13.12.2013   

SK

Úradný vestník Európskej únie

C 365/172

SPRÁVA

o overení ročnej účtovnej závierky Európskej agentúry pre bezpečnosť sietí a informácií za rozpočtový rok 2012 spolu s odpoveďami agentúry

2013/C 365/24

ÚVOD

1.

Európska agentúra pre bezpečnosť sietí a informácií (ďalej len „agentúra“ známa tiež ako „ENISA“), ktorá sídli v Heraklione (1), bola zriadená na základe nariadenia Európskeho parlamentu a Rady (ES) č. 460/2004 (2), zmeneného a doplneného nariadením Európskeho parlamentu a Rady (ES) č. 1007/2008 (3) a nariadením (ES) č. 580/2011 (4). Hlavnou úlohou agentúry je zvýšiť schopnosť Únie predchádzať problémom bezpečnosti sietí a informácií a reagovať na ne, stavajúc na vnútroštátnom úsilí a úsilí Únie (5).

INFORMÁCIE NA PODPORU VYHLÁSENIA O VIEROHODNOSTI

2.

Audítorský prístup Dvora audítorov zahŕňa analytické audítorské postupy, priame testovanie transakcií a hodnotenie kľúčových kontrol systémov dohľadu a kontroly agentúry. Dopĺňajú ich dôkazy získané prácou iných audítorov (ak sú relevantné) a analýza vyhlásení vedenia.

VYHLÁSENIE O VIEROHODNOSTI

3.

Podľa ustanovení článku 287 Zmluvy o fungovaní Európskej únie (ZFEÚ) Dvor audítorov kontroloval:

a)

ročnú účtovnú závierku agentúry, ktorá pozostáva z finančných výkazov (6) a výkazov o plnení rozpočtu (7) za rozpočtový rok končiaci sa k 31. decembru 2012;

b)

a zákonnosť a správnosť príslušných transakcií.

Zodpovednosť vedenia

4.

V súlade s článkami 33 a 43 nariadenia Komisie (ES, Euratom) č. 2343/2002 (8) vedenie zodpovedá za vyhotovenie a verné predloženie ročnej účtovnej závierky agentúry a za zákonnosť a správnosť príslušných transakcií:

a)

Zodpovednosť vedenia v súvislosti s ročnou účtovnou závierkou agentúry zahŕňa návrh, zavedenie a udržiavanie systému vnútornej kontroly pri zostavovaní a vernom predkladaní finančných výkazov, v ktorých sa nenachádzajú významné nesprávnosti v dôsledku podvodu alebo chyby, výber a uplatňovanie vhodných účtovných postupov na základe účtovných pravidiel prijatých účtovníkom Komisie (9) a účtovné odhady, ktoré sú za daných okolností primerané. Riaditeľ schvaľuje ročnú účtovnú závierku agentúry po jej zostavení účtovníkom agentúry na základe všetkých dostupných informácií a po priložení poznámky k účtovnej závierke, v ktorej účtovník okrem iného vyhlasuje, že získal primeranú istotu, že účtovná závierka vyjadruje pravdivo a verne zo všetkých významných hľadísk finančnú situáciu agentúry.

b)

Zodpovednosť vedenia v súvislosti so zákonnosťou a správnosťou príslušných transakcií a dodržiavaním zásady riadneho finančného hospodárenia zahŕňa návrh, zavedenie a udržiavanie účinného a efektívneho systému vnútornej kontroly, ktorý tvorí primeraný dohľad a náležité opatrenia na zabránenie nezrovnalostiam a podvodom a v prípade potreby právne konanie na spätné získanie nesprávne vyplatených alebo využitých finančných prostriedkov.

Zodpovednosť audítora

5.

Zodpovednosťou Dvora audítorov je na základe auditu predložiť Európskemu parlamentu a Rade (10) vyhlásenie o vierohodnosti týkajúce sa spoľahlivosti ročnej účtovnej závierky a zákonnosti a správnosti príslušných transakcií. Dvor audítorov vykonáva audit v súlade s medzinárodnými audítorskými štandardmi a etickým kódexom IFAC a medzinárodnými štandardmi najvyšších kontrolných inštitúcií INTOSAI. Podľa týchto štandardov je Dvor audítorov povinný naplánovať a vykonať audit tak, aby získal primeranú istotu, že ročná účtovná závierka agentúry neobsahuje významné nesprávnosti a že príslušné transakcie sú zákonné a správne.

6.

Audit zahŕňa postupy na získanie audítorských dôkazov o sumách a údajoch v účtovnej závierke, ako aj o zákonnosti a správnosti príslušných transakcií. Výber postupov závisí od úsudku audítora, ktorý hodnotí riziko významných nesprávností v účtovnej závierke, ako i to, či v príslušných transakciách došlo k závažnému porušeniu právneho rámca Európskej únie, či už z dôvodu podvodu alebo chyby. Pri posudzovaní týchto rizík audítor zohľadňuje akékoľvek vnútorné kontroly, ktoré sú relevantné pre zostavenie a verné predloženie účtovnej závierky, a systémy dohľadu a kontroly, ktoré sa uplatňujú s cieľom zaistiť zákonnosť a správnosť príslušných transakcií, pričom navrhuje audítorské postupy vhodné za daných okolností. Audit tiež obsahuje hodnotenie vhodnosti uplatnených účtovných postupov a primeranosti účtovných odhadov, ako aj hodnotenie predloženia účtovnej závierky ako celku.

7.

Dvor audítorov sa domnieva, že získal dostatočné a primerané audítorské dôkazy pre svoje vyhlásenie o vierohodnosti.

Stanovisko k spoľahlivosti účtovnej závierky

8.

Dvor audítorov zastáva názor, že ročná účtovná závierka agentúry vyjadruje verne zo všetkých významných hľadísk jej finančnú situáciu k 31. decembru 2012 a výsledky jej transakcií a tokov hotovosti za príslušný rozpočtový rok v súlade s ustanoveniami jej nariadenia o rozpočtových pravidlách a účtovnými pravidlami, ktoré schválil účtovník Komisie.

Stanovisko k zákonnosti a správnosti transakcií súvisiacich s účtovnou závierkou

9.

Podľa názoru Dvora audítorov príslušné transakcie súvisiace s ročnou účtovnou závierkou agentúry za rozpočtový rok končiaci sa k 31. decembru 2012 sú vo všetkých významných hľadiskách zákonné a správne.

10.

Pripomienky uvedené v nasledujúcej časti nemajú vplyv na stanoviská Dvora audítorov.

PRIPOMIENKY K VNÚTORNÝM KONTROLÁM

11.

Hoci sa v nariadení o rozpočtových pravidlách a príslušných vykonávacích pravidlách stanovuje fyzická inventarizácia hmotného majetku aspoň každé tri roky, agentúra nevykonala komplexnú fyzickú inventarizáciu od roku 2009.

KONTROLA PRIJATIA OPATRENÍ NA ZÁKLADE PRIPOMIENOK Z PREDCHÁDZAJÚCEHO ROKA

12.

Prehľad nápravných opatrení prijatých v nadväznosti na pripomienky Dvora audítorov z predchádzajúceho roka je uvedený v prílohe I.

Túto správu prijala komora IV, ktorej predsedá Dr Louis GALEA, člen Dvora audítorov, v Luxemburgu na svojom zasadnutí dňa 15. júla 2013.

Za Dvor audítorov

Vítor Manuel da SILVA CALDEIRA

predseda

(1)  Zatiaľ čo administratívni zamestnanci zostávajú v Heraklione, prevádzkoví zamestnanci boli presunutí do Atén v marci 2013.

(2)  Ú. v. EÚ L 77, 13.3.2004, s. 1.

(3)  Ú. v. EÚ L 293, 31.10.2008, s. 1.

(4)  Ú. v. EÚ L 165, 24.6.2011, s. 3

(5)  V prílohe II sú na informačné účely zhrnuté právomoci a činnosti agentúry.

(6)  Finančné výkazy obsahujú súvahu a výkaz hospodárskeho výsledku, tabuľku toku hotovosti, výkaz zmien čistých aktív, prehľad hlavných účtovných postupov a ďalšie vysvetľujúce poznámky.

(7)  Výkazy o plnení rozpočtu pozostávajú z výkazu výsledku rozpočtového hospodárenia a prílohy k nemu.

(8)  Ú. v. ES L 357, 31.12.2002, s. 72.

(9)  Účtovné pravidlá schválené účtovníkom Komisie sú založené na medzinárodných účtovných štandardoch pre verejný sektor (IPSAS) vydaných Medzinárodnou federáciou účtovníkov alebo, ak je to vhodné, na medzinárodných účtovných štandardoch (IAS)/medzinárodných štandardoch finančného výkazníctva (IFRS) vydaných Radou pre medzinárodné účtovné štandardy.

(10)  Článok 185 ods. 2 nariadenia Rady (ES, Euratom) č. 1605/2002 (Ú. v. ES L 248, 16.9.2002, s. 1).

PRÍLOHA I

Kontrola prijatia opatrení na základe pripomienok z predchádzajúceho roka

Rok

Pripomienky Dvora audítorov

Stav nápravného opatrenia

(Dokončené/Prebieha/Nedokončené/Nevzťahuje sa)

2011

Vysoká miera prenosov je v rozpore so zásadou ročnej platnosti rozpočtu.

Dokončené

2011

Dvor audítorov zistil potrebu zlepšiť dokumentáciu dlhodobého majetku. Kúpy dlhodobého majetku sa zaznamenávajú na úrovni faktúr a nie položiek. Keď niekoľko nových aktív pokrýva len jedna faktúra, tak pre všetky zakúpené aktíva existuje len jeden záznam a celková suma.

Prebieha

2011

Agentúra potrebuje zlepšiť transparentnosť v postupoch výberu zamestnancov. Agentúra neprijala primerané opatrenia na riešenie nedostatku transparentnosti, o ktorom informoval Dvor audítorov v roku 2010. Hraničné kritériá, ktoré museli uchádzači splniť, aby boli pozvaní na pohovor, otázky pre písomné testy a pohovory a ich váhy neboli vopred stanovené pred preskúmaním žiadostí. Pred preskúmaním žiadostí nebol stanovený ani minimálny počet bodov potrebný na zaradenie na zoznam vhodných uchádzačov.

Dokončené

PRÍLOHA II

Európska agentúra pre bezpečnosť sietí a informácií (Heraklion)

Právomoci a činnosti

Oblasti právomoci Únie vyplývajúce zo ZFEÚ

(článok 114 Zmluvy o fungovaní Európskej únie)

Európsky parlament a Rada v súlade s riadnym legislatívnym postupom a po porade s Hospodárskym a sociálnym výborom prijmú opatrenia na aproximáciu ustanovení stanovených zákonmi, inými právnymi predpismi a správnymi opatreniami členských štátov, ktorých cieľom je vytvorenie a fungovanie vnútorného trhu.

Zodpovednosť za vnútorný trh patrí do spoločnej právomoci Únie a členských štátov (článok 4 ods. 2 písm. a) ZFEÚ).

Právomoci agentúry

[nariadenie Parlamentu a Rady (ES) č. 460/2004]

Ciele

1.

Agentúra zvyšuje schopnosť Únie, členských štátov a podnikateľskej komunity predchádzať problémom bezpečnosti sietí a informácií, riešiť ich a reagovať na ne.

2.

Agentúra poskytuje pomoc a poradenstvo Komisii a členským štátom v otázkach týkajúcich sa bezpečnosti sietí a informácií patriacich do jej kompetencií.

3.

Agentúra vytvára vysokú úroveň odbornosti a túto odbornosť používa na stimulovanie širokej spolupráce medzi aktérmi z verejného a súkromného sektora.

4.

Agentúra na požiadanie pomáha Komisii v rámci prípravných technických prác pri aktualizácii a vytváraní právnych predpisov Spoločenstva v oblasti bezpečnosti sietí a informácií.

Úlohy

Agentúra má za úlohu:

a)

zbierať informácie o súčasných a vznikajúcich rizikách, ktoré by mohli mať dosah na elektronické komunikačné siete;

b)

poskytovať Európskemu parlamentu, Komisii, európskym orgánom alebo príslušným vnútroštátnym orgánom poradenstvo a pomoc;

c)

zvyšovať spoluprácu medzi aktérmi v tejto oblasti;

d)

uľahčovať spoluprácu pri rozvoji spoločných metodík na riešenie otázok spojených s bezpečnosťou sietí a informácií;

e)

prispievať k zvyšovaniu povedomia o problémoch bezpečnosti sietí a informácií pre všetkých používateľov, a to, okrem iného, prostredníctvom podpory výmeny súčasných osvedčených postupov vrátane metód varovania používateľov a snahy o dosiahnutie synergie medzi iniciatívami verejného a súkromného sektora;

f)

pomáhať Komisii a členským štátom v ich dialógu s priemyslom;

g)

sledovať vývoj noriem pre výrobky a služby pre bezpečnosť sietí a informácií;

h)

poskytovať Komisii poradenstvo o výskume v oblasti sietí a informácií a využívania technológií na prevenciu rizík;

i)

presadzovať opatrenia na posúdenie rizík týkajúce sa riešení v oblasti preventívneho riadenia;

j)

prispievať k spolupráci s tretími krajinami a medzinárodnými organizáciami;

k)

nezávislým spôsobom vyjadrovať svoje vlastné závery, smerovania a poskytovať poradenstvo v otázkach v rámci svojej pôsobnosti a cieľov.

Správa

Správna rada

Tvorí ju jeden zástupca z každého členského štátu, traja zástupcovia menovaní Komisiou, ako aj traja zástupcovia navrhnutí Komisiou a menovaní Radou bez práva voliť, z ktorých každý zastupuje jednu z týchto skupín:

a)

priemysel informačných a komunikačných technológií,

b)

skupiny spotrebiteľov,

c)

akademickí odborníci v oblasti bezpečnosti sietí a informácií.

Stála skupina zúčastnených strán

tvorí ju 30 vysokokvalifikovaných odborníkov, ktorí predstavujú príslušné zainteresované strany, ako je napr. priemysel informačných a komunikačných technológií (ICT), organizácie používateľov ICT a akademickí experti v oblasti bezpečnosti sietí a informácií,

na základe verejnej výzvy vyberá členov výkonný riaditeľ, ktorý potom, ako informuje správnu radu o svojom rozhodnutí, vymenuje vybraných žiadateľov ad personam na funkčné obdobie 2,5 roka.

Výkonný riaditeľ

Menovaný správnou radou zo zoznamu uchádzačov navrhnutých Európskou komisiou a po vypočutí v Európskom parlamente na obdobie piatich rokov.

Vonkajšia kontrola

Európsky dvor audítorov.

Vnútorná kontrola

Oddelenie vnútorného auditu Komisie (IAS).

Orgán udeľujúci absolutórium

Európsky parlament na odporúčanie Rady.

Zdroje, ktoré mala agentúra k dispozícii v roku 2012 (2011)

Konečný rozpočet

8,2 (8,1) mil. EUR, z toho dotácia Únie je 100 % (100 %)

Stav zamestnancov k 31. decembru 2012

44 (44) pracovných miest v pláne pracovných miest, z toho obsadené pracovné miesta: 42 (41).

Ostatné obsadené pracovné miesta: 12 (13) zmluvných zamestnancov, 4 (4) dočasne pridelení národní experti.

Zamestnanci spolu: 58 (58), z toho pridelení na:

prevádzkové úlohy: 40 (40).

administratívne úlohy: 18 (18).

Produkty a služby v roku 2012 (2011)

PO (1) 1:   Identifikácia a reagovanie na vyvíjajúce sa prostredie nebezpečenstiev

Posúdenie objavujúcich sa nebezpečenstiev je potrebnou súčasťou prípravy na výzvy v budúcnosti. Cieľom tohto pracovného okruhu bolo odvodiť niekoľko „vyhlásení o pripravenosti IT-bezpečnosti“ pre rôzne oblasti a vládne iniciatívy, najmä s ohľadom na členské štáty a Komisiu (napr. identifikáciou objavujúcich sa možností a rizík pre politické iniciatívy). Dosiahlo sa to posúdením možností a rizík pre jednotlivé oblasti a iniciatívy prislúchajúce k rôznych komunitám zainteresovaných strán.

Agentúra konkrétne uverejnila všeobecnú správu o bezpečnostných hrozbách pre prostredie v Európe a špecifickejšie správy v oblasti „Užívania IT“, „Zdieľanie hardwarových a softwarových prostriedkov pomocou siete“ a „Bezpečné obstarávanie“. Na základe analýzy možností a rizík ENISA vyvodila závery, ktoré zachytávajú kompromisy, ktoré inštitúcie a firmy budú musieť vykonať v reálnom prevádzkovom prostredí. Tento prístup pomáha politickým orgánom a podnikateľským združeniam naplno využívať výhody inovatívnych technológií a obchodných modelov pri súčasnom udržaní vysokého stupňa bezpečnosti. Tento prístup maximálne využil existujúce dohody o spolupráci a príslušné podporované zainteresované strany s cieľom dosiahnuť ciele tohto pracovného okruhu.

Počet výstupov: sedem.

PO2:   Zlepšenie celoeurópskej CIIP (2) a odolnosti

Práca vykonaná v tomto pracovnom okruhu bola úzko spätá s akčným plánom CIIP opísaným v oznámení Komisie z marca 2009 a marca 2011 a bola prirodzeným pokračovaním práce, ktorá sa vykonala ako súčasť pracovného programu na rok 2010 a 2011. Aktivitami sa priamo podporovali ciele stanovené v dokumente stratégie vnútornej bezpečnosti ako aj digitálnej agende.

Hlavným cieľom druhého pracovného okruhu bolo pomáhať členským štátom pri uplatňovaní bezpečných a odolných ICT systémov a zvýšiť úroveň ochrany kritických informačných infraštruktúr a služieb v Európe. Patrilo sem niekoľko činností:

pomoc zainteresovaným stranám zvýšiť ich úroveň efektívnosti a účinnosti,

podpora a presadzovanie cvičení na celoeurópskej úrovni,

zisťovanie a riešenie problémov bezpečnosti informácií v kritických informačných infraštruktúrach,

podpora a presadzovanie Európskeho verejno-súkromného partnerstva pre odolnosť (EP3R),

zisťovanie a riešenie problémov bezpečnosti informácií v priemyselných kontrolných systémoch a vzájomne prepojených sieťach,

podpora pracovnej skupiny EÚ-USA v oblasti kybernetickej bezpečnosti a počítačovej kriminality zriadenej v rámci samitu EÚ-USA 20. novembra 2010.

Spomedzi týchto činností má osobitný význam cvičenie v oblasti kybernetickej bezpečnosti. Druhé takéto cvičenie sa uskutočnilo 4. októbra 2012, na ktorom sa zúčastnilo 339 organizácií z celej EÚ.

Počet výstupov: 13.

PO3:   Podpora CERT a ďalších prevádzkových komunít

Práca vykonaná v tejto oblasti je taktiež úzko spätá s akčným plánom CIIP opísaným v oznámení Komisie z marca 2009, hoci činnosti v tomto pracovnom okruhu sú úzko späté s pomocou a rozvojom komunity tímov reakcie na núdzové počítačové situácie (CERT).

V oblasti CERT je cieľom agentúry ENISA podporovať členské štáty EÚ zabezpečiť, aby ich príslušné štátne / vládne CERT konali ako kľúčové zložky ich štátnych kapacít pripravenosti, zdieľania informácií, udržateľnej koordinácie a reakcie. Vykonáva sa to definovaním, spolu s príslušnými zainteresovanými stranami, základných schopností štátnych/vládnych CERT a poskytovaním potrebných prostriedkov na dosiahnutie týchto základných schopností. Konkrétnejšie, cieľom tohto pracovného okruhu je:

posilniť operačnú spôsobilosť členských štátov prostredníctvom pomoci komunitám CERT zvýšiť ich úroveň efektívnosti a účinnosti,

podporovať a posilniť (spolu)prácu medzi jednotlivými CERT a s inými komunitami.

V rámci tohto pracovného okruhu ENISA preskúmala právne a procedurálne prekážky, ktorým čelia tímy CERT v Európe, keď spolupracujú a zdieľajú informácie s CERT, a presadzovanie práva tretích krajín, a vyjadrila odporúčania, ako zlepšiť spoluprácu.

Počet výstupov: 10.

PO4:   Zabezpečenie digitálnej ekonomiky

V tomto pracovnom okruhu je cieľom ENISA určiť opatrenia, ktoré umožnia EÚ náležite riadiť zavedenie a nasadenie nových interoperabilných služieb pri súčasnom dodržiavaní základných práv jednotlivcov a s využitím bezpečných a dôveryhodných riešení.

Práca vykonaná v tejto oblasti pomohla organizáciám z verejného a súkromného sektora zlepšiť ich bezpečnostný prístup vypracovaním primeraných postupov pre spravovanie osobných údajov v súlade s novými navrhovanými právnymi predpismi o ochrane údajov.

Podpora európskeho mesiaca bezpečnosti sietí a informácií pre všetkých bola súčasťou tohto pracovného okruhu.

Počet výstupov: osem.

Zdroj: Informácie poskytnuté agentúrou.

(1)  

PO: Pracovný okruh.

(2)  

CIIP: Ochrana kritickej informačnej infraštruktúry.

Zdroj: Informácie poskytnuté agentúrou.

ODPOVEDE AGENTÚRY

11.

Agentúra ENISA začala súpis inventára koncom apríla 2013 v oboch kanceláriách, v Heraklione a Aténach. Ide o prvý súpis inventára počas existencie agentúry, ktorý sa uskutoční za použitia špecializovaného elektronického nástoja ABAC Assets a jeho funkcií (vrátane označovania, skenovania, načítania naskenovaných položiek, vypracovania správ). Výsledky súpisu spracuje účtovník a konečný účtovný zápis rozdielov medzi účtovnými záznamami a fyzickou inventarizáciou prebehne najneskôr do 31. júla 2013.

Agentúra bude uskutočňovať a dokumentovať tieto súpisy každoročne, aby sa zabezpečilo verné predloženie hodnoty majetku v účtovnej závierke.