18.6.2013

SV

Europeiska unionens officiella tidning

L 165/41

---

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) nr 526/2013

av den 21 maj 2013

om Europeiska unionens byrå för nät- och informationssäkerhet (Enisa) och om upphävande av förordning (EG) nr 460/2004

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 114,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),

i enlighet med det ordinarie lagstiftningsförfarandet (2), och

av följande skäl:

(1)

Elektronisk kommunikation och infrastruktur och elektroniska tjänster är mycket viktiga faktorer, både direkt och indirekt, för ekonomisk och samhällelig utveckling. De har stor betydelse för samhället och har nu själva blivit grundläggande samhällsnyttigheter på samma sätt som el och vatten, och de utgör också viktiga faktorer för tillhandahållandet av el, vatten och andra kritiska tjänster. Kommunikationsnät fungerar som katalysatorer för socialt samspel och innovation som ökar teknikens genomslagskraft och formar konsumentbeteenden, affärsmodeller, näringsliv, medborgaranda och politisk delaktighet. Störningar av dem kan orsaka enorma fysiska, sociala och ekonomiska skador, vilket understryker betydelsen av åtgärder som ökar skyddet och motståndskraften och syftar till att säkerställa kontinuiteten för kritiska tjänster. När det gäller säkerheten för elektroniska kommunikationer, infrastrukturer och tjänster står man hela tiden inför allt större utmaningar, i synnerhet vad gäller deras integritet, tillgänglighet och konfidentialitet; dessa utmaningar hänför sig bland annat till de enskilda delarna av kommunikationsinfrastrukturen och den mjukvara som styr dessa delar samt till infrastrukturen överlag och de tjänster som tillhandahålls med hjälp av den. Detta är ett allt större problem för samhället, inte minst för att problem kan uppstå på grund av systemens komplexitet, driftsstörningar, systemfel, olyckor, misstag och attacker som kan medföra konsekvenser för den elektroniska och fysiska infrastrukturen för tjänster av kritisk betydelse för EU-medborgarnas välfärd.

(2)	Hotbilderna ändras hela tiden, och säkerhetsincidenter kan skada användarnas förtroende för teknik, nät och tjänster och på så sätt påverka deras förmåga att ta tillvara den inre marknadens hela potential och ett allmänt utnyttjande av informations- och kommunikationsteknik (IKT).

(3)

Det är därför viktigt för beslutsfattare, bransch och användare att det görs en regelbunden bedömning av situationen när det gäller nät- och informationssäkerhet i unionen, på grundval av tillförlitliga unionsdata, samt systematiska prognoser för utvecklingen, utmaningarna och hoten inför framtiden på både unionsnivå och global nivå.

(4)

Genom beslut 2004/97/EG, Euratom (3), som antogs vid Europeiska rådets sammanträde den 13 december 2003, beslutade medlemsstaternas företrädare att Europeiska byrån för nät- och informationssäkerhet (Enisa), som skulle inrättas på grundval av kommissionens förslag, skulle ha sitt säte i en stad i Grekland som skulle fastställas av den grekiska regeringen. I enlighet med det beslutet bestämde den grekiska regeringen att Enisa skulle ha sitt säte i Heraklion på Kreta.

(5)	Den 1 april 2005 slöts ett avtal om säte mellan byrån och värdmedlemsstaten.

(6)

Byråns värdmedlemsstat bör säkerställa bästa möjliga förutsättningar för en smidig och effektiv drift av byrån. Det är mycket viktigt att byrån är förlagd till en lämplig plats, där det bland annat finns lämpliga transportförbindelser och faciliteter för makar och barn som medföljer byråns personal, för att byrån ska kunna utföra sina uppgifter väl och effektivt samt för möjligheterna att rekrytera och behålla personal och för en effektivare nätverksverksamhet. De nödvändiga arrangemangen bör efter godkännande av byråns styrelse fastställas i ett avtal mellan byrån och värdmedlemsstaten.

(7)

För att effektivisera byråns drift har byrån inrättat en filial i Atens storstadsområde, som bör upprätthållas med värdmedlemsstatens godkännande och stöd och vid vilken byråns operativa personal bör vara placerad. Personal som framför allt har hand om byråns förvaltning (däribland den verkställande direktören), ekonomi, skrivbordsforskning och analys, it- och fastighetsförvaltning, personalfrågor, utbildning, kommunikation och offentliga frågor bör placeras i Heraklion.

(8)

För att byrån ska kunna utföra sina uppgifter väl och effektivt har den rätt att bestämma hur den egna organisationen ska se ut, samtidigt som den respekterar bestämmelserna om sätet och Atenfilialen i enlighet med denna förordning. Framför allt bör byrån, för att den ska kunna utföra uppgifter som involverar samverkan med huvudintressenter såsom unionens institutioner, vidta de praktiska arrangemang som krävs för att effektivisera driften.

(9)

Europaparlamentet och rådet antog 2004 förordning (EG) nr 460/2004 (4) om inrättandet av Enisa med syftet att bidra till målet att säkerställa en hög nivå på nät- och informationssäkerheten i unionen och utveckla en kultur av nät- och informationssäkerhet till förmån för medborgarna, konsumenterna, företagen och den offentliga administrationen. År 2008 antog Europaparlamentet och rådet förordning (EG) nr 1007/2008 (5) som förlängde byråns mandat till mars 2012. Förordning (EU) nr 580/2011 (6) förlänger byråns mandat till den 13 september 2013.

(10)

Byrån bör efterträda Enisa, som inrättades genom förordning (EG) nr 460/2004. I enlighet med det beslut som fattades av medlemsstaternas företrädare när de sammanträdde i Europeiska rådet den 13 december 2003 bör värdmedlemsstaten bibehålla och vidareutveckla de nuvarande praktiska arrangemangen för att säkra en smidig och effektiv drift av byrån, inklusive Atenfilialen, och underlätta rekryteringen och bibehållandet av högkvalificerad personal.

(11)

Sedan Enisa inrättades har nät- och informationssäkerhetsproblemen ändrats i takt med den tekniska utvecklingen, marknadsutvecklingen och de socioekonomiska förändringarna, och de har varit föremål för ytterligare reflektion och debatt. Som svar på de ändrade utmaningarna har unionen uppdaterat sina prioriteringar för nät- och informationssäkerhetspolitiken. Syftet med denna förordning är att stärka byrån för att framgångsrikt kunna bidra till unionsinstitutionernas och medlemsstaternas insatser för att utveckla en europeisk kapacitet för att hantera nät- och informationssäkerhetsutmaningar.

(12)

För inre marknadsåtgärder inom området säkerhet för elektronisk kommunikation och, mer allmänt, nät- och informationssäkerhet krävs olika former av tekniska och organisatoriska tillämpningar hos unionens institutioner och hos medlemsstaterna. Det faktum att dessa krav tillämpas på många olika sätt kan leda till ineffektivitet och skapa hinder på den inre marknaden. Därför behövs ett expertcentrum på unionsnivå som tillhandahåller riktlinjer, rådgivning och bistånd i nät- och informationssäkerhetsfrågor, vilket unionens institutioner och medlemsstaterna kan utnyttja. Byrån kan tillgodose dessa behov genom att utveckla och upprätthålla en hög nivå av expertis och bistå unionens institutioner, medlemsstaterna och näringslivet, för att hjälpa dem att uppfylla nät- och informationssäkerhetskraven i lagar och andra förordningar samt fastställa och åtgärda nät- och informationssäkerhetsproblem, och därigenom bidra till en välfungerande inre marknad.

(13)

Byrån bör utföra de uppgifter som den tilldelats genom unionsrättsakter inom området elektronisk kommunikation och, rent allmänt, bidra till ökad säkerhet för elektronisk kommunikation samt integritetsskydd och skydd av personuppgifter genom att bland annat tillhandahålla expertis och rådgivning, främja utbyte av bästa praxis och lägga fram strategiförslag.

(14)

Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv) (7) föreskriver att företag som tillhandahåller allmänt tillgängliga elektroniska kommunikationsnät eller kommunikationstjänster ska vidta lämpliga åtgärder för att säkerställa deras integritet och säkerhet; direktivet inför en skyldighet för nationella regleringsmyndigheter att när så är lämpligt underrätta bland annat byrån om säkerhetsöverträdelser och integritetsförluster som har fått omfattande konsekvenser för driften av nät eller tjänster och att lämna en årlig rapport till kommissionen och till byrån som sammanfattar de anmälningar som inkommit och åtgärder som vidtagits. Enligt direktiv 2002/21/EG ska byrån dessutom bidra till harmoniseringen av lämpliga tekniska och organisatoriska säkerhetsåtgärder genom att utfärda yttranden.

(15)

Enligt Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (8) ska en leverantör av en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten i sina tjänster samt konfidentialitet vid kommunikation och för därmed förbundna trafikuppgifter. Genom direktiv 2002/58/EG införs informations- och anmälningskrav avseende personuppgiftsbrott för leverantörer av elektroniska kommunikationstjänster. Enligt direktivet åläggs kommissionen även att konsultera byrån i samband med antagandet av tekniska genomförandeåtgärder beträffande de omständigheter, former och förfaranden som kan tillämpas på informations- och anmälningskrav. Enligt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (9) ska medlemsstaterna föreskriva att den registeransvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nät, och mot varje annat slag av otillåten behandling.

(16)

Byrån bör bidra till en hög nivå på nät- och informationssäkerheten, till ett bättre integritets- och personuppgiftsskydd och till att utveckla och främja en kultur för nät- och informationssäkerhet till gagn för medborgarna, konsumenterna, företagen och den offentliga sektorns organisationer i unionen, och på så sätt bidra till att den inre marknaden fungerar väl. För att kunna uppnå detta bör byrån tilldelas nödvändiga budgetmedel.

(17)

Den växande betydelsen av elektroniska nät och elektronisk kommunikation, som numera utgör ryggraden i Europas ekonomi, och den digitala ekonomins faktiska storlek gör att byrån bör få utökade ekonomiska resurser och personalresurser som står i paritet med byråns utvidgade roll och arbetsuppgifter och med dess centrala position i försvaret av det europeiska digitala ekosystemet.

(18)

Byrån bör fungera som en referenspunkt och skapa förtroende och tillit genom sin opartiskhet samt genom kvaliteten på de råd och den information den tillhandahåller, öppenheten i dess förfaranden och arbetssätt samt dess skickliga sätt att utföra sina uppgifter. Byrån bör bygga vidare på de ansträngningar som gjorts nationellt och på unionsnivå och därför utföra sina uppgifter i fullständigt samarbete med unionens institutioner, organ och byråer och med medlemsstaterna samt vara öppen för kontakter med näringslivet och andra berörda intressenter. Byrån bör också bygga vidare på synpunkter från och samarbete med den privata sektorn, som spelar en viktig roll för säkra elektroniska kommunikationer, infrastrukturer och tjänster.

(19)

Byråns uppgifter bör visa hur den ska uppnå sina mål och samtidigt möjliggöra flexibilitet i verksamheten. Byråns uppgifter bör omfatta insamling av information och data som behövs för analys av risker när det gäller säkerheten och motståndskraften för elektroniska kommunikationer, infrastrukturer och tjänster och för att i samarbete med medlemsstaterna, kommissionen och i förekommande fall berörda intressenter göra en bedömning av nät- och informationssäkerhetssituationen i unionen. Byrån bör säkra samordning och samarbete med unionens institutioner, organ och byråer och med medlemsstaterna och förbättra samarbetet mellan intressenter i Europa, i synnerhet genom att engagera behöriga nationella organ och unionsorgan och högnivåexperter från den privata sektorn inom berörda områden, särskilt tillhandahållare av elektroniska nät och tjänster, tillverkare av nätutrustning och försäljare av mjukvara, med hänsyn till att nät- och informationssystem består av kombinationer av hårdvara, mjukvara och tjänster. Byrån bör bistå unionens institutioner och medlemsstaterna i deras dialog med branschen för att bemöta säkerhetsrelaterade problem i hårdvaru- och mjukvaruprodukter och därigenom bidra till en samarbetsstrategi för nät- och informationssäkerhet.

(20)

Nät- och informationssäkerhetsstrategier som offentliggjorts av unionens institutioner, organ eller byråer eller av en medlemsstat bör tillhandahållas byrån för information och för att undvika dubbelarbete. Byrån bör analysera strategierna och verka för att de presenteras i ett format som underlättar jämförbarhet. Den bör göra strategierna och sina analyser tillgängliga för allmänheten på elektronisk väg.

(21)

Byrån bör bistå kommissionen med råd, yttranden och analyser i alla unionsfrågor som rör politikens utveckling inom området nät- och informationssäkerhet, inbegripet skydd av kritisk informationsinfrastruktur och motståndskraft. Byrån bör också bistå unionens institutioner, organ och byråer, samt medlemsstaterna i tillämpliga fall och på deras begäran, i deras arbete för att utveckla politiken och kapaciteten när det gäller nät- och informationssäkerhet.

(22)

Byrån bör i sitt arbete fullt ut beakta pågående forskning, utveckling och teknisk bedömning, i synnerhet sådan verksamhet som bedrivs inom unionens olika forskningsinitiativ för att ge råd till unionens institutioner, organ och byråer och, i tillämpliga fall, till medlemsstaterna på deras begäran om forskningsbehoven på området nät- och informationssäkerhet.

(23)

Byrån bör bistå såväl unionens institutioner, organ och byråer som medlemsstaterna i deras arbete för att bygga upp och förbättra den gränsöverskridande kapaciteten och beredskapen för att förebygga, spåra och reagera på nät- och informationssäkerhetsproblem och -incidenter. I detta hänseende bör byrån främja samarbete mellan medlemsstaterna och mellan kommissionen och andra unionsinstitutioner, -organ och -byråer och medlemsstaterna. Därför bör byrån stödja medlemsstaterna i deras kontinuerliga insatser för att förbättra sin insatskapacitet och för att organisera och leda europeiska övningar för säkerhetsincidenter samt, på begäran av en medlemsstat, nationella övningar.

(24)

För att bättre förstå utmaningarna inom området nät- och informationssäkerhet behöver byrån analysera befintliga och kommande risker. Därför bör byrån i samarbete med medlemsstaterna och, om lämpligt, statistikorgan och andra samla in relevant information. Byrån bör också bistå unionens institutioner, organ och byråer samt medlemsstaterna i deras arbete med att samla in, analysera och sprida nät- och informationssäkerhetsdata. Den insamling av statistisk information och data som behövs för analys av risker när det gäller säkerheten och motståndskraften för elektroniska kommunikationer, infrastrukturer och tjänster bör ske på grundval av uppgifter från medlemsstaterna och byråns inblick i unionsinstitutionernas IKT-infrastrukturer i enlighet med unionens bestämmelser och nationella bestämmelser som är förenliga med unionsrätten. På grundval av dessa uppgifter bör byrån hålla sig underrättad om den modernaste tekniken när det gäller nät- och informationssäkerhet och därtill hörande tendenser i unionen till förmån för unionens institutioner, organ och byråer samt för medlemsstaterna.

(25)	När byrån utför sina uppgifter bör den främja ett samarbete mellan unionen och medlemsstaterna för att öka medvetenheten om nät- och informationssäkerhetssituationen i unionen.

(26)

Byrån bör främja ett samarbete mellan medlemsstaternas behöriga oberoende regleringsmyndigheter, i synnerhet för att stödja utveckling, främjande och utbyte av bästa praxis samt standarder för utbildningsprogram och informationskampanjer. Ett ökat informationsutbyte mellan medlemsstaterna kommer att underlätta sådana åtgärder. Byrån bör bidra till att öka medvetenheten hos enskilda som använder elektroniska kommunikationer, infrastrukturer och tjänster, bland annat genom att bistå medlemsstaterna – när de har valt att använda den plattform för information av allmänintresse som anges i Europaparlamentets och rådets direktiv 2002/22/EG av den 7 mars 2002 om samhällsomfattande tjänster och användares rättigheter avseende elektroniska kommunikationsnät och kommunikationstjänster (direktiv om samhällsomfattande tjänster) (10) – med att ta fram relevant information av allmänintresse avseende nät- och informationssäkerhet, och även genom att bistå med utvecklingen av sådan information som ska bifogas leveranser av ny utrustning avsedd att användas i offentliga kommunikationsnät. Byrån bör också stödja samarbete mellan intressenter på unionsnivå, bland annat genom att främja informationsutbyte, kampanjer för att öka medvetenheten och utbildningsprogram.

(27)

Byrån bör bland annat bistå medlemsstaterna och berörda unionsinstitutioner, -organ och -byråer med folkbildningskampanjer för slutanvändare i syfte att främja ett säkrare beteende bland internetanvändare och höja medvetenheten om de potentiella hoten i cyberrymden, bland annat it-brottslighet såsom phishingattacker, botnät, ekonomiska bedrägerier och bankbedrägerier, men även främja grundläggande råd om autentisering och uppgiftsskydd.

(28)

För att byrån ska kunna uppnå sina mål fullt ut bör den upprätthålla kontakt med berörda organ, inbegripet organ som arbetar med it-brottslighet såsom Europol, och myndigheter för integritetsskydd för att utbyta sakkunskap och bästa praxis samt ge råd om nät- och informationssäkerhetsaspekter som kan inverka på deras arbete. Byråns syfte bör vara att skapa synergieffekter mellan dessa organs insatser och byråns egna ansträngningar för att främja avancerad nät- och informationssäkerhet. Företrädare för medlemsstaternas och unionens rättsvårdande myndigheter och myndigheter för integritetsskydd bör ha rätt att företrädas i byråns ständiga intressentgrupp. I samarbetet med rättsvårdande organ om nät- och informationssäkerhetsaspekter som kan påverka deras arbete bör byrån använda existerande informationskanaler och etablerade nätverk.

(29)

Kommissionen har tagit initiativ till ett europeiskt offentligt-privat partnerskap för motståndskraft som en flexibel samarbetsplattform på unionsnivå för IKT-infrastrukturens motståndskraft, där byrån bör ha en främjande roll och föra samman intressenter för att diskutera politiska prioriteringar, ekonomiska och marknadsanknutna dimensioner av utmaningar och åtgärder för IKT-infrastrukturens motståndskraft.

(30)

För att främja nät- och informationssäkerhet och dess synlighet bör byrån underlätta samarbete mellan medlemsstaternas behöriga offentliga organ, i synnerhet genom att stödja utarbetande och utbyte av bästa praxis samt kampanjer för att öka medvetenheten och genom att förstärka deras utåtriktade verksamhet. Byrån bör också stödja samarbete mellan intressenter och unionens institutioner, bland annat genom att främja informationsutbyte och åtgärder för att öka medvetenheten.

(31)	För att verka för en hög nät- och informationssäkerhetsnivå i unionen bör byrån främja samarbete och utbyte av information och bästa praxis mellan relevanta organisationer, såsom enheter för hantering av datasäkerhetsincidenter (Csirt) och incidenthanteringsorganisationer (Cert).

(32)

Ett unionssystem av välfungerande incidenthanteringsorganisationer bör vara en hörnsten i unionens infrastruktur för nät- och informationssäkerhet. Byrån bör stödja medlemsstaternas incidenthanteringsorganisationer och unionens incidenthanteringsorganisation i driften av ett nätverk av incidenthanteringsorganisationer, där även medlemmarna av den europeiska gruppen för medlemsstaternas statliga incidenthanteringsorganisationer bör ingå. För att bidra till att alla incidenthanteringsorganisationer har en tillräckligt utvecklad kapacitet och att denna kapacitet såvitt möjligt motsvarar kapaciteten hos de mest avancerade incidenthanteringsorganisationerna, bör byrån främja upprättandet och tillämpningen av ett system för ömsesidig granskning. Byrån bör dessutom främja och stödja samarbete mellan berörda incidenthanteringsorganisationer i händelse av incidenter, attacker mot eller störningar i de nät eller den infrastruktur som förvaltas eller skyddas av dem och som berör eller potentiellt kan beröra två incidenthanteringsorganisationer.

(33)

Effektiva riktlinjer för nät- och informationssäkerhet bör bygga på välutvecklade metoder för riskbedömning, både inom den offentliga och inom den privata sektorn. Metoder och förfaranden för riskbedömning används på olika nivåer, men det saknas gemensam praxis för hur de ska tillämpas på ett effektivt sätt. Främjandet och utvecklingen av bästa praxis för riskbedömning och för interoperabla lösningar för riskhantering inom organisationer i den offentliga och privata sektorn kommer att höja säkerhetsnivån för nät- och informationssystemen i unionen. Därför bör byrån stödja samarbete mellan intressenter på unionsnivå och främja deras insatser för upprättande och tillämpning av europeiska och internationella riskhanteringsstandarder och mätbar säkerhet för elektroniska produkter, system, nät och tjänster som tillsammans med mjukvara utgör nät- och informationssystemen.

(34)

I de fall då det är lämpligt och gagnar fullgörandet av byråns mål och uppgifter bör byrån dela erfarenheter och allmän information med sådana unionsinstitutioner, -organ och -byråer som arbetar med nät- och informationssäkerhet. Byrån bör bidra till att fastställa forskningsprioriteringar på unionsnivå om nätens motståndskraft och om nät- och informationssäkerhet och ge berörda forskningsinstitutioner kunskap om näringslivets behov.

(35)	Byrån bör uppmuntra medlemsstaterna och tjänsteleverantörerna att höja sina allmänna säkerhetsstandarder så att alla internetanvändare kan vidta de åtgärder som krävs för att trygga sin egen cybersäkerhet.

(36)

Nät- och informationssäkerhetsproblemen är globala. Det behövs ett tätare internationellt samarbete för att förbättra säkerhetsstandarder, bland annat genom att fastställa gemensamma beteendenormer och uppförandekoder samt informationsutbyten och på så vis främja snabbare internationellt samarbete som svar på och som ett sätt att skapa en gemensam global syn på nät- och informationssäkerhetsfrågor. Därför bör byrån stödja ett starkare unionsdeltagande och samarbete med tredjeländer och internationella organisationer genom att, när så är lämpligt, tillhandahålla nödvändig expertis och nödvändiga analyser till berörda unionsinstitutioner, -organ och -byråer.

(37)

Byrån bör verka i enlighet med subsidiaritetsprincipen, och därvid säkra en lämplig grad av samordning mellan medlemsstaterna när det gäller nät- och informationssäkerhetsfrågor och göra den nationella politiken effektivare, och därmed tillföra ett mervärde, och i enlighet med proportionalitetsprincipen, och inte gå utöver vad som är nödvändigt för att uppnå de mål som fastställs i denna förordning. Byrån bör i utförandet av sina arbetsuppgifter stärka, men inte inkräkta på den behörighet eller förekomma, hindra eller dubblera de relevanta befogenheter och arbetsuppgifter som tillkommer de nationella regleringsmyndigheterna enligt direktiven om elektroniska kommunikationsnät och kommunikationstjänster, Organet för europeiska regleringsmyndigheter för elektronisk kommunikation (Berec) som inrättades genom förordning (EG) nr 1211/2009 (11) och den kommunikationskommitté som avses i direktiv 2002/21/EG, de europeiska standardiseringsorganen, de nationella standardiseringsorganen, den permanenta kommittén enligt direktiv 98/34/EG (12) samt medlemsstaternas oberoende tillsynsmyndigheter enligt direktiv 95/46/EG.

(38)

Vissa principer om byråns förvaltning behöver genomföras för att den ska vara förenlig med det gemensamma uttalande och den gemensamma ansats som den interinstitutionella arbetsgruppen om EU:s decentraliserade byråer enades om i juli 2012 och vars syfte är att effektivisera byråernas verksamhet och förbättra deras resultat.

(39)	Det gemensamma uttalandet och den gemensamma ansatsen bör också på lämpligt sätt återspeglas i byråns arbetsprogram, i utvärderingar av byrån och i byråns rapportering och administration.

(40)

För att byrån ska fungera väl bör kommissionen och medlemsstaterna säkerställa att personer som utses till styrelseledamöter har lämplig yrkesmässig expertis. Medlemsstaterna och kommissionen bör även eftersträva att begränsa omsättningen av deras respektive företrädare i styrelsen i syfte att skapa kontinuitet i dess arbete.

(41)	Det är mycket viktigt att byrån skapar och upprätthåller ett gott rykte i fråga om sitt oberoende, sin integritet och sina höga yrkesstandarder. Styrelsen bör därför anta omfattande bestämmelser som innefattar hela byrån för att förebygga och hantera intressekonflikter.

(42)	Med hänsyn till byråns unika omständigheter och svåra utmaningar bör dess organisation förenklas och stärkas för att säkerställa ökad effektivitet och ändamålsenlighet. Därför bör bland annat en direktion inrättas så att styrelsen kan fokusera på strategiskt viktiga frågor.

(43)	Styrelsen bör utse en räkenskapsförare i enlighet med bestämmelserna i förordning (EG, Euratom) nr 966/2012 (13) (budgetförordningen).

(44)

För att säkerställa att byrån är effektiv bör medlemsstaterna och kommissionen vara företrädda i styrelsen, som bör fastställa den allmänna inriktningen på byråns verksamhet och se till att den utför sina uppgifter i enlighet med denna förordning. Styrelsen bör ha de nödvändiga befogenheterna för att fastställa budgeten och kontrollera att den genomförs, anta lämpliga finansiella bestämmelser, utarbeta klara och tydliga förfaranden för byråns beslutsfattande, anta byråns arbetsprogram, anta sin egen arbetsordning och byråns interna verksamhetsregler, utse en verkställande direktör, besluta om förlängning av dennes mandat efter att ha inhämtat Europaparlamentets synpunkter och besluta om avslutande av dennes mandat. Styrelsen bör inrätta en direktion som kan bistå den i uppgifter som rör administration och budget.

(45)

För att byrån ska fungera väl bör den verkställande direktören utses på grundval av meriter, dokumenterad skicklighet i förvaltning och ledarskap samt kompetens och erfarenheter som rör nät- och informationssäkerhet, och den verkställande direktören bör utföra sina uppgifter på ett sätt som är helt oberoende när det gäller organisationen av byråns interna arbete. Den verkställande direktören bör därför utarbeta ett förslag till arbetsprogram för byrån, efter samråd med kommissionen, och vidta alla åtgärder som är nödvändiga för att säkerställa att byråns arbetsprogram genomförs på rätt sätt. Den verkställande direktören bör utarbeta en årsrapport som föreläggs styrelsen och upprätta ett förslag till beräkning av byråns inkomster och utgifter samt genomföra budgeten.

(46)

Den verkställande direktören bör ha möjlighet att inrätta tillfälliga arbetsgrupper som i synnerhet ska behandla vetenskapliga, tekniska, rättsliga eller socioekonomiska frågor. Vid inrättandet av tillfälliga arbetsgrupper bör den verkställande direktören inhämta synpunkter från och utnyttja sådan relevant extern expertis som krävs för att byrån ska få tillgång till den mest aktuella informationen om säkerhetsproblem i det föränderliga informationssamhället. Den verkställande direktören bör se till att de tillfälliga arbetsgruppernas medlemmar väljs med utgångspunkt i högsta möjliga standard när det gäller expertkunskaper, med beaktande av att det, utifrån de specifika frågor som berörs, ska finnas en representativ balans mellan medlemsstaternas förvaltningar, unionens institutioner och den privata sektorn, inklusive branschen, användare och akademiska experter på nät- och informationssäkerhet. Den verkställande direktören bör, om det är lämpligt, kunna bjuda in enskilda experter som har erkänd kompetens på det relevanta området för att delta i arbetsgruppens verksamhet, från fall till fall. Deras utgifter bör bekostas av byrån i enlighet med dess interna regler och bestämmelser som antagits enligt budgetförordningen.

(47)

Byrån bör ha en ständig intressentgrupp som rådgivande organ, för att säkerställa en regelbunden dialog med den privata sektorn, konsumentorganisationer och andra berörda intressenter. Den ständiga intressentgruppen, som inrättas av styrelsen på förslag av den verkställande direktören, bör koncentrera sig på frågor som är relevanta för intressenter och uppmärksamma byrån på dem. Den verkställande direktören bör, vid behov och i enlighet med mötenas föredragningslista, kunna bjuda in företrädare för Europaparlamentet och andra berörda organ att delta i gruppens möten.

(48)	Eftersom det finns en bred representation av intressenter i den ständiga intressentgruppen, och gruppen särskilt ska rådfrågas i samband med utkastet till arbetsprogram, behöver det inte längre föreskrivas att intressenterna ska företrädas i styrelsen.

(49)

Byrån bör tillämpa relevanta unionsbestämmelser om allmänhetens tillgång till handlingar enligt Europaparlamentets och rådets förordning (EG) nr 1049/2001 (14). De uppgifter som byrån behandlar för sin interna verksamhet och den information den behandlar för att utföra sina uppgifter bör omfattas av Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (15).

(50)	Byrån bör efterleva de bestämmelser som gäller för unionens institutioner och den nationella lagstiftning som rör hantering av känsliga handlingar.

(51)

För att garantera byråns fulla oberoende och självständighet och ge den möjlighet att utföra kompletterande och nya uppgifter, också oförutsedda uppgifter i en krissituation, bör den ges en tillräcklig och egen budget där intäkterna främst består av ett bidrag från unionen och bidrag från tredjeländer som deltar i byråns arbete. Huvuddelen av byråns personal bör vara direkt delaktig i det operativa genomförandet av byråns mandat. Värdmedlemsstaten, eller varje annan medlemsstat, bör ha rätt att lämna frivilliga bidrag till byråns intäkter. Unionens budgetförfarande bör även i fortsättningen tillämpas på de bidrag som belastar Europeiska unionens allmänna budget. Dessutom bör Europeiska revisionsrätten granska byråns räkenskaper för att säkerställa insyn och ansvarighet.

(52)

Med hänsyn till den kontinuerliga förändringen av hotbilden och utvecklingen inom unionens politik för nät- och informationssäkerhet och för att anpassa sig till den fleråriga budgetramen bör byråns mandat fastställas till en begränsad period av sju år med möjlighet till en förlängning av varaktigheten.

(53)

Byråns verksamhet bör utvärderas på ett oberoende sätt. Utvärderingen bör beakta byråns effektivitet i fråga om måluppfyllelse, dess arbetsmetoder och relevansen i dess uppgifter, för att fastställa om byråns mål fortfarande är giltiga och, på grundval av detta, om och för hur lång tid dess mandat bör förlängas ytterligare.

(54)	Om kommissionen mot slutet av byråns mandat inte har lagt fram något förslag om förlängning av mandatet bör byrån och kommissionen vidta lämpliga åtgärder, framför allt med avseende på frågor som rör personalens kontrakt och budgetarrangemang.

(55)

Eftersom målet för denna förordning, nämligen att inrätta en europeisk byrå för nät- och informationssäkerhet för att bidra till en hög nivå på nät- och informationssäkerhet i unionen, öka medvetenheten om dessa frågor och utveckla och främja en kultur av nät- och informationssäkerhet i samhället till gagn för medborgarna, konsumenterna, företagen och den offentliga sektorns organisationer i unionen och på det sättet bidra till att den inre marknaden upprättas och fungerar väl, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och de därför bättre kan uppnås på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(56)	Förordning (EG) nr 460/2004 bör upphävas.

(57)	Europeiska datatillsynsmannens har hörts i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 och antog sitt yttrande den 20 december 2010 (16).

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

AVSNITT 1

VERKSAMHETSOMRÅDE, MÅL OCH UPPGIFTER

Artikel 1

Syfte och tillämpningsområde

1.   Genom denna förordning inrättas Europeiska unionens byrå för nät- och informationssäkerhet (Enisa, nedan kallad byrån), som ska utföra de uppgifter den tilldelas för att bidra till en hög nivå på nät- och informationssäkerhet i unionen, öka medvetenheten om nätverks- och informationssäkerhet och utveckla och främja en kultur av nät- och informationssäkerhet i samhället till gagn för medborgarna, konsumenterna, företagen och den offentliga sektorns organisationer i Europeiska unionen och på det sättet bidra till att den inre marknaden upprättas och fungerar väl.

2.   Byråns mål och uppgifter ska inte påverka medlemsstaternas befogenheter i fråga om nät- och informationssäkerhet, särskilt inte verksamhet som berör allmän säkerhet, försvar, nationell säkerhet (också statens ekonomiska välstånd, när frågorna har anknytning till nationell säkerhet) och statens verksamhet på strafflagstiftningens område.

3.   I denna förordning avser nät- och informationssäkerhet förmågan hos ett nät eller ett informationssystem att, vid en viss tillförlitlighetsnivå, tåla olyckshändelser, olagliga handlingar eller illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda data och näraliggande tjänster som tillhandahålls av eller är tillgängliga via dessa nät och system.

Artikel 2

Mål

1.   Byrån ska utveckla och upprätthålla en hög nivå av expertis.

2.   Byrån ska bistå unionens institutioner, organ och byråer med utarbetandet av strategier för nät- och informationssäkerhet.

3.   Byrån ska bistå unionens institutioner, organ och byråer samt medlemsstaterna med att genomföra de strategier som krävs för att uppfylla rättsliga och regleringsmässiga krav på nät- och informationssäkerhet i befintliga och framtida unionsrättsakter och på så sätt bidra till att den inre marknaden fungerar väl.

4.   Byrån ska bistå unionen och medlemsstaterna med att förbättra och stärka unionens och medlemsstaternas kapacitet och beredskap för att förebygga, spåra och reagera på nät- och informationssäkerhetsproblem.

5.   Byrån ska använda sin expertis för att främja ett brett samarbete mellan aktörer från den offentliga och privata sektorn.

Artikel 3

Uppgifter

1.   För det syfte som fastställs i artikel 1, och för att uppnå målen i artikel 2, under iakttagande av artikel 1.2, ska byrån utföra följande uppgifter:

a)

Stödja utvecklingen av unionens politik och unionsrätten genom att i) bistå och ge råd i alla frågor som rör unionens politik för och lagstiftning om nät- och informationssäkerhet, ii) tillhandahålla förberedande arbete, råd och analyser om utveckling och uppdatering av unionens politik för och lagstiftning om nät- och informationssäkerhet, iii) analysera allmänt tillgängliga strategier för nät- och informationssäkerhet och främja offentliggörandet av dem.

b)

Stödja kapacitetsuppbyggnad genom att i) på begäran stödja medlemsstaterna i deras arbete för att utveckla och förbättra förebyggandet, spårandet och analysen av samt kapaciteten att reagera på problem och incidenter på området nät- och informationssäkerhet, och förse dem med nödvändiga kunskaper, ii) främja och underlätta frivilligt samarbete mellan medlemsstaterna och mellan unionens institutioner, organ och byråer och medlemsstaterna i deras arbete med att förebygga, spåra och reagera på problem och incidenter på området nät- och informationssäkerhet som har gränsöverskridande konsekvenser, iii) bistå unionens institutioner, organ och byråer i deras arbete för att utveckla förebyggandet, spårandet och analysen av samt kapaciteten att reagera på problem och incidenter på området nät- och informationssäkerhet, framför allt genom att stödja driften av en incidenthanteringsorganisation (Cert) avsedd för dem, iv) stödja kapacitetsökning hos incidenthanteringsorganisationer på nationell och statlig nivå samt unionsnivå, bland annat genom att främja dialog och informationsutbyte, för att se till att alla incidenthanteringsorganisationer när det gäller den tekniska nivån uppfyller gemensamma minimikrav för kapaciteten och att deras verksamhet följer bästa praxis, v) stödja anordnandet och genomförandet av nät- och informationssäkerhetsövningar på unionsnivå och, på deras begäran, ge medlemsstaterna råd om nationella övningar, vi) bistå unionens institutioner, organ och byråer samt medlemsstaterna i deras arbete med att samla in, analysera och, i linje med medlemsstaternas säkerhetskrav, sprida relevanta nät- och informationssäkerhetsdata, och på grundval av uppgifter från unionens institutioner, organ och byråer och från medlemsstaterna i enlighet med bestämmelser i unionsrätten och nationella bestämmelser som är förenliga med unionsrätten hålla unionens institutioner, organ och byråer samt medlemsstaterna underrättade om den modernaste tekniken när det gäller nät- och informationssäkerhet i unionen till deras gagn, vii) stödja inrättandet av en unionsmekanism för tidig varning som kompletterar medlemsstaternas mekanismer, viii) erbjuda berörda offentliga organ utbildning i nät- och informationssäkerhet, om lämpligt i samarbete med intressenter.

c)

Stödja frivilligt samarbete bland behöriga offentliga organ och mellan intressenter, inklusive universitet och forskningscentrum i unionen, samt stödja åtgärder för att öka medvetenheten, bland annat genom att i) främja samarbete mellan nationella och statliga incidenthanteringsorganisationer eller enheter för hantering av datasäkerhetsincidenter, däribland incidenthanteringsorganisationen för unionens institutioner, organ och byråer, ii) främja utarbetande och utbyte av bästa praxis med målsättningen att uppnå en hög nivå av nät- och informationssäkerhet, iii) underlätta dialog och insatser för att utarbeta och utbyta bästa praxis, iv) främja bästa praxis inom informationsutbyte och åtgärder för att öka medvetenheten, v) stödja unionens institutioner, organ och byråer och, på deras begäran, medlemsstaterna med att anordna kampanjer för att öka medvetenheten, även bland enskilda användare, och annan utåtriktad verksamhet för att öka nät- och informationssäkerheten och dess synlighet genom att tillhandahålla bästa praxis och riktlinjer.

d)

Stödja forskning och utveckling och standardisering genom att i) underlätta upprättande och tillämpning av europeiska och internationella riskhanteringsstandarder och säkerhetsstandarder för elektroniska produkter, nät och tjänster, ii) ge råd till unionen och medlemsstaterna om forskningsbehoven när det gäller nät- och informationssäkerhet för att möjliggöra ett effektivt bemötande av befintliga och nya risker och hot i fråga om nät- och informationssäkerhet, bland annat när det gäller ny och framväxande informations- och kommunikationsteknik, och för att säkerställa en effektiv användning av riskförebyggande teknik.

e)

Samarbeta med unionens institutioner, organ och byråer, däribland sådana som arbetar med it-brottslighet samt integritets- och personuppgiftsskydd, för att ta itu med gemensamma problem, bland annat genom att i) utbyta sakkunskap och bästa praxis, ii) ge råd om relevanta nät- och informationssäkerhetsaspekter för att utveckla synergieffekter.

f)

Bidra till unionens insatser för att samarbeta med tredjeländer och internationella organisationer för att främja internationellt samarbete om nät- och informationssäkerhetsfrågor, bland annat genom att i) om lämpligt delta som observatör och delta i anordnandet av internationella övningar samt analysera och rapportera om resultaten av sådana övningar, ii) underlätta utbyte av bästa praxis inom relevanta organisationer, iii) förse unionens institutioner med expertis.

2.   Unionens institutioner, organ och byråer och medlemsstaternas organ får be byrån om råd i händelse av en säkerhetsöverträdelse eller integritetsförlust som har omfattande konsekvenser för driften av nät och tjänster.

3.   Byrån ska utföra de uppgifter den tilldelats genom unionens rättsakter.

4.   Byrån ska självständigt ge uttryck för egna slutsatser, riktlinjer och råd i frågor som omfattas av denna förordnings tillämpningsområde och mål.

AVSNITT 2

ORGANISATION

Artikel 4

Byråns sammansättning

1.   Byrån ska bestå av

a)	en styrelse,

b)	en verkställande direktör och personal, och

c)	en ständig intressentgrupp.

2.   För att göra byråns verksamhet mer ändamålsenlig och effektiv ska styrelsen inrätta en direktion.

Artikel 5

Styrelse

1.   Styrelsen ska fastställa de allmänna riktlinjerna för byråns arbete och se till att byrån agerar i enlighet med de regler och principer som fastställs i denna förordning. Styrelsen ska även se till att byråns arbete överensstämmer med det arbete som utförs av medlemsstaterna och på unionsnivå.

2.   Styrelsen ska anta byråns årliga och fleråriga arbetsprogram.

3.   Styrelsen ska anta en årlig rapport om byråns verksamhet och senast den 1 juli följande år sända den till Europaparlamentet, rådet, kommissionen och revisionsrätten. Den årliga rapporten ska innehålla räkenskaperna och beskriva hur byrån har uppnått sina resultatindikatorer. Den årliga rapporten ska offentliggöras.

4.   Styrelsen ska anta en strategi för bedrägeribekämpning som står i proportion till bedrägeririskerna och tar hänsyn till kostnaderna för och fördelarna med de åtgärder som ska vidtas.

5.   Styrelsen ska på lämpligt sätt följa upp resultaten och rekommendationerna från utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) och från olika interna och externa revisionsberättelser och utvärderingar.

6.   Styrelsen ska anta bestämmelser för förebyggande och hantering av intressekonflikter.

7.   Styrelsen ska gentemot byråns personal utöva de befogenheter som enligt tjänsteföreskrifterna för tjänstemän vid Europeiska unionen och anställningsvillkoren för övriga anställda vid unionen (nedan kallade tjänsteföreskrifterna och anställningsvillkoren för övriga anställda), som fastställts i förordning (EEG, Euratom, EKSG) nr 259/68 (17) tillkommer tillsättningsmyndigheten respektive den myndighet som har befogenhet att sluta anställningsavtal.

Styrelsen ska i enlighet med förfarandet i artikel 110 i tjänsteföreskrifterna anta ett beslut på grundval av artikel 2.1 i tjänsteföreskrifterna och artikel 6 i anställningsvillkoren för övriga anställda, och härigenom delegera den relevanta tillsättningsmyndighetens befogenheter till den verkställande direktören. Den verkställande direktören får vidaredelegera dessa befogenheter.

Då exceptionella omständigheter kräver det får styrelsen återkalla delegeringen av tillsättningsmyndighetens befogenheter till den verkställande direktören och de befogenheter som vidaredelegerats av den verkställande direktören. I sådana fall får styrelsen under begränsad tid delegera dem till en av sina ledamöter eller till en annan anställd än den verkställande direktören.

8.   Styrelsen ska anta lämpliga bestämmelser för att genomföra tjänsteföreskrifterna och anställningsvillkoren för övriga anställda i enlighet med förfarandet i artikel 110 i tjänsteföreskrifterna.

9.   Styrelsen ska utse den verkställande direktören och får förlänga dennes mandat eller avsätta honom eller henne i enlighet med artikel 24 den här förordningen.

10.   Styrelsen ska anta arbetsordningen för sig själv och för direktionen efter samråd med kommissionen. Arbetsordningen ska möjliggöra påskyndade beslut, antingen genom skriftligt förfarande eller genom telekonferenser.

11.   Styrelsen ska anta byråns interna verksamhetsregler efter samråd med kommissionens avdelningar. Reglerna ska offentliggöras.

12.   Styrelsen ska anta de finansiella bestämmelser som är tillämpliga på byrån. Bestämmelserna får inte avvika från kommissionens förordning (EG, Euratom) nr 2343/2002 av den 19 november 2002 med rambudgetförordning för de gemenskapsorgan som avses i artikel 185 i rådets förordning (EG, Euratom) nr 1605/2002 med budgetförordning för Europeiska gemenskapernas allmänna budget (18) om inte byråns särskilda förvaltningsbehov kräver detta och kommissionen har godkänt detta i förväg.

13.   Styrelsen ska anta en flerårig personalplan efter samråd med kommissionens avdelningar och efter att ha informerat Europaparlamentet och rådet.

Artikel 6

Styrelsens sammansättning

1.   Styrelsen ska bestå av en företrädare för varje medlemsstat och två företrädare som utses av kommissionen. Samtliga företrädare ska ha rösträtt.

2.   Varje ledamot av styrelsen ska ha en suppleant som företräder ledamoten i dennes frånvaro.

3.   Styrelsens ledamöter och deras suppleanter ska utses mot bakgrund av sina kunskaper om byråns uppgifter och mål och med hänsyn till den kompetens inom ledarskap, administration och budget som krävs för att utföra de uppgifter som anges i artikel 5. Kommissionen och medlemsstaterna bör sträva efter att begränsa omsättningen av sina företrädare i styrelsen för att skapa kontinuitet i styrelsens arbete. Kommissionen och medlemsstaterna ska ha som mål att uppnå en jämn könsfördelning i styrelsen.

4.   Mandatperioden för styrelsens ledamöter och deras suppleanter ska vara fyra år. Mandatperioden får förnyas.

Artikel 7

Styrelsens ordförande

1.   Styrelsen ska bland sina ledamöter utse en ordförande och en vice ordförande för en period på tre år som får förnyas. Vice ordföranden ska inträda i ordförandens ställe om den senare inte kan fullgöra sina plikter.

2.   Ordföranden kan ombes att göra ett uttalande inför behörigt utskott i Europaparlamentet och besvara frågor från ledamöterna.

Artikel 8

Sammanträden

1.   Styrelsens sammanträden ska sammankallas av dess ordförande.

2.   Styrelsen ska hålla ett ordinarie sammanträde minst en gång om året. Den ska också hålla extra sammanträden på begäran av ordföranden eller då minst en tredjedel av ledamöterna så begär.

3.   Den verkställande direktören ska delta i styrelsemötena utan rösträtt.

Artikel 9

Omröstning

1.   Styrelsen ska fatta beslut genom en absolut majoritet av sina ledamöter.

2.   Två tredjedelars majoritet av styrelsens ledamöter ska krävas vid antagandet av dess arbetsordning, byråns interna verksamhetsregler, budgeten och det årliga och fleråriga arbetsprogrammet, liksom när den verkställande direktören utnämns, får sin mandatperiod förlängd eller avsätts och när styrelsens ordförande utses.

Artikel 10

Direktionen

1.   Styrelsen ska bistås av en direktion.

2.   Direktionen ska förbereda beslut för antagande i styrelsen endast i frågor som rör administration och budget.

Tillsammans med styrelsen ska den på lämpligt sätt följa upp resultaten och rekommendationerna från utredningar som utförs av Olaf och från olika interna och externa revisionsberättelser och utvärderingar.

Utan att det påverkar den verkställande direktörens ansvar enligt artikel 11 ska direktionen bistå och ge råd till den verkställande direktören vid genomförandet av styrelsens beslut i frågor som rör administration och budget.

3.   Direktionen ska bestå av fem ledamöter utsedda bland styrelsens ledamöter, däribland styrelsens ordförande, som även kan vara direktionens ordförande, samt en av kommissionens företrädare.

4.   Mandatperioden för ledamöterna av direktionen ska vara densamma som för styrelsens ledamöter som anges i artikel 6.4.

5.   Direktionen ska sammanträda minst var tredje månad. Ordföranden för direktionen ska sammankalla extra sammanträden på begäran av direktionens ledamöter.

Artikel 11

Den verkställande direktörens uppgifter

1.   Byrån ska ledas av en verkställande direktör som ska ha en oberoende ställning i utförandet av sina arbetsuppgifter.

2.   Den verkställande direktören ska ha ansvaret för

a)	den dagliga ledningen av byrån,

b)	genomförande av styrelsens beslut,

c)	förberedande av det årliga arbetsprogrammet och det fleråriga arbetsprogrammet efter samråd med styrelsen, samt framläggande av dessa för styrelsen efter samråd med kommissionen,

d)	genomförande av det årliga arbetsprogrammet och det fleråriga arbetsprogrammet, samt rapportering till styrelsen om genomförandet,

e)	förberedande av årsrapporten om byråns verksamhet och framläggande av den för styrelsen för godkännande,

f)	förberedande av en handlingsplan för uppföljning av slutsatserna från efterhandsutvärderingarna, samt rapportering vartannat år till kommissionen om de framsteg som gjorts,

g)

skyddet av unionens finansiella intressen genom att förebyggande åtgärder vidtas mot bedrägeri, korruption och annan olaglig verksamhet, med hjälp av effektiva kontroller och, om oegentligheter upptäcks, genom att belopp som felaktigt betalats ut återkrävs, samt, där så är lämpligt, genom effektiva, proportionella och avskräckande administrativa och ekonomiska påföljder,

h)	framtagande av en strategi för bedrägeribekämpning för byrån och framläggande av den för styrelsen för godkännande,

i)	säkerställande av att byrån genomför sin verksamhet i enlighet med användarnas krav, särskilt med avseende på om de tjänster som tillhandahålls fyller deras behov,

j)	utveckling och upprätthållande av kontakter med unionens institutioner, organ och byråer,

k)	utveckling och upprätthållande av kontakter med näringslivet och konsumentorganisationer för att säkerställa en regelbunden dialog med berörda intressenter, och

l)	andra uppgifter som den verkställande direktören tilldelas genom denna förordning.

3.   När så är nödvändigt och inom ramen för byråns mål och uppgifter, får den verkställande direktören inrätta arbetsgrupper bestående av experter, inbegripet från medlemsstaternas behöriga myndigheter. Styrelsen ska underrättas i förväg. Förfarandena för att fastställa sammansättningen av dessa grupper, hur experter ska utses av den verkställande direktören och hur de tillfälliga arbetsgrupperna ska arbeta ska anges i byråns interna verksamhetsregler.

4.   Den verkställande direktören ska se till att styrelsen och direktionen vid behov får tillgång till administrativ stödpersonal och andra resurser.

Artikel 12

Ständig intressentgrupp

1.   Styrelsen ska på förslag av den verkställande direktören inrätta en ständig intressentgrupp bestående av erkända experter som företräder berörda intressenter, exempelvis informations- och kommunikationsteknikbranschen, leverantörer av allmänt tillgängliga elektroniska kommunikationsnät eller kommunikationstjänster, konsumentgrupper, experter på nät- och informationssäkerhet från den akademiska världen, samt företrädare för nationella regleringsmyndigheter som anmälts i enlighet med direktiv 2002/21/EG, rättsvårdande myndigheter och myndigheter med ansvar för skydd av personlig integritet.

2.   Förfarandena för att fastställa, i synnerhet, antalet medlemmar i den ständiga intressentgruppen, dess sammansättning, hur medlemmar utses av styrelsen, förslaget från den verkställande direktören och hur gruppen ska arbeta ska anges i byråns interna verksamhetsregler och offentliggöras.

3.   Den verkställande direktören eller en person som han eller hon utser från fall till fall ska vara den ständiga intressentgruppens ordförande.

4.   Mandatperioden för den ständiga intressentgruppens medlemmar ska vara två och ett halvt år. Styrelseledamöter får inte vara medlemmar i den ständiga intressentgruppen. Experter från kommissionen och medlemsstaterna får närvara vid den ständiga intressentgruppens möten och delta i dess arbete. Företrädare för andra organ som av den verkställande direktören anses som relevanta, men som inte är medlemmar av den ständiga intressentgruppen, får bjudas in att närvara vid den ständiga intressentgruppens möten och delta i dess arbete.

5.   Den ständiga intressentgruppen ska ge byrån råd med avseende på genomförandet av dess verksamhet. Den ska i synnerhet ge den verkställande direktören råd om utarbetandet av förslaget till byråns arbetsprogram och om kommunikationen med berörda intressenter om alla frågor kopplade till arbetsprogrammet.

AVSNITT 3

VERKSAMHET

Artikel 13

Arbetsprogram

1.   Byrån ska genomföra sin verksamhet i enlighet med sitt årliga och fleråriga arbetsprogram, som ska innehålla all planerad verksamhet.

2.   Arbetsprogrammet ska innehålla skräddarsydda resultatindikatorer som gör det möjligt att effektivt bedöma vilka resultat som uppnåtts i förhållande till målen.

3.   Den verkställande direktören ska ha ansvaret för att utarbeta utkastet till byråns arbetsprogram efter samråd med kommissionens avdelningar. Senast den 15 mars varje år ska den verkställande direktören lämna ett förslag till arbetsprogram för följande år till styrelsen.

4.   Senast den 30 november varje år ska styrelsen anta byråns arbetsprogram för det kommande året efter att ha mottagit kommissionens yttrande. Arbetsprogrammet ska innehålla en flerårig prognos. Styrelsen ska se till att arbetsprogrammet överensstämmer med byråns mål och med unionens prioriteringar för lagstiftning och politiska åtgärder inom området nät- och informationssäkerhet.

5.   Arbetsprogrammet ska organiseras i enlighet med principen om verksamhetsbaserad förvaltning. Arbetsprogrammet ska vara i linje med beräkningen av byråns intäkter och utgifter och byråns budget för samma budgetår.

6.   När styrelsen antagit arbetsprogrammet ska den verkställande direktören vidarebefordra det till Europaparlamentet, rådet, kommissionen och medlemsstaterna, samt offentliggöra det. På inbjudan av Europaparlamentets behöriga utskott ska den verkställande direktören lägga fram och hålla en diskussion om det antagna årliga arbetsprogrammet.

Artikel 14

Framställningar till byrån

1.   Förfrågningar om råd och stöd som omfattas av byråns mål och arbetsuppgifter ska ställas till den verkställande direktören tillsammans med bakgrundsinformation som förklarar ärendet i fråga. Den verkställande direktören ska informera styrelsen och direktionen om de förfrågningar som inkommit, om möjliga resursmässiga konsekvenser och sedan om den uppföljning som gjorts. Om byrån avvisar en förfrågan ska detta motiveras.

2.   De förfrågningar som avses i punkt 1 får göras av

a)	Europaparlamentet,

b)

rådet,

c)	kommissionen,

d)	behöriga organ utsedda av medlemsstaterna, t.ex. en nationell regleringsmyndighet enligt definitionen i artikel 2 i direktiv 2002/21/EG.

3.   De praktiska arrangemangen för tillämpning av punkterna 1 och 2, särskilt vad gäller framställning, prioritering och uppföljning av förfrågningar ställda till byrån samt information till styrelsen och direktionen om dessa, ska fastställas av styrelsen och anges i byråns interna verksamhetsregler.

Artikel 15

Redovisning av intressen

1.   Styrelsens ledamöter, den verkställande direktören och tjänstemän som är tillfälligt utlånade från medlemsstaterna ska var och en göra en åtagandeförklaring och en förklaring som anger om det föreligger eller inte föreligger några direkta eller indirekta intressekonflikter som skulle kunna inverka negativt på deras oberoende, eller som anger att sådana föreligger. Förklaringarna ska vara tillförlitliga och fullständiga, och de ska göras årligen och skriftligt samt vid behov uppdateras.

2.   Styrelsens ledamöter, den verkställande direktören och externa experter som deltar i tillfälliga arbetsgrupper ska var och en senast i inledningen av varje möte exakt och fullständigt redovisa eventuella intressen som kan påverka deras oberoende i förhållande till frågorna på dagordningen och avhålla sig från att delta i diskussioner och omröstningar om sådana frågor.

3.   Byrån ska i sina interna verksamhetsregler fastställa hur de regler om redovisning av intressen som avses i punkterna 1 och 2 ska tillämpas praktiskt.

Artikel 16

Insyn

1.   Byrån ska se till att dess arbete utförs med en hög grad av öppenhet och i enlighet med artiklarna 17 och 18.

2.   Byrån ska se till att allmänheten och eventuella berörda parter får lämplig, objektiv, tillförlitlig och lättillgänglig information, framför allt om resultaten av dess arbete. Den ska också offentliggöra de intresseförklaringar som avges i enlighet med artikel 15.

3.   Styrelsen får, på förslag från den verkställande direktören, ge andra berörda parter tillstånd att observera delar av byråns verksamhet.

4.   Byrån ska i sina interna verksamhetsregler fastställa hur de regler om öppenhet som avses i punkterna 1 och 2 ska tillämpas praktiskt.

Artikel 17

Konfidentialitet

1.   Byrån ska inte för tredje part röja uppgifter som den behandlar eller mottar, om det i en motiverad ansökan har begärts att uppgifterna helt eller delvis ska behandlas konfidentiellt, dock utan att detta påverkar tillämpningen av artikel 18.

2.   Ledamöterna i styrelsen, den verkställande direktören, den ständiga intressentgruppen, de externa experter som deltar i olika tillfälliga arbetsgrupper och byråns personal, inbegripet tjänstemän som är tillfälligt utlånade från medlemsstaterna, ska omfattas av tystnadsplikt enligt artikel 339 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), även efter det att deras uppdrag upphört.

3.   Byrån ska i sina interna verksamhetsregler fastställa hur de regler om konfidentialitet som avses i punkterna 1 och 2 ska tillämpas praktiskt.

4.   Styrelsen ska besluta om att tillåta byrån att hantera säkerhetsskyddsklassificerade uppgifter, om så krävs för att byrån ska kunna utföra sina uppgifter. I sådana fall ska styrelsen efter överenskommelse med kommissionens avdelningar anta interna verksamhetsregler som tillämpar säkerhetsprinciperna i kommissionens beslut 2001/844/EG, EKSG, Euratom av den 29 november 2001 om ändring av de interna stadgarna (19). Dessa regler ska bland annat omfatta bestämmelser om utbyte, behandling och lagring av säkerhetsskyddsklassificerade uppgifter.

Artikel 18

Tillgång till handlingar

1.   Förordning (EG) nr 1049/2001 ska tillämpas på de handlingar som finns hos byrån.

2.   Styrelsen ska vidta åtgärder för att genomföra förordning (EG) nr 1049/2001 inom sex månader från det att byrån inrättats.

3.   Beslut som fattas av byrån i enlighet med artikel 8 i förordning (EG) nr 1049/2001 får bli föremål för ett klagomål till ombudsmannen enligt artikel 228 i EUF-fördraget eller väckande av talan vid Europeiska unionens domstol i enlighet med artikel 263 i EUF-fördraget.

AVSNITT 4

FINANSIELLA BESTÄMMELSER

Artikel 19

Antagande av budgeten

1.   Byråns inkomster ska bestå av ett bidrag från unionen, bidrag från tredjeländer som deltar i byråns arbete enligt artikel 30 och frivilliga bidrag från medlemsstaterna, i pengar eller in natura. Medlemsstater som ger frivilliga bidrag kan inte göra anspråk på några särskilda rättigheter eller tjänster som en följd av bidragen.

2.   Byråns utgifter ska täcka kostnaderna för personal, administrativt och tekniskt stöd, infrastruktur och drift samt utgifter till följd av avtal som ingås med tredje part.

3.   Senast den 1 mars varje år ska den verkställande direktören upprätta ett utkast till beräkning av byråns inkomster och utgifter för det därpå följande budgetåret, och ska översända det till styrelsen tillsammans med ett förslag till tjänsteförteckning.

4.   Inkomster och utgifter ska vara i balans.

5.   Varje år ska styrelsen, på grundval av det utkast till beräkning av inkomster och utgifter som upprättats av den verkställande direktören, lägga fram en beräkning av byråns inkomster och utgifter för det därpå följande budgetåret.

6.   Styrelsen ska senast den 31 mars varje år överlämna denna beräkning av inkomster och utgifter, som även ska omfatta ett utkast till tjänsteförteckning och utkastet till arbetsprogram, till kommissionen och de tredjeländer med vilka unionen har slutit avtal i enlighet med artikel 30.

7.   Kommissionen ska vidarebefordra beräkningen av inkomster och utgifter till Europaparlamentet och rådet, tillsammans med förslaget till unionens allmänna budget.

8.   På grundval av denna beräkning av inkomster och utgifter ska kommissionen föra in de beräkningar den anser vara nödvändiga för tjänsteförteckningen och det stödbelopp som ska belasta den allmänna budgeten i förslaget till unionens budget, som kommissionen ska lägga fram inför Europaparlamentet och rådet i enlighet med artikel 314 i EUF-fördraget.

9.   Europaparlamentet och rådet ska bevilja de anslag som utgör bidrag till byrån.

10.   Europaparlamentet och rådet ska anta byråns tjänsteförteckning.

11.   Styrelsen ska anta byråns budget tillsammans med arbetsprogrammet. Den blir slutlig när unionens allmänna budget slutgiltigt har antagits. Styrelsen ska vid behov anpassa byråns budget och arbetsprogram till unionens allmänna budget. Styrelsen ska utan dröjsmål vidarebefordra budgeten till Europaparlamentet, rådet och kommissionen.

Artikel 20

Bedrägeribekämpning

1.   För att underlätta bekämpning av bedrägeri, korruption och andra olagliga handlingar enligt förordning (EG) nr 1073/1999 (20) ska byrån, inom sex månader från den dag då den inleder sin verksamhet, ansluta sig till det interinstitutionella avtalet av den 25 maj 1999 om interna utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) (21) och anta lämpliga bestämmelser som ska vara tillämpliga på alla anställda vid byrån genom att använda den mall som anges i bilagan till det avtalet.

2.   Revisionsrätten ska ha befogenhet att genomföra revision, på grundval av handlingar och kontroller på plats, hos alla stödmottagare, uppdragstagare och underleverantörer som erhållit unionsfinansiering från byrån.

3.   Olaf kan utföra utredningar, inbegripet kontroller och inspektioner på plats – i enlighet med bestämmelserna och förfarandena i förordning (EG) nr 1073/1999 och rådets förordning (Euratom, EG) nr 2185/96 av den 11 november 1996 om de kontroller och inspektioner på platsen som kommissionen utför för att skydda Europeiska gemenskapernas finansiella intressen mot bedrägerier och andra oegentligheter (22) – i syfte att fastställa om det har förekommit bedrägeri, korruption eller någon annan olaglig verksamhet som påverkar unionens finansiella intressen i samband med bidrag eller kontrakt som finansierats av byrån.

4.   Utan att det påverkar tillämpningen av punkterna 1, 2 och 3 ska samarbetsavtal med tredjeländer och internationella organisationer, kontrakt, bidragsavtal och bidragsbeslut från byrån innehålla bestämmelser som uttryckligen tillerkänner revisionsrätten och Olaf rätten att utföra sådan revision och genomföra sådana utredningar inom ramen för sina respektive befogenheter.

Artikel 21

Budgetgenomförandet

1.   Den verkställande direktören ska ansvara för att byråns budget genomförs.

2.   Kommissionens internrevisor ska ha samma befogenheter gentemot byrån som gentemot kommissionens avdelningar.

3.   Senast den 1 mars efter utgången av det berörda budgetåret (den 1 mars år n + 1) ska byråns räkenskapsförare förse kommissionens räkenskapsförare med de preliminära räkenskaperna och en rapport om budgetförvaltningen och den ekonomiska förvaltningen under budgetåret. Kommissionens räkenskapsförare ska konsolidera institutionernas och de decentraliserade organens preliminära räkenskaper i enlighet med artikel 147 i budgetförordningen.

4.   Senast den 31 mars år n + 1 ska kommissionens räkenskapsförare överlämna byråns preliminära redovisning till revisionsrätten tillsammans med en rapport om budgetförvaltningen och den ekonomiska förvaltningen under budgetåret. Denna rapport om budgetförvaltningen och den ekonomiska förvaltningen under budgetåret ska också lämnas till Europaparlamentet och rådet.

5.   Efter det att revisionsrättens iakttagelser rörande byråns preliminära redovisningar som gjorts enligt bestämmelserna i artikel 148 i budgetförordningen har inkommit, ska den verkställande direktören upprätta en slutlig redovisning av byråns räkenskaper och överlämna den till styrelsen för ett yttrande.

6.   Styrelsen ska avge ett yttrande om byråns slutliga räkenskaper.

7.   Den verkställande direktören ska senast den 1 juli år n + 1, översända slutredovisningarna, inklusive rapporten om budgetförvaltningen och den ekonomiska förvaltningen under budgetåret och revisionsrättens iakttagelser, till Europaparlamentet, rådet, kommissionen och revisionsrätten tillsammans med yttrandet från styrelsen.

8.   Den verkställande direktören ska offentliggöra slutredovisningarna.

9.   Senast den 30 september år n + 1 ska den verkställande direktören till revisionsrätten översända ett svar på dess synpunkter och även sända en kopia av detta svar till styrelsen.

10.   Den verkställande direktören ska på Europaparlamentets begäran, i enlighet med artikel 165.3 i budgetförordningen, för Europaparlamentet lägga fram alla uppgifter som behövs för att utföra arbetet med beviljande av ansvarsfrihet för det berörda budgetåret.

11.   På rekommendation av rådet ska Europaparlamentet före den 15 maj år n + 2 bevilja den verkställande direktören ansvarsfrihet beträffande budgetens genomförande år n.

AVSNITT 5

PERSONAL

Artikel 22

Allmänna bestämmelser

Tjänsteföreskrifterna och anställningsvillkoren för övriga anställda samt de bestämmelser som har antagits gemensamt av unionens institutioner för tillämpningen av dessa tjänsteföreskrifter ska gälla för byråns personal.

Artikel 23

Immunitet och privilegier

Byrån och dess personal ska omfattas av protokoll nr 7 om Europeiska unionens immunitet och privilegier, fogat till fördraget om Europeiska unionen och EUF-fördraget.

Artikel 24

Den verkställande direktören

1.   Den verkställande direktören ska anställas som tillfälligt anställd vid byrån enligt artikel 2 a i anställningsvillkoren för övriga anställda.

2.   Den verkställande direktören ska utses av styrelsen från en förteckning över kandidater som föreslagits av kommissionen efter ett öppet och transparent urvalsförfarande.

Byrån ska företrädas av styrelseordföranden när den ingår avtalet om anställning av den verkställande direktören.

Den kandidat som styrelsen väljer ska före utnämningen ombes att göra ett uttalande inför behörigt utskott i Europaparlamentet och besvara frågor från ledamöterna.

3.   Den verkställande direktörens mandatperiod ska vara fem år. I slutet av denna period ska kommissionen genomföra en utvärdering som beaktar den verkställande direktörens arbetsinsats och byråns framtida uppgifter och utmaningar.

4.   Styrelsen får förlänga den verkställande direktörens mandatperiod med högst fem år efter ett förslag av kommissionen, i vilket hänsyn tas till utvärderingen i punkt 3, och efter att ha tagit del av Europaparlamentets synpunkter.

5.   Styrelsen ska underrätta Europaparlamentet om sin avsikt att förlänga den verkställande direktörens mandatperiod. Inom tre månader före en sådan förlängning ska den verkställande direktören på anmodan göra ett uttalande inför Europaparlamentets behöriga utskott och besvara frågor från ledamöter.

6.   En verkställande direktör vars mandat förlängts får inte delta i något ytterligare urvalsförfarande för samma befattning.

7.   Den verkställande direktören får avsättas endast genom beslut av styrelsen.

Artikel 25

Utlånade nationella experter och annan personal

1.   Byrån får använda sig av utlånade nationella experter och annan personal som inte är anställd av byrån. Tjänsteföreskrifterna och anställningsvillkoren för övriga anställda ska inte gälla för sådan personal.

2.   Styrelsen ska anta ett beslut om regler för utlåning av nationella experter från medlemsstaterna.

AVSNITT 6

ALLMÄNNA BESTÄMMELSER

Artikel 26

Rättslig ställning

1.   Byrån ska vara ett unionsorgan. Den ska vara en juridisk person.

2.   Byrån ska i varje medlemsstat ha den mest vittgående rättskapacitet som tillerkänns juridiska personer enligt den nationella lagstiftningen. Den får i synnerhet förvärva och avyttra lös och fast egendom samt föra talan inför domstolar och andra myndigheter.

3.   Byrån ska företrädas av den verkställande direktören.

4.   En filial som har inrättats i Atens storstadsområde ska bibehållas för att byrån ska fungera effektivare.

Artikel 27

Ansvar

1.   Byråns avtalsrättsliga ansvar ska regleras av den lagstiftning som är tillämplig på avtalet i fråga.

Europeiska unionens domstol ska ha behörighet att döma enligt skiljedomsklausul i avtal som ingås av byrån.

2.   Vad beträffar utomobligatoriskt ansvar ska byrån enligt de allmänna principer som är gemensamma för medlemsstaternas rättsordningar ersätta skada som vållats av byrån själv eller dess personal under tjänsteutövning.

Europeiska unionens domstol ska vara behörig att avgöra tvister som rör ersättning för sådana skador.

3.   De anställdas personliga ansvar gentemot byrån ska regleras av de relevanta bestämmelser som är tillämpliga på byråns personal.

Artikel 28

Språk

1.   Förordning nr 1 av den 15 april 1958 om vilka språk som ska användas i Europeiska ekonomiska gemenskapen (23) ska tillämpas på byrån. Medlemsstaterna och övriga organ som tillsatts av dem kan vända sig till byrån och har rätt att få svar på det officiella språk vid unionens institutioner som de själva väljer.

2.   De översättningar som krävs för byråns verksamhet ska tillhandahållas av Översättningscentrum för Europeiska unionens organ.

Artikel 29

Skydd av personuppgifter

1.   Vid behandling av uppgifter som rör enskilda ska byrån, särskilt när den utför sina arbetsuppgifter, iaktta principerna för skyddet av personuppgifter i, och omfattas av, bestämmelserna i förordning (EG) nr 45/2001.

2.   Styrelsen ska anta de genomförandebestämmelser som avses i artikel 24.8 i förordning (EG) nr 45/2001. Styrelsen får anta ytterligare åtgärder som behövs för byråns tillämpning av förordning (EG) nr 45/2001.

Artikel 30

Tredjeländers deltagande

1.   Byrån ska låta de länder delta som med Europeiska unionen slutit avtal enligt vilka de har antagit och tillämpar unionsrättsakter på det område som omfattas av denna förordning.

2.   Det ska, i enlighet med tillämpliga bestämmelser i dessa avtal, fastställas främst på vilket sätt och i vilken omfattning dessa länder ska delta i byråns arbete, även de bestämmelser som gäller deltagande i de initiativ som byrån tar samt finansiella bidrag och personal.

Artikel 31

Säkerhetsbestämmelser om skydd av säkerhetsskyddsklassificerade uppgifter

Byrån ska tillämpa de säkerhetsprinciper som återfinns i kommissionens säkerhetsbestämmelser för säkerhetsskyddsklassificerade EU-uppgifter och känsliga icke-sekretessbelagda uppgifter, som anges i bilagan till beslut 2001/844/EG, EKSG, Euratom. Det ska bland annat omfatta bestämmelser om utbyte, behandling och lagring av sådana uppgifter.

AVSNITT 7

SLUTBESTÄMMELSER

Artikel 32

Utvärdering och översyn

1.   Senast den 20 juni 2018 ska kommissionen låta genomföra en utvärdering för att särskilt bedöma byråns och dess arbetsmetoders påverkan, ändamålsenlighet och effektivitet. Utvärderingen ska även granska om det eventuellt finns ett behov av att ändra byråns uppgifter och vilka ekonomiska konsekvenser en sådan ändring kan få.

2.   Den utvärdering som avses i punkt 1 ska beakta alla synpunkter som byrån mottagit beträffande sin verksamhet.

3.   Kommissionen ska översända utvärderingsrapporten tillsammans med dess slutsatser till Europaparlamentet, rådet och styrelsen. Resultaten från utvärderingen ska offentliggöras.

4.   Som en del av utvärderingen ska det även göras en bedömning av vilka resultat byrån uppnått med hänsyn till dess mål, mandat och uppgifter. Om kommissionen anser att byråns fortsatta verksamhet är befogad med tanke på dess uppsatta mål, mandat och uppgifter, får den föreslå en förlängning av det mandat för byrån som anges i artikel 36.

Artikel 33

Samarbete med värdmedlemsstaten

Byråns värdmedlemsstat ska tillhandahålla bästa möjliga förutsättningar för en tillfredsställande drift av byrån, bland annat när det gäller platsens tillgänglighet, adekvata utbildningsmöjligheter för de anställdas barn samt lämplig tillgång till arbetsmarknad, social trygghet och sjukvård för både barn och makar.

Artikel 34

Administrativ kontroll

Byråns verksamhet ska övervakas av ombudsmannen i enlighet med artikel 228 i EUF-fördraget.

Artikel 35

Upphävande och succession

1.   Förordning (EG) nr 460/2004 ska upphöra att gälla.

Hänvisningar till förordning (EG) nr 460/2004 och till Enisa ska betraktas som hänvisningar till den här förordningen och till byrån.

2.   Byrån efterträder den byrå som inrättades genom förordning (EG) nr 460/2004 när det gäller all äganderätt samt alla avtal, rättsliga skyldigheter, anställningskontrakt, finansiella åtaganden och ansvarsskyldigheter.

Artikel 36

Mandatperiod

Byrån inrättas för en period av sju år från och med den 19 juni 2013.

Artikel 37

Ikraftträdande

Denna förordning träder i kraft dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

---

(1)  EUT C 107, 6.4.2011, s. 58.

(2)  Europaparlamentets ståndpunkt av den 16 april 2013 (ännu ej offentliggjord i EUT) och rådets beslut av den 13 maj 2013.

(3)  Beslut 2004/97/EG, Euratom antaget i samförstånd mellan medlemsstaternas företrädare, församlade på stats- eller regeringschefsnivå, av den 13 december 2003 om lokaliseringen av sätena för vissa av Europeiska unionens myndigheter och byråer (EUT L 29, 3.2.2004, s. 15).

(4)  Europaparlamentets och rådets förordning (EG) nr 460/2004 av den 10 mars 2004 om inrättandet av den europeiska byrån för nät- och informationssäkerhet (EUT L 77, 13.3.2004, s. 1).

(5)  Europaparlamentets och rådets förordning (EG) nr 1007/2008 av den 24 september 2008 om ändring av förordning (EG) nr 460/2004 om inrättandet av den europeiska byrån för nät- och informationssäkerhet i fråga om dess mandatperiod (EUT L 293, 31.10.2008, s. 1).

(6)  Europaparlamentets och rådets förordning (EU) nr 580/2011 av den 8 juni 2011 om ändring av förordning (EG) nr 460/2004 om inrättandet av den europeiska byrån för nät- och informationssäkerhet vad gäller dess varaktighet (EUT L 165, 24.6.2011, s. 3).

(7)  EGT L 108, 24.4.2002, s. 33.

(8)  EGT L 201, 31.7.2002, s. 37.

(9)  EGT L 281, 23.11.1995, s. 31.

(10)  EGT L 108, 24.4.2002, s. 51.

(11)  Europaparlamentets och rådets förordning (EG) nr 1211/2009 av den 25 november 2009 om inrättande av organet för europeiska regleringsmyndigheter för elektronisk kommunikation (Berec) och byrån (EUT L 337, 18.12.2009, s. 1).

(12)  Europaparlamentets och rådets direktiv 98/34/EG av den 22 juni 1998 om ett informationsförfarande beträffande tekniska standarder och föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EGT L 204, 21.7.1998, s. 37).

(13)  Europaparlamentets och rådets förordning (EU, Euratom) nr 966/2012 av den 25 oktober 2012 om finansiella regler för unionens allmänna budget och om upphävande av rådets förordning (EG, Euratom) nr 1605/2002 (EUT L 298, 26.10.2012, s. 1).

(14)  Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).

(15)  EGT L 8, 12.1.2001, s. 1.

(16)  EUT C 101, 1.4.2011, s. 20.

(17)  EGT L 56, 4.3.1968, s. 1.

(18)  EGT L 357, 31.12.2002, s. 72.

(19)  EGT L 317, 3.12.2001, s. 1.

(20)  Europaparlamentets och rådets förordning (EG) nr 1073/1999 av den 25 maj 1999 om utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) (EGT L 136, 31.5.1999, s. 1).

(21)  Interinstitutionellt avtal av den 25 maj 1999 mellan Europaparlamentet, Europeiska unionens råd och Europeiska gemenskapernas kommission om interna utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) (EGT L 136, 31.5.1999, s. 15).

(22)  EGT L 292, 15.11.1996, s. 2.

(23)  EGT 17, 6.10.1958, s. 385/58.

---