13.12.2013   

RO

Jurnalul Oficial al Uniunii Europene

C 365/172

RAPORTUL

privind conturile anuale ale Agenției Uniunii Europene pentru Securitatea Rețelelor Informatice și a Datelor pentru exercițiul financiar 2012, însoțit de răspunsurile agenției

2013/C 365/24

INTRODUCERE

1.

Agenția Uniunii Europene pentru Securitatea Rețelelor Informatice și a Datelor (denumită în continuare „agenția”), cu sediul la Atena și Heraklion (1), a fost instituită prin Regulamentul (CE) nr. 460/2004 al Parlamentului European și al Consiliului (2), modificat prin Regulamentul (CE) nr. 1007/2008 (3) și prin Regulamentul (CE) nr. 580/2011 (4). Principala misiune a agenției este să consolideze capacitatea Uniunii de a preveni și de a răspunde la problemele de securitate a rețelelor informatice și a datelor, sprijinindu-se pe eforturile naționale și pe cele ale Uniunii (5).

INFORMAȚII ÎN SPRIJINUL DECLARAȚIEI DE ASIGURARE

2.

Abordarea de audit adoptată de Curte cuprinde proceduri analitice de audit, testarea directă a operațiunilor și o evaluare a controalelor-cheie din cadrul sistemelor de supraveghere și de control ale agenției. Acestea sunt completate cu probe de audit rezultate din activitatea altor auditori (acolo unde este cazul), precum și cu o analiză a declarațiilor conducerii.

DECLARAȚIA DE ASIGURARE

3.

În temeiul dispozițiilor articolului 287 din Tratatul privind funcționarea Uniunii Europene (TFUE), Curtea a auditat:

(a)

conturile anuale ale agenției, care cuprind situațiile financiare (6) și rapoartele privind execuția bugetară (7) pentru exercițiul financiar încheiat la 31 decembrie 2012; și

(b)

legalitatea și regularitatea operațiunilor subiacente acestor conturi.

Responsabilitatea conducerii

4.

În conformitate cu articolele 33 și 43 din Regulamentul (CE, Euratom) nr. 2343/2002 al Comisiei (8), conducerea este responsabilă de întocmirea și de prezentarea fidelă a conturilor anuale ale agenției, precum și de legalitatea și regularitatea operațiunilor subiacente acestora:

(a)

responsabilitățile conducerii în ceea ce privește conturile anuale ale agenției includ conceperea, implementarea și menținerea sistemului de control intern necesar pentru întocmirea și pentru prezentarea fidelă a unor situații financiare care să nu fie afectate de denaturări semnificative, fie rezultate din acte de fraudă, fie rezultate din erori; aceste responsabilități includ, de asemenea, alegerea și aplicarea politicilor contabile corespunzătoare, pe baza normelor contabile adoptate de contabilul Comisiei (9), precum și elaborarea unor estimări contabile rezonabile în lumina circumstanțelor existente. Directorul aprobă conturile anuale ale agenției după ce contabilul acesteia le-a întocmit pe baza tuturor informațiilor disponibile și după ce acesta a elaborat o notă ce însoțește conturile, în care declară, inter alia, că a obținut o asigurare rezonabilă conform căreia aceste conturi prezintă, sub toate aspectele semnificative, o imagine corectă și fidelă a situației financiare a agenției;

(b)

responsabilitățile conducerii în ceea ce privește asigurarea legalității și regularității operațiunilor subiacente și respectarea principiului bunei gestiuni financiare constau în conceperea, implementarea și menținerea unui sistem eficace și eficient de control intern, care să facă apel la o supraveghere adecvată și la măsuri corespunzătoare de prevenire a neregularităților și a fraudei, precum și, dacă se dovedește necesar, la acțiuni în justiție pentru recuperarea fondurilor plătite sau utilizate în mod incorect.

Responsabilitatea auditorului

5.

Responsabilitatea Curții este de a furniza Parlamentului European și Consiliului (10), pe baza auditului pe care l-a desfășurat, o declarație de asigurare cu privire la fiabilitatea conturilor anuale și la legalitatea și regularitatea operațiunilor subiacente acestora. Auditul Curții este efectuat în conformitate cu standardele internaționale de audit și codul deontologic formulate de IFAC și cu standardele internaționale ale instituțiilor supreme de audit formulate de INTOSAI. Aceste standarde impun Curții planificarea și efectuarea auditului astfel încât să se obțină o asigurare rezonabilă referitor la prezența sau la absența unor denaturări semnificative în cadrul conturilor anuale ale agenției și la conformitatea operațiunilor subiacente cu legile și reglementările în vigoare.

6.

Auditul implică aplicarea unor proceduri în vederea obținerii de probe de audit privind sumele și informațiile prezentate în conturi și privind legalitatea și regularitatea operațiunilor subiacente acestora. Procedurile de audit sunt alese pe baza raționamentului auditorului, care se întemeiază pe evaluarea riscului ca în cadrul conturilor să se regăsească denaturări semnificative sau ca la nivelul operațiunilor subiacente să existe neconformități semnificative cu cerințele din legislația Uniunii Europene, fie că aceste denaturări sau neconformități sunt rezultate din acte de fraudă, fie că sunt rezultate din erori. Atunci când evaluează aceste riscuri, auditorul analizează controalele interne referitoare la întocmirea și la prezentarea fidelă a conturilor, precum și sistemele de supraveghere și de control introduse pentru a asigura legalitatea și regularitatea operațiunilor subiacente, și definește proceduri de audit corespunzătoare în raport cu circumstanțele. Auditul include, în egală măsură, aprecierea caracterului adecvat al politicilor contabile și a caracterului rezonabil al estimărilor contabile, precum și evaluarea prezentării globale a conturilor.

7.

Curtea consideră că probele de audit obținute sunt suficiente și adecvate pentru a sta la baza declarației sale de asigurare.

Opinia privind fiabilitatea conturilor

8.

În opinia Curții, conturile anuale ale agenției prezintă în mod fidel, sub toate aspectele semnificative, situația financiară a acesteia la 31 decembrie 2012, precum și rezultatele operațiunilor sale și fluxurile sale de numerar pentru exercițiul încheiat la această dată, în conformitate cu dispozițiile regulamentului său financiar și cu normele contabile adoptate de contabilul Comisiei.

Opinia privind legalitatea și regularitatea operațiunilor subiacente conturilor

9.

În opinia Curții, operațiunile subiacente conturilor anuale aferente exercițiului încheiat la 31 decembrie 2012 sunt conforme cu legile și reglementările în vigoare sub toate aspectele semnificative.

10.

Observația prezentată în continuare nu pune în discuție opiniile exprimate de Curte.

OBSERVAȚIE CU PRIVIRE LA CONTROALELE INTERNE

11.

Deși regulamentul financiar și normele de aplicare aferente prevăd realizarea unui inventar fizic al activelor imobilizate cel puțin o dată la trei ani, agenția nu a mai efectuat un inventar fizic exhaustiv din 2009.

SITUAȚIA ACȚIUNILOR ÎNTREPRINSE ÎN URMA OBSERVAȚIILOR DIN EXERCIȚIUL ANTERIOR

12.

Anexa I conține o prezentare generală a acțiunilor corective întreprinse în urma observațiilor formulate de Curte în exercițiul anterior.

Prezentul raport a fost adoptat de Camera IV, condusă de domnul Louis GALEA, membru al Curții de Conturi, la Luxemburg, în ședința sa din 15 iulie 2013.

Pentru Curtea de Conturi

Vítor Manuel da SILVA CALDEIRA

Președinte

(1)  Personalul cu sarcini administrative se află la Heraklion, în timp ce personalul cu sarcini operaționale a fost transferat la Atena în martie 2013.

(2)  JO L 77, 13.3.2004, p. 1.

(3)  JO L 293, 31.10.2008, p. 1.

(4)  JO L 165, 24.6.2011, p. 3.

(5)  În anexa II sunt prezentate în mod sintetic și în scop informativ competențele și activitățile agenției.

(6)  Acestea cuprind bilanțul, contul rezultatului economic, tabelul fluxurilor de numerar, situația modificărilor în structura activelor nete, precum și o sinteză a principalelor politici contabile, alături de o serie de alte note explicative.

(7)  Acestea cuprind contul rezultatului bugetar și anexa la contul rezultatului bugetar.

(8)  JO L 357, 31.12.2002, p. 72.

(9)  Normele contabile adoptate de contabilul Comisiei derivă din Standardele internaționale de contabilitate pentru sectorul public (International Public Sector Accounting Standards - IPSAS) adoptate de Federația Internațională a Contabililor (International Federation of Accountants - IFAC) sau, după caz, din Standardele internaționale de contabilitate (International Accounting Standards - IAS)/Standardele internaționale de raportare financiară (International Financial Reporting Standards - IFRS) adoptate de Consiliul pentru Standarde Internaționale de Contabilitate (International Accounting Standards Board - IASB).

(10)  Articolul 185 alineatul (2) din Regulamentul (CE, Euratom) nr. 1605/2002 al Consiliului (JO L 248, 16.9.2002, p. 1).

ANEXA I

Situația acțiunilor întreprinse în urma observațiilor din exercițiul anterior

Exercițiul

Observația Curții

Stadiul acțiunii corective

(finalizată/în desfășurare/nedemarată încă/nu se aplică)

2011

Nivelul ridicat al sumei reportate contravine principiului bugetar al anualității.

Finalizată

2011

Curtea a constatat că este necesară ameliorarea consemnării documentare a activelor imobilizate. Achizițiile de active imobilizate sunt înregistrate la nivel de factură și nu la nivelul individual al fiecărui obiect achiziționat. Atunci când mai multe active noi sunt cuprinse într-o singură factură, există o singură intrare pentru toate activele achiziționate și pentru suma totală.

În desfășurare

2011

Este necesar ca agenția să aducă ameliorări în ceea ce privește transparența procedurilor de recrutare. Nu s-au luat măsuri adecvate pentru a se aborda problema lipsei de transparență subliniată de Curte în 2010. Nu s-au stabilit înainte de examinarea candidaturilor nici punctajul minim pe care candidații trebuiau să îl obțină pentru a fi invitați la interviu, nici întrebările pentru testele scrise și pentru interviuri și nici ponderea acestora. De asemenea, nu s-a stabilit înainte de examinarea candidaturilor nici punctajul minim pe care candidații trebuiau să îl obțină pentru a fi înscriși pe o listă de candidați care pot fi recrutați.

Finalizată

ANEXA II

Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (Heraklion)

Competențe și activități

Domenii de competență a Uniunii conform tratatului

(articolul 114 din Tratatul privind funcționarea Uniunii Europene)

Parlamentul European și Consiliul, hotărând în conformitate cu procedura legislativă ordinară și după consultarea Comitetului Economic și Social, adoptă măsurile privind apropierea actelor cu putere de lege și a actelor administrative ale statelor membre care au ca obiect instituirea și funcționarea pieței interne.

Responsabilitatea în ceea ce privește piața internă ține de competența partajată între Uniune și statele membre [articolul 4 alineatul (2) litera (a) TFUE].

Competențele agenției

[Regulamentul (CE) nr. 460/2004 al Parlamentului European și al Consiliului]

Obiective

1.

Agenția consolidează capacitatea Uniunii, a statelor membre și a comunității de afaceri de a preveni, de a aborda și de a răspunde la problemele de securitate a rețelelor informatice și a datelor.

2.

Agenția furnizează asistență și oferă consultanță Comisiei și statelor membre în probleme legate de securitatea rețelelor informatice și a datelor care sunt de competența sa.

3.

Agenția dobândește un nivel înalt de expertiză, pe care o folosește pentru a stimula o cooperare largă între actorii de profil din sectoarele public și privat.

4.

Agenția colaborează cu Comisia, în cazul în care este solicitată, în activitățile pregătitoare cu caracter tehnic pentru actualizarea și elaborarea legislației comunitare în domeniul securității rețelelor informatice și a datelor.

Sarcini

(a)

Colectează informații cu privire la riscurile prezente și emergente care pot avea impact asupra rețelelor de comunicații electronice.

(b)

Furnizează consultanță și asistență Parlamentului European, Comisiei și organismelor europene sau organismelor naționale competente.

(c)

Consolidează cooperarea dintre diferiții actori care operează în acest domeniu.

(d)

Facilitează cooperarea în ceea ce privește elaborarea unor metodologii comune pentru a aborda probleme de securitate a rețelelor informatice și a datelor.

(e)

Contribuie la sensibilizarea utilizatorilor cu privire la problemele de securitate a rețelelor informatice și a datelor, prin, inter alia, promovarea schimburilor de bune practici actuale, inclusiv metodele de alertare a utilizatorilor și stabilirea unei sinergii între inițiativele din sectoarele public și privat.

(f)

Sprijină Comisia și statele membre în dialogul lor cu întreprinderile din acest domeniu.

(g)

Urmărește elaborarea standardelor pentru produse și servicii destinate asigurării securității rețelelor informatice și a datelor.

(h)

Notifică Comisia cu privire la cercetările din domeniul securității rețelelor informatice și a datelor, precum și cu privire la folosirea tehnologiilor de prevenire a riscurilor.

(i)

Promovează activități de evaluare a riscurilor cu privire la soluțiile referitoare la gestionarea măsurilor de prevenire.

(j)

Contribuie la cooperarea cu țările terțe și cu organizațiile internaționale.

(k)

Exprimă în mod independent propriile sale concluzii și orientări și acordă consultanță în chestiuni care țin de domeniul său de competență și de obiectivele sale.

Organizare

Consiliul de administrație

Un reprezentant al fiecărui stat membru, trei reprezentanți numiți de Comisie, precum și trei reprezentanți propuși de Comisie și numiți de Consiliu, fără drept de vot, fiecare dintre aceștia din urmă reprezentând unul dintre următoarele grupuri:

(a)

industria tehnologiei informației și comunicațiilor;

(b)

grupurile de consumatori;

(c)

experți universitari în domeniul securității rețelelor informatice și a datelor.

Grupul permanent al factorilor interesați

30 de experți de nivel înalt care reprezintă factorii interesați corespunzători, ca de exemplu industria tehnologiei informației și comunicațiilor (TIC), organizațiile de utilizatori TIC și experții universitari în domeniul securității rețelelor informatice și a datelor;

în urma unui anunț deschis, membrii sunt selectați de către directorul executiv, care, după ce informează Consiliul de administrație cu privire la decizia sa, numește candidații selectați ad personam pentru un mandat de doi ani și jumătate.

Directorul executiv

Numit de Consiliul de administrație dintr-o listă de candidați propuși de Comisia Europeană și în urma unei audieri în Parlamentul European, pentru un mandat de cinci ani.

Auditul extern

Curtea de Conturi Europeană.

Auditul intern

Serviciul de Audit Intern al Comisiei Europene.

Autoritatea responsabilă de descărcarea de gestiune

Parlamentul European, la recomandarea Consiliului.

Resurse puse la dispoziția agenției în 2012 (2011)

Bugetul definitiv

8,2 (8,1) milioane de euro, din care subvenția acordată de Uniune este de 100 % (100 %).

Situația personalului la 31 decembrie 2012

44 (44) de posturi prevăzute în schema de personal, dintre care ocupate: 42 (41).

Alte posturi ocupate: 12 (13) agenți contractuali, 4 (4) experți naționali detașați.

Total personal: 58 (58), îndeplinind următoarele sarcini:

sarcini operaționale: 40 (40);

sarcini administrative: 18 (18).

Produse și servicii furnizate în 2012 (2011)

Axa de lucru (1) 1:   Identificarea amenințărilor emergente și pregătirea reacției la acestea

Evaluarea amenințărilor emergente constituie o parte necesară a pregătirii pentru viitoarele provocări. Obiectivul acestei axe de lucru a fost de a elabora o serie de „declarații privind pregătirea în domeniul securității IT” pentru diferite domenii și inițiative publice, în special în ceea ce privește statele membre și Comisia (identificându-se, de exemplu, oportunitățile și riscurile emergente legate de inițiativele de politică). Acest obiectiv a fost îndeplinit prin evaluarea oportunităților și a riscurilor emergente legate de domenii și inițiative relevante pentru diferitele comunități de părți interesate.

În special, agenția a publicat un raport general privind situația amenințărilor la adresa securității în Europa și o serie de rapoarte mai specifice în domeniul „Consumerizării sectorului IT”, al „Informaticii dematerializate” și al „Securității achizițiilor”. Analizând atât oportunitățile, cât și riscurile, agenția a putut formula unele concluzii care reflectă compromisurile pe care instituțiile și companiile vor trebui să le facă în medii operaționale care funcționează în timp real. Această abordare ajută factorii de decizie și comunitățile de afaceri să exploateze la maximum tehnologiile și modelele de afaceri inovatoare, menținând în același timp un grad ridicat de securitate. Abordarea s-a bazat în cea mai mare măsură posibilă pe acordurile de cooperare existente și pe părțile interesate care desfășoară activități de sprijinire a altor entități, cu scopul de a atinge obiectivele axei de lucru.

Numărul realizărilor: șapte.

Axa de lucru 2:   Ameliorarea protecției infrastructurilor critice de informație (CIIP) (2) și a rezilienței la nivel paneuropean

Activitatea desfășurată în cadrul aceste axe de lucru a fost strâns corelată cu Planul de acțiune CIIP descris în comunicările Comisiei din martie 2009 și martie 2011 și a reprezentat o continuare firească a activității desfășurate în cadrul programelor de lucru din 2010 și 2011. Activitățile au susținut în mod direct obiectivele stabilite în documentul de strategie privind securitatea internă și în Agenda digitală.

Obiectivul principal al axei de lucru 2 a fost de a asista statele membre la implementarea unor sisteme TIC sigure și reziliente și de a crește nivelul de protecție al infrastructurilor și al serviciilor critice de informație în Europa. Acest obiectiv a presupus o serie de activități:

asistența acordată părților interesate relevante în vederea creșterii nivelului lor de eficiență și de eficacitate;

susținerea și promovarea exercițiilor la nivel paneuropean;

identificarea și abordarea provocărilor legate de securitatea datelor în domeniul infrastructurilor critice de informație;

sprijinirea și promovarea Parteneriatului public-privat european pentru reziliență (EP3R);

identificarea și tratarea chestiunilor legate de securitatea datelor în cadrul sistemelor de control industrial și al rețelelor interconectate;

sprijinirea grupului de lucru UE-SUA privind securitatea informatică și criminalitatea informatică, grup constituit în contextul întâlnirii la nivel înalt UE-SUA din 20 noiembrie 2010.

Dintre aceste activități, trebuie menționat în mod special exercițiul paneuropean privind securitatea informatică. La cel de al doilea exercițiu de acest tip, desfășurat la 4 octombrie 2012, au luat parte 339 de organizații din UE.

Numărul rezultatelor: 13

Axa de lucru 3:   Sprijinirea centrelor de răspuns la incidente de securitate cibernetică (CERT) și a altor comunități operaționale

Pachetele de activitate descrise în această secțiune sunt și ele strâns corelate cu Planul de acțiune CIIP descris în comunicarea Comisiei din martie 2009, deși activitățile incluse în această axă de lucru sunt strâns legate de asistarea și dezvoltarea comunității de centre CERT.

În ceea ce privește aceste centre, agenția urmărește să sprijine statele membre ale UE în asigurarea faptului că centrele lor CERT naționale/guvernamentale acționează drept componente-cheie ale capacității lor naționale în ceea ce privește pregătirea, schimbul de informații și coordonarea și reacțiile sustenabile. Acest obiectiv este urmărit prin definirea, împreună cu părțile interesate relevante, a capacităților de referință ale centrelor CERT naționale/guvernamentale și prin punerea la dispoziție a mijloacelor necesare pentru a atinge aceste capacități de referință. Mai concret, această axă de lucru are următoarele obiective:

să consolideze capacitățile operaționale ale statelor membre, ajutând comunitatea CERT să își mărească nivelul de eficiență și de eficacitate;

să sprijine și să consolideze cooperarea și activitățile desfășurate între centrele CERT și cu alte comunități.

În cadrul acestei axe de lucru, agenția a examinat obstacolele legale și procedurale cu care se confruntă centrele CERT din Europa atunci când cooperează și fac schimb de informații cu centre CERT și autorități de aplicare a legii din țări terțe. Agenția a formulat recomandări cu privire la modalități de îmbunătățire a cooperării.

Numărul rezultatelor: 10

Axa de lucru 4:   Securitatea economiei digitale

În cadrul acestei axe de lucru, agenția urmărește să identifice măsurile care vor permite UE să gestioneze în mod corespunzător introducerea și desfășurarea unor noi servicii interoperabile, respectând drepturile fundamentele ale persoanelor și utilizând soluții sigure și fiabile.

Activitatea desfășurată în acest domeniu a constat în asistența oferită organizațiilor din sectorul public și privat în ceea ce privește îmbunătățirea abordării lor în materie de securitate, precum și dezvoltarea de proceduri solide pentru gestionarea datelor personale, în conformitate cu noua propunere legislativă privind protecția datelor.

În această axă de lucru se încadrează și sprijinul pentru Luna europeană a securității datelor și a rețelelor pentru toți.

Numărul realizărilor: opt.

Sursa: Informații furnizate de agenție.

(1)  

În engleză: work stream (WS).

(2)  

CIIP– Critical Information Infrastructure Protection.

Sursa: Informații furnizate de agenție.

RĂSPUNSUL AGENȚIEI

11.

Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA) a lansat un inventar către sfârșitul lunii aprilie 2013 atât în sediul din Heraklion, cât și în cel din Atena. Acesta este primul inventar din istoria ENISA care este efectuat cu ajutorul unui instrument electronic special, ABAC Assets, și a funcționalităților acestuia (care includ denumire, scanare, încărcare articole scanate, generare rapoarte). Rezultatele inventarului vor fi prelucrate de contabil, iar intrările contabile finale pentru diferențele dintre înregistrările contabile și inventarul fizic vor fi efectuate până la 31 iulie 2013 cel târziu.

Agenția va realiza și documenta astfel de inventare în fiecare an pentru a asigura reprezentarea corectă a valorii activelor din conturile anuale.