KOMISJA WSPÓLNOT EUROPEJSKICH,

uwzględniając Traktat ustanawiający Wspólnotę Europejską,

uwzględniając rozporządzenie Rady (WE) nr 1258/1999 z dnia 17 maja 1999 r. w sprawie finansowania wspólnej polityki rolnej (¹), w szczególności jego art. 4 ust. 8,

a także mając na uwadze, co następuje:

(1) Rozporządzenie Komisji (WE) nr 1663/95 (²) przewiduje w szczególności wytyczne dotyczące kryteriów akredytacji agencji płatniczych Państw Członkowskich.

(2) Odpowiedzialność za kontrolę wydatków w ramach Sekcji Gwarancji Europejskiego Funduszu Orientacji i Gwarancji Rolnej (EFOGR) spoczywa przede wszystkim na Państwach Członkowskich. W realizacji tego zadania Państwa Członkowskie muszą zagwarantować, że zapewnią wysoki poziom bezpieczeństwa systemów informacyjnych agencji płatniczych. W tym celu należy wprowadzić procedury zapewniające bezpieczeństwo systemów informacyjnych w chwili pierwszej akredytacji agencji płatniczej i później.

(3) Podczas rozliczania rachunków Komisja może określić całkowite wydatki wpisane do rachunków ogólnych w ramach Sekcji Gwarancji, pod warunkiem że upewniła się, iż kontrole krajowe są wystarczające i przejrzyste, w tym kontrole dotyczące bezpieczeństwa systemów informacyjnych agencji płatniczych. Należy zatem przewidzieć opracowanie deklaracji dotyczącej bezpieczeństwa systemów informacyjnych jednostek certyfikujących w ramach zaświadczenia o rocznych sprawozdaniach finansowych na podstawie przyjętych na poziomie międzynarodowym norm bezpieczeństwa.

(4) Państwom Członkowskim należy zapewnić rozsądny termin na dostosowanie zasad i procedur wewnętrznych w związku z opracowaniem deklaracji dotyczącej bezpieczeństwa systemów informacyjnych agencji płatniczych.

(5) Należy przewidzieć przesłanie Komisji przez agencje płatnicze rachunków i wszystkich związanych z tym dokumentów w formie elektronicznej w celu ułatwienia dalszej analizy powyższych informacji.

(6) Praktyka polegająca na przekazywaniu zarządzania systemami informacyjnymi trzeciej stronie staje się coraz bardziej powszechna i dlatego agencjom płatniczym należy umożliwić korzystanie z tego typu delegowania na takich samych warunkach, jak delegowane są funkcje zezwalania na płatność i/lub funkcje służby technicznej.

(7) Należy zatem odpowiednio zmienić rozporządzenie (WE) nr 1663/95.

(8) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią Komitetu Funduszu,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł 1

W rozporządzeniu (WE) nr 1663/95 wprowadza się następujące zmiany:

1) w art. 1 wprowadza się następujące zmiany

a) w ust. 3 akapit drugi zdanie drugie, wyrażenie „bezpieczeństwo systemów komputerowych" zastępuje się wyrażeniem „bezpieczeństwo systemów informacyjnych"

b) w ust. 7 akapit pierwszy dodaje się tiret w brzmieniu:

„- przepisy dotyczące bezpieczeństwa systemów informacyjnych"

2) w art. 3 ust. 1 dodaje się akapit w brzmieniu:

„Najpóźniej do roku obrachunkowego 2008 jednostka certyfikująca przekaże przed datą, o której mowa w akapicie trzecim deklarację dotyczącą środków zabezpieczenia systemów informacyjnych wprowadzonych przez agencję płatniczą. Deklaracja powinna opierać się na mającej zastosowanie w danym roku obrachunkowym wersji norm bezpieczeństwa przyjętych na poziomie międzynarodowym, o których mowa w pkt 6 ppkt vi) Załącznika do niniejszego rozporządzenia i które służą jako podstawa do przyjmowania środków bezpieczeństwa i powinny wskazywać, czy - w odniesieniu do danego roku obrachunkowego - zostały wprowadzone skuteczne środki bezpieczeństwa.

W odniesieniu do wcześniejszych lat obrachunkowych, dla których została opracowana pierwsza deklaracja dotycząca bezpieczeństwa systemów informacyjnych agencji płatniczych, jednostka certyfikująca powinna w swoim sprawozdaniu na temat ustaleń włączyć uwagi i przejściowe wnioski, wykorzystując w tym celu mechanizm oceny dotyczący środków zabezpieczeń systemów informacyjnych wprowadzonych przez agencję płatniczą. Sprawozdanie powinno opierać się na mającej zastosowanie w danym roku obrachunkowym wersji norm bezpieczeństwa przyjętych na poziomie międzynarodowym, o których mowa w pkt 6 ppkt vi) Załącznika do niniejszego rozporządzenia, które służą jako podstawa do przyjęcia środków bezpieczeństwa i powinny wskazywać, w jakim zakresie w odniesieniu do danego roku obrachunkowego zostały wprowadzone skuteczne środki bezpieczeństwa."

3) artykuł 4 ust. 2 otrzymuje brzmienie:

„2. Dokumenty i informacje księgowe, o których mowa w ust. 1, należy przesłać Komisji do dnia 10 lutego roku następującego po roku obrachunkowym, którego dotyczą. Dokumenty, o których mowa w ust. 1 lit. a) i b) powinny zostać przesłane w jednym egzemplarzu wraz z kopią elektroniczną"

4) w Załączniku wprowadza się zmiany zgodnie z Załącznikiem do niniejszego rozporządzenia.

Artykuł 2

Niniejsze rozporządzenie wchodzi w życie siódmego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie stosuje się po raz pierwszy w roku obrachunkowym rozpoczynającym się dnia 16 października 2004 r.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich Państwach Członkowskich.

Sporządzono w Brukseli, dnia 22 marca 2005 r.

ZAŁĄCZNIK

W Załączniku do rozporządzenia (WE) nr 1663/95 wprowadza się następujące zmiany:

1) punkt 2 ppkt iii) otrzymuje brzmienie:

„iii) Księgowanie płatności: celem tej funkcji jest rejestracja płatności w oddzielnych księgach rachunkowych obejmujących wydatki w ramach EFOGR, zasadniczo za pomocą systemu informacyjnego, oraz przygotowanie okresowych podsumowań wydatków, w tym miesięcznych i rocznych deklaracji przekazywanych Komisji. Księgi rachunkowe rejestrują również aktywa finansowane z Funduszu, w szczególności dotyczące zapasów interwencyjnych, nierozliczonych zaliczek i dłużników."

2) w zdaniu wprowadzającym pkt 4 wyrażenie „i/lub służba techniczna" zastępuje się wyrażeniem „służba techniczna /lub zarządzanie systemem informacyjnym"

3) punkt 6 ppkt vi) otrzymuje brzmienie:

„vi) Bezpieczeństwo systemów informacyjnych powinno opierać się na kryteriach ustalonych w mającej zastosowanie w danym roku obrachunkowym wersji jednej z podanych poniżej norm uznanych na poziomie międzynarodowym:

- Norma 17799 Międzynarodowej Organizacji Standaryzacji/norma brytyjska 7799: Kodeks praktyki dla zarządzania bezpieczeństwem informacji (BS ISO/IEC 17799),

- Bundesamt fuer Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch/IT Baseline Protection Manual (BSI),

- Information Systems Audit and Control Foundation: Control Objectives for Information and related Technology (COBIT).

Agencja płatnicza wybiera jedną z norm międzynarodowych, o której mowa w akapicie pierwszym, jako podstawę bezpieczeństwa jej systemów informacyjnych.

Środki bezpieczeństwa powinny zostać dostosowane do struktury administracyjnej, personelu i środowiska technologicznego każdej agencji płatniczej. Wysiłek finansowy i technologiczny powinien być proporcjonalny do rzeczywiście istniejącego ryzyka.".