52013TA1213(24)

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
EUR-Lex - 52013TA1213(24) - EN

Document 52013TA1213(24)

Help

Rapport om årsredovisningen för Europeiska byrån för nät- och informationssäkerhet för budgetåret 2012 med byråns svar

EUT C 365, 13.12.2013, p. 172–179 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

HTML

PDF

Official Journal

13.12.2013

Europeiska unionens officiella tidning

C 365/172

RAPPORT

om årsredovisningen för Europeiska byrån för nät- och informationssäkerhet för budgetåret 2012 med byråns svar

2013/C 365/24

INLEDNING

Europeiska byrån för nät- och informationssäkerhet (nedan kallad byrån) ligger i Aten och Heraklion (1) och inrättades genom Europaparlamentets och rådets förordning (EG) nr 460/2004 (2), ändrad genom förordning (EG) nr 1007/2008 (3) och förordning (EG) nr 580/2011 (4). Byråns främsta uppgift är att förbättra unionens förmåga att förhindra och lösa problem som rör nät- och informationssäkerhet på grundval av nationella insatser och unionsinsatser (5).

INFORMATION TILL STÖD FÖR REVISIONSFÖRKLARINGEN

I revisionsrättens revisionsmetod ingår analytiska granskningsåtgärder, en direkt granskning av transaktioner och en bedömning av nyckelkontroller i byråns system för övervakning och kontroll. Detta kompletteras (vid behov) med revisionsbevis från andra revisorers arbete och en analys av uttalanden från ledningen.

REVISIONSFÖRKLARING

Revisionsrätten har i enlighet med artikel 287 i fördraget om Europeiska unionens funktionssätt granskat

a)	byråns årsredovisning, som består av räkenskaperna (6) och rapporterna om budgetgenomförandet (7) för det budgetår som slutade den 31 december 2012,

b)	lagligheten och korrektheten i de transaktioner som ligger till grund för räkenskaperna.

Ledningens ansvar

I enlighet med artiklarna 33 och 43 i kommissionens förordning (EG, Euratom) nr 2343/2002 (8) är det ledningen som har ansvaret för att upprätta en årsredovisning för byrån som ger en rättvisande bild och för att de underliggande transaktionerna är lagliga och korrekta.

I ledningens ansvar för byråns årsredovisning ingår att utforma, införa och upprätthålla de system för internkontroll som krävs för upprättandet av slutliga räkenskaper som ger en rättvisande bild och som inte innehåller väsentliga felaktigheter, vare sig dessa beror på oegentligheter eller fel, välja och tillämpa ändamålsenliga redovisningsprinciper utifrån de redovisningsregler som antagits av kommissionens räkenskapsförare (9) och göra uppskattningar i redovisningen som är rimliga med hänsyn till omständigheterna. Direktören godkänner byråns årsredovisning efter det att räkenskapsföraren har upprättat den på grundval av all tillgänglig information tillsammans med en not till årsredovisningen där han bland annat förklarar att han har uppnått rimlig säkerhet om att den ger en i alla väsentliga avseenden sann och rättvisande bild av byråns finansiella ställning.

Ledningens ansvar när det gäller de underliggande transaktionernas laglighet och korrekthet och efterlevnaden av principen om sund ekonomisk förvaltning består i att utforma, införa och upprätthålla ett ändamålsenligt och effektivt system för internkontroll som innefattar en tillfredsställande övervakning och lämpliga åtgärder för att förebygga oriktigheter och oegentligheter och, vid behov, rättsliga förfaranden för att kräva tillbaka belopp som betalats ut eller använts felaktigt.

Revisorns ansvar

Revisionsrätten ska utifrån revisionen avge en förklaring till Europaparlamentet och rådet (10) om årsredovisningens tillförlitlighet och de underliggande transaktionernas laglighet och korrekthet. Revisionsrätten utför sin revision i enlighet med IFAC:s internationella revisionsstandarder (International Standards on Auditing, ISA) och etiska riktlinjer och Intosais internationella standarder för högre revisionsorgan (Issai). Enligt dessa standarder ska revisionsrätten planera och utföra revisionen så att rimlig säkerhet uppnås om huruvida byråns årsredovisning innehåller väsentliga felaktigheter och huruvida de underliggande transaktionerna är lagliga och korrekta.

Revisionen innebär att revisorn genom olika åtgärder inhämtar revisionsbevis om belopp och annan information i räkenskaperna och om lagligheten och korrektheten i de underliggande transaktionerna. Revisorn väljer vilka åtgärder som ska utföras, bland annat genom att bedöma riskerna för att det finns väsentliga felaktigheter i räkenskaperna och för att de underliggande transaktionerna i väsentlig utsträckning inte uppfyller kraven i Europeiska unionens rättsliga ram, vare sig det beror på oegentligheter eller fel. Vid denna riskbedömning beaktar revisorn de delar av internkontrollen som krävs för upprättandet av räkenskaper som ger en rättvisande bild och de system för övervakning och kontroll som ska garantera de underliggande transaktionernas laglighet och korrekthet och utformar granskningsåtgärder som är ändamålsenliga med hänsyn till omständigheterna. Revisionen inbegriper också en utvärdering av redovisningsprincipernas ändamålsenlighet, rimligheten i uppskattningarna i redovisningen och den övergripande presentationen i räkenskaperna.

7.	Revisionsrätten anser att den har inhämtat tillräckliga och ändamålsenliga revisionsbevis till stöd för sin revisionsförklaring.

Uttalande om räkenskapernas tillförlitlighet

Revisionsrätten anser att byråns årsredovisning i alla väsentliga avseenden ger en rättvisande bild av byråns finansiella ställning per den 31 december 2012 och av det finansiella resultatet och kassaflödena för det budgetår som slutade detta datum i enlighet med bestämmelserna i byråns budgetförordning och de redovisningsregler som antagits av kommissionens räkenskapsförare.

Uttalande om lagligheten och korrektheten i de transaktioner som ligger till grund för räkenskaperna

9.	Revisionsrätten anser att de transaktioner som ligger till grund för årsredovisningen för det budgetår som slutade den 31 december 2012 i alla väsentliga avseenden är lagliga och korrekta.

10.	Kommentarerna nedan påverkar inte revisionsrättens uttalanden.

KOMMENTARER OM INTERNKONTROLLER

11.	I byråns budgetförordning och de tillhörande genomförandebestämmelserna föreskrivs att en fysisk inventering av anläggningstillgångar ska göras minst vart tredje år men byrån har inte gjort någon heltäckande fysisk inventering sedan 2009.

UPPFÖLJNING AV FÖRRA ÅRETS IAKTTAGELSER

12.	En översikt över de korrigerande åtgärder som har vidtagits som en reaktion på revisionsrättens kommentarer förra året finns i bilaga I.

Denna rapport antogs av revisionsrättens avdelning IV, med ledamoten Louis GALEA som ordförande, vid dess sammanträde i Luxemburg den 15 juli 2013.

För revisionsrätten

Vítor Manuel da SILVA CALDEIRA

Ordförande

(1) Den administrativa personalen är kvar i Heraklion och den operativa personalen flyttades till Aten i mars 2013.

(2) EUT L 77, 13.3.2004, s. 1.

(3) EUT L 293, 31.10.2008, s. 1.

(4) EUT L 165, 24.6.2011, s. 3.

(5) I bilaga II ges en sammanfattning av byråns behörighet och verksamhet i informationssyfte.

(6) I årsredovisningen ingår balans- och resultaträkningen, kassaflödesanalysen, sammanställningen av förändringar i nettotillgångarna och en sammanfattning av de viktigaste redovisningsprinciperna och andra förklarande noter.

(7) Här ingår sammanställningen av resultatet av budgetgenomförandet med bilaga.

(8) EGT L 357, 31.12.2002, s. 72.

(9) De redovisningsregler som antagits av kommissionens räkenskapsförare bygger på de internationella redovisningsstandarderna för den offentliga sektorn (Ipsas) som ges ut av Internationella revisorsförbundet IFAC eller, när så är lämpligt, på de internationella redovisningsstandarderna International Accounting Standards (IAS)/International Financial Reporting Standards (IFRS) som ges ut av International Accounting Standards Board (IASB).

(10) Artikel 185.2 i rådets förordning (EG, Euratom) nr 1605/2002 (EGT L 248, 16.9.2002, s. 1).

BILAGA I

Uppföljning av förra årets iakttagelser

År	Revisionsrättens kommentar	Genomförande av korrigerande åtgärder (Har genomförts/Pågår/Har inte genomförts/e.t.)
2011	Den höga andelen överföringar strider mot principen om budgetens ettårighet.	Har genomförts
2011	Revisionsrätten konstaterade att dokumentationen av anläggningstillgångar behöver förbättras. Inköp av anläggningstillgångar bokförs per faktura och inte per tillgång. När en enda faktura gäller flera nya tillgångar finns det bara en bokföringspost för alla de inköpta tillgångarna och för det totala beloppet.	Pågår
2011	Byrån behöver öka insynen i rekryteringsförfarandena. Inga lämpliga åtgärder har vidtagits för att avhjälpa den brist på insyn som revisionsrätten rapporterade om 2010. De minimikrav som de sökande måste uppfylla för att bli kallade till intervju och frågorna till de skriftliga proven och intervjuerna samt viktningen av dem fastställdes inte innan byrån gick igenom ansökningarna. De minimikrav som de sökande måste uppfylla för att föras upp på en reservlista över godkända sökande fastställdes inte innan byrån gick igenom ansökningarna.	Har genomförts

BILAGA II

Europeiska byrån för nät- och informationssäkerhet (Heraklion)

Behörighet och verksamhet

Unionens behörighetsområde enligt fördraget

(Artikel 114 i EUF-fördraget)

Europaparlamenttjet och rådet ska i enlighet med det ordinarie lagstiftningsförfarandet och efter att ha hört Ekonomiska och sociala kommittén, besluta om åtgärder för tillnärmning av sådana bestämmelser i lagar och andra författningar i medlemsstaterna som syftar till att upprätta den inre marknaden och få den att fungera.

Unionen och medlemsstaterna har delade befogenheter när det gäller den inre marknaden (artikel 4.2 a i EUF-fördraget).

Byråns behörighet

(Europaparlamentets och rådets förordning (EG) nr 460/2004)

Mål

1.	Byrån förbättrar unionens, medlemsstaternas och näringslivets förmåga att förhindra, ta itu med och lösa problem som rör nät- och informationssäkerhet.

2.	Byrån ger stöd och råd åt kommissionen och medlemsstaterna i frågor som rör nät- och informationssäkerhet som ligger inom dess behörighetsområde.

3.	Byrån utvecklar sakkunskap på hög nivå och använder denna sakkunskap till att främja ett brett samarbete mellan aktörer från den offentliga och den privata sektorn.

4.	Byrån bistår på begäran kommissionen i det tekniska förberedelsearbetet för uppdatering och utveckling av gemenskapslagstiftningen på området nät- och informationssäkerhet.

Uppgift

a)	Samla in information om befintliga och nya risker som skulle kunna påverka elektroniska kommunikationsnät.

b)	Ge Europaparlamentet, kommissionen, europeiska organ eller behöriga nationella organ råd och stöd.

c)	Förbättra samarbetet mellan olika aktörer på området nät- och informationssäkerhet.

d)	Underlätta samarbetet i fråga om gemensamma metoder för att hantera problem som rör nät- och informationssäkerhet.

e)	Bidra till ökad medvetenhet om nät- och informationssäkerhetsfrågor för alla användare genom att bl.a. främja utbyte av aktuella bästa rutiner, bland dem metoder för att förvarna användare och söka synergieffekter mellan den offentliga och den privata sektorns initiativ.

f)	Bistå kommissionen och medlemsstaterna i deras dialog med näringslivet.

g)	Följa utvecklingen av standarder för produkter och tjänster inom nät- och informationssäkerhet.

h)	Ge kommissionen råd om forskning inom området nät- och informationssäkerhet och om användning av riskförebyggande teknik.

i)	Främja åtgärder för riskbedömning som gäller lösningar för förebyggandehantering.

j)	Bidra till samarbete med tredje land och med internationella organisationer.

k)	Självständigt ge uttryck för egna slutsatser och riktlinjer samt ge råd i frågor som faller under byråns verksamhetsområde och mål.

Organisation

Styrelse

En företrädare för varje medlemsstat, tre företrädare som utses av kommissionen och tre företrädare utan rösträtt som föreslås av kommissionen och utses av rådet och som var och en representerar en av nedanstående grupper:

a)	Näringslivet inom informations- och kommunikationsteknik.

b)	Konsumentorganisationer.

c)	Sakkunniga på nät- och informationssäkerhet från universitet och högskolor.

Ständig intressentgrupp

—	Trettio framstående sakkunniga som representerar relevanta intressenter, såsom näringslivet inom informationsteknik, konsumentorganisationer samt sakkunniga på nät- och informationssäkerhet från universitet och högskolor.

—	Medlemmarna väljs ut av den verkställande direktören efter ett öppet uttagningsförfarande. Den verkställande direktören informerar styrelsen om sitt beslut och utser de utvalda sökandena för en mandattid på 2,5 år.

Verkställande direktören

Utses av styrelsen på grundval av en lista över kandidater som kommissionen föreslår och efter att ha hörts i Europaparlamentet för en mandattid på fem år.

Extern revision

Europeiska revisionsrätten.

Intern revision

Europeiska kommissionens tjänst för internrevision.

Myndighet som beviljar ansvarsfrihet

Europaparlamentet på rådets rekommendation.

Medel till byråns förfogande under 2012 (2011)

Slutlig budget

8,2 (8,1) miljoner euro, varav bidrag från unionen 100 % (100 %)

Personalstyrka den 31 december 2012

44 (44) tjänster enligt tjänsteförteckningen, varav tillsatta: 42 (41).

Övriga tillsatta tjänster: 12 (13) kontraktsanställda, 4 (4) utstationerade nationella experter.

Personalstyrka totalt: 58 (58), varav anställda med

—	uppgifter inom verksamheten: 40 (40)

—	administrativa uppgifter: 18 (18)

Produkter och tjänster 2012 (2011)

Arbetsområde 1 (WS (1) 1): Identifiera och reagera på utvecklingen av hotmiljön

Bedömningar av nya hot är en nödvändig del av förberedelserna för kommande utmaningar. Målet för detta arbetsområde var att utarbeta ett antal uttalanden om beredskapen när det gäller it-säkerhet inom olika områden och regeringsinitiativ, särskilt avseende medlemsstater och kommissionen (t.ex. genom att identifiera nya möjligheter och risker med politiska initiativ). Detta skedde genom att byrån bedömde nya möjligheter och risker avseende områden och initiativ som är relevanta för olika intressentgrupper.

Byrån gav ut en heltäckande översiktsrapport om säkerhetshot i Europa och mer inriktade rapporter om konsumtionssynen på it, molnbaserade datortjänster och säker upphandling. Genom att analysera både möjligheter och risker kunde byrån dra slutsatser som visar på de avvägningar som institutioner och företag kommer att tvingas göra i en värld där verksamheten bedrivs i realtid. Politiska beslutsfattare och företagsledare kan med hjälp av denna metod till fullo utnyttja ny teknik och nya affärsmodeller och samtidigt behålla en hög säkerhetsnivå. Byrån har utnyttjat befintliga samarbetsöverenskommelser och stödpartner så mycket som möjligt för att nå målet för detta arbetsområde.

Antal genomförda insatser: sju.

Arbetsområde 2 (WS2): Förbättra skyddet av kritisk informationsinfrastruktur (CIIP) (2) och motståndskraften i hela Europa

Arbetet inom detta område följde nära den handlingsplan för skydd av kritisk informationsinfrastruktur som beskrivs i kommissionens meddelanden från mars 2009 och mars 2011 och var en naturlig fortsättning på det arbete som utfördes inom arbetsprogrammen för 2010 och 2011. Insatserna stöttade direkt mål som fastställts i strategin för inre säkerhet i Europeiska unionen och i den digitala agendan.

Huvudmålet för arbetsområde 2 var att hjälpa medlemsstaterna att införa säkra och motståndskraftiga IKT-system och höja nivån på skyddet av kritisk informationsinfrastruktur och tjänster i Europa. Byråns insatser gällde bland annat följande:

—	Att hjälpa berörda intressenter att öka sin effektivitet och ändamålsenlighet.

—	Att ge stöd till och främja åtgärder på alleuropeisk nivå.

—	Att kartlägga och ta itu med informationssäkerhetsutmaningar som gäller skydd av kritisk informationsinfrastruktur.

—	Att stödja och främja ett europeiskt offentligt-privat partnerskap för motståndskraft.

—	Att kartlägga och ta itu med problem med informationssäkerhet som gäller IKT och sammankopplade nät.

—	Att stödja EU:s och Förenta staternas arbetsgrupp för it-säkerhet och it-brottslighet som inrättades vid toppmötet mellan EU och Förenta staterna i november 2010.

Av dessa insatser är åtgärderna för it-säkerhet på alleuropeisk nivå av särskilt intresse. Den andra insatsen av denna typ genomfördes den 4 oktober 2012 och 339 organisationer från hela EU deltog.

Antal genomförda insatser: tretton.

Arbetsområde 3 (WS3): Stöd till Cert (organisation för incidenthantering) och andra operativa organisationer

De arbetspaket som beskrivs under denna rubrik är också nära kopplad till CIIP-handlingsplanen som beskrivs i kommissionens meddelande från mars 2009, även om verksamheten inom detta arbetsområde är nära kopplade till stödet till och utvecklingen av Cert-nätverket.

När det gäller incidenthanteringsorganisationen Cert är byråns mål att stödja EU-medlemsstaterna och se till att deras respektive nationella/statliga incidenthanteringsorganisationer fungerar som nyckelaktörer i de nationella organisationerna för beredskap, informationsdelning, hållbar samordning och respons. Detta sker genom att byrån tillsammans de berörda aktörerna identifierar baskrav för nationella/statliga incidenthanteringsorganisationer och ger dem vad som krävs för att baskraven ska uppfyllas. Målen för detta arbetsområde är följande:

—	Att förbättra medlemsstaternas operativa förmåga genom att hjälpa Cert-organisationen att bli effektivare och arbeta mer ändamålsenligt.

—	Att stödja och förstärka samarbetet mellan incidenthanteringsorganisationer och med andra organisationer.

Som en del av arbetet inom detta arbetsområde undersökte byrån hinder i form av lagstiftning och förfaranden som incidenthanteringsorganisationer från Europa stöter på när de ska samarbeta och utbyta information med sina motparter från tredjeländer och gav rekommendationer om hur samarbetet kan förbättras.

Antal genomförda insatser: tio.

Arbetsområde 4 (WS4): Säkra den digitala ekonomin

Inom detta arbetsområde försöker byrån identifiera åtgärder som ska göra det möjligt för EU att korrekt införa och sprida nya driftskompatibla tjänster samtidigt som individens grundläggande rättigheter respekteras och säkra och tillförlitliga lösningar används.

Organisationer i offentlig och privat sektor kunde använda detta arbete för att förbättra sitt säkerhetsarbete och samtidigt utarbeta solida förfaranden för hantering av personuppgifter som följer den nya föreslagna lagstiftningen om skydd av personuppgifter.

Inom detta arbetsområde gavs även stöd till den europeiska månaden för nätverks- och informationssäkerhet för alla.

Antal genomförda insatser: åtta.

Källa: Uppgifter från byrån.

(1)

WS:

Work stream.

(2)

CIIP:

Critical Information Infrastructure Protection.

Källa: Uppgifter från byrån.

BYRÅNS SVAR

11.

Enisa satte i gång inventeringen i slutet av april 2013, både vid kontoret i Heraklion och kontoret i Aten. Det här är den första inventeringen som Enisa gör, och den sker med hjälp av det särskilda elektroniska verktyget ABAC Assets med dess olika funktioner (märkning, skanning, uppladdning av skannade objekt, framtagning av rapporter m.m.). Räkenskapsföraren kommer att behandla resultaten av inventeringen, och de slutliga posterna i bokföringen för skillnaderna mellan räkenskaperna och den fysiska inventeringen kommer att vara införda till den 31 juli 2013.

Byrån kommer att genomföra och dokumentera inventeringen på årsbasis för att se till att tillgångarnas värde tas upp korrekt i årsredovisningen.

Top