ROZPORZĄDZENIE (WE) NR 460/2004 PARLAMENTU EUROPEJSKIEGO I RADY
z dnia 10 marca 2004 r.
ustanawiające Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji
(DUUEL. z 2008 r., Nr 293, poz. 1;ostatnia zmiana: DUUEL. z 2011 r., Nr 165, poz. 3)
(tekst mający znaczenie dla EOG)
PARLAMENT EUROPEJSKI ORAZ RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat Ustanawiający Wspólnotę Europejską, w szczególności jego art. 95,
uwzględniając wniosek Komisji,
uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego(1),
po konsultacji z Komitetem Regionów,
stanowiąc zgodnie z procedurą określoną w art. 251 Traktatu(2),
a także mając na uwadze, co następuje:
(1) Sieci łączności oraz systemy informacyjne stały się istotnym czynnikiem rozwoju gospodarczego i społecznego. Technika komputerowa i sieci są obecne wszędzie w takim stopniu, jak elektryczność lub wodociągi. Bezpieczeństwo sieci łączności i systemów informacyjnych, szczególnie w zakresie ich dostępności, staje się przedmiotem troski społeczeństwa, nie z powodu potencjalnych problemów w kluczowych systemach informacyjnych, ale z uwagi na złożoność systemu, awarie, pomyłki oraz ataki, które mogą wpływać na infrastrukturę fizyczną zapewniającą dostępność usług, mających znaczenie krytyczne dla dobra obywateli Unii Europejskiej.
(2) Rosnąca ilość przypadków naruszenia bezpieczeństwa spowodowała znaczące straty finansowe, osłabiła zaufanie użytkowników oraz przyniosła szkody rozwojowi handlu elektronicznego. Z tego względu osoby prywatne, administracje publiczne oraz przedsiębiorstwa wprowadziły technologie bezpieczeństwa i procedury zarządzania bezpieczeństwem. Państwa Członkowskie podjęły szereg działań wspierających, takich jak kampanie informacyjne i projekty badawcze, mających na celu zwiększenie bezpieczeństwa sieci i informacji w społeczeństwie.
(3) Złożoność techniczna sieci i systemów informacyjnych, różnorodność połączonych ze sobą produktów i usług oraz duża ilość osób prywatnych i instytucji publicznych ponoszących własne ryzyko naruszające płynne funkcjonowanie rynku wewnętrznego.
(4) Dyrektywa 2002/21/WE Parlamentu Europejskiego i Rady, z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa)(3) ustanawia zadania krajowych organów regulacyjnych, które obejmują przejrzystą współpracę powyższych organów ze sobą i z Komisją, w celu zapewnienia rozwoju spójnej praktyki regulacyjnej; przyczyniając się do osiągnięcia wysokiego poziomu ochrony danych osobowych i prywatności; a także gwarantując integralność i bezpieczeństwo publicznych sieci łączności.
(5) Aktualne ustawodawstwo Wspólnoty obejmuje również dyrektywy: 2002/20/WE(4), 2002/22/WE(5), 2002/19/WE(6), 2002/58/WE(7), 1999/93/WE(8), 2000/31/WE(9), oraz rezolucję Rady z dnia 18 lutego 2003 r. w sprawie realizacji planu działań „eEurope 2005”(10).
(6) Dyrektywa 2002/20/WE upoważnia Państwa Członkowskie do dołączania do pozwoleń warunków ogólnych, dotyczących zabezpieczenia sieci publicznych przeciwko nieupoważnionemu dostępowi, zgodnie z dyrektywą 97/66/WE(11).
(7) Dyrektywa 2002/22/WE wymaga, aby Państwa Członkowskie podjęły niezbędne kroki w celu zapewnienia integralności i dostępności publicznych sieci telefonicznych w stałych lokalizacjach, przy czym w przypadku świadczenia takich usług, należy podjąć wszystkie rozsądne działania mające na celu zagwarantowanie ciągłości dostępu do służb ratunkowych.
(8) Dyrektywa 2002/58/WE wymaga od dostawcy publicznie dostępnych usług łączności elektronicznej podjęcia właściwych kroków technicznych i organizacyjnych, w celu ochrony usług oraz zapewnienia poufności łączności i przesyłanych danych. Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(12) – wymaga od Państw Członkowskich wdrożenia przez kontrolera właściwych środków technicznych i organizacyjnych, w celu ochrony danych osobowych przed ich przypadkowym lub nielegalnym zniszczeniem, utratą, zmianą, nielegalnym ujawnieniem lub dostępem do nich (szczególnie podczas przetwarzania obejmującego przesyłanie danych między sieciami), a także innymi niedozwolonymi formami przetwarzania.
(9) Dyrektywy 2002/21/WE oraz 1999/93/WE zawierają przepisy dotyczące norm, które mają być opublikowane w Dzienniku Urzędowym Unii Europejskiej. Państwa Członkowskie stosują również normy ustanowione przez organa międzynarodowe oraz (de facto) normy opracowane przez przemysł światowy. Komisja i Państwa Członkowskie powinny mieć możliwość śledzenia norm spełniających wymagania prawodawstwa Wspólnotowego.
(10) Środki rynku wewnętrznego wymagają od Państw Członkowskich i Komisji stosowania różnych metod technicznych i organizacyjnych. Istnieją zadania, złożone pod względem technicznym, dla których nie ma wielu pojedynczych i oczywistych rozwiązań. Niejednolite stosowanie tych wymagań może prowadzić do powstawania nieskutecznych rozwiązań i tworzyć przeszkody na rynku wewnętrznym. Wymaga to utworzenia centrum ekspertyz na poziomie europejskim, oferującego na żądanie doradztwo, pomoc w zakresie swoich celów i opierającego się na Parlamencie Europejskim, Komisji lub właściwych organach wyznaczonych przez Państwa Członkowskie. Państwa Członkowskie mogą uznać za organ właściwy Krajowe Organa Regulacyjne, ustanowione na podstawie dyrektywy 2002/21/WE.
(11) Ustanowienie agencji europejskiej, to znaczy: Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji, zwanej dalej „Agencją”, działającej jako punkt odniesienia i zapewniającej: poufność (z racji jej niezależności), jakość oferowanego doradztwa i dostarczanych informacji, przejrzystość procedur i metod działania, a także dbałość w wykonywaniu powierzonych zadań – stanowi odpowiedź na potrzeby wymienione powyżej. Agencja powinna powstać w oparciu o wysiłki Wspólnoty i poszczególnych państw; wykonywać swoje zadania przy pełnej współpracy z Państwami Członkowskimi, a także musi być otwarta na kontakty z przemysłem i innymi właściwymi udziałowcami. Ponieważ sieci elektroniczne stanowią w dużym stopniu własnością prywatną, Agencja powinna bazować na danych wejściowych pochodzących z sektora prywatnego oraz na współpracy z tym sektorem.
(12) Wykonywanie zadań Agencji nie powinno kolidować z kompetencjami oraz nie powinno wyprzedzać, hamować, ani nakładać się na właściwe uprawnienia i zadania przyznane:
– krajowym organom regulacyjnym, ustanowionym w dyrektywach dotyczących sieci i usług łączności elektronicznej, a także Europejskiej Grupie Regulacyjnej ds. Sieci i Usług Łączności Elektronicznej, ustanowionej decyzją Komisji 2002/627/WE(13) oraz Komitetowi ds. Łączności, wspomnianemu w dyrektywie 2002/21/WE,
– europejskim i krajowym organom normalizacyjnym oraz Komitetowi Stałemu określonemu w dyrektywie 98/34/WE Parlamentu Europejskiego i Rady, z dnia 22 czerwca 1998 r. ustanawiającej procedurę dostarczania informacji w zakresie norm i przepisów technicznych, a także zasad dotyczących usług świadczonych na rzecz społeczeństwa informacyjnego(14),
– organom nadzorczym Państw Członkowskich, w odniesieniu do ochrony osób, w kwestii przetwarzania danych osobowych i swobodnego przepływu tych danych.
(13) Aby lepiej zrozumieć wyzwania w dziedzinie bezpieczeństwa sieci i informacji, Agencja musi przeanalizować ryzyko bieżące oraz powstające i w tym celu może zbierać właściwe informacje, szczególnie przy pomocy kwestionariuszy, bez nakładania na Państwa Członkowskie lub sektor prywatny nowych obowiązków w zakresie generowania danych. Ryzyko powstające należy rozumieć jako zagadnienia, które już są odbierane jako potencjalne, przyszłe zagrożenia dla bezpieczeństwa sieci i informacji.
(14) Zapewnienie poufności sieci i systemów informacyjnych wymaga, aby osoby prywatne, przedsiębiorstwa i administracje publiczne były w dostatecznym stopniu poinformowane i przeszkolone w dziedzinie bezpieczeństwa sieci i informacji. Organa publiczne odgrywają istotną rolę w zwiększaniu poziomu świadomości poprzez informowanie społeczeństwa, małych i średnich przedsiębiorstw, korporacji, administracji publicznej, szkół i uniwersytetów. Działania te należy dalej rozwijać. Zwiększona wymiana informacji między Państwami Członkowskimi pomoże w realizowaniu działań tego typu. Agencja powinna zapewnić doradztwo w zakresie najlepszych praktyk dotyczących podnoszenia świadomości, szkoleń i kursów.
(15) Agencja powinna przyczyniać się do uzyskania wysokiego poziomu bezpieczeństwa sieci i informacji we Wspólnocie i rozwijania kultury bezpieczeństwa sieci i informacji w odniesieniu do obywateli, klientów, przedsiębiorstw oraz organizacji z sektora publicznego Unii Europejskiej – i tym samym wspierania płynnego działania rynku wewnętrznego.
(16) Skuteczna polityka bezpieczeństwa powinna opierać się na dobrze opracowanych metodach oceny ryzyka, zarówno w sektorze publicznym, jak i prywatnym. Metody i procedury oceny ryzyka używane są na różnych poziomach, bez wspólnej praktyki dotyczącej ich skutecznego stosowania. Promowanie i rozwój najlepszych praktyk w dziedzinie oceny ryzyka oraz współdziałających ze sobą rozwiązań z zakresu zarządzania ryzykiem w sektorze publicznym i prywatnym, zwiększa poziom bezpieczeństwa sieci i systemów informacyjnych w Europie.
(17) Praca Agencji powinna opierać się na stałych badaniach, rozwoju i czynnościach mających na celu ocenę technologiczną, w szczególności tych spośród nich, które wykonywane są z inicjatywy Wspólnoty.
(18) W stosownych przypadkach, przydatnych z punktu widzenia zakresu, celów i zadań Agencji, powinna ona dzielić się doświadczeniami i informacjami ogólnymi z organami i agencjami zajmującymi się bezpieczeństwem sieci i informacji, utworzonymi na mocy prawa Unii Europejskiej.
(19) Problemy bezpieczeństwa sieci i informacji mają charakter globalny. Istnieje potrzeba bliższej współpracy na poziomie światowym, w celu poprawienia norm bezpieczeństwa i informacji oraz promowania wspólnej propozycji globalnej, dotyczącej bezpieczeństwa sieci i informacji, a tym samym rozwoju kultury bezpieczeństwa sieci i informacji. Skuteczna współpraca z państwami trzecimi oraz wspólnotą światową stała się także ważnym zadaniem na poziomie Europy. Dlatego, Agencja powinna uczestniczyć w wysiłkach Wspólnoty zmierzających do współpracy z państwami trzecimi oraz, we właściwych przypadkach, z organizacjami międzynarodowymi.
(20) W swoich działaniach, Agencja powinna zwracać uwagę na małe i średnie przedsiębiorstwa.
(21) W celu skutecznej realizacji zadań Agencji, w Zarządzie powinni znajdować się przedstawiciele Państw Członkowskich oraz Komisji, przy czym Zarząd powinien posiadać uprawnienia niezbędne do ustalania budżetu, weryfikacji wykonania budżetu, przyjmowania stosownych zasad finansowych; ustalania przejrzystych procedur pracy w zakresie podejmowania decyzji, zatwierdzania programu pracy Agencji, przyjmowania regulaminu wewnętrznego i wewnętrznych zasad działania Agencji, a także powoływania i odwoływania Dyrektora Naczelnego. Zarząd powinien zapewnić wykonywanie zadań Agencji, na podstawie warunków umożliwiających działanie zgodnie z niniejszym rozporządzeniem.
(22) Stała Grupa Udziałowców służy do utrzymania regularnego dialogu z sektorem prywatnym, organizacjami konsumenckimi i innymi właściwymi udziałowcami. Stała Grupa Udziałowców utworzona i zarządzana przez Dyrektora Naczelnego, powinna skupiać się na zagadnieniach właściwych dla wszystkich udziałowców i kierować uwagę Dyrektora Naczelnego na powyższe zagadnienia. W stosownych wypadkach i zgodnie z terminarzem posiedzeń, Dyrektor Naczelny może zapraszać przedstawicieli Parlamentu Europejskiego i innych właściwych organów do udziału w posiedzeniach Grupy.
(23) Płynne funkcjonowanie Agencji wymaga, aby Dyrektor Naczelny powołany na podstawie zalet oraz udokumentowanych umiejętności administracyjnych i zarządczych, a także kompetencji i doświadczenia w zakresie bezpieczeństwa sieci i informacji – wykonywał swoje obowiązki w sposób całkowicie niezależny i elastyczny, analogicznie do organizacji działania wewnętrznego Agencji. W tym celu, Dyrektor Naczelny powinien opracować propozycję programu pracy Agencji, po uprzedniej konsultacji z Komisją i Stałą Grupą Udziałowców oraz podjąć wszelkie niezbędne działania, aby prawidłowo realizować powyższy program; Dyrektor Naczelny powinien również dostarczyć Zarządowi projekt rocznego raportu ogólnego, projekt zestawienia zawierającego ocenę dochodów i wydatków Agencji oraz wdrożyć budżet.
(24) Dyrektor Naczelny musi mieć możliwość powoływania doraźnych grup roboczych, szczególnie w odniesieniu do zagadnień naukowych i technicznych. Podczas powoływania grup roboczych, Dyrektor Naczelny powinien korzystać z danych sektora prywatnego i zlecać wykonywanie stosownych ekspertyz dotyczących tego sektora. Doraźne grupy robocze zapewniają Agencji dostęp do najbardziej aktualnych informacji, w celu umożliwienia reagowania na wyzwania stwarzane przez rozwijające się społeczeństwo informacyjne. Agencja powinna zapewnić, że powołane doraźnie grupy robocze są kompetentne oraz reprezentatywne i składają się (odnośnie specyficznych zagadnień) z przedstawicieli: administracji publicznej Państw Członkowskich, sektora prywatnego (w tym, przemysłu), użytkowników oraz ekspertów akademickich z dziedziny bezpieczeństwa sieci i informacji. Agencja może, jeśli jest to konieczne, dodać do grupy ekspertów niezależnych, uznawanych za kompetentnych w rozpatrywanym obszarze. Eksperci uczestniczący w pracach doraźnych grup roboczych organizowanych przez Agencję, nie powinni należeć do personelu Agencji. Agencja powinna pokryć ich wydatki, zgodnie z zasadami wewnętrznymi oraz istniejącymi rozporządzeniami finansowymi.
(25) Agencja powinna stosować właściwe ustawodawstwo Wspólnotowe, dotyczące publicznego dostępu do dokumentów, zgodnie z rozporządzeniem (WE) nr 1049/2001(15) Parlamentu Europejskiego i Rady oraz ochrony osób, w odniesieniu do przetwarzania danych osobowych, zgodnie z rozporządzeniem (WE) nr 45/2001(16) Parlamentu Europejskiego i Rady.
(26) W granicach zakresu, celów i wykonywania zadań, Agencja powinna działać zgodnie z przepisami właściwymi dla instytucji Wspólnoty oraz ustawodawstwem krajowym, w zakresie traktowania dokumentów sensytywnych.
(27) W celu zapewnienia pełnej autonomii i niezależności, Agencja powinna posiadać ustalony budżet autonomiczny, którego dochody pochodzą zasadniczo z wkładu Wspólnoty. Dopóki rozpatrywane są subwencje przedmiotowe w budżecie ogólnym Unii Europejskiej, ma zastosowanie procedura budżetowa Wspólnoty. Ponadto, Trybunał Obrachunkowy powinien rozpocząć kontrole rachunków.
(28) W uzasadnionych przypadkach i na podstawie zawartych porozumień, Agencja może mieć dostęp do usług z zakresu tłumaczeń, oferowanych przez Dyrekcję Generalną ds. Tłumaczeń (DGI) działającą w ramach Komisji lub przez inne instytucje Wspólnoty.
(29) Agencja powinna być ustanowiona wstępnie na okres ograniczony, przy czym należy oceniać jej działania, w celu ustalenia, czy okres ten powinien być przedłużony,
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
SEKCJA 1
ZAKRES, CELE I ZADANIA
Artykuł 1
Zakres
1. W celu zapewnienia wysokiego i skutecznego poziomu bezpieczeństwa sieci i informacji we Wspólnocie oraz rozwijania kultury bezpieczeństwa sieci i informacji na rzecz: obywateli, konsumentów, przedsiębiorstw oraz organizacji sektora publicznego Unii Europejskiej, a zatem, zapewnienia płynnego funkcjonowania rynku wewnętrznego – ustanawia się Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji, zwaną dalej „Agencją”.
2. Agencja wspiera Komisję i Państwa Członkowskie, tym samym współpracuje ze wspólnotą biznesową, pomagając jej w spełnieniu wymagań z zakresu bezpieczeństwa sieci i informacji – w konsekwencji, zapewniając płynne działanie rynku wewnętrznego, z uwzględnieniem wymagań ustanowionych w obecnym i przyszłym ustawodawstwie Wspólnoty, takim jak dyrektywa 2002/21/WE.
3. Cele i zadania Agencji dotyczą (bez uszczerbku dla kompetencji Państw Członkowskich) działań z dziedziny bezpieczeństwa sieci i informacji, które nie należą do zakresu Traktatu WE, takich jak: działania objęte tytułami V i VI Traktatu o Unii Europejskiej; oraz wszystkich działań związanych z bezpieczeństwem publicznym, obroną, bezpieczeństwem państwa, w tym dobrem państwa, w odniesieniu do zagadnień z zakresu bezpieczeństwa, a także działań państwa w obszarze prawa karnego.
Artykuł 2
Cele
1. Agencja rozszerza możliwości Wspólnoty, Państw Członkowskich oraz tym samym sektora biznesu, w zakresie ochrony, określania i reagowania na problemy dotyczące bezpieczeństwa sieci i informacji.
2. Agencja oferuje Komisji i Państwom Członkowskim pomoc i doradztwo w dziedzinie bezpieczeństwa sieci i informacji, w ramach swoich kompetencji ustanowionych niniejszym rozporządzeniem.
3. W oparciu o działania krajowe i Wspólnoty, Agencja opracowuje ekspertyzy o wysokim poziomie szczegółowości i stosuje te ekspertyzy do stymulowania szerokiej współpracy między instytucjami sektora publicznego i prywatnego.
4. Agencja wspiera Komisję (na żądanie) w technicznych pracach przygotowawczych dotyczących aktualizacji i rozwoju ustawodawstwa Wspólnoty, w dziedzinie bezpieczeństwa sieci i informacji.
Artykuł 3
Zadania
W celu zapewnienia zgodności zakresu i celów ustanowionych w art. 1 i 2, Agencja wykonuje następujące zadania:
a) zbieranie stosownych informacji w celu przeanalizowania ryzyka bieżącego i powstającego (szczególnie w Europie), które może wpływać na dostępność i elastyczność sieci łączności elektronicznej oraz autentyczność, integralność i poufność informacji udostępnianych i przesyłanych poprzez sieci – a także dostarczanie wyników analiz Państwom Członkowskim i Komisji;
b) doradzanie Parlamentowi Europejskiemu, Komisji, organom europejskim lub właściwym organom krajowym wyznaczonym przez Państwa Członkowskie oraz oferowanie na żądanie pomocy w ramach celów Agencji;
c) rozszerzanie współpracy pomiędzy różnymi instytucjami działającymi w obszarze bezpieczeństwa sieci i informacji, między innymi poprzez organizowanie regularnych konsultacji z przemysłem, uniwersytetami i innymi stosownymi sektorami oraz tworzenie sieci kontaktów dla organów Wspólnoty, organów sektora publicznego wyznaczonych przez Państwa Członkowskie, sektora prywatnego oraz organów konsumenckich;
d) ułatwianie współpracy Komisji z Państwami Członkowskimi w zakresie rozwoju wspólnych metodologii, w celu ochrony, określania i reagowania na problemy dotyczące bezpieczeństwa sieci i informacji;
e) przyczynianie się do wzrostu świadomości i dostępności aktualnych, celowych i wszechstronnych informacji na temat bezpieczeństwa sieci i informacji w stosunku do wszystkich użytkowników, między innymi poprzez promowanie wymiany najlepszych bieżących praktyk, w tym metod ostrzegania użytkowników oraz poszukiwanie współdziałania między inicjatywami w sektorze publicznym i prywatnym;
f) wspieranie Komisji i Państw Członkowskich w ich dialogu z przemysłem, w celu określania problemów dotyczących bezpieczeństwa sprzętu i oprogramowania;
g) śledzenie rozwoju norm w zakresie produktów i usług odnośnie bezpieczeństwa sieci i informacji;
h) doradzanie Komisji w obszarze badań bezpieczeństwa sieci i informacji oraz skuteczne stosowanie technologii zapobiegających powstawaniu ryzyka;
i) promowanie działań z zakresu oceny ryzyka, współdziałających ze sobą rozwiązań z tej dziedziny oraz badania tego typu rozwiązań, stosowanych w organizacjach sektora publicznego i prywatnego;
j) uczestniczenie w wysiłkach Wspólnoty zmierzających do współpracy w krajami trzecimi i, w stosownych przypadkach, z organizacjami międzynarodowymi, w celu promowania wspólnej, globalnej propozycji dotyczącej bezpieczeństwa sieci i informacji – i tym samym, przyczynianie się do rozwoju kultury bezpieczeństwa sieci i informacji;
k) wyrażanie w sposób niezależny własnych wniosków, orientacji i doradzanie w sprawach zgodnych z zakresem i celami Agencji.
Artykuł 4
Definicje
Dla celów niniejszego rozporządzenia, stosuje się następujące definicje:
a) „sieć”, oznacza systemy transmisji oraz (gdzie ma to zastosowanie) sprzęt przełączający lub trasujący, a także inne zasoby pozwalające na przesyłanie sygnałów za pomocą środków kablowych, radiowych, optycznych, elektromagnetycznych, w tym poprzez sieci satelitarne, sieci stałe (z komutacją obwodów lub pakietów, w tym Internet), ruchome sieci ziemskie, systemy oparte na sieci elektrycznej, jeżeli są one używane do przesyłania sygnałów; sieci stosowane do transmisji radiowych i telewizyjnych, telewizyjne sieci kablowe – niezależnie od rodzaju przesyłanych informacji;
b) „system informacyjny”, oznacza komputery i sieci łączności elektronicznej, a także dane przechowywane, przetwarzane, odzyskiwane lub przesyłane poprzez te systemy, do celów ich eksploatacji, używania, ochrony i utrzymania;
c) „bezpieczeństwo sieci i informacji”, jest to odporność sieci lub systemu informacyjnego (na danym poziomie poufności) na zdarzenia przypadkowe lub działania nielegalne albo podstępne, naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych oraz związanych z nimi usług oferowanych lub dostępnych poprzez te sieci i systemy;
d) „dostępność”, oznacza, że dane są dostępne, a usługi w pełni działają;
e) „uwierzytelnienie”, jest to potwierdzenie tożsamości podmiotów lub użytkowników;
f) „integralność danych”, oznacza potwierdzenie, że przesłane, otrzymane lub przechowywane dane są kompletne i w stanie nie zmienionym;
g) „poufność danych”, oznacza ochronę łączności lub przechowywanych danych przeciwko ich przechwyceniu i przeczytaniu przez osoby nieupoważnione;
h) „ryzyko”, jest to funkcja prawdopodobieństwa wpływu podatności systemu na uszkodzenia, na: identyfikację lub dostępność, autentyczność, integralność lub poufność przetwarzanych lub przesyłanych danych oraz znaczenie tego wpływu, wynikającego z zamierzonego lub niezamierzonego wykorzystania takiej podatności na uszkodzenia;
i) „ocena ryzyka”, oznacza naukowy proces technologiczny, składający się z czterech etapów: identyfikacji zagrożenia, charakteryzacji zagrożenia, oceny zagrożenia oraz charakteryzacji ryzyka;
j) „zarządzanie ryzykiem”, jest to proces odmienny od oceny ryzyka, polegający na stosowaniu ważonych alternatyw strategii (w porozumieniu z zainteresowanymi stronami), uwzględniających ocenę ryzyka oraz inne uzasadnione czynniki, a także (jeśli jest taka potrzeba) wybieraniu właściwej ochrony i opcji kontrolnych;
k) „kultura bezpieczeństwa sieci i informacji”, znaczenie tego zwrotu zostało ustanowione w wytycznych OECD w zakresie bezpieczeństwa systemów informacyjnych i sieci, z dnia 25 lipca 2002 r., oraz rezolucji Rady z dnia 18 lutego 2003 r., w sprawie propozycji europejskiej dotyczącej kultury bezpieczeństwa sieci i informacji(17).
SEKCJA 2
ORGANIZACJA
Artykuł 5
Organy Agencji
Agencja składa się z:
a) Zarządu;
b) Dyrektora Naczelnego; oraz
c) Stałej Grupy Udziałowców.
Artykuł 6
Zarząd
1. Zarząd składa się z jednego przedstawiciela każdego z Państw Członkowskich, trzech przedstawicieli wyznaczonych przez Komisję oraz trzech przedstawicieli bez prawa głosowania, zaproponowanych przez Komisję i wyznaczonych przez Radę, przy czym każdy z nich reprezentuje jedną z poniższych grup:
a) przemysł technologii informacyjnych i łączności;
b) grupy konsumenckie;
c) ekspertów akademickich w zakresie bezpieczeństwa sieci i informacji.
2. Członkowie Zarządu są wyznaczani na podstawie doświadczenia i wiedzy specjalistycznej w dziedzinie bezpieczeństwa sieci i informacji. Przedstawiciele mogą być zastępowani przez inne osoby, wyznaczone w tym samym czasie.
3. Zarząd wybiera spośród swoich członków Przewodniczącego i Zastępcę Przewodniczącego, na okres dwóch i pół roku, z możliwością przedłużenia. Zastępca Przewodniczącego zastępuje również z urzędu Przewodniczącego, który nie jest w stanie pełnić swoich obowiązków.
4. Zarząd przyjmuje regulamin wewnętrzny, na podstawie propozycji Komisji. Jeżeli nie postanowiono inaczej, Zarząd podejmuje decyzje większością głosów spośród członków posiadających prawo do głosowania.
Do przyjęcia: regulaminu wewnętrznego, wewnętrznych zasad działania Agencji, budżetu, rocznego planu pracy oraz do powołania i odwołania Dyrektora Naczelnego – wymagane są dwie trzecie wszystkich członków posiadających prawo do głosowania.
5. Posiedzenia Zarządu zwołuje Przewodniczący. Zarząd odbywa posiedzenia zwyczajne dwa razy w roku oraz posiedzenia nadzwyczajne zwoływane na wniosek Przewodniczącego lub co najmniej jednej trzeciej członków posiadających prawo do głosowania. Dyrektor Naczelny bierze udział w posiedzeniach Zarządu, bez prawa do głosowania oraz prowadzi sekretariat.
6. Zarząd przyjmuje wewnętrzne zasady działania Agencji na podstawie propozycji Komisji. Zasady te są podane do publicznej wiadomości.
7. Zarząd określa ogólną orientację działania Agencji i zapewnia funkcjonowanie Agencji zgodnie z zasadami określonymi w art. 12-14 i 23. Zarząd gwarantuje również spójność pracy Agencji z działaniami Państw Członkowskich i Wspólnoty.
8. Do 30 listopada każdego roku, Zarząd – po otrzymaniu opinii Komisji – przyjmuje program pracy Agencji na następny rok. Zarząd zapewnia spójność programu pracy z zakresem, celami i zadaniami Agencji, a także priorytetami ustawodawstwa i polityki Wspólnoty w obszarze bezpieczeństwa sieci i informacji.
9. Do 31 marca każdego roku, Zarząd przyjmuje raport ogólny z działań Agencji w roku poprzednim..
10. Po konsultacji z Komisją, Zarząd przyjmuje przepisy finansowe mające zastosowanie do Agencji. Przepisy te nie mogą być sprzeczne z rozporządzeniem Komisji (WE, Euratom) nr 2343/2002 z dnia 19 listopada 2002 r., w sprawie ramowego rozporządzenia finansowego dotyczącego organów określonych w art. 185 rozporządzenia Rady (WE, Euratom) nr 1605/2002, w sprawie rozporządzenia finansowego mającego zastosowanie do budżetu ogólnego Wspólnot Europejskich(18), chyba że takie odstępstwo jest niezbędne dla działania Agencji, a Komisja udzieliła wcześniej zezwolenia w tym zakresie.
Artykuł 7
Dyrektor Naczelny
1. Agencja jest zarządzana przez Dyrektora Naczelnego, który zachowuje niezależność podczas pełnienia swoich obowiązków.
2. Dyrektor Naczelny jest powoływany przez Zarząd, na podstawie listy kandydatów zaproponowanych przez Komisję, w wyniku konkursu otwartego ogłoszonego w Dzienniku Urzędowym Unii Europejskiej i w dowolnym innym dokumencie, wzywającym do uczestniczenia w konkursie. Dyrektor Naczelny jest powoływany w oparciu o zalety oraz udokumentowane umiejętności z zakresu administracji i zarządzania, a także kompetencję i doświadczenie w dziedzinie bezpieczeństwa sieci i informacji. Przed mianowaniem, kandydat nominowany przez Zarząd składa niezwłocznie oświadczenie przed Parlamentem Europejskim i udziela odpowiedzi na pytania zadawane przez członków tej instytucji. Parlament Europejski lub Rada mogą również w dowolnym czasie zażądać przesłuchania Dyrektora Naczelnego, w dowolnej sprawie związanej z działalnością Agencji. Dyrektor Naczelny może być odwołany ze stanowiska przez Zarząd.
3. Mandat Dyrektora Naczelnego jest uzyskiwany na okres do pięciu lat.
4. Dyrektor Naczelny jest odpowiedzialny za:
a) bieżące zarządzanie Agencją;
b) opracowywanie propozycji programów pracy Agencji, po uprzedniej konsultacji z Komisją oraz Stałą Grupą Udziałowców;
c) wdrażanie programów pracy oraz decyzji przyjętych przez Zarząd;
d) zagwarantowanie wykonywania zadań Agencji zgodnie z wymaganiami dotyczącymi oferowanych przez nią usług, szczególnie w odniesieniu do adekwatności tych usług;
e) przygotowanie projektu zestawienia zawierającego ocenę dochodów i wydatków Agencji oraz realizacji jej budżetu;
f) wszystkie sprawy dotyczące personelu;
g) nawiązywanie i utrzymywanie kontaktów z Parlamentem Europejskim, w celu zapewnienia stałego dialogu z właściwymi komitetami Parlamentu;
h) nawiązywanie i utrzymywanie kontaktów ze wspólnotą biznesową i organizacjami konsumenckimi, w celu zapewnienia stałego dialogu z właściwymi udziałowcami;
i) przewodniczenie Stałej Grupie Udziałowców.
5. Każdego roku, Dyrektor Naczelny przekazuje Zarządowi do zatwierdzenia:
a) projekt raportu ogólnego, obejmujący wszystkie działania Agencji w poprzednim roku;
b) projekt programu pracy.
6. Po przyjęciu programu pracy przez Zarząd, Dyrektor Naczelny publikuje program, a także przesyła go: Parlamentowi Europejskiemu, Radzie, Komisji oraz Państwom Członkowskim.
7. Po przyjęciu raportu ogólnego przez Zarząd, Dyrektor Naczelny publikuje raport, a także przesyła go: Parlamentowi Europejskiemu, Radzie, Komisji, Trybunałowi Obrachunkowemu, Europejskiemu Komitetowi Ekonomiczno-Społecznemu oraz Komitetowi Regionów.
8. Jeśli jest to konieczne oraz w ramach zakresu, celów i zadań Agencji, Dyrektor Naczelny może (po konsultacji ze Stałą Grupą Udziałowców), powołać doraźne grupy robocze składające się z ekspertów. Zarząd powinien być wyczerpująco poinformowany w tej kwestii. Procedury dotyczące w szczególności: składu, powoływania ekspertów przez Dyrektora Naczelnego oraz działania doraźnych grup roboczych, są określone w wewnętrznych zasadach działania Agencji.
Po powołaniu doraźnych grup roboczych, zajmują się one w szczególności zagadnieniami technicznymi i naukowymi.
Członkowie Zarządu nie mogą być członkami doraźnych grup roboczych. Przedstawiciele Komisji są uprawnieni do uczestniczenia w posiedzeniach grup.
Artykuł 8
Stała Grupa Udziałowców
1. Dyrektor Naczelny powołuje Stałą Grupę Udziałowców, składającą się z ekspertów reprezentujących właściwych udziałowców, takich jak przemysł technologii informacyjnych i łączności, grupy konsumenckie oraz ekspertów akademickich w zakresie bezpieczeństwa sieci i informacji.
2. Procedury dotyczące w szczególności ilości, składu i powoływania członków przez Dyrektora Naczelnego, a także działania grupy są określone w wewnętrznych zasadach działania Agencji i muszą być podane do wiadomości publicznej.
3. Grupie przewodniczy Dyrektor Naczelny. Mandat członków grupy wydawany jest na dwa i pół roku. Członkowie grupy nie mogą być członkami Zarządu.
4. Przedstawiciele Komisji są uprawnieni do uczestniczenia w posiedzeniach i pracach grupy.
5. Grupa może doradzać Dyrektorowi Naczelnemu w zakresie wykonywania jego obowiązków, na warunkach niniejszego rozporządzenia, poprzez opracowywanie propozycji dotyczących programu pracy Agencji oraz zapewnienie łączności z właściwymi udziałowcami we wszystkich zagadnieniach związanych z programem pracy.
SEKCJA 3
DZIAŁANIE
Artykuł 9
Program pracy
Działania Agencji opierają się na realizowaniu programu pracy, przyjętego zgodnie z art. 6 ust. 8. Pogram ten nie chroni Agencji przed podejmowaniem nieprzewidzianych działań, które nie należą do zakresu i celów, w ramach przyznanego budżetu.
Artykuł 10
Wnioski kierowane do Agencji
1. Wnioski o doradztwo i pomoc w zakresie celów i zadań Agencji, są kierowane do Dyrektora Naczelnego, wraz z informacjami uzupełniającymi, wyjaśniającymi zgłaszane zagadnienie. Dyrektor Naczelny informuje Komisję o otrzymanych wnioskach. W przypadku odrzucenia wniosku przez Agencję, decyzję tę należy uzasadnić.
2. Wnioski określone w ust. 1, mogą być zgłaszane przez:
a) Parlament Europejski;
b) Komisję;
c) jakikolwiek inny właściwy organ wyznaczony przez Państwo Członkowskie, taki jak krajowy organ regulacyjny, określony w art. 2 dyrektywy 2002/21/WE.
3. Porozumienia praktyczne w zakresie stosowania ust. 1 i 2, dotyczące w szczególności składania wniosków, ustalania priorytetów oraz informowania Zarządu o wnioskach, są ustanawiane przez Zarząd w wewnętrznych zasadach działania Agencji.
Artykuł 11
Deklaracja interesów
1. Dyrektor Naczelny oraz urzędnicy oddelegowani czasowo przez Państwa Członkowskie, składają deklaracje zobowiązań i interesów, wykazujące brak bezpośrednich lub pośrednich interesów, które mogłyby być uważane za szkodliwe dla niezależności Dyrektora i urzędników. Deklaracje te są składane w formie pisemnej.
2. Eksperci zewnętrzni uczestniczący w doraźnych grupach roboczych, zgłaszają na każdym posiedzeniu kwestie, które mogłyby być uważane za szkodliwe dla niezależności ekspertów, w odniesieniu do zagadnień przewidzianych w terminarzu.
Artykuł 12
Przejrzystość
1. Agencja zapewnia wykonywanie swoich działań w oparciu o wysoki stopień przejrzystości oraz zgodnie z art. 13 i 14.
2. Agencja gwarantuje, że instytucje publiczne i inne strony zainteresowane otrzymują wiarygodne i łatwo dostępne informacje, szczególnie w odniesieniu do wyników pracy, we właściwym przypadku. Agencja publikuje również deklaracje interesów, złożone przez Dyrektora Naczelnego i urzędników oddelegowanych czasowo przez Państwa Członkowskie oraz deklaracje interesów złożone przez ekspertów, odnośnie zagadnień ujętych w terminarzach posiedzeń doraźnych grup roboczych.
3. Zarząd, działając w oparciu o propozycję Dyrektora Naczelnego, może upoważnić zainteresowane strony do obserwowania przebiegu niektórych działań Agencji.
4. Agencja ustanawia w wewnętrznych zasadach działania porozumienia praktyczne, dotyczące wdrożenia zasad przejrzystości, określonych w ust. 1 i 2.
Artykuł 13
Poufność
1. Bez uszczerbku dla art. 14, Agencja nie ujawnia stronom trzecim przetwarzanych i otrzymywanych informacji, które muszą być traktowane jako poufne. .
2. Członkowie Zarządu, Dyrektor Naczelny, członkowie Stałej Grupy Udziałowców, eksperci zewnętrzni uczestniczący w pracach doraźnych grup roboczych oraz personel Agencji (wliczając do tego urzędników oddelegowanych czasowo przez Państwa Członkowskie) – nawet po zakończeniu pełnienia obowiązków – podlegają wymaganiom poufności, ustalonym w art. 287 Traktatu.
3. Agencja ustala w wewnętrznych zasadach działania porozumienia praktyczne, w zakresie wdrożenia zasad poufności określonych w ust. 1 i 2.
Artykuł 14
Dostęp do dokumentów
1. W przypadku dokumentów posiadanych przez Agencję, stosuje się rozporządzenie (WE) nr 1049/2001.
2. Zarząd przyjmuje porozumienie dotyczące wykonania rozporządzenia (WE) nr 1049/2001, w ciągu sześciu miesięcy od ustanowienia Agencji.
3. Decyzje przyjęte przez Agencję na mocy art. 8 rozporządzenia (WE) nr 1049/2001, mogą być przedmiotem skarg składanych do Rzecznika Praw Obywatelskich lub spraw kierowanych do Trybunału Sprawiedliwości Wspólnot Europejskich, na mocy odpowiednio art. 195 i 230 Traktatu.
SEKCJA 4
PRZEPISY FINANSOWE
Artykuł 15
Przyjęcie budżetu
1. Dochody Agencji składają się z wkładu Wspólnoty oraz innych wkładów pochodzących z krajów trzecich uczestniczących w pracach Agencji, na mocy art. 24.
2. Wydatki Agencji obejmują personel, wsparcie administracyjne i techniczne, wydatki infrastrukturalne i operacyjne oraz wydatki wynikające z umów zawartych ze stronami trzecimi.
3. Najpóźniej do 1 marca każdego roku, Dyrektor Naczelny opracowuje projekt zestawienia zawierającego ocenę dochodów i wydatków Agencji w następnym roku budżetowym oraz przesyła powyższy projekt Zarządowi, razem z projektem wykazu etatów.
4. Dochody i wydatki muszą się równoważyć.
5. Każdego roku, Zarząd opracowuje szacunkowe zestawienie dochodów i wydatków Agencji w następnym roku budżetowym, na podstawie projektu zestawienia zawierającego ocenę dochodów i wydatków, dostarczonego przez Dyrektora Naczelnego.
6. Powyższe zestawienie obejmujące projekt wykazu etatów oraz tymczasowy program pracy, Zarząd przesyła (najpóźniej do 31 marca) Komisji oraz państwom, z którymi Wspólnota zawarła umowy, na mocy art. 24.
7. Komisja przesyła zestawienie Parlamentowi Europejskiemu i Radzie (zwanymi dalej łącznie „organem budżetowym”), razem z wstępnym projektem budżetu ogólnego Unii Europejskiej.
8. Na podstawie zestawienia, Komisja wprowadza do wstępnego projektu budżetu ogólnego Unii Europejskiej dane, które uważa za niezbędne dla wykazu etatów oraz kwotę dotacji obciążającej budżet ogólny, który następnie dostarcza organowi budżetowemu, zgodnie z art. 272 Traktatu.
9. Organ budżetowy zezwala na przyznanie Agencji dotacji.
Organ budżetowy przyjmuje wykaz etatów Agencji.
10. Zarząd przyjmuje budżet Agencji. Budżet staje się budżetem ostatecznym, po ostatecznym przyjęciu budżetu ogólnego Unii Europejskiej. W stosownych przypadkach, budżet Agencji jest odpowiednio korygowany. Zarząd przesyła niezwłocznie budżet Komisji oraz organowi budżetowemu.
11. Zarząd – tak szybko, na ile to możliwe – powiadamia organ budżetowy o zamiarach wdrożenia projektu, który może spowodować znaczące implikacje finansowe w kwestii realizacji budżetu – szczególnie w przypadku projektów dotyczących takich rodzajów własności, jak dzierżawa lub zakup budynków. Zarząd powinien poinformować o tym Komisję.
Jeżeli oddział organu budżetowego ma zamiar wyrazić swoją opinię w sprawie projektu, powinien ją przesłać Zarządowi w ciągu sześciu tygodni od daty zgłoszenia projektu.
Artykuł 16
Zwalczanie nadużyć
1. W celu zwalczania nadużyć, korupcji i innych nielegalnych działań, stosuje się bez ograniczeń przepisy rozporządzenia (WE) nr 1073/1999 Parlamentu Europejskiego i Rady z dnia 25 maja 1999 r., dotyczące dochodzeń prowadzonych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF)(19).
2. Agencja przystępuje do Porozumienia Międzyinstytucjonalnego z dnia 25 maja 1999 r., zawartego między Parlamentem Europejskim, Radą Unii Europejskiej i Komisją Wspólnot Europejskich, dotyczącego postępowań wewnętrznych, realizowanych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF)(20) oraz wprowadza niezwłocznie właściwe przepisy mające zastosowanie do wszystkich pracowników Agencji.
Artykuł 17
Realizacja budżetu
1. Dyrektor Naczelny realizuje budżet Agencji.
2. Wewnętrzny rewident Komisji korzysta w Agencji z takich samych uprawnień, jak w departamentach Komisji.
3. Najpóźniej do 1 marca po każdym roku budżetowym, księgowy Agencji przekazuje rachunki tymczasowe księgowemu Komisji, razem z raportem dotyczącym zarządzania finansami i budżetem w poprzednim roku budżetowym. Księgowy Komisji konsoliduje rachunki tymczasowe instytucji i organów zdecentralizowanych, zgodnie z art. 128 rozporządzenia Rady (WE, Euratom) nr 1605/2002 z dnia 25 czerwca 2002 r., w sprawie rozporządzenia finansowego mającego zastosowanie do budżetu ogólnego Wspólnot Europejskich(21) (zwanego dalej „ogólnym rozporządzeniem finansowym”).
4. Najpóźniej do 31 marca po każdym roku budżetowym, księgowy Komisji przesyła rachunki tymczasowe Agencji do Trybunału Obrachunkowego, razem z raportem dotyczącym zarządzania finansami i budżetem w poprzednim roku budżetowym. Raport ten należy także przesłać organowi budżetowemu.
5. Po otrzymaniu wniosków Trybunału Obrachunkowego na temat tymczasowych rachunków Agencji, na mocy art. 129 ogólnego rozporządzenia finansowego, Dyrektor Naczelny opracowuje na swoją odpowiedzialność rachunki ostateczne i przesyła je Zarządowi w celu uzyskania opinii.
6. Zarząd wydaje opinię na temat rachunków ostatecznych Agencji.
7. Dyrektor Naczelny najpóźniej do 1 lipca po każdym roku budżetowym, przesyła rachunki ostateczne Parlamentowi Europejskiemu, Radzie, Komisji oraz Trybunałowi Obrachunkowemu, razem z opinią Zarządu.
8. Rachunki ostateczne są publikowane.
9. Najpóźniej do 30 września, Dyrektor Naczelny przesyła Trybunałowi Obrachunkowemu odpowiedź na wnioski. Dyrektor przesyła również tę odpowiedź Zarządowi.
10. Dyrektor Naczelny (na żądanie w formie pisemnej), składa w Parlamencie Europejskim wszystkie informacje niezbędne do płynnego stosowania procedury zakończenia roku budżetowego, o którym mowa, zgodnie z ustaleniami art. 146 ust. 3 ogólnego rozporządzenia finansowego.
11. Parlament Europejski, na wniosek Rady stanowiącej większością swoich członków, najpóźniej przed 30 kwietnia roku N+2, rozlicza Dyrektora Naczelnego z realizacji budżetu w roku N.
SEKCJA 5
PRZEPISY OGÓLNE
Artykuł 18
Stan prawny
1. Agencja jest organem Wspólnoty i posiada osobowość prawną.
2. W każdym Państwie Członkowskim, Agencja posiada pełną zdolność prawną, należną osobowości prawnej zgodnie z prawem Państwa Członkowskiego. Agencja może w szczególności, nabywać oraz zbywać ruchomości i nieruchomości, a także może występować jako strona w postępowaniach sądowych.
3. Agencję reprezentuje Dyrektor Naczelny.
Artykuł 19
Personel
1. Personel Agencji (w tym, Dyrektor Naczelny), podlega zasadom i regulacjom mającym zastosowanie w stosunku do urzędników i innego personelu Wspólnot Europejskich.
2. Odnośnie personelu Agencji, Agencja korzysta z uprawnień przyznanych wyznaczonemu organowi na podstawie przepisów Regulaminu Pracowniczego oraz organowi upoważnionemu do zawierania umów na podstawie warunków zatrudniania innych pracowników – bez uszczerbku dla art. 6.
Agencja może również zatrudniać urzędników oddelegowanych czasowo przez Państwa Członkowskie, na okres wynoszący maksymalnie pięć lat.
Artykuł 20
Przywileje i immunitety
W przypadku Agencji i jej personelu, ma zastosowanie protokół Wspólnot Europejskich, dotyczący przywilejów i immunitetów.
Artykuł 21
Odpowiedzialność
1. Odpowiedzialność kontraktowa Agencji jest regulowana prawem stosowanym w przypadku umów, o których mowa.
Trybunał Sprawiedliwości Wspólnot Europejskich dysponuje ustawodawstwem, służącym do wydawania orzeczeń na podstawie klauzuli arbitrażowej, znajdującej się w umowie zawartej przez Agencję.
2. W przypadku odpowiedzialności niekontraktowej, Agencja – zgodnie z zasadami ogólnymi, wspólnymi dla prawa Państw Członkowskich – naprawi wszystkie szkody wyrządzone przez nią lub jej pracowników pełniących swoje obowiązki.
Trybunał Sprawiedliwości dysponuje odpowiednim ustawodawstwem odnośnie sporów dotyczących rekompensat z tytułu szkód.
3. Odpowiedzialność osobista pracowników Agencji jest regulowana właściwymi warunkami, które stosuje się do personelu Agencji.
Artykuł 22
Języki
1. Stosuje się przepisy ustanowione rozporządzeniem nr 1 z dnia 15 kwietnia 1958 r., określającym języki stosowane w Europejskiej Wspólnocie Gospodarczej(22). Państwa Członkowskie i inne organa przez nie wyznaczone, mogą zwracać się do Agencji i otrzymywać odpowiedzi w wybranym przez nich języku Wspólnoty.
2. Usługi z zakresu tłumaczeń, wymagane do funkcjonowania Agencji, zapewnia Centrum Tłumaczeń dla organów Unii Europejskiej(23).
Artykuł 23
Ochrona danych osobowych
Podczas przetwarzania danych osobowych, Agencja podlega przepisom rozporządzenia (WE) nr 45/2001.
Artykuł 24
Uczestnictwo krajów trzecich
1. Agencja jest otwarta na uczestnictwo krajów, które zawarły umowy ze Wspólnotą Europejską, z powodu których przyjęły i stosują prawodawstwo Wspólnoty w dziedzinie objętej niniejszym rozporządzeniem.
2. Należy podpisać porozumienia w oparciu o właściwe przepisy powyższych umów, określające w szczególności: charakter, zasięg oraz sposób uczestniczenia tych krajów w pracach Agencji (wliczając do tego przepisy dotyczące uczestniczenia w inicjatywach podejmowanych przez Agencję), wkłady finansowe oraz personel.
SEKCJA 6
PRZEPISY KOŃCOWE
Artykuł 25
Klauzula rewizyjna
1. Do 17 marca 2007 r., Komisja, uwzględniając opinie wszystkich właściwych udziałowców, dokona oceny na podstawie warunków odniesienia uzgodnionych z Zarządem, w celu ustalenia, czy okres działania Agencji powinien być przedłużony poza okres wymieniony w art. 27.
2. Ocena przedstawia wpływ Agencji na osiąganie jej celów i realizację zadań oraz praktyki pracy Agencji, a także jeśli jest to konieczne, przewiduje stosowne propozycje w tym zakresie.
3. Zarząd otrzymuje raport zawierający ocenę i przesyła Komisji zalecenia dotyczące ewentualnych zmian w niniejszym rozporządzeniu. Komisja przesyła Parlamentowi Europejskiemu i Radzie zarówno wnioski zawarte w ocenie, jak i zalecenia Zarządu, a także publikuje powyższe dokumenty.
Artykuł 26
Kontrola administracyjna
Działania Agencji podlegają nadzorowi Rzecznika Praw Obywatelskich, zgodnie z przepisami art. 195 Traktatu.
Artykuł 27
Okres działania
[1] Agencja jest utworzona od dnia 14 marca 2004 r. na okres dziewięciu lat i sześciu miesięcy.
Artykuł 28
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie w dniu następnym po opublikowaniu go w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich Państwach Członkowskich.
Sporządzono w Strasburgu, dnia 10 marca 2004 r.
(1) Dz.U. nr C 220 z 16.9.2003, str. 33.
(2) Opinia Parlamentu Europejskiego z dnia 19 listopada 2003 r. (dotychczas nieopublikowana w Dzienniku Urzędowym) oraz decyzja Rady z dnia 19 lutego 2004 r.
(3) Dz.U. nr L 108 z 24.4.2002, str. 33.
(4) Dyrektywa 2002/20/WE Parlamentu Europejskiego i Rady, z dnia 7 marca 2002 r. w sprawie pozwolenia w zakresie sieci i usług łączności elektronicznej (Dyrektywa dotycząca Pozwolenia) (Dz.U. nr L 108 z 24.4.2002, str. 21).
(5) Dyrektywa 2002/22/WE Parlamentu Europejskiego i Rady, z dnia 7 marca 2002 r. w sprawie usług uniwersalnych i praw użytkowników w odniesieniu do sieci i usług łączności elektronicznej (Dyrektywa dotycząca Usług Uniwersalnych) (Dz.U. nr L 108 z 24.4.2002, str. 51).
(6) Dyrektywa 2002/19/WE Parlamentu Europejskiego i Rady, z dnia 7 marca 2002 r. w sprawie dostępu i łączenia się sieci łączności elektronicznej z towarzyszącymi im urządzeniami (Dyrektywa dotycząca Dostępu) (Dz.U. nr L 108 z 24.4.2002, str. 7).
(7) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady, z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze łączności elektronicznej (Dyrektywa dotycząca Prywatności i Łączności Elektronicznej) (Dz.U. nr L 201 z 31.7.2002, str. 37).
(8) Dyrektywa 1999/93/WE Parlamentu Europejskiego i Rady, z dnia 13 grudnia 1999 r. w sprawie ram Wspólnotowych w zakresie podpisów elektronicznych (Dz.U. L 13 z 19.1.2000, str. 12).
(9) Dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady, z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług świadczonych na rynku wewnętrznym na rzecz społeczeństwa informacyjnego, w szczególności odnośnie handlu elektronicznego (Dyrektywa dotycząca Handlu Elektronicznego) (Dz.U. nr L 178 z 17.7.2000, str. 1).
(10) Dz.U. nr C 48 z 28.2.2003, str. 2.
(11) Dyrektywa 97/66/WE Parlamentu Europejskiego i Rady, z dnia 15 grudnia 1997 r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze łączności (Dz.U. nr L 24 z 30.1.1998, str. 1). Dyrektywa ta została uchylona i zastąpiona dyrektywą 2002/58/WE.
(12) Dz.U. L 281 z 23.11.1995, str. 31. Dyrektywa została zmieniona rozporządzeniem (WE) nr 1882/2003 (Dz.U. nr L 284 z 31.10.2003, str. 1).
(13) Dz.U. nr L 200 z 30.7.2002, str. 38.
(14) Dz.U. nr L 204 z 21.7.1998, str. 37. Dyrektywa została zmieniona dyrektywą 98/48/WE (Dz.U. nr L 217 z 5.8.1998, str. 18).
(15) Rozporządzenie (WE) nr 1049/2001 Parlamentu Europejskiego i Rady, z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji (Dz.U. nr L 145 z 31.5.2001, str. 43).
(16) Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady, z dnia 18 grudnia 2000 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i swobodnym przepływie takich danych (Dz.U. nr L 8 z 12.1.2001, str. 1).
(17) Dz.U. C 48 z 28.2.2003, str. 1.
(18) Dz.U. nr L 357 z 31.12.2002, str. 72.
(19) Dz.U. nr L 136 z 31.5.1999, str. 1.
(20) Dz.U. nr L 136 z 31.5.1999, str. 15.
(21) Dz.U. nr L 248 z 16.9.2002, str. 1.
(22) Dz.U. 17 z 6.10.1958, str. 385/58. Rozporządzenie zostało zmienione Aktem Przystąpienia z 1994 r.
(23) Rozporządzenie Rady (WE) nr 2965/94 z dnia 28 listopada 1994 r., ustanawiające Centrum Tłumaczeń dla organów Unii Europejskiej (Dz.U. L 314 z 7.12.1994, str. 1). Rozporządzenie to zostało zmienione rozporządzeniem (WE) nr 1645/2003 (Dz.U. L 245 z 29.9.2003, str. 13).
[1] Art. 27 w brzmieniu ustalonym przez art. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 580/2011 z dnia 8 czerwca 2011 r. zmieniającego rozporządzenie (WE) nr 460/2004 ustanawiające Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji w zakresie okresu jej działania (Dz.Urz.UE L 165 z 24.06.2011, str. 3). Zmiana weszła w życie 25 czerwca 2011 r.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00