyroku w sprawie Zjednoczone Królestwo przeciwko Parlamentowi i Radzie, iż przez sformułowanie „środki dotyczące zbliżenia” użyte w art. 95 WE, autorzy traktatu WE pragnęli powierzyć prawodawcy wspólnotowemu, w zależności od sytuacji ogólnej i okoliczności konkretnego przypadku w ramach harmonizowanej dziedziny, pewien zakres swobodnej oceny co do techniki zbliżania prawodawstwa, najwłaściwszej dla uzyskania zamierzonego rezultatu, w szczególności w dziedzinach, które charakteryzują się złożonymi właściwościami technicznymi.

44     W tym względzie należy dodać, że brzmienie art. 95 WE nie pozwala na wniosek, iż przepisy przyjęte przez prawodawcę wspólnotowego na podstawie tego artykułu powinny zostać ograniczone, jeśli chodzi o ich adresatów, wyłącznie do państw członkowskich. W rzeczywistości bowiem może okazać się konieczne, według oceny tego prawodawcy, przewidzenie możliwości ustanowienia organu wspólnotowego mającego za zadanie przyczynianie się do realizacji procesu harmonizacji, w sytuacjach gdy stosowne wydaje się przyjęcie niewiążących środków towarzyszących lub o charakterze ramowym dla ułatwienia jednolitego wykonania i stosowania aktów opartych na tym postanowieniu.

45     Jednakże należy podkreślić, że zadania powierzone takiej jednostce powinny być ściśle związane z dziedzinami będącymi przedmiotem aktów dokonujących zbliżenia przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich. Tak jest w szczególności w przypadku gdy ustanowiony w ten sposób organ wspólnotowy wykonuje świadczenia na rzecz organów krajowych lub podmiotów, które mają wpływ na jednolite wykonanie przepisów harmonizujących i mogą ułatwić ich stosowanie.

 W przedmiocie zgodności rozporządzenia z wymogami art. 95 WE

46     W tych okolicznościach należy dokonać analizy, czy cele wyznaczone Agencji, określone w art. 2 rozporządzenia, oraz zadania powierzone jej na mocy art. 3 tego aktu odpowiadają wymogom opisanym w pkt 44 i 45 niniejszego wyroku.

47     W tym celu w pierwszej kolejności należy ustalić, czy te cele i zadania są ściśle związane z dziedzinami będącymi przedmiotem przepisów opisanych w art. 1 ust. 2 rozporządzenia jako „obecn[e] ustawodawstw[o] […] Wspólnoty” oraz, w razie odpowiedzi twierdzącej, w drugiej kolejności, czy te cele i zadania można uznać za towarzyszące i tworzące ramy wykonania tych przepisów.

48     Jeśli chodzi o dyrektywę ramową, o której mowa w motywie 9 rozporządzenia, to z jej art. 1 ust. 1 wynika, że ustanawia ona zharmonizowane ramy prawne dla świadczenia usług łączności elektronicznej, sieci łączności elektronicznej oraz towarzyszących urządzeń i usług. Dyrektywa ta określa zadania krajowych organów regulacyjnych oraz procedury służące zapewnieniu zharmonizowanego stosowania uregulowań prawnych w obrębie Wspólnoty.

49     Motyw 16 dyrektywy ramowej wskazuje w tym względzie, że organy te powinny opierać swe działania na określonych w sposób zharmonizowany celach i zasadach. Owe cele i zasady zostały wymienione w art. 8 tej dyrektywy i wśród nich znajdują się w szczególności wysoki poziom ochrony danych osobowych i prywatności oraz integralność i bezpieczeństwo publicznej sieci łączności [zob. art. 8 ust. 4 lit. c) i f) dyrektywy ramowej].

50     Należy także podnieść, że liczne przepisy dyrektyw szczegółowych wyrażają troskę prawodawcy wspólnotowego o bezpieczeństwo sieci i informacji.

51     Po pierwsze, jak wynika z motywu 6 rozporządzenia, dyrektywa o zezwoleniach wymienia w części A, pkt 7 i 16 załącznika ochronę danych osobowych i prywatności, jak również bezpieczeństwo sieci publicznych wobec nieupoważnionego dostępu.

52     Po drugie, jak wynika z motywu 7 rozporządzenia, dyrektywa o usłudze powszechnej ma na celu zapewnienie integralności i dostępności publicznych sieci telefonicznych. W tym względzie art. 23 tej dyrektywy stanowi, że państwa członkowskie podejmują wszelkie konieczne środki w celu zapewnienia ich funkcjonowania, zwłaszcza w przypadku załamania sieci w wyniku katastrofy lub w przypadku działania siły wyższej.

53     Po trzecie, jak precyzuje to motyw 8 rozporządzenia, dyrektywa o prywatności i łączności elektronicznej wymaga od dostawcy powszechnie dostępnych usług łączności elektronicznej podjęcia właściwych kroków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa tych usług i poufności łączności oraz  danych związanych z przesyłem. Wymogi te znalazły swój wyraz w szczególności w art. 4 i 5 tej dyrektywy, których przedmiotem jest, odpowiednio, bezpieczeństwo sieci oraz poufność łączności.

54     Po czwarte, art. 17 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, str. 31) stanowi, że państwa członkowskie zapewniają, aby administrator danych wprowadził odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed przypadkowym lub nielegalnym zniszczeniem lub przypadkową utratą, zmianą, niedozwolonym ujawnieniem lub dostępem, szczególnie wówczas gdy przetwarzanie danych obejmuje transmisję danych w sieci, jak również przed wszelkimi innymi nielegalnymi formami przetwarzania.

55     Po piąte, należy przypomnieć, że dyrektywa o podpisach elektronicznych przewiduje w art. 3 ust. 4, że właściwe organy powołane przez państwa członkowskie określają zasady dotyczące zgodności bezpiecznych urządzeń służących do generowania podpisu.

56     Jeśli chodzi o zadania, jakie zostały powierzone Agencji, to należy najpierw stwierdzić, że dotyczą one zbierania stosownych informacji w celu przeanalizowania ryzyka bieżącego i powstającego oraz ryzyka, które może wpływać na obciążalność sieci łączności elektronicznej oraz autentyczność, integralność i poufność tych łączności. Agencja ma również za zadanie opracowanie „wspólnych metodologii” w celu zapobiegania problemom bezpieczeństwa, przyczyniania się do wzrostu świadomości wszystkich użytkowników, jak również wspierania wymiany „najlepszych bieżących praktyk” i „sposobów alarmowania” oraz działalność z zakresu oceny ryzyka i zarządzania nim.

57     Agencja jest również odpowiedzialna za umocnienie współpracy między różnymi podmiotami w dziedzinie bezpieczeństwa sieci i informacji, za pomoc na rzecz Komisji i państw członkowskich w dialogu prowadzonym przez nich z przedsiębiorstwami w celu rozwiązywania problemów dotyczących bezpieczeństwa związanego ze sprzętem oraz z oprogramowaniem, jak również za przyczynianie się do inicjatyw wspólnotowych dotyczących współpracy z państwami trzecimi oraz, w danym przypadku, z organizacjami międzynarodowymi dla wspierania wspólnego globalnego podejścia wobec problematyki bezpieczeństwa sieci i informacji.

58     W konsekwencji zadania powierzone Agencji na podstawie art. 3 rozporządzenia znajdują się w ścisłym związku z celami dyrektywy ramowej i dyrektyw szczegółowych w dziedzinie bezpieczeństwa sieci i informacji.

59     W tych okolicznościach, jak stwierdzono to w pkt 47 niniejszego wyroku, należy zbadać, czy zadania Agencji można uznać jako towarzyszące i tworzące ramy wykonania prawodawstwa wspólnotowego w tej dziedzinie, tj. czy utworzenie Agencji, jak również cele i zadania przypisane jej przez rozporządzenie, można poddać analizie jako „środki dotyczące zbliżenia” w rozumieniu art. 95 WE.

60     Mając na uwadze cechy charakterystyczne dziedziny będącej przedmiotem rozważań, należy stwierdzić, że rozporządzenie nie stanowi odizolowanego zbioru przepisów, lecz że wpisuje się w kontekst normatywny zakreślony przez dyrektywę ramową oraz dyrektywy szczegółowe, służący urzeczywistnieniu rynku wewnętrznego w dziedzinie łączności elektronicznej.

61     Z całości materiału zebranego w aktach sprawy wynika również, że prawodawca wspólnotowy ma do czynienia z dziedziną wdrażającą technologie, które nie tylko mają charakter złożony, lecz także podlegają szybkim zmianom. Wywnioskował on z tego, że można było przewidzieć, iż transpozycja oraz stosowanie dyrektywy ramowej i dyrektyw szczegółowych spowoduje różnice między państwami członkowskimi.

62     W tych okolicznościach prawodawca wspólnotowy uznał, że utworzenie organu wspólnotowego, takiego jak Agencja, stanowiło właściwe działanie w celu uniknięcia powstania różnic, które mogłyby stworzyć przeszkody w prawidłowym funkcjonowaniu rynku wewnętrznego w tej dziedzinie.

63     Należy przypomnieć, że z motywów 3 i 10 rozporządzenia wynika, że złożoność techniczna sieci i systemów informacyjnych, różnorodność połączonych ze sobą produktów i usług oraz duża liczba osób prywatnych i publicznych działających na własną odpowiedzialność skłoniły prawodawcę wspólnotowego do wniosku, że niejednolite stosowanie wymagań technicznych, o których mowa w dyrektywie ramowej oraz w dyrektywach szczegółowych, może naruszyć prawidłowe funkcjonowanie rynku wewnętrznego.

64     W tym kontekście prawodawca wspólnotowy mógł uznać, że opinia niezależnego organu udzielającego porad technicznych na żądanie Komisji i państw członkowskich może stanowić ułatwienie w transpozycji tych dyrektyw do prawa krajowego państw członkowskich oraz ich wykonanie na poziomie krajowym.

65     Należy przypomnieć wreszcie, że zgodnie z art. 27 rozporządzenia Agencja jest utworzona na okres pięciu lat, od dnia 14 marca 2004 r., oraz że na podstawie art. 25 ust. 1 i 2 tego samego rozporządzenia Komisja, najpóźniej do dnia 17 marca 2007 r., ma obowiązek dokonania oceny wpływu Agencji na osiąganie jej celów i realizację zadań oraz metod pracy Agencji.

66     Z łącznego brzmienia tych dwóch przepisów wynika zatem, że prawodawca wspólnotowy uznał za stosowne, przed podjęciem decyzji co do dalszego losu Agencji, dokonanie oceny skuteczności działania tej Agencji, jak również jej rzeczywistego przyczyniania się do wykonania dyrektywy ramowej i dyrektyw szczegółowych.

67     W tych okolicznościach oraz zważywszy na całość materiału zebranego w aktach sprawy należy stwierdzić, że podstawę rozporządzenia słusznie stanowi art. 95 WE i stąd należy skargę oddalić.

 W przedmiocie kosztów

68     Zgodnie z art. 69 § 2 regulaminu kosztami zostaje obciążona, na żądanie strony przeciwnej, strona przegrywająca sprawę. Ponieważ Parlament i Rada wniosły o obciążenie Zjednoczonego Królestwa kosztami postępowania, a Zjednoczone Królestwo przegrało sprawę, należy obciążyć je kosztami postępowania. Zgodnie z § 4 tego samego artykułu Republika Finlandii i Komisja pokrywają własne koszty.

Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:

1)      Skarga zostaje oddalona.

2)      Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej zostaje obciążone kosztami.

3)      Republika Finlandii i Komisja pokrywają własne koszty.

Podpisy

---

* Język postępowania: angielski.