23.3.2005   

SV

Europeiska unionens officiella tidning

L 77/6

KOMMISSIONENS FÖRORDNING (EG) nr 465/2005

av den 22 mars 2005

om ändring av förordning (EG) nr 1663/95 om tillämpningsföreskrifter för rådets förordning (EEG) nr 729/70 i fråga om förfarandet vid avslutande av räkenskaperna för garantisektionen vid Europeiska utvecklings- och garantifonden för jordbruket (EUGFJ)

EUROPEISKA GEMENSKAPERNAS KOMMISSION HAR ANTAGIT DENNA FÖRORDNING

med beaktande av Fördraget om upprättandet av Europeiska gemenskapen,

med beaktande av rådets förordning (EG) nr 1258/1999 av den 17 maj 1999 om finansiering av den gemensamma jordbrukspolitiken (1), särskilt artikel 4.8 i denna, och

av följande skäl:

(1)

Kommissionens förordning (EG) nr 1663/95 (2) innehåller i synnerhet riktlinjer för ackreditering av medlemsstaternas utbetalningsställen.

(2)

Ansvaret för att kontrollera utgifterna vid garantisektionen vid Europeiska utvecklings- och garantifonden för jordbruket (EUGFJ) åligger i första hand medlemsstaterna. Vid dessa kontroller måste medlemsstaterna se till att utbetalningsställenas informationssystem håller en hög säkerhetsnivå. För att uppnå det målet bör system som kan garantera informationssystemens säkerhet vara tagna i drift när ett utbetalningsställe ackrediteras för första gången och även framdeles.

(3)

Under avslutandet av räkenskaperna kan kommissionen fastställa de totala kostnader som skall bokföras på garantisektionen i det allmänna kontot endast om det finns tillräckliga garantier för att de nationella kontrollerna har skett på ett tillfredsställande och öppet sätt, inbegripet kontroller av säkerheten hos utbetalningsställenas informationssystem. Ett säkerhetsutlåtande skall därför utarbetas av de attesterande organ inom ramen för godkännandet av årsredovisningarna med internationellt godkända säkerhetsnormer som underlag.

(4)

Medlemsstaterna bör få en rimlig tidsperiod på sig för att anpassa regler och förfaranden för att utarbeta ett säkerhetsutlåtande för utbetalningsställenas informationssystem.

(5)

Utbetalningsställena bör ges möjlighet att skicka räkenskaper och samtliga tillhörande dokument till kommissionen i elektroniskt format för att underlätta ytterligare analyser av informationen.

(6)

Metoden att anförtro förvaltningen av informationssystem till tredje part blir allt vanligare och utbetalningsställen bör tillåtas att anförtro förvaltningen åt tredje part på samma villkor som gäller för dem som anförtrotts godkännandefunktionerna och/eller den tekniska förvaltningen.

(7)

Förordning (EG) nr 1663/95 bör därför ändras.

(8)

De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från EUGFJ-kommittén.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Förordning (EG) nr 1663/95 ändras på följande sätt:

1.

Artikel 1 skall ändras på följande sätt:

a)

I punkt 3 andra stycket andra meningen har den engelska versionen ändrats från ”the security of computer systems” till ”the security of information systems”. Detta föranleder ingen ändring i den svenska versionen.

b)

I punkt 7 första stycket skall följande strecksats läggas till:

”—

bestämmelser om säkerheten hos informationssystem”.

2.

I artikel 3.1 skall följande stycken läggas till:

”Från och med räkenskapsåret 2008 skall det attesterande organet, före det datum som anges i tredje stycket, presentera en redovisning av de åtgärder för säkerheten hos informationssystemen som vidtagits av utbetalningsstället. Redovisningen skall baseras på en version som är tillämplig under det berörda räkenskapsåret av de internationellt godkända säkerhetsstandarder som anges i punkt 6 vi i bilagan till den här förordningen, och som utgör underlag för säkerhetsåtgärderna. Redovisningen skall också innehålla uppgifter om huruvida effektivare säkerhetsåtgärder hade införts för det berörda räkenskapsåret.

För de redovisningsår som föregår det redovisningsår som omfattas av första redovisningen av utbetalningsställets säkerhetssystem, skall det attesterande organet i rapporten om iakttagelser lämna kommentarer och preliminära slutsatser, med hjälp av ett poängsystem, om hur väl utbetalningsställets system för informationssäkerhet fungerar. Rapporten skall baseras på en version som är tillämplig under det berörda räkenskapsåret av de internationellt godkända säkerhetsstandarder som anges i punkt 6 vi i bilagan till den här förordningen, och som utgör underlag för säkerhetsåtgärderna. Redovisningen skall också innehålla uppgifter om huruvida effektivare säkerhetsåtgärder hade införts för det berörda räkenskapsåret.”

3.

Artikel 4.2 skall ersättas med följande:

”2.   De handlingar som avses i punkt 1 skall sändas till kommissionen senast den 10 februari året efter räkenskapsåret i fråga. De dokument som anges i punkterna a och b i punkt 1 skall skickas i ett exemplar tillsammans med en elektronisk kopia.”

4.

Bilagan skall ändras i enlighet med bilagan till denna förordning.

Artikel 2

Denna förordning träder i kraft den sjunde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den skall tillämpas första gången för det redovisningsår som inleds den 16 oktober 2004.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 22 mars 2005.

På kommissionens vägnar

Mariann FISCHER BOEL

Ledamot av kommissionen

(1)  EGT L 160, 26.6.1999, s. 103.

(2)  EGT L 158, 8.7.1995, s. 6. Förordningen senast ändrad genom förordning (EG) nr 2025/2001 (EGT L 274, 17.10.2001, s. 3).

BILAGA

Bilagan till förordning (EG) nr 1663/95 skall ändras på följande sätt:

1)

Punkt 2 iii skall ersättas med följande:

”iii)

Redovisning av utbetalningar: Syftet med denna funktion är bokföringen av utbetalningen i utbetalningsställets särskilda räkenskaper för EUGFJ-utgifter, vilket normalt skall ske i form av ett informationssystem, samt periodiska sammanställningar av utgifter, inklusive de månatliga och årliga redogörelserna till kommissionen. I räkenskaperna skall också tas upp tillgångar som finansieras av fonden, i synnerhet rörande interventionslager, icke avräknade förskott och gäldenärer.”

2)

I inledningen till punkt 4 skall ”och/eller den tekniska servicefunktionen” ersättas med ”, den tekniska servicefunktionen och/eller hanteringen av informationssystem”.

3)

Punkt 6 vi skall ersättas med följande:

”vi)

Säkerheten hos informationssystem skall baseras på de kriterier som fastställts i en version som är tillämplig under det berörda räkenskapsåret av någon av följande internationellt godkända standarder:

International Standards Organisation 17799/British Standard 7799: Code of practice for Information Security Management (BS ISO/IEC 17799).

Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch/handbok för grundläggande IT-skydd (BSI).

Information Systems Audit and Control Foundation: Control Objectives for Information and related Technology (kontrollmål för informationsteknik, COBIT).

Utbetalningsstället skall välja en av de internationella standarder som det hänvisas till i första stycket som underlag för säkerheten hos informationssystemet.

Säkerhetsåtgärderna skall anpassas till det enskilda utbetalningsställets administrativa struktur, personalresurser och tekniska miljö. De ekonomiska och tekniska insatserna skall stå i rimlig proportion till de faktiska riskerna.”