Akt prawny
archiwalny
Wersja archiwalna od 2013-06-19 do 2019-06-27
Wersja archiwalna od 2013-06-19 do 2019-06-27
archiwalny
Alerty
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) NR 526/2013
z dnia 21 maja 2013 r.
w sprawie Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz uchylające rozporządzenie (WE) nr 460/2004
(Tekst mający znaczenie dla EOG)
PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 114,
uwzględniając wniosek Komisji Europejskiej,
po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,
uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego (1),
stanowiąc zgodnie ze zwykłą procedurą ustawodawczą (2),
a także mając na uwadze, co następuje:
(1) Łączność elektroniczna, infrastruktura oraz usługi łączności elektronicznej są istotnymi czynnikami, zarówno pośrednimi, jak i bezpośrednimi, rozwoju gospodarczego i społecznego. Spełniają one istotną funkcję dla społeczeństwa i same stały się niezbędnymi usługami, tak jak dostawa energii elektrycznej czy wody, a także stanowią istotne elementy dostaw energii elektrycznej, wody i innych usług o kluczowym znaczeniu. Sieci łączności pełnią funkcję katalizatorów rozwoju społecznego i innowacji, zwielokrotniając wpływ technologii i kształtując zachowania konsumentów, modele biznesowe, przemysł, a także postawy obywatelskie i zaangażowanie polityczne. Zakłócenia w świadczeniu tych usług mogą powodować znaczne szkody materialne, społeczne i ekonomiczne, co wskazuje na znaczenie środków zwiększających ich ochronę i odporność, których celem jest zapewnienie ciągłości usług o kluczowym znaczeniu. Zapewnienie bezpieczeństwa łączności elektronicznej, infrastruktury oraz usług łączności elektronicznej, w szczególności ich integralności, dostępności i poufności, stanowi coraz większe wyzwanie, między innymi w odniesieniu do poszczególnych elementów infrastruktury łączności i oprogramowania sterującego tymi elementami, a także w odniesieniu do infrastruktury jako całości oraz usług oferowanych za jej pośrednictwem. Budzi to rosnące obawy społeczeństwa, głównie ze względu na możliwość pojawiania się problemów wynikających ze złożoności systemu, wadliwego działania, usterek systemowych, wypadków, błędów oraz ataków, które mogą mieć konsekwencje dla infrastruktury elektronicznej i fizycznej wykorzystywanej do świadczenia usług o krytycznym znaczeniu dla zapewnienia dobrobytu obywatelom Europy.
(2) Charakter zagrożeń nieustannie się zmienia, a incydenty w zakresie bezpieczeństwa mogą podważać zaufanie użytkowników do technologii, sieci i usług, co może niekorzystnie wpłynąć na zdolność użytkowników do pełnego wykorzystania potencjału rynku wewnętrznego i powszechnego stosowania technologii informacyjno-komunikacyjnych (ICT).
(3) Regularna ocena stanu bezpieczeństwa sieci i informacji w Unii, oparta na wiarygodnych danych unijnych oraz na systematycznej prognozie przyszłych zmian, wyzwań i zagrożeń, zarówno na szczeblu unijnym, jak i ogólnoświatowym, ma zatem duże znaczenie dla decydentów politycznych, przemysłu oraz użytkowników.
(4) W decyzji 2004/97/WE, Euratom (3), przyjętej na posiedzeniu Rady Europejskiej w dniu 13 grudnia 2003 r., przedstawiciele państw członkowskich postanowili, że Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA), która miała zostać ustanowiona na podstawie wniosku przedłożonego przez Komisję, będzie miała siedzibę w Grecji w miejscu określonym przez grecki rząd. W związku z tą decyzją rząd grecki postanowił, że ENISA będzie miała siedzibę w Heraklionie na Krecie.
(5) W dniu 1 kwietnia 2005 r. Agencja i przyjmujące państwo członkowskie zawarły umowę w sprawie siedziby.
(6) Państwo członkowskie przyjmujące Agencję powinno zapewnić jej możliwie najlepsze warunki sprawnego i skutecznego działania. Właściwa lokalizacja Agencji ma zasadnicze znaczenie dla prawidłowego i skutecznego wykonywania przez nią swoich zadań, naboru pracowników i zwiększenia efektywności sieci współpracy, zapewniając między innymi odpowiednie połączenia transportowe i infrastrukturę dla małżonków i dzieci towarzyszących pracownikom Agencji. Umowa między Agencją a przyjmującym państwem członkowskim, zawarta po uzyskaniu zgody zarządu Agencji, powinna zawierać niezbędne uzgodnienia w tym zakresie.
(7) W celu zwiększenia skuteczności operacyjnej Agencji, ustanowiła ona oddział w okręgu administracyjnym Aten, który powinien być utrzymywany w porozumieniu z przyjmującym państwem członkowskim i przy jego wsparciu oraz w którym powinni być zatrudnieni pracownicy operacyjni Agencji. Pracownicy pierwotnie zatrudnieni w administracji Agencji (w tym również jej dyrektor wykonawczy), w działach: finansów, badań i analiz źródeł wtórnych, IT i zarządzania infrastrukturą, zasobów ludzkich, szkoleń oraz komunikacji i spraw publicznych, powinni pracować w Heraklionie.
(8) Agencja jest uprawniona do określenia swojego własnego schematu organizacyjnego, aby zapewnić prawidłowe i skuteczne wykonywanie swoich zadań, przestrzegając jednocześnie przepisów dotyczących siedziby oraz oddziału w Atenach określonych w niniejszym rozporządzeniu. W szczególności, w celu realizacji zadań wymagających współdziałania z głównymi zainteresowanymi podmiotami, takimi jak instytucje Unii, Agencja powinna wprowadzić niezbędne rozwiązania praktyczne, aby zwiększyć skuteczność operacyjną.
(9) W roku 2004 Parlament Europejski i Rada przyjęły rozporządzenie (WE) nr 460/2004 (4) ustanawiające ENISA, aby przyczynić się do realizacji celów w zakresie zapewnienia wysokiego poziomu bezpieczeństwa sieci i informacji w Unii oraz rozwijania kultury bezpieczeństwa sieci i informacji na rzecz obywateli, konsumentów, przedsiębiorstw oraz administracji publicznej. W roku 2008 Parlament Europejski i Rada przyjęły rozporządzenie (WE) nr 1007/2008 (5) przedłużające mandat Agencji do marca 2012 r. Rozporządzenie (WE) nr 580/2011 (6) przedłuża mandat Agencji do dnia 13 września 2013 r.
(10) Agencja powinna być następcą ENISA ustanowionej na mocy rozporządzenia (WE) nr 460/2004. Zgodnie z decyzją przedstawicieli państw członkowskich podjętą na posiedzeniu Rady Europejskiej w dniu 13 grudnia 2003 r., przyjmujące państwo członkowskie powinno utrzymywać i rozwijać obecne rozwiązania praktyczne w celu zapewnienia sprawnego i skutecznego działania Agencji, w tym również jej oddziału w Atenach, oraz ułatwiać nabór i zachowanie wysoko wykwalifikowanego personelu.
(11) Od czasu utworzenia ENISA wyzwania związane z bezpieczeństwem sieci i informacji zmieniają się wraz z rozwojem technologii, rynku i sytuacji społeczno-gospodarczej oraz są przedmiotem dalszej refleksji i debaty. W odpowiedzi na zmieniające się wyzwania Unia zaktualizowała swoje priorytety dotyczące polityki bezpieczeństwa sieci i informacji. Niniejsze rozporządzenie ma na celu umocnienie Agencji, aby skutecznie przyczyniała się do wysiłków instytucji Unii oraz państw członkowskich na rzecz wypracowania europejskich zdolności w zakresie radzenia sobie z wyzwaniami w dziedzinie bezpieczeństwa sieci i informacji.
(12) Środki dotyczące rynku wewnętrznego w dziedzinie bezpieczeństwa łączności elektronicznej, a także bezpieczeństwa sieci i informacji w bardziej ogólnym wymiarze, wymagają zastosowania przez instytucje Unii i państwa członkowskie różnych rozwiązań technicznych i organizacyjnych. Niejednolite stosowanie tych wymogów może prowadzić do nieskuteczności i powstania przeszkód na rynku wewnętrznym. Konieczne jest zatem stworzenie na poziomie unijnym centrum wiedzy specjalistycznej, zapewniającego wytyczne, doradztwo i pomoc w kwestiach związanych z bezpieczeństwem sieci i informacji, z którego usług będą mogły korzystać instytucje Unii i państwa członkowskie. Agencja może zaspokajać te potrzeby poprzez osiągnięcie i utrzymanie wysokiego poziomu wiedzy specjalistycznej oraz wspieranie, instytucji Unii, państw członkowskich oraz środowiska przedsiębiorców w spełnianiu wymogów prawnych i regulacyjnych w zakresie bezpieczeństwa sieci i informacji oraz w identyfikowaniu i rozwiązywaniu problemów związanych z bezpieczeństwem sieci i informacji, przyczyniając się tym samym do prawidłowego funkcjonowania rynku wewnętrznego.
(13) Agencja powinna realizować zadania powierzone jej na mocy unijnych aktów prawnych w dziedzinie łączności elektronicznej oraz przyczyniać się w ogólnym wymiarze do poprawy poziomu bezpieczeństwa łączności elektronicznej oraz ochrony prywatności i danych osobowych, zapewniając między innymi wiedzę specjalistyczną i doradztwo oraz promując wymianę najlepszych praktyk, a także przedstawiając propozycje polityczne.
(14) Dyrektywa 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa) (7) wymaga, aby dostawcy publicznych sieci łączności lub publicznie dostępnych usług łączności elektronicznej podjęli odpowiednie działania w celu zagwarantowania ich integralności i bezpieczeństwa, a także nakłada na krajowe organy regulacyjne obowiązek, aby – w stosownych przypadkach – informowały między innymi Agencję o wszelkich przypadkach naruszenia bezpieczeństwa lub utraty integralności, które wywarły znaczący wpływ na funkcjonowanie sieci lub usług oraz aby składały Komisji i Agencji roczne sprawozdanie podsumowujące na temat otrzymanych powiadomień i podjętych działań. Dyrektywa 2002/21/WE zobowiązuje ponadto Agencję, aby przyczyniała się do harmonizacji odpowiednich środków technicznych i organizacyjnych w zakresie bezpieczeństwa poprzez wydawanie opinii.
(15) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (8) wymaga od dostawcy publicznie dostępnych usług łączności elektronicznej podjęcia odpowiednich środków technicznych i organizacyjnych w celu zagwarantowania bezpieczeństwa oferowanych usług oraz zachowania poufności komunikacji i związanych z nią danych ruchowych. Dyrektywa 2002/58/WE nakłada na dostawców usług łączności elektronicznej obowiązki w zakresie informowania i powiadamiania o przypadkach naruszenia danych osobowych. Zobowiązuje również Komisję do konsultowania z Agencją wszelkich środków wykonawczych o charakterze technicznym, które mają zostać przyjęte i dotyczą okoliczności, formatu i procedur mających zastosowanie do wymogów w zakresie informowania i powiadamiania. Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (9) wymaga od państw członkowskich zapewnienia wprowadzenia przez administratora danych osobowych odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych przed ich przypadkowym lub nielegalnym zniszczeniem, utratą, zmianą, niedozwolonym ujawnieniem lub dostępem do nich, w szczególności w przypadku gdy przetwarzanie obejmuje przesyłanie danych poprzez sieć, a także przed innymi nielegalnymi formami przetwarzania.
(16) Agencja powinna przyczyniać się do zapewnienia wysokiego poziomu bezpieczeństwa sieci i informacji, lepszej ochrony prywatności i danych osobowych oraz do rozwijania i promowania kultury bezpieczeństwa sieci i informacji na rzecz obywateli, konsumentów, przedsiębiorstw oraz organizacji z sektora publicznego w Unii, wspierając tym samym prawidłowe funkcjonowanie rynku wewnętrznego. Dla osiągnięcia tego celu należy przyznać Agencji niezbędne środki budżetowe.
(17) Biorąc pod uwagę rosnące znaczenie sieci łączności elektronicznej oraz łączności elektronicznej, które stanowią obecnie podstawę europejskiej gospodarki, oraz rzeczywistą wielkość gospodarki cyfrowej, należy zwiększyć zasoby finansowe i ludzkie przyznawane Agencji, aby uwzględnić jej zwiększoną rolę i zadania, a także zasadnicze znaczenie dla ochrony europejskiego ekosystemu cyfrowego.
(18) Agencja powinna działać jako punkt odniesienia służący budowie zaufania i wiarygodności z racji swojej niezależności, jakości oferowanego doradztwa i rozpowszechnianych informacji, przejrzystości procedur i metod działania, a także staranności w realizacji swoich zadań. Agencja powinna rozwijać się w oparciu o krajowe i unijne wysiłki i prowadzić w związku z tym działalność w pełnej współpracy z instytucjami, organami, urzędami i agencjami Unii oraz państwami członkowskimi, a także otwarcie nawiązywać kontakty z przemysłem i innymi stosownymi zainteresowanymi stronami. Ponadto podstawę działań Agencji powinien stanowić wkład sektora prywatnego i współpraca z nim, ponieważ odgrywa on ważną rolę w zapewnianiu bezpieczeństwa łączności elektronicznej, infrastruktury oraz usług łączności elektronicznej.
(19) Zakres obowiązków powinien wskazywać na sposób, w jaki Agencja ma osiągnąć swoje cele, pozwalając jej jednocześnie na elastyczne działanie. Zadania realizowane przez Agencję powinny obejmować gromadzenie odpowiednich informacji i danych potrzebnych do przeprowadzania analiz zagrożeń dla bezpieczeństwa i odporności łączności elektronicznej, infrastruktury oraz usług łączności elektronicznej, a także do oceny, we współpracy z państwami członkowskimi, Komisją oraz, w stosownych przypadkach, stosownymi zainteresowanymi stronami, stanu bezpieczeństwa sieci i informacji w Unii. Agencja powinna zapewniać koordynację oraz współpracę z instytucjami, organami, urzędami i agencjami Unii oraz państwami członkowskimi, a także zacieśniać współpracę między zainteresowanymi stronami w Europie, w szczególności poprzez włączanie w swoje działania właściwych organów krajowych i unijnych oraz ekspertów wysokiego szczebla w stosownych dziedzinach z sektora prywatnego, a zwłaszcza dostawców sieci i usług łączności elektronicznej, producentów sprzętu sieciowego i sprzedawców oprogramowania, uwzględniając fakt, że sieci i systemy informatyczne stanowią wypadkową sprzętu, oprogramowania i usług. Agencja powinna wspierać instytucje Unii i państwa członkowskie w zakresie dialogu, jaki prowadzą z przemysłem w celu rozwiązywania problemów dotyczących bezpieczeństwa produkowanego sprzętu i oprogramowania, przyczyniając się tym samym do wypracowania wspólnego podejścia do bezpieczeństwa sieci i informacji.
(20) Należy przekazywać Agencji strategie na rzecz bezpieczeństwa sieci i informacji ogłaszane przez instytucje, organy, urzędy lub agencje Unii lub przez państwa członkowskie, w celach informacyjnych oraz aby unikać powielania pracy. Agencja powinna dokonywać analizy tych strategii i wspierać ich prezentację w formacie ułatwiającym ich porównanie. Agencja powinna publicznie udostępniać strategie i ich analizy za pomocą środków elektronicznych.
(21) Agencja powinna wspomagać Komisję poprzez doradztwo, opinie i analizy we wszystkich sprawach Unii związanych z opracowywaniem polityki w dziedzinie bezpieczeństwa sieci i informacji, w tym również ochrony krytycznej infrastruktury informacyjnej oraz odporności. Agencja powinna również wspomagać instytucje, organy, urzędy i agencje Unii oraz, w stosownych przypadkach, państwa członkowskie, na ich wniosek, w podejmowanych przez nie wysiłkach na rzecz rozwijania polityki i potencjału w zakresie bezpieczeństwa sieci i informacji.
(22) Agencja powinna w pełni uwzględniać bieżącą działalność w zakresie badań naukowych, rozwoju i oceny technologicznej, w szczególności prowadzoną w ramach różnych unijnych inicjatyw badawczych, w celu doradzania instytucjom, organom, urzędom i agencjom Unii, a także – w stosownych przypadkach i na ich wniosek – państwom członkowskim w kwestii ich potrzeb badawczych w dziedzinie bezpieczeństwa sieci i informacji.
(23) Agencja powinna wspierać wysiłki instytucji, organów, urzędów i agencji Unii, a także państw członkowskich na rzecz budowy i zwiększania transgranicznego potencjału i gotowości w zakresie zapobiegania problemom i incydentom związanym z bezpieczeństwem sieci i informacji, ich wykrywania i oraz reagowania na nie. W tym względzie Agencja powinna ułatwiać współpracę pomiędzy państwami członkowskimi oraz współpracę między Komisją oraz innymi instytucjami, organami, urzędami i agencjami Unii i państwami członkowskimi. W tym celu Agencja powinna wspierać państwa członkowskie w ich nieustannych wysiłkach na rzecz poprawy zdolności do reagowania oraz na rzecz organizowania i prowadzenia europejskich ćwiczeń z cyberbezpieczeństwa oraz, na wniosek państw członkowskich, ćwiczeń na szczeblu krajowym.
(24) Aby lepiej zrozumieć wyzwania w dziedzinie bezpieczeństwa sieci i informacji, Agencja musi dokonywać analizy aktualnych i pojawiających się zagrożeń. W tym celu Agencja powinna gromadzić odpowiednie informacje we współpracy z państwami członkowskimi oraz, w stosownych przypadkach, z organami statystycznymi i innymi organami. Ponadto Agencja powinna wspierać wysiłki podejmowane przez instytucje, organy, urzędy i agencje Unii oraz państwa członkowskie w zakresie gromadzenia, analizy i rozpowszechniania danych związanych z bezpieczeństwem sieci i informacji. Gromadzenie odpowiednich informacji i danych statystycznych potrzebnych do przeprowadzania analiz zagrożeń dla bezpieczeństwa i odporności łączności elektronicznej, infrastruktury oraz usług łączności elektronicznej powinno się odbywać na podstawie informacji dostarczonych przez państwa członkowskie oraz posiadanych przez Agencję informacji na temat infrastruktury ICT instytucji Unii, zgodnie z przepisami unijnymi i z przepisami krajowymi zgodnymi z prawem Unii. Na podstawie tych informacji Agencja powinna – w interesie instytucji, organów, urzędów i agencji Unii oraz państw członkowskich – utrzymywać bieżącą wiedzą w zakresie stanu bezpieczeństwa sieci i informacji oraz tendencji występujących w tej dziedzinie w Unii.
(25) Realizując swoje zadania, Agencja powinna ułatwiać współpracę pomiędzy Unią i państwami członkowskimi w celu podnoszenia poziomu wiedzy w zakresie stanu bezpieczeństwa sieci i informacji w Unii.
(26) Agencja powinna ułatwiać współpracę między właściwymi niezależnymi organami regulacyjnymi państw członkowskich, w szczególności wspierając rozwój, promowanie i wymianę najlepszych praktyk i standardów w zakresie programów edukacyjnych oraz programów na rzecz zwiększania świadomości. Zwiększona wymiana informacji między państwami członkowskimi ułatwi realizację tego rodzaju działań. Agencja powinna przyczyniać się do podnoszenia poziomu wiedzy poszczególnych użytkowników łączności elektronicznej, infrastruktury oraz usług łączności elektronicznej, w tym również poprzez wspieranie państw członkowskich, w przypadku gdy zdecydowały się one skorzystać z platformy rozpowszechniania informacji użyteczności publicznej przewidzianej w dyrektywie 2002/22/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie usługi powszechnej i związanych z sieciami i usługami łączności elektronicznej praw użytkowników (dyrektywa o usłudze powszechnej) (10), w celu opracowywania stosownych informacji użyteczności publicznej na temat bezpieczeństwa sieci i informacji, a także poprzez wspieranie opracowywania takich informacji, które mają być dołączone do wyposażenia nowych urządzeń przeznaczonych do użytku w publicznych sieciach łączności. Agencja powinna również wspierać współpracę między zainteresowanymi stronami na poziomie Unii, w tym również poprzez promowanie wymiany informacji, kampanie na rzecz budzenia świadomości oraz programy edukacyjne i szkoleniowe.
(27) Agencja powinna między innymi wspomagać właściwe instytucje, organy, urzędy i agencje Unii oraz państwa członkowskie w prowadzeniu publicznej kampanii edukacyjnej skierowanej do użytkowników końcowych, która ma na celu promowanie bezpieczniejszych zachowań użytkowników w sieci oraz podnoszenie poziomu wiedzy w zakresie potencjalnych zagrożeń występujących w cyberprzestrzeni, cyberprzestępstw takich jak wyłudzanie informacji (phishing), botnety, oszustwa finansowe i bankowe, a także promowanie podstawowego doradztwa w kwestii uwierzytelnienia i ochrony danych.
(28) Aby zapewnić pełną realizację swoich celów, Agencja powinna utrzymywać kontakty z właściwymi organami, w tym z organami zajmującymi się zwalczaniem cyberprzestępczości, takimi jak Europol, oraz organami ochrony prywatności, aby wymieniać się know-how i najlepszymi praktykami oraz doradzać w sprawie aspektów bezpieczeństwa sieci i informacji, które mogą mieć wpływ na ich pracę. Agencja powinna zmierzać do uzyskania synergii między wysiłkami tych organów a jej własnymi wysiłkami na rzecz wspierania wyższego poziomu bezpieczeństwa sieci i informacji. Przedstawiciele krajowych i unijnych organów egzekwowania prawa oraz organów ochrony prywatności powinni być uprawnieni do członkostwa w istniejącej przy Agencji Stałej Grupie Przedstawicieli Zainteresowanych Stron. Utrzymując kontakty z organami egzekwowania prawa w kwestiach z zakresu bezpieczeństwa sieci i informacji, które mogłyby mieć wpływ na ich pracę, Agencja powinna respektować istniejące kanały informacji i ustanowione sieci.
(29) Komisja zainicjowała europejskie partnerstwo publiczno-prywatne na rzecz odporności, stanowiące elastyczną ogólnounijną platformę współpracy w zakresie odporności infrastruktury ICT, w ramach której Agencja powinna odgrywać rolę polegającą na ułatwianiu zbierania się zainteresowanych stron w celu omówienia priorytetów polityki publicznej, ekonomicznych i rynkowych aspektów wyzwań oraz środków na rzecz odporności ICT.
(30) Aby promować bezpieczeństwo sieci i informacji oraz zwiększyć jego postrzegalność, Agencja powinna ułatwiać współpracę między właściwymi podmiotami publicznymi państw członkowskich, w szczególności wspierając rozwój i wymianę najlepszych praktyk i programów na rzecz budzenia świadomości oraz intensyfikując prowadzone działania informacyjne. Agencja powinna również wspierać współpracę między zainteresowanymi stronami a instytucjami Unii, między innymi promując wymianę informacji i działania na rzecz budzenia świadomości.
(31) Aby zwiększyć poziom bezpieczeństwa sieci i informacji w Unii, Agencja powinna promować współpracę oraz wymianę informacji i najlepszych praktyk między stosownymi organizacjami, takimi jak zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo (CSIRT) i zespoły reagowania na incydenty komputerowe (CERT).
(32) Unijny system sprawnie funkcjonujących zespołów CERT powinien stanowić podstawę bezpieczeństwa unijnej infrastruktury bezpieczeństwa sieci i informacji. Agencja powinna wspierać zespoły CERT z państw członkowskich oraz unijne zespoły CERT w prowadzeniu sieci zespołów CERT, w tym również członków europejskiej grupy rządowych zespołów CERT. W celu zapewnienia, aby każdy zespół CERT dysponował wystarczająco zaawansowanym potencjałem, który w możliwie największym stopniu odpowiada potencjałowi najbardziej zaawansowanych zespołów CERT, Agencja powinna wspierać utworzenie i działanie systemu wzajemnej oceny. Agencja powinna ponadto promować i wspierać współpracę między odpowiednimi zespołami CERT w przypadku incydentów, ataków czy zakłóceń dotyczących sieci lub infrastruktury zarządzanej lub chronionej przez zespoły CERT i angażujących lub potencjalnie angażujących co najmniej dwa zespoły CERT.
(33) Skuteczna polityka bezpieczeństwa sieci i informacji powinna opierać się na dobrze opracowanych metodach oceny ryzyka, zarówno w sektorze publicznym, jak i prywatnym. Metody i procedury oceny ryzyka są używane na różnych poziomach bez wspólnej praktyki dotyczącej ich skutecznego stosowania. Promowanie i rozwój najlepszych praktyk w zakresie oceny ryzyka oraz interoperacyjnych rozwiązań w zakresie zarządzania ryzykiem w sektorze publicznym i prywatnym zwiększy poziom bezpieczeństwa sieci i systemów informatycznych w Unii. W tym celu Agencja powinna wspierać współpracę między zainteresowanymi stronami na poziomie Unii, ułatwiając im utworzenie i wprowadzenie europejskich i międzynarodowych norm dotyczących zarządzania ryzykiem oraz wymiernych wskaźników bezpieczeństwa produktów, systemów, sieci i usług elektronicznych, które wraz z oprogramowaniem współtworzą sieć i systemy informatyczne.
(34) W stosownych przypadkach, przydatnych z punktu widzenia celów i zadań Agencji, powinna ona dzielić się doświadczeniami i ogólnymi informacjami z instytucjami, organami, urzędami i agencjami Unii zajmującymi się bezpieczeństwem sieci i informacji. Agencja powinna przyczyniać się do określenia – na poziomie unijnym – priorytetów badawczych w dziedzinie odporności sieci oraz bezpieczeństwa sieci i informacji, a także powinna przekazywać odpowiednim instytucjom badawczym wiedzę na temat potrzeb przemysłu.
(35) Agencja powinna zachęcać państwa członkowskie i usługodawców do zwiększania ogólnych standardów bezpieczeństwa, tak aby wszyscy użytkownicy internetu podjęli niezbędne kroki celem zapewnienia sobie własnego bezpieczeństwa w cyberprzestrzeni.
(36) Problemy bezpieczeństwa sieci i informacji mają charakter globalny. Istnieje potrzeba zacieśnienia współpracy międzynarodowej w celu poprawy norm bezpieczeństwa, włącznie ze zdefiniowaniem wspólnych norm zachowania oraz kodeksu postępowania, wymiany informacji, promowania sprawniejszej współpracy międzynarodowej w odpowiedzi na pojawiające się wyzwania oraz w celu wypracowania wspólnego globalnego podejścia do kwestii bezpieczeństwa sieci i informacji. W tym celu Agencja powinna wspierać dalsze zaangażowanie Unii oraz współpracę z państwami trzecimi i organizacjami międzynarodowymi, udostępniając, w stosownych przypadkach, właściwym instytucjom, organom, urzędom i agencjom Unii niezbędną wiedzę specjalistyczną i analizy.
(37) Agencja powinna działać zgodnie z zasadą pomocniczości, zapewniając odpowiedni poziom koordynacji między państwami członkowskimi w kwestiach związanych z bezpieczeństwem sieci i informacji oraz poprawiając skuteczność polityk krajowych, a tym samym zwiększając ich wartość, oraz zgodnie z zasadą proporcjonalności, nie wykraczając poza to, co jest konieczne do osiągnięcia celów określonych w niniejszym rozporządzeniu. Realizacja zadań przez Agencję powinna wzmacniać kompetencje, ale nie powinna ich ograniczać ani przejmować, utrudniać ich wykonywania bądź powielać odpowiednich uprawnień i zadań krajowych organów regulacyjnych określonych w dyrektywach dotyczących sieci i usług łączności elektronicznej, a także kompetencji oraz odpowiednich uprawnień i zadań Organu Europejskich Regulatorów Łączności Elektronicznej (BEREC) ustanowionego na mocy rozporządzenia (WE) nr 1211/2009 (11) oraz Komitetu ds. Łączności, o którym mowa w dyrektywie 2002/21/WE, europejskich i krajowych organów normalizacyjnych oraz Stałego Komitetu powołanego na mocy dyrektywy 98/34/WE (12), jak również niezależnych organów nadzorczych państw członkowskich powołanych na mocy dyrektywy 95/46/WE.
(38) Konieczne jest wdrożenie określonych zasad dotyczących zarządzania Agencją, aby spełnić wymogi wspólnego oświadczenia i wspólnego podejścia uzgodnionych w ramach międzyinstytucjonalnej grupy roboczej ds. agencji zdecentralizowanych UE w lipcu 2012 r., których celem jest usprawnienie działań Agencji i zwiększenie ich skuteczności.
(39) Wspólne oświadczenie i wspólne podejście powinny również znaleźć odpowiednie odzwierciedlenie w programach prac Agencji, jej ocenach, a także w sprawozdawczości Agencji i jej praktyce administracyjnej.
(40) Aby Agencja mogła prawidłowo funkcjonować, Komisja i państwa członkowskie powinny zapewnić, aby osoby, które mają zostać powołane na członków zarządu, posiadały odpowiednie doświadczenie zawodowe. Komisja i państwa członkowskie powinny również dołożyć starań, aby ograniczyć rotację swoich przedstawicieli w zarządzie, tak aby zapewnić ciągłość jego pracy.
(41) Istotne jest, aby Agencja zyskała i utrzymywała opinię bezstronnego i integralnego podmiotu o wysokich standardach zawodowych. W związku z tym zarząd powinien przyjąć kompleksowe, obejmujące całą Agencję zasady zapobiegania konfliktom interesów i zarządzania nimi.
(42) Z uwagi na specyfikę Agencji i poważne wyzwania, jakim musi sprostać, należy uprościć i umocnić jej strukturę organizacyjną, aby zapewnić większą efektywność i skuteczność Agencji. Należy zatem między innymi utworzyć radę wykonawczą Agencji, aby umożliwić zarządowi skupienie się na kwestiach o strategicznym znaczeniu.
(43) Zarząd powoła księgowego zgodnie z przepisami przyjętymi na mocy rozporządzenia Parlamentu Europejskiego i Rady (EU, Euratom) nr 966/2012 („rozporządzenie finansowe”) (13).
(44) Aby zapewnić skuteczność Agencji, państwa członkowskie i Komisja powinny być reprezentowane w zarządzie, który powinien określać ogólny kierunek działalności Agencji oraz zapewnić, aby wykonywała ona zadania zgodnie z niniejszym rozporządzeniem. Zarząd powinien posiadać uprawnienia niezbędne do uchwalania budżetu, kontroli jego wykonania, przyjmowania stosownych przepisów finansowych, ustalania przejrzystych procedur pracy w zakresie podejmowania decyzji przez Agencję, przyjmowania programu prac Agencji, uchwalania jej regulaminu wewnętrznego oraz wewnętrznych zasad działania, powoływania dyrektora wykonawczego, podejmowania decyzji o przedłużeniu jego mandatu po uzyskaniu opinii Parlamentu Europejskiego oraz do podejmowania decyzji o zakończeniu tego mandatu. Zarząd powinien ustanowić radę wykonawczą wspierającą go w realizacji powierzonych mu zadań administracyjnych i budżetowych.
(45) Sprawne funkcjonowanie Agencji wymaga, aby dyrektor wykonawczy był powoływany w oparciu o względy merytoryczne oraz udokumentowane zdolności administracyjne i zarządcze, a także kompetencje i doświadczenie w zakresie bezpieczeństwa sieci i informacji, oraz aby wykonywał swoje obowiązki w sposób całkowicie niezależny w odniesieniu do organizacji wewnętrznego funkcjonowania Agencji. W tym celu dyrektor wykonawczy powinien opracować propozycję programu prac Agencji, po uprzednim zasięgnięciu opinii Komisji, oraz podjąć wszystkie niezbędne czynności w celu zapewnienia prawidłowego wykonania tego programu. Dyrektor wykonawczy powinien przygotowywać roczne sprawozdanie dla zarządu, sporządzać preliminarz dochodów i wydatków Agencji oraz wykonywać budżet.
(46) Dyrektor wykonawczy powinien mieć możliwość powoływania grup roboczych ad hoc w celu rozwiązywania określonych kwestii, w szczególności o charakterze naukowym, technicznym bądź prawnym lub społeczno-gospodarczym. Powołując grupy robocze ad hoc, dyrektor wykonawczy powinien uzyskiwać i uwzględniać opinie odpowiednich ekspertów zewnętrznych, aby zapewnić Agencji dostęp do najnowszych informacji dostępnych na temat wyzwań związanych z bezpieczeństwem, jakie niesie ze sobą rozwój społeczeństwa informacyjnego. Dyrektor wykonawczy powinien zapewnić, aby członkowie grup roboczych ad hoc byli wybierani według najbardziej surowych kryteriów dotyczących kompetencji zawodowych, z należytym uwzględnieniem zrównoważonej reprezentacji – w zależności od specyfiki rozpatrywanych kwestii – przedstawicieli administracji publicznej państw członkowskich, instytucji Unii i sektora prywatnego, w tym przemysłu, użytkowników oraz ekspertów akademickich w dziedzinie bezpieczeństwa sieci i informacji. W stosownych przypadkach dyrektor wykonawczy powinien mieć możliwość zapraszania do udziału w pracach grup roboczych, po indywidualnym rozpatrzeniu każdej sprawy, poszczególnych ekspertów uznawanych za kompetentnych w danej dziedzinie. Agencja powinna pokrywać ich wydatki zgodnie ze swoim regulaminem wewnętrznym i przepisami przyjętymi na mocy rozporządzenia finansowego.
(47) Agencja powinna posiadać organ doradczy w postaci Stałej Grupy Przedstawicieli Zainteresowanych Stron w celu zapewnienia regularnego dialogu z sektorem prywatnym, organizacjami konsumenckimi i innymi odpowiednimi zainteresowanymi stronami. Stała Grupa Przedstawicieli Zainteresowanych Stron, utworzona przez zarząd na wniosek dyrektora wykonawczego, powinna skupiać się na zagadnieniach istotnych dla zainteresowanych stron i kierować na nie uwagę Agencji. W stosownych przypadkach i zgodnie z porządkiem obrad posiedzeń, dyrektor wykonawczy powinien mieć możliwość zapraszania do udziału w posiedzeniach tej grupy przedstawicieli Parlamentu Europejskiego oraz innych właściwych organów.
(48) W związku z szeroką reprezentacją zainteresowanych stron w Stałej Grupie Przedstawicieli Zainteresowanych Stron oraz uwzględniając fakt zasięgania opinii tej grupy w szczególności w sprawie projektu programu prac, uczestnictwo zainteresowanych stron w zarządzie nie jest już konieczne.
(49) Agencja powinna stosować odpowiednie przepisy prawa Unii dotyczące publicznego dostępu do dokumentów zawarte w rozporządzeniu (WE) nr 1049/2001 Parlamentu Europejskiego i Rady (14). Informacje przetwarzane przez Agencję do celów związanych z jej wewnętrznym funkcjonowaniem oraz informacje przetwarzane przy wykonywaniu jej zadań powinny podlegać rozporządzeniu (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (15).
(50) Agencja powinna działać zgodnie z przepisami mającymi zastosowanie do instytucji Unii oraz ustawodawstwem krajowym dotyczącym postępowania z dokumentami sensytywnymi.
(51) W celu zagwarantowania pełnej autonomii i niezależności Agencji oraz umożliwienia jej wykonywania dodatkowych oraz nowych zadań, w tym również nieprzewidzianych, nagłych zadań nadzwyczajnych, powinna ona posiadać wystarczający własny niezależny budżet, którego dochody pochodzą przede wszystkim z wkładu Unii oraz z wkładów państw trzecich uczestniczących w pracach Agencji. Większość personelu Agencji powinna pracować bezpośrednio przy operacyjnym wykonywaniu jej mandatu. Przyjmujące państwo członkowskie bądź jakiekolwiek inne państwo członkowskie powinno mieć możliwość dobrowolnego wnoszenia wkładu na rzecz dochodów Agencji. Procedura budżetowa Unii powinna nadal mieć zastosowanie do wszelkich dotacji pochodzących z budżetu ogólnego Unii Europejskiej. Ponadto Trybunał Obrachunkowy powinien przeprowadzać kontrolę sprawozdań finansowych Agencji w celu zapewnienia przejrzystości i odpowiedzialności.
(52) Ze względu na nieustannie zmieniający się charakter zagrożeń oraz ewolucję unijnej polityki w zakresie bezpieczeństwa sieci i informacji, a także w celu dostosowania do wieloletnich ram finansowych, mandat Agencji powinien być ustanowiony na czas określony wynoszący siedem lat z możliwością przedłużenia tego okresu.
(53) Działalność Agencji powinna być oceniana w sposób niezależny. Ocena ta powinna dotyczyć skuteczności Agencji w realizacji jej celów, metod pracy i zasadności zadań, w celu ustalenia, czy cele Agencji są w dalszym ciągu zasadne, oraz na tej podstawie, czy należy przedłużyć jej mandat i ewentualnie na jaki okres.
(54) W przypadku gdy pod koniec mandatu Agencji Komisja nie złoży wniosku o jego przedłużenie, Agencja i Komisja podejmą odpowiednie działania w celu uregulowania w szczególności kwestii umów z pracownikami i rozwiązań budżetowych.
(55) Ponieważ cel niniejszego rozporządzenia, a mianowicie ustanowienie Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji, aby przyczynić się do wysokiego poziomu bezpieczeństwa sieci i informacji w Unii i podniesienia poziomu wiedzy oraz rozwijania i wspierania kultury bezpieczeństwa sieci i informacji w społeczeństwie na rzecz obywateli, konsumentów, przedsiębiorstw i organizacji sektora publicznego w Unii, wnosząc w ten sposób wkład w tworzenie i prawidłowe funkcjonowanie rynku wewnętrznego, nie może zostać w osiągnięty w sposób wystarczający przez państwa członkowskie, natomiast możliwe jest lepsze jego osiągnięcie na poziomie Unii, Unia może podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności, określoną w tym artykule, niniejsze rozporządzenie nie może wykraczać poza to, co jest konieczne do osiągnięcia tego celu.
(56) Należy uchylić rozporządzenie (WE) nr 460/2004.
(57) Zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 zasięgnięto opinii Europejskiego Inspektora Ochrony Danych, który wydał opinię w dniu 20 grudnia 2010 r. (16),
PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:
SEKCJA 1,
ZAKRES STOSOWANIA, CELE I ZADANIA
Artykuł 1
Przedmiot i zakres stosowania
1. Niniejsze rozporządzenie ustanawia Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA, zwaną dalej „Agencją” ) w celu realizacji powierzonych jej zadań służących zapewnieniu wysokiego poziomu bezpieczeństwa sieci i informacji w Unii oraz w celu podnoszenia poziomu wiedzy w zakresie bezpieczeństwa sieci i informacji oraz rozwijania i wspierania kultury bezpieczeństwa sieci i informacji na rzecz obywateli, konsumentów, przedsiębiorstw oraz organizacji sektora publicznego w Unii, przyczyniając się tym samym do tworzenia i prawidłowego funkcjonowania rynku wewnętrznego.
2. Cele i zadania Agencji pozostają bez uszczerbku dla kompetencji państw członkowskich w zakresie bezpieczeństwa sieci i informacji, a w każdym przypadku dla działań związanych z bezpieczeństwem publicznym, obroną, bezpieczeństwem narodowym (w tym również dobrobytem gospodarczym państwa w przypadku kwestii, które dotyczą kwestii bezpieczeństwa narodowego) oraz działań państwa w dziedzinie prawa karnego.
3. Do celów niniejszego rozporządzenia „bezpieczeństwo sieci i informacji” oznacza zdolność sieci lub systemu informatycznego do przeciwstawienia się, przy określonym poziomie poufności, przypadkowym zdarzeniom lub nielegalnym bądź podstępnym działaniom, naruszającym dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych oraz związanych z nimi usług oferowanych lub dostępnych poprzez te sieci i systemy.
Artykuł 2
Cele
1. Agencja rozwija i utrzymuje wysoki poziom wiedzy specjalistycznej.
2. Agencja pomaga instytucjom, organom, urzędom i agencjom Unii w opracowywaniu polityk z zakresu bezpieczeństwa sieci i informacji.
3. Agencja pomaga instytucjom, organom, urzędom i agencjom Unii oraz państwom członkowskim w realizacji polityki niezbędnej do spełniania wymogów prawnych i regulacyjnych w zakresie bezpieczeństwa sieci i informacji określonych w obowiązujących i przyszłych aktach prawnych Unii, przyczyniając się tym samym do prawidłowego funkcjonowania rynku wewnętrznego.
4. Agencja pomaga Unii i państwom członkowskim w zwiększaniu i wzmacnianiu ich zdolności i gotowości do zapobiegania problemom i incydentom w zakresie bezpieczeństwa sieci i informacji, ich wykrywania oraz skutecznego reagowania na te zdarzenia.
5. Agencja wykorzystuje swoją wiedzę specjalistyczną do pobudzania szeroko zakrojonej współpracy między podmiotami sektora publicznego i prywatnego.
Artykuł 3
Zadania
1. W ramach celu określonego w art. 1 oraz aby osiągnąć cele określone w art. 2, przy jednoczesnym poszanowaniu art. 1 ust. 2, Agencja wykonuje następujące zadania:
a) wspiera opracowywanie polityki i prawa Unii poprzez:
(i) pomoc i doradztwo we wszystkich sprawach dotyczących polityki i prawa Unii w dziedzinie bezpieczeństwa sieci i informacji;
(ii) wykonywanie prac przygotowawczych, zapewnianie doradztwa i analiz dotyczących rozwoju i aktualizacji polityki i prawa Unii w dziedzinie bezpieczeństwa sieci i informacji;
(iii) analizowanie publicznie dostępnych strategii bezpieczeństwa sieci i informacji oraz wspieranie publikacji tych strategii;
b) wspiera budowanie potencjału poprzez:
(i) wspieranie państw członkowskich, na ich wniosek, w staraniach na rzecz opracowywania i poprawy możliwości w zakresie zapobiegania problemom i zdarzeniom w dziedzinie bezpieczeństwa sieci i informacji, wykrywania i analizowania tych problemów i zdarzeń oraz w zakresie zdolności reagowania na nie, a także zapewnianie państwom członkowskim niezbędnej wiedzy;
(ii) wpieranie i ułatwianie dobrowolnej współpracy między państwami członkowskimi oraz między instytucjami, organami, urzędami i agencjami Unii i państwami członkowskimi w zakresie podejmowanych przez nie wysiłków na rzecz zapobiegania problemom i incydentom związanym z bezpieczeństwem sieci i informacji, ich wykrywania oraz reagowania na te zdarzenia w przypadku gdy mają one skutki transgraniczne;
(iii) udzielanie pomocy instytucjom, organom, urzędom i agencjom Unii w podejmowanych przez nie wysiłkach na rzecz rozwijania potencjału w zakresie zapobiegania problemom i zdarzeniom w dziedzinie bezpieczeństwa sieci i informacji, wykrywania i analizowania tych problemów i zdarzeń, oraz w zakresie zdolności reagowania na nie, w szczególności poprzez wspieranie działania zespołu reagowania na incydenty komputerowe (CERT) na ich rzecz;
(iv) wspieranie umacniania potencjału krajowych, rządowych i unijnych zespołów CERT, w tym poprzez promowanie dialogu i wymiany informacji, w celu zapewnienia, aby każdy zespół CERT, zgodnie ze stanem wiedzy, spełniał szereg wspólnych minimalnych wymogów dotyczących kompetencji oraz działał zgodnie z najlepszymi praktykami;
(v) wspieranie organizacji i prowadzenia unijnych ćwiczeń z zakresu bezpieczeństwa sieci i informacji oraz doradzanie państwom członkowskim, na ich wniosek, w zakresie ćwiczeń krajowych;
(vi) udzielanie pomocy instytucjom, organom, urzędom i agencjom Unii oraz państwom członkowskim w staraniach na rzecz gromadzenia, analizowania oraz – zgodnie z wymogami państw członkowskich w zakresie bezpieczeństwa – rozpowszechniania stosownych danych dotyczących bezpieczeństwa sieci i informacji; a także, na podstawie informacji dostarczanych przez instytucje, organy, urzędy i agencje Unii oraz państwa członkowskie zgodnie z przepisami prawa Unii i przepisami prawa krajowego zgodnymi z prawem Unii, utrzymywanie bieżącej wiedzy instytucji, organów, urzędów i agencji Unii w zakresie stanu bezpieczeństwa sieci i informacji w Unii, z korzyścią dla tych instytucji, organów, urzędów i agencji Unii oraz państw członkowskich;
(vii) wspieranie opracowywania unijnego mechanizmu wczesnego ostrzegania, uzupełniającego mechanizmy państw członkowskich;
(viii) oferowanie szkoleń w zakresie bezpieczeństwa sieci i informacji dla odpowiednich organów władz publicznych, w razie potrzeby we współpracy z zainteresowanymi stronami;
c) wspiera dobrowolną współpracę między właściwymi organami publicznymi oraz między zainteresowanymi stronami, w tym również uniwersytetami i ośrodkami badawczymi w Unii, oraz wspiera zwiększanie świadomości, między innymi poprzez:
(i) promowanie współpracy między krajowymi i rządowymi zespołami CERT lub zespołami reagowania na komputerowe incydenty naruszające bezpieczeństwo (CSIRT), w tym również CERT działającymi na rzecz instytucji, organów, urzędów i agencji Unii;
(ii) wspieranie opracowywania i wymiany najlepszych praktyk, aby osiągnąć wysoki poziom bezpieczeństwa sieci i informacji;
(iii) ułatwianie dialogu i wspieranie wysiłków na rzecz opracowywania i wymiany najlepszych praktyk;
(iv) promowanie najlepszych praktyk w zakresie wymiany informacji i zwiększania świadomości;
(v) wspieranie instytucji, organów, urzędów i agencji Unii, państw członkowskich oraz ich odpowiednich organów w organizacji działań na rzecz zwiększania świadomości, w tym na poziomie indywidualnych użytkowników, oraz innych działań w tym zakresie służących zwiększeniu bezpieczeństwa sieci i informacji oraz ich wyeksponowaniu poprzez dostarczenie najlepszych praktyk i wytycznych;
d) wspiera badania naukowe oraz rozwój i normalizację poprzez:
(i) ułatwianie utworzenia i wprowadzenia europejskich i międzynarodowych norm dotyczących zarządzania ryzykiem oraz bezpieczeństwa produktów, systemów, sieci i usług elektronicznych;
(ii) doradzanie Unii i państwom członkowskim w zakresie potrzeb badawczych z dziedziny bezpieczeństwa sieci i informacji z myślą o skutecznym reagowaniu na bieżące i pojawiające się ryzyko oraz zagrożenia dla bezpieczeństwa sieci i informacji, w tym również w odniesieniu do nowych i wschodzących ICT, a także z myślą o skutecznym stosowaniu technologii zapobiegania ryzyku;
e) współpracuje z instytucjami, organami, urzędami i agencjami Unii, w tym również z podmiotami zajmującymi się cyberprzestępczością i ochroną prywatności i danych osobowych, w celu rozwiązania wspólnych problemów, w tym poprzez:
(i) wymianę know-how i najlepszych praktyk;
(ii) doradztwo w sprawie odpowiednich aspektów bezpieczeństwa sieci i informacji w celu rozwoju synergii;
f) wnosi wkład w starania Unii na rzecz współpracy z państwami trzecimi i organizacjami międzynarodowymi w celu promowania współpracy międzynarodowej w kwestii bezpieczeństwa sieci i informacji, w tym poprzez:
(i) udział, w stosownych przypadkach, w charakterze obserwatora oraz w organizacji międzynarodowych ćwiczeń, oraz analizowanie i informowanie o ich wynikach;
(ii) ułatwianie wymiany najlepszych praktyk odpowiednich organizacji;
(iii) zapewnianie instytucjom Unii wiedzy specjalistycznej.
2. Instytucje, organy, urzędy i agencje Unii oraz organy państw członkowskich mogą zwracać się o doradztwo do Agencji w przypadku naruszenia bezpieczeństwa lub utraty integralności, które wywarły znaczący wpływ na funkcjonowanie sieci lub usług.
3. Agencja realizuje zadania powierzone jej na mocy aktów prawnych Unii.
4. Agencja formułuje w sposób niezależny wnioski i wskazówki oraz doradza w sprawach wchodzących w zakres niniejszego rozporządzenia oraz jego celów.
SEKCJA 2
ORGANIZACJA
Artykuł 4
Skład Agencji
1. W skład Agencji wchodzą:
a) zarząd;
b) dyrektor wykonawczy i jego personel; oraz
c) Stała Grupa Przedstawicieli Zainteresowanych Stron.
2. Aby przyczynić się do zwiększenia skuteczności i wydajności pracy Agencji, zarząd ustanawia radę wykonawczą.
Artykuł 5
Zarząd
1. Zarząd określa ogólny kierunek działalności Agencji oraz zapewnia, aby praca Agencji odbywała się zgodnie z przepisami i zasadami określonymi w niniejszym rozporządzeniu. Zarząd zapewnia również spójność pracy Agencji z działaniami państw członkowskich oraz działaniami na poziomie Unii.
2. Zarząd przyjmuje roczny program prac Agencji oraz wieloletni program prac Agencji.
3. Zarząd przyjmuje roczne sprawozdanie z działalności Agencji oraz przesyła je do dnia 1 lipca następnego roku Parlamentowi Europejskiemu, Radzie, Komisji i Trybunałowi Obrachunkowemu. Roczne sprawozdanie zawiera sprawozdanie finansowe i opisuje sposób wykonania przez Agencję wskaźników wyników. Roczne sprawozdanie jest podawane do wiadomości publicznej.
4. Zarząd przyjmuje strategię przeciwdziałania nadużyciom, która jest proporcjonalna do ryzyka nadużyć, z uwzględnieniem analizy kosztów i korzyści środków, które mają być wdrożone.
5. Zarząd zapewnia odpowiednie działania następcze w związku ze stwierdzonymi faktami i zaleceniami wynikającymi z dochodzeń przeprowadzanych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) oraz z różnych sprawozdań z kontroli i ocen, zarówno wewnętrznych, jak i zewnętrznych.
6. Zarząd przyjmuje zasady dotyczące zapobiegania konfliktom interesów i zarządzania nimi.
7. W odniesieniu do personelu Agencji zarząd wykonuje uprawnienia przyznane mu na mocy Regulaminu pracowniczego urzędników i warunków zatrudnienia innych pracowników Unii Europejskiej (zwanego dalej „regulaminem pracowniczym” i „warunkami zatrudnienia innych pracowników”), ustanowionego rozporządzeniem (EWG, Euratom, EWWiS) nr 259/68 (17), dotyczące odpowiednio organu powołującego i organu uprawnionego do zawierania umów o pracę.
Zarząd przyjmuje, zgodnie z procedurą określoną w art. 110 regulaminu pracowniczego, decyzję na podstawie art. 2 ust. 1 regulaminu pracowniczego i art. 6 warunków zatrudnienia innych pracowników dotyczącą przekazania odpowiednich uprawnień organu powołującego dyrektorowi wykonawczemu. Dyrektor wykonawczy może dalej przekazać te uprawnienia.
W przypadku gdy wymagają tego nadzwyczajne okoliczności, zarząd może odwołać przekazanie uprawnień organu powołującego dyrektorowi wykonawczemu oraz uprawnienia dalej przekazane przez dyrektora wykonawczego. W takim przypadku zarząd może przekazać te uprawnienia na określony czas jednemu z członków zarządu lub pracownikowi innemu niż dyrektor wykonawczy.
8. Zarząd przyjmuje odpowiednie przepisy wykonawcze do regulaminu pracowniczego i warunków zatrudnienia innych pracowników zgodnie z procedurą przewidzianą w art. 110 regulaminu pracowniczego.
9. Zarząd powołuje dyrektora wykonawczego i może przedłużyć jego kadencję lub odwołać go ze stanowiska zgodnie z art. 24 niniejszego rozporządzenia.
10. Zarząd przyjmuje swój regulamin wewnętrzny oraz regulamin wewnętrzny rady wykonawczej po konsultacji z Komisją. Regulamin wewnętrzny przewiduje podejmowanie decyzji w trybie przyspieszonym w procedurze pisemnej lub za pośrednictwem telekonferencji.
11. Zarząd przyjmuje wewnętrzne zasady działania Agencji po konsultacji ze służbami Komisji. Zasady te są podawane do wiadomości publicznej.
12. Zarząd przyjmuje przepisy finansowe mające zastosowanie do Agencji. Nie mogą one zawierać odstępstw od rozporządzenia Komisji (WE, Euratom) nr 2343/2002 z dnia 19 listopada 2002 r. w sprawie ramowego rozporządzenia finansowego dotyczącego organów określonych w artykule 185 rozporządzenia Rady (WE, Euratom) nr 1605/2002 w sprawie rozporządzenia finansowego mającego zastosowanie do budżetu ogólnego Wspólnot Europejskich (18), chyba że takie odstępstwa są szczególnie niezbędne dla funkcjonowania Agencji, a Komisja wyrazi na nie uprzednią zgodę.
13. Zarząd przyjmuje wieloletni plan polityki kadrowej po konsultacji ze służbami Komisji oraz należytym poinformowaniu Parlamentu Europejskiego i Rady.
Artykuł 6
Skład zarządu
1. W skład zarządu wchodzi po jednym przedstawicielu każdego z państw członkowskich oraz dwóch przedstawicieli wyznaczonych przez Komisję. Prawo głosu przysługuje wszystkim przedstawicielom.
2. Każdy z członków zarządu posiada zastępcę, który reprezentuje członka w przypadku jego nieobecności.
3. Członkowie zarządu i ich zastępcy są powoływani ze względu na znajomość zadań i celów Agencji, z uwzględnieniem ich zdolności kierowniczych, administracyjnych i budżetowych istotnych dla wykonania zadań wymienionych w art. 5. Komisja i państwa członkowskie powinny dołożyć starań, aby ograniczyć rotację swoich przedstawicieli w zarządzie w celu zapewnienia ciągłości jego prac. Komisja i państwa członkowskie dążą do zapewnienia zrównoważonej reprezentacji kobiet i mężczyzn w zarządzie.
4. Kadencja członków zarządu i ich zastępców wynosi cztery lata. Kadencja ta jest odnawialna.
Artykuł 7
Przewodniczący zarządu
1. Zarząd wybiera spośród swoich członków przewodniczącego i zastępcę przewodniczącego na okres trzech lat z możliwością odnowienia. Zastępca przewodniczącego zastępuje z urzędu przewodniczącego, jeżeli przewodniczący nie jest w stanie pełnić swoich obowiązków.
2. Przewodniczący może zostać wezwany do złożenia oświadczenia przed odpowiednią komisją lub komisjami Parlamentu Europejskiego i udzielenia odpowiedzi na pytania zadane przez członków.
Artykuł 8
Posiedzenia
1. Posiedzenia zarządu są zwoływane przez jego przewodniczącego.
2. Zwyczajne posiedzenia zarządu odbywają się co najmniej raz w roku. Na wniosek przewodniczącego lub co najmniej jednej trzeciej członków zarządu odbywają się również posiedzenia nadzwyczajne zarządu.
3. Dyrektor wykonawczy bierze udział w posiedzeniach zarządu bez prawa głosu.
Artykuł 9
Głosowanie
1. Zarząd podejmuje decyzje bezwzględną większością głosów swoich członków.
2. Do przyjęcia regulaminu wewnętrznego zarządu, wewnętrznych zasad działania Agencji, budżetu, rocznego i wieloletniego programu prac, do powołania, przedłużenia kadencji lub odwołania dyrektora wykonawczego oraz do powołania przewodniczącego zarządu wymagana jest większość dwóch trzecich głosów wszystkich członków zarządu.
Artykuł 10
Rada wykonawcza
1. Zarządowi pomaga rada wykonawcza.
2. Rada wykonawcza przygotowuje decyzje, które mają zostać podjęte przez zarząd jedynie w sprawach administracyjnych i budżetowych.
Wraz z zarządem rada wykonawcza zapewnia odpowiednie działania następcze w związku ze stwierdzonymi faktami i zaleceniami wynikającymi z dochodzeń przeprowadzanych przez OLAF oraz z różnych sprawozdań z kontroli i ocen, zarówno wewnętrznych, jak i zewnętrznych.
Bez uszczerbku dla obowiązków dyrektora wykonawczego, określonych w art. 11, rada wykonawcza wspiera dyrektora wykonawczego i doradza mu przy wdrażaniu decyzji zarządu w sprawach administracyjnych i budżetowych.
3. W skład rady wykonawczej wchodzi pięciu członków wybranych spośród członków zarządu, w tym przewodniczący zarządu, który może również przewodniczyć radzie wykonawczej, oraz jeden z przedstawicieli Komisji.
4. Kadencja członków rady wykonawczej odpowiada kadencji członków zarządu określonej w art. 6 ust. 4.
5. Posiedzenia rady wykonawczej odbywają się co najmniej raz na trzy miesiące. Na wniosek członków przewodniczący rady wykonawczej zwołuje dodatkowe posiedzenia.
Artykuł 11
Obowiązki dyrektora wykonawczego
1. Agencja jest zarządzana przez dyrektora wykonawczego, który zachowuje niezależność podczas pełnienia swoich obowiązków.
2. Dyrektor wykonawczy jest odpowiedzialny za:
a) bieżące zarządzanie Agencją;
b) wdrażanie decyzji podjętych przez zarząd;
c) opracowanie, po konsultacji z zarządem, rocznego programu prac i wieloletniego programu prac oraz przedłożenie ich zarządowi po konsultacji z Komisją;
d) wykonanie rocznego programu prac i wieloletniego programu prac oraz przedstawienie zarządowi sprawozdania z ich wykonania;
e) przygotowanie rocznego sprawozdania z działalności Agencji i przedstawienie go zarządowi do zatwierdzenia;
f) przygotowanie planu działania w następstwie wniosków z wcześniejszych ocen oraz przedkładanie Komisji co dwa lata sprawozdania z postępów;
g) ochronę interesów finansowych Unii poprzez stosowanie środków zapobiegawczych przed nadużyciami finansowymi, korupcją i jakąkolwiek inną nielegalną działalnością, przez skuteczne kontrole, a w przypadku wykrycia nieprawidłowości, poprzez odzyskanie nienależycie wypłaconych kwot, a w stosownych przypadkach, poprzez skuteczne, proporcjonalne i odstraszające sankcje administracyjne i finansowe;
h) przygotowanie strategii Agencji na rzecz przeciwdziałania nadużyciom i przedstawienie jej zarządowi do zatwierdzenia;
i) zapewnienie wykonywania zadań przez Agencję zgodnie z wymogami podmiotów korzystających z jej usług, w szczególności w odniesieniu do ich adekwatności;
j) nawiązywanie i utrzymywanie kontaktów z instytucjami, organami, urzędami i agencjami Unii;
k) nawiązywanie i utrzymywanie kontaktów ze środowiskiem przedsiębiorców i organizacjami konsumenckimi w celu zapewnienia regularnego dialogu z odpowiednimi zainteresowanymi stronami;
l) realizację innych zadań powierzonych dyrektorowi wykonawczemu na mocy niniejszego rozporządzenia.
3. W razie konieczności oraz w ramach celów i zadań Agencji dyrektor wykonawczy może tworzyć grupy robocze ad hoc złożone z ekspertów, w tym ekspertów reprezentujących właściwe organy państw członkowskich. Zarząd jest o tym informowany z wyprzedzeniem. Procedury dotyczące w szczególności składu, powoływania ekspertów przez dyrektora wykonawczego oraz działania grup roboczych ad hoc są określone w wewnętrznych zasadach działania Agencji.
4. W razie konieczności dyrektor wykonawczy udostępnia zarządowi i radzie wykonawczej personel administracyjny i inne zasoby.
Artykuł 12
Stała Grupa Przedstawicieli Zainteresowanych Stron
1. Zarząd ustanawia, działając na wniosek dyrektora wykonawczego, Stałą Grupę Przedstawicieli Zainteresowanych Stron złożoną z renomowanych ekspertów reprezentujących odpowiednie zainteresowane strony, takie jak sektor ICT, dostawcy publicznie dostępnych sieci lub usług łączności elektronicznej, grupy konsumenckie, eksperci akademiccy w dziedzinie bezpieczeństwa sieci i informacji oraz przedstawiciele krajowych organów regulacyjnych zgłoszonych na mocy dyrektywy 2002/21/WE, a także unijne organy egzekwowania prawa i ochrony prywatności.
2. Procedury dotyczące w szczególności liczby, składu i powoływania członków Stałej Grupy Przedstawicieli Zainteresowanych Stron przez zarząd, wniosku dyrektora wykonawczego, a także funkcjonowanie grupy, są określone w wewnętrznych zasadach działania Agencji i podawane do wiadomości publicznej.
3. Stałej Grupie Przedstawicieli Zainteresowanych Stron przewodniczy dyrektor wykonawczy lub jakakolwiek osoba wyznaczona w danym przypadku przez dyrektora wykonawczego.
4. Kadencja członków Stałej Grupy Przedstawicieli Zainteresowanych Stron wynosi dwa i pół roku. Członkowie zarządu nie mogą być członkami Stałej Grupy Przedstawicieli Zainteresowanych Stron. Eksperci z Komisji i z państw członkowskich mają prawo do udziału w posiedzeniach i pracach Stałej Grupy Przedstawicieli Zainteresowanych Stron. Przedstawiciele innych organów uznanych przez dyrektora wykonawczego za właściwe, którzy nie są członkami Stałej Grupy Przedstawicieli Zainteresowanych Stron, mogą być zapraszani na jej posiedzenia i uczestniczyć w jej pracach.
5. Stała Grupa Przedstawicieli Zainteresowanych Stron doradza Agencji w związku z realizacją jej działań. Doradza w szczególności dyrektorowi wykonawczemu w sprawie przygotowania projektu programu prac Agencji oraz zapewnienia komunikacji z odpowiednimi zainteresowanymi stronami we wszystkich kwestiach związanych z programem prac.
SEKCJA 3
DZIAŁALNOŚĆ
Artykuł 13
Program prac
1. Agencja prowadzi działalność zgodnie z rocznym i wieloletnim programem prac, który zawiera wszystkie jej planowane działania.
2. Program prac zawiera odpowiednio dostosowane wskaźniki wyników umożliwiające skuteczną ocenę osiągnięć w zakresie realizacji celów.
3. Dyrektor wykonawczy jest odpowiedzialny za opracowanie projektu programu prac Agencji po uprzedniej konsultacji ze służbami Komisji. Przed dniem 15 marca każdego roku dyrektor wykonawczy przedstawia zarządowi program prac na następny rok.
4. Do dnia 30 listopada każdego roku zarząd przyjmuje program prac Agencji na następny rok po uzyskaniu opinii Komisji. Program prac uwzględnia zarys wieloletni. Zarząd zapewnia spójność programu prac z celami Agencji, a także z priorytetami wynikającymi z prawa i polityki Unii w dziedzinie bezpieczeństwa sieci i informacji.
5. Struktura programu prac jest oparta na zasadzie zarządzania kosztami działań. Program prac jest zgodny z preliminarzem dochodów i wydatków Agencji oraz z budżetem Agencji na dany rok budżetowy.
6. Po przyjęciu programu prac przez zarząd dyrektor wykonawczy przekazuje go Parlamentowi Europejskiemu, Radzie, Komisji oraz państwom członkowskim, a także publikuje go. Na zaproszenie odpowiedniej komisji Parlamentu Europejskiego dyrektor wykonawczy przedstawia przyjęty roczny program prac i prowadzi wymianę poglądów na ten temat.
Artykuł 14
Wnioski kierowane do Agencji
1. Wnioski o udzielenie doradztwa i pomocy w zakresie odpowiadającym celom i zadaniom Agencji kieruje się do dyrektora wykonawczego wraz z informacjami uzupełniającymi wyjaśniającymi zgłaszane zagadnienie. Dyrektor wykonawczy informuje zarząd i radę wykonawczą o otrzymanych wnioskach, potencjalnych konsekwencjach pod względem zasobów oraz, w odpowiednim terminie, o dalszych działaniach podjętych w odniesieniu do wniosków. W przypadku odrzucenia wniosku przez Agencję uzasadnia ona tę decyzję.
2. Wnioski, o których mowa w ust. 1, mogą być zgłaszane przez:
a) Parlament Europejski;
b) Radę;
c) Komisję;
d) jakikolwiek inny właściwy organ wyznaczony przez państwo członkowskie, taki jak krajowy organ regulacyjny określony w art. 2 dyrektywy 2002/21/WE.
3. Praktyczne rozwiązania w zakresie stosowania ust. 1 i 2, dotyczące w szczególności składania wniosków, określania priorytetów, podejmowania działań w odniesieniu do wniosków oraz informowania zarządu i rady wykonawczej o wnioskach skierowanych do Agencji, są określane przez zarząd w wewnętrznych zasadach działania Agencji.
Artykuł 15
Oświadczenie dotyczące konfliktu interesów
1. Członkowie zarządu, dyrektor wykonawczy oraz urzędnicy oddelegowani czasowo przez państwa członkowskie składają oświadczenie dotyczące zobowiązań oraz oświadczenie wskazujące na brak lub istnienie jakichkolwiek bezpośrednich lub pośrednich interesów, które mogłyby zostać uznane za szkodzące ich niezależności. Oświadczenia te muszą być dokładne i wyczerpujące, składane co roku na piśmie i w razie konieczności aktualizowane.
2. Członkowie zarządu, dyrektor wykonawczy i eksperci zewnętrzni uczestniczący w grupach roboczych ad hoc dokładnie i wyczerpująco zgłaszają najpóźniej na początku każdego posiedzenia wszelkie interesy, które mogłyby zostać uznane za szkodzące ich niezależności w odniesieniu do zagadnień przewidzianych w porządku obrad oraz powstrzymują się od udziału w dyskusjach i głosowaniach dotyczących tych punktów.
3. W wewnętrznych zasadach działania Agencja określa praktyczne rozwiązania w zakresie zasad w odniesieniu do oświadczeń dotyczących konfliktu interesów, o których mowa w ust. 1 i 2.
Artykuł 16
Przejrzystość
1. Agencja zapewnia wykonywanie swoich działań w oparciu o wysoki poziom przejrzystości oraz zgodnie z art. 17 i 18.
2. Agencja zapewnia, aby podmioty publiczne i wszelkie inne zainteresowane strony otrzymywały odpowiednie, obiektywne, wiarygodne i łatwo dostępne informacje, w szczególności w odniesieniu do wyników jej pracy. Agencja publikuje również oświadczenia dotyczące konfliktu interesów złożone zgodnie z art. 15.
3. Zarząd, działając na wniosek dyrektora wykonawczego, może upoważnić zainteresowane strony do obserwowania przebiegu niektórych działań Agencji.
4. W wewnętrznych zasadach działania Agencja określa praktyczne rozwiązania w zakresie wdrażania zasad przejrzystości, o których mowa w ust. 1 i 2.
Artykuł 17
Poufność
1. Bez uszczerbku dla art. 18, Agencja nie ujawnia osobom trzecim przetwarzanych lub otrzymywanych informacji, w odniesieniu do których zgłoszono uzasadniony wniosek o zachowanie poufności części lub całości tych informacji.
2. Członkowie zarządu, dyrektor wykonawczy, członkowie Stałej Grupy Przedstawicieli Zainteresowanych Stron, eksperci zewnętrzni uczestniczący w pracach grup roboczych ad hoc oraz członkowie personelu Agencji, w tym również urzędnicy oddelegowani czasowo przez państwa członkowskie, podlegają wymogom dotyczącym poufności określonym w art. 339 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE), nawet po zakończeniu pełnienia swoich obowiązków.
3. W swoich wewnętrznych zasadach działania Agencja określa praktyczne rozwiązania w zakresie wdrażania zasad poufności, o których mowa w ust. 1 i 2.
4. Jeżeli wymaga tego realizacja zadań przez Agencję, zarząd podejmuje decyzję o pozwoleniu Agencji na korzystanie z informacji niejawnych. W takim przypadku zarząd, w porozumieniu ze służbami Komisji, przyjmuje wewnętrzne zasady działania uwzględniające zasady bezpieczeństwa określone w decyzji Komisji 2001/844/WE, EWWiS, Euratom z dnia 29 listopada 2001 r. zmieniającej jej regulamin wewnętrzny (19). Zasady te obejmują, między innymi, przepisy dotyczące wymiany, przetwarzania i przechowywania informacji niejawnych.
Artykuł 18
Dostęp do dokumentów
1. Rozporządzenie (WE) nr 1049/2001 ma zastosowanie do dokumentów pozostających w posiadaniu Agencji.
2. Zarząd przyjmuje ustalenia dotyczące wykonania rozporządzenia (WE) nr 1049/2001 w ciągu sześciu miesięcy od ustanowienia Agencji.
3. Decyzje przyjęte przez Agencję na mocy art. 8 rozporządzenia (WE) nr 1049/2001 mogą być przedmiotem skarg składanych do Europejskiego Rzecznika Praw Obywatelskich na mocy art. 228 TFUE lub spraw kierowanych do Trybunału Sprawiedliwości Unii Europejskiej na mocy art. 263 TFUE.
SEKCJA 4
PRZEPISY FINANSOWE
Artykuł 19
Przyjęcie budżetu
1. Dochody Agencji składają się z wkładu pochodzącego z budżetu Unii, wkładów państw trzecich uczestniczących w pracach Agencji, zgodnie z art. 30, oraz dobrowolnych finansowych lub rzeczowych wkładów państw członkowskich. Państwa członkowskie dobrowolnie wnoszące wkład nie mogą domagać się przyznania im w zamian żadnych specjalnych praw ani świadczeń.
2. Wydatki Agencji obejmują wydatki na personel, wsparcie administracyjne i techniczne, infrastrukturę i działalność operacyjną oraz wydatki wynikające z umów zawartych ze stronami trzecimi.
3. Do dnia 1 marca każdego roku dyrektor wykonawczy sporządza projekt zestawienia zawierającego szacunkowe dochody i wydatki Agencji w następnym roku budżetowym oraz przekazuje ten projekt zarządowi wraz z planem zatrudnienia.
4. Dochody i wydatki równoważą się.
5. Każdego roku zarząd opracowuje, na podstawie projektu zestawienia zawierającego szacunkowe dochody i wydatki sporządzonego przez dyrektora wykonawczego, szacunkowe zestawienie dochodów i wydatków Agencji w następnym roku budżetowym.
6. Do dnia 31 marca każdego roku zarząd przesyła Komisji oraz państwom trzecim, z którymi Unia zawarła umowy zgodnie z art. 30, to szacunkowe zestawienie obejmujące projekt planu zatrudnienia wraz z projektem programu prac.
7. Komisja przekazuje to szacunkowe zestawienie Parlamentowi Europejskiemu i Radzie wraz z projektem budżetu ogólnego Unii.
8. Na podstawie tego szacunkowego zestawienia Komisja wprowadza do projektu budżetu ogólnego Unii dane, które uważa za niezbędne w związku z planem zatrudnienia, oraz kwotę subwencji obciążającej budżet ogólny, oraz przekazuje go Parlamentowi Europejskiemu i Radzie zgodnie z art. 314 TFUE.
9. Parlament Europejski i Rada zatwierdzają środki na subwencję dla Agencji.
10. Parlament Europejski i Rada przyjmują plan zatrudnienia Agencji.
11. Zarząd przyjmuje budżet Agencji równocześnie z programem prac. Budżet staje się ostateczny po ostatecznym przyjęciu budżetu ogólnego Unii. W stosownych przypadkach zarząd dostosowuje budżet i program prac Agencji zgodnie z budżetem ogólnym Unii. Zarząd niezwłocznie przekazuje budżet Parlamentowi Europejskiemu, Radzie oraz Komisji.
Artykuł 20
Zwalczanie nadużyć finansowych
1. W celu ułatwienia zwalczania nadużyć finansowych, korupcji i wszelkiej nielegalnej działalności zgodnie z rozporządzeniem (WE) nr 1073/1999 (20), Agencja, w ciągu sześciu miesięcy od dnia rozpoczęcia swojej działalności, przystępuje do Porozumienia Międzyinstytucjonalnego z dnia 25 maja 1999 r. dotyczącego dochodzeń wewnętrznych prowadzonych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) (21) oraz przyjmuje odpowiednie przepisy mające zastosowanie do wszystkich pracowników Agencji w oparciu o wzór określony w załączniku do tego porozumienia.
2. Trybunał Obrachunkowy jest uprawniony do kontroli, na podstawie dokumentacji i na miejscu, wobec wszystkich beneficjentów dotacji, wykonawców i podwykonawców, którzy otrzymują od Agencji unijne środki finansowe.
3. OLAF może przeprowadzać dochodzenia, w tym kontrole na miejscu i inspekcje, zgodnie z przepisami i procedurami określonymi w rozporządzeniu (WE) nr 1073/1999 oraz w rozporządzeniu Rady (Euratom, WE) nr 2185/96 z dnia 11 listopada 1996 r. w sprawie kontroli na miejscu i inspekcji przeprowadzanych przez Komisję w celu ochrony interesów finansowych Wspólnot Europejskich przed nadużyciami finansowymi i innymi nieprawidłowościami (22), aby ustalić, czy miały miejsce nadużycia finansowe, korupcja lub jakakolwiek inna nielegalna działalność na szkodę interesów finansowych Unii w związku z dokonywanym przez Agencję finansowaniem dotacji lub umowy.
4. Bez uszczerbku dla ust. 1, 2 i 3, w umowach o współpracy z państwami trzecimi i organizacjami międzynarodowymi, zamówieniach, umowach o udzielenie dotacji i decyzjach o udzieleniu dotacji Agencji zamieszcza się przepisy wyraźnie upoważniające Trybunał Obrachunkowy i OLAF do prowadzenia takich kontroli i dochodzeń zgodnie z ich odpowiednimi uprawnieniami.
Artykuł 21
Wykonanie budżetu
1. Dyrektor wykonawczy jest odpowiedzialny za wykonanie budżetu Agencji.
2. Audytor wewnętrzny Komisji ma te same uprawnienia wobec Agencji co wobec służb Komisji.
3. Do dnia 1 marca następującego po każdym roku budżetowym (1 marca roku N + 1) księgowy Agencji przesyła tymczasowe sprawozdanie finansowe księgowemu Komisji wraz ze sprawozdaniem dotyczącym zarządzania budżetem i finansami za dany rok budżetowy. Księgowy Komisji sporządza skonsolidowane tymczasowe sprawozdanie finansowe instytucji oraz organów zdecentralizowanych zgodnie z art. 147 rozporządzenia finansowego.
4. Do dnia 31 marca roku N + 1 księgowy Komisji przesyła tymczasowe sprawozdanie finansowe Agencji Trybunałowi Obrachunkowemu wraz ze sprawozdaniem dotyczącym zarządzania budżetem i finansami za dany rok budżetowy. Sprawozdanie dotyczące zarządzania budżetem i finansami za dany rok budżetowy przesyła się także Parlamentowi Europejskiemu i Radzie.
5. Po otrzymaniu wniosków Trybunału Obrachunkowego dotyczących tymczasowego sprawozdania finansowego Agencji, zgodnie z art. 148 rozporządzenia finansowego, dyrektor wykonawczy opracowuje na swoją odpowiedzialność końcowe sprawozdanie finansowe Agencji i przesyła je zarządowi w celu uzyskania opinii.
6. Zarząd przedstawia opinię na temat końcowego sprawozdania finansowego Agencji.
7. Do dnia 1 lipca roku N + 1 dyrektor wykonawczy przekazuje ostateczne sprawozdanie finansowe Parlamentowi Europejskiemu, Radzie, Komisji i Trybunałowi Obrachunkowemu wraz z opinią zarządu, w tym również sprawozdanie dotyczące zarządzania budżetowego i finansowego w danym roku budżetowym oraz uwagi Trybunału Obrachunkowego.
8. Dyrektor wykonawczy publikuje ostateczne sprawozdanie finansowe.
9. Do dnia 30 września roku N + 1 dyrektor wykonawczy przesyła Trybunałowi Obrachunkowemu odpowiedź na jego uwagi, a kopię tej odpowiedzi przesyła także zarządowi.
10. Dyrektor wykonawczy przedkłada Parlamentowi Europejskiemu, na jego wniosek, wszystkie informacje niezbędne do sprawnego stosowania procedury udzielenia absolutorium za dany rok budżetowy, zgodnie z art. 165 ust. 3 rozporządzenia finansowego.
11. Parlament Europejski, działając na podstawie zalecenia Rady, udziela dyrektorowi wykonawczemu, do dnia 15 maja roku N + 2, absolutorium z wykonania budżetu w roku N.
SEKCJA 5
PERSONEL
Artykuł 22
Przepisy ogólne
Do personelu Agencji mają zastosowanie regulamin pracowniczy i warunki zatrudnienia innych pracowników oraz przepisy przyjęte w drodze porozumienia między instytucjami Unii w celu stosowania przepisów regulaminu pracowniczego.
Artykuł 23
Przywileje i immunitety
Do Agencji i jej personelu ma zastosowanie Protokół nr 7 w sprawie przywilejów i immunitetów Unii Europejskiej, załączony do Traktatu o Unii Europejskiej i do TFUE.
Artykuł 24
Dyrektor wykonawczy
1. Dyrektor wykonawczy zostaje zaangażowany jako pracownik Agencji zatrudniony na czas określony zgodnie z art. 2 lit. a) warunków zatrudnienia innych pracowników.
2. Dyrektor wykonawczy jest powoływany przez zarząd na podstawie listy kandydatów zaproponowanych przez Komisję w następstwie otwartej i przejrzystej procedury selekcji.
Do celu zawarcia umowy z dyrektorem wykonawczym Agencję reprezentuje przewodniczący zarządu.
Przed powołaniem kandydat wybrany przez zarząd zostaje wezwany do złożenia oświadczenia przed odpowiednią komisją Parlamentu Europejskiego i udzielenia odpowiedzi na pytania członków.
3. Kadencja dyrektora wykonawczego wynosi pięć lat. Przed upływem tego okresu Komisja dokonuje oceny, która uwzględnia ocenę wykonywania zadań przez dyrektora wykonawczego oraz przyszłe zadania i wyzwania Agencji.
4. Zarząd może, działając na wniosek Komisji, który uwzględnia ocenę, o której mowa w ust. 3, oraz po zasięgnięciu opinii Parlamentu Europejskiego, jednorazowo przedłużyć kadencję dyrektora wykonawczego o okres nie dłuższy niż pięć lat.
5. Zarząd informuje Parlament Europejski o swoim zamiarze przedłużenia kadencji dyrektora wykonawczego. W ciągu trzech miesięcy poprzedzających takie przedłużenie dyrektor wykonawczy, jeżeli zostanie wezwany, składa oświadczenie przed odpowiednią komisją Parlamentu Europejskiego i udziela odpowiedzi na pytania członków.
6. Dyrektor wykonawczy, którego kadencję przedłużono, nie może brać udziału w kolejnej procedurze selekcji na to samo stanowisko.
7. Dyrektor wykonawczy może zostać odwołany ze stanowiska jedynie decyzją zarządu.
Artykuł 25
Oddelegowani eksperci krajowi i inni pracownicy
1. Agencja może korzystać z pomocy oddelegowanych ekspertów krajowych i innych pracowników niezatrudnionych przez Agencję. Do takich pracowników nie ma zastosowania regulamin pracowniczy i warunki zatrudnienia innych pracowników.
2. Zarząd przyjmuje decyzję określającą zasady oddelegowania ekspertów krajowych do Agencji.
SEKCJA 6
PRZEPISY OGÓLNE
Artykuł 26
Status prawny
1. Agencja jest organem Unii. Posiada ona osobowość prawną.
2. W każdym państwie członkowskim Agencja posiada zdolność prawną i zdolność do czynności prawnych o najszerszym zakresie przyznanym przez prawo krajowe osobom prawnym. Agencja może zwłaszcza nabywać lub zbywać mienie nieruchome i ruchome oraz stawać przed sądem.
3. Agencję reprezentuje jej dyrektor wykonawczy.
4. Oddział Agencji ustanowiony w okręgu administracyjnym Aten zostaje utrzymany w celu poprawienia skuteczności operacyjnej Agencji.
Artykuł 27
Odpowiedzialność
1. Odpowiedzialność umowna Agencji podlega prawu właściwemu dla danej umowy.
Trybunał Sprawiedliwości Unii Europejskiej jest właściwy do rozstrzygania sporów na podstawie klauzul arbitrażowych zamieszczonych w umowie zawartej przez Agencję.
2. W przypadku odpowiedzialności pozaumownej Agencja, zgodnie z zasadami ogólnymi, wspólnymi dla praw państw członkowskich, rekompensuje wszelkie szkody wyrządzone przez Agencję lub jej pracowników w trakcie wykonywania swoich obowiązków.
Trybunał Sprawiedliwości Unii Europejskiej jest właściwy do orzekania we wszelkich sporach dotyczących rekompensaty za tego rodzaju szkody.
3. Odpowiedzialność osobista pracowników Agencji jest regulowana stosownymi warunkami mającymi zastosowanie do personelu Agencji.
Artykuł 28
Języki
1. Do Agencji ma zastosowanie rozporządzenie nr 1 z dnia 15 kwietnia 1958 r. w sprawie określenia systemu językowego Europejskiej Wspólnoty Gospodarczej (23). Państwa członkowskie i inne organy przez nie wyznaczone mogą zwracać się do Agencji i otrzymywać odpowiedzi w wybranym przez nie języku urzędowym instytucji Unii.
2. Usługi tłumaczeniowe niezbędne dla funkcjonowania Agencji zapewnia Centrum Tłumaczeń dla Organów Unii Europejskiej.
Artykuł 29
Ochrona danych osobowych
1. W odniesieniu do przetwarzania danych dotyczących osób fizycznych zwłaszcza w trakcie wykonywania swoich obowiązków, Agencja przestrzega zasad ochrony danych osobowych zawartych w rozporządzeniu (WE) nr 45/2001 i podlega przepisom tego rozporządzenia.
2. Zarząd przyjmuje środki wykonawcze, o których mowa w art. 24 ust. 8 rozporządzenia (WE) nr 45/2001. Zarząd może przyjąć dodatkowe środki niezbędne do stosowania rozporządzenia (WE) nr 45/2001 przez Agencję.
Artykuł 30
Udział państw trzecich
1. Agencja jest otwarta na udział państw trzecich, które zawarły umowy z Unią Europejską, zgodnie z którymi przyjęły one i stosują unijne akty prawne w dziedzinie objętej zakresem niniejszego rozporządzenia.
2. Na mocy odpowiednich postanowień tych umów dokonuje się uzgodnień określających w szczególności charakter, zakres i sposób udziału tych państw w pracach Agencji, w tym postanowienia dotyczące udziału w inicjatywach podejmowanych przez Agencję, wkładów finansowych oraz personelu.
Artykuł 31
Przepisy bezpieczeństwa w zakresie ochrony informacji niejawnych
Agencja stosuje zasady bezpieczeństwa zawarte w przepisach bezpieczeństwa Komisji dotyczących ochrony informacji niejawnych Unii Europejskiej oraz informacji sensytywnych nieopatrzonych klauzulą tajności, jak określono w załączniku do decyzji 2001/844/WE, EWWiS, Euratom. Obejmuje to między innymi przepisy dotyczące wymiany, przetwarzania i przechowywania takich informacji.
SEKCJA 7
PRZEPISY KOŃCOWE
Artykuł 32
Ocena i przegląd
1. Do dnia 20 czerwca 2018 r. Komisja zleca przeprowadzenie oceny dotyczącej w szczególności wpływu, skuteczności i efektywności Agencji oraz jej metod pracy. W trakcie oceny badana jest również ewentualna potrzeba zmiany mandatu Agencji oraz skutki finansowe wszelkich takich zmian.
2. Ocena, o której mowa w ust. 1, uwzględnia wszelkie informacje zwrotne przekazane Agencji w reakcji na jej działalność.
3. Komisja przekazuje sprawozdanie z oceny, wraz z jego wnioskami, do Parlamentu Europejskiego, Rady i zarządu. Wyniki oceny są podawane do wiadomości publicznej.
4. W ramach oceny dokonuje się oceny wyników Agencji z punktu widzenia jej celów, mandatu i zadań. Jeżeli Komisja uzna, że kontynuacja prac Agencji jest uzasadniona pod względem jej założonych celów, mandatu i zadań, może zaproponować przedłużenie mandatu Agencji określonego w art. 36.
Artykuł 33
Współpraca ze strony przyjmującego państwa członkowskiego
Państwo członkowskie przyjmujące Agencję zapewnia możliwie najlepsze warunki dla zapewnienia właściwego funkcjonowania Agencji, w tym dostępność lokalizacji, odpowiednią infrastrukturę szkolną dla dzieci członków personelu, odpowiedni dostęp do rynku pracy, zabezpieczenie społeczne i opiekę zdrowotną zarówno dla dzieci, jak i dla małżonków.
Artykuł 34
Kontrola administracyjna
Zgodnie z art. 228 TFUE działalność Agencji nadzoruje Europejski Rzecznik Praw Obywatelskich.
Artykuł 35
Uchylenie oraz przejęcie praw i obowiązków
1. Rozporządzenie (WE) nr 460/2004 traci moc.
Odniesienia do rozporządzenia (WE) nr 460/2004 i do ENISA traktuje się jako odniesienia do niniejszego rozporządzenia i do Agencji.
2. Agencja jest następcą agencji, która została ustanowiona rozporządzeniem (WE) nr 460/2004, w odniesieniu do wszystkich praw własności, umów, obowiązków prawnych, umów o pracę, zobowiązań finansowych i odpowiedzialności.
Artykuł 36
Okres działania
Agencję ustanawia się na okres siedmiu lat, począwszy od dnia 19 czerwca 2013 r.
Artykuł 37
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie następnego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Strasburgu dnia 21 maja 2013 r.
W imieniu Parlamentu Europejskiego | W imieniu Rady |
M. SCHULZ | L. CREIGHTON |
Przewodniczący | Przewodniczący |
(1) Dz.U. C 107 z 6.4.2011, s. 58.
(2) Stanowisko Parlamentu Europejskiego z dnia 16 kwietnia 2013 r. oraz decyzja Rady z dnia 13 maja 2013 r.
(3) Decyzja 2004/97/WE, Euratom przyjęta za wspólnym porozumieniem między przedstawicielami państw członkowskich podczas spotkania na szczeblu szefów państw lub rządów, z dnia 13 grudnia 2003 r. w sprawie lokalizacji siedzib niektórych urzędów i agencji Unii Europejskiej (Dz.U. L 29 z 3.2.2004, s. 15).
(4) Rozporządzenie (WE) nr 460/2004 Parlamentu Europejskiego i Rady z dnia 10 marca 2004 r. ustanawiające Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (Dz.U. L 77 z 13.3.2004, s. 1).
(5) Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1007/2008 z dnia 24 września 2008 r. zmieniające rozporządzenie (WE) nr 460/2004 ustanawiające Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji w zakresie okresu jej działania (Dz.U. L 293 z 31.10.2008, s. 1)
(6) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 580/2011 z dnia 8 czerwca 2011 r. zmieniające rozporządzenie (WE) nr 460/2004 ustanawiające Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji w zakresie okresu jej działania (Dz.U. L 165 z 24.6.2011, s. 3).
(7) Dz.U. L 108 z 24.4.2002, s. 33.
(8) Dz.U. L 201 z 31.7.2002, s. 37.
(9) Dz.U. L 281 z 23.11.1995, s. 31.
(10) Dz.U. L 108 z 24.4.2002, s. 51.
(11) Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1211/2009 z dnia 25 listopada 2009 r. ustanawiające Organ Europejskich Regulatorów Łączności Elektronicznej (BEREC) oraz Urząd (Dz.U. L 337 z 18.12.2009, s. 1).
(12) Dyrektywa 98/34/WE Parlamentu Europejskiego i Rady z dnia 22 czerwca 1998 r. ustanawiającej procedurę udzielania informacji w dziedzinie norm i przepisów technicznych (Dz.U. L 204 z 21.7.1998, s. 37).
(13) Rozporządzenie Parlamentu Europejskiego i Rady (EU, Euratom) nr 966/2012 z dnia 25 października 2012 r. w sprawie zasad finansowych mających zastosowanie do budżetu ogólnego Unii oraz uchylające rozporządzenie Rady (WE, Euratom) nr 1605/2002 (Dz.U. L 298 z 26.10.2012, s. 1).
(14) Rozporządzenie (WE) nr 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji (Dz.U. L 145 z 31.5.2001, s. 43).
(15) Dz.U. L 8 z 12.1.2001, s. 1.
(16) Dz.U. C 101 z 1.4.2011, s. 20.
(17) Dz.U. L 56 z 4.3.1968, s. 1.
(18) Dz.U. L 357 z 31.12.2002, s. 72.
(19) Dz.U. L 317 z 3.12.2001, s. 1.
(20) Rozporządzenie (WE) nr 1073/1999 Parlamentu Europejskiego i Rady z dnia 25 maja 1999 r. dotyczące dochodzeń prowadzonych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) (Dz.U. L 136 z 31.5.1999, s. 1).
(21) Porozumienie międzyinstytucjonalne z dnia 25 maja 1999 r. między Parlamentem Europejskim, Radą Unii Europejskiej i Komisją Wspólnot Europejskich dotyczące dochodzeń wewnętrznych prowadzonych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) (Dz.U. L 136 z 31.5.1999, s. 15.).
(22) Dz.U. L 292 z 15.11.1996, s. 2.
(23) Dz.U. 17 z 6.10.1958, s. 385/58.