Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad van 21 mei 2013 inzake het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa) en tot intrekking van Verordening (EG) nr. 460/2004 Voor de EER relevante tekst

1.

Tekst

18.6.2013   

NL

Publicatieblad van de Europese Unie

L 165/41

 

VERORDENING (EU) Nr. 526/2013 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 21 mei 2013

inzake het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa) en tot intrekking van Verordening (EG) nr. 460/2004

(Voor de EER relevante tekst)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité (1),

Handelend volgens de gewone wetgevingsprocedure (2),

Overwegende hetgeen volgt:

 

(1)

Elektronische communicatie, infrastructuur en diensten zijn zowel direct als indirect essentiële factoren in de economische en maatschappelijke ontwikkeling. Zij spelen een cruciale rol in de maatschappij en zijn als zodanig uitgegroeid tot alomtegenwoordige voorzieningen, net als elektriciteit en water, en vormen ook vitale factoren bij de voorziening van elektriciteit, water en andere essentiële diensten. Communicatienetwerken functioneren als katalysatoren op sociaal gebied en voor innovatie: ze versterken de impact van technologie en geven vorm aan consumentengedrag, bedrijfsmodellen, bedrijfstakken en ook burgerschap en politieke participatie. De verstoring van deze voorzieningen kan potentieel aanzienlijke fysieke, sociale en economische schade veroorzaken, hetgeen het belang onderstreept van maatregelen om bescherming en veerkracht van deze voorzieningen te verhogen, zodat de continuïteit van kritieke diensten gegarandeerd is. De uitdagingen voor de beveiliging van elektronische communicatie, infrastructuur en diensten, en met name de integriteit, beschikbaarheid en vertrouwelijkheid ervan, worden steeds groter, wat onder andere betrekking heeft op de afzonderlijke componenten van de communicatie-infrastructuur en de software die deze componenten controleert, de infrastructuur in haar geheel en de diensten die via die infrastructuur worden verleend. Dit is van steeds groter belang voor de maatschappij, niet in de laatste plaats omdat problemen ten gevolge van de complexiteit van systemen, storingen, systeemstoringen, ongevallen, fouten en aanvallen gevolgen kunnen hebben voor de elektronische en fysieke infrastructuur waarmee diensten worden verleend die van kritiek belang zijn voor het welzijn van de Europese burgers.

 

(2)

Het scala aan bedreigingen verandert voortdurend en beveiligingsincidenten kunnen het vertrouwen van de gebruikers in technologie, netwerken en diensten ondermijnen, en aldus afbreuk doen aan hun vermogen om het potentieel van de interne markt en van het wijdverspreide gebruik van informatie- en communicatietechnologieën (ict) volledig te benutten.

 

(3)

Een regelmatige beoordeling van de staat van netwerk- en informatiebeveiliging in de Unie, op basis van betrouwbare uniale gegevens, en ook een systematische voorspelling van toekomstige ontwikkelingen, uitdagingen en bedreigingen, zowel op uniaal als op mondiaal niveau, is dan ook belangrijk voor de beleidmakers, het bedrijfsleven en de gebruikers.

 

(4)

Bij Besluit 2004/97/EG, Euratom (3), vastgesteld tijdens de Europese Raad van 13 december 2003, hebben de vertegenwoordigers van de lidstaten besloten dat het Europees Agentschap voor netwerk- en informatiebeveiliging (Enisa), dat moet worden opgericht op basis van het door de Commissie ingediende voorstel, zou worden gevestigd in een door de Griekse regering aan te wijzen stad in Griekenland. Naar aanleiding van dat besluit heeft de Griekse regering bepaald dat Enisa zijn zetel zou krijgen in Heraklion (Kreta).

 

(5)

Op 1 april 2005 is een zetelovereenkomst („zetelovereenkomst”) gesloten tussen het Agentschap en de lidstaat van vestiging.

 

(6)

De lidstaat van vestiging moet zorgen voor zo gunstig mogelijke voorwaarden voor de vlotte en doeltreffende werking van het Agentschap. Voor een goede en doeltreffende uitvoering van zijn taken, voor het aanwerven en behouden van zijn personeel en voor verhoging van de efficiëntie van netwerkvormingsactiviteiten is het noodzakelijk dat het Agentschap in een passende locatie wordt gehuisvest, waar onder meer goede vervoersverbindingen en passende faciliteiten voor echtgenoten en kinderen die meereizen met de leden van het personeel van het Agentschap voorhanden zijn. De noodzakelijke bepalingen moeten worden vastgelegd in een overeenkomst tussen het Agentschap en de lidstaat van vestiging, die wordt gesloten nadat de raad van bestuur van het Agentschap daarmee heeft ingestemd.

 

(7)

Om doeltreffender te kunnen functioneren heeft het Agentschap een bijkantoor opgericht in het grootstedelijk gebied van Athene, dat moet worden onderhouden met instemming en steun van de lidstaat van vestiging en waar het operationele personeel van het Agentschap ondergebracht moet worden. Personeel dat hoofdzakelijk in de administratie van het Agentschap werkzaam is (met inbegrip van de uitvoerend directeur), de financiële dienst, deskresearch en -analyse, IT- en faciliteitenbeheer, personeelsdienst, beroepsopleiding, communicatie en publieke aangelegenheden, dienen in Heraklion gevestigd te zijn.

 

(8)

Het Agentschap heeft het recht om, met inachtneming van de bepalingen van deze verordening inzake de zetel en het bijkantoor in Athene, zijn eigen organisatie te bepalen met het oog op een goede en doeltreffende taakverrichting. Voor de verrichting van taken waarmee interactie met belangrijke belanghebbenden zoals instellingen van de Unie gemoeid is, moet het Agentschap met name de nodige praktische regelingen treffen om die operationele doeltreffendheid te vergroten.

 

(9)

In 2004 hebben het Europees Parlement en de Raad Verordening (EG) nr. 460/2004 (4) tot oprichting van Enisa vastgesteld teneinde bij te dragen tot een hoog niveau van netwerk- en informatiebeveiliging in de Unie en tot de ontwikkeling van een cultuur van netwerk- en informatiebeveiliging ten bate van burgers, consumenten, ondernemingen en overheidsadministraties. In 2008 hebben het Europees Parlement en de Raad Verordening (EG) nr. 1007/2008 (5) vastgesteld, waarbij het mandaat van het Agentschap wordt verlengd tot maart 2012. Bij Verordening (EG) nr. 580/2011 (6) wordt het mandaat van het Agentschap tot 13 september 2013 verlengd.

 

(10)

Het Agentschap volgt Enisa op, zoals opgericht bij Verordening (EG) nr. 460/2004. In het kader van het besluit van de vertegenwoordigers van de lidstaten, in de Europese Raad van 13 december 2003 bijeen, moet de lidstaat van vestiging de huidige praktische regelingen in stand houden en ontwikkelen teneinde de vlotte en efficiënte werking van het Agentschap, inclusief zijn bijkantoor in Athene, te garanderen en het aanwerven en behouden van hooggekwalificeerd personeel vergemakkelijken.

 

(11)

Sinds de oprichting van Enisa zijn de uitdagingen voor netwerk- en informatiebeveiliging veranderd ten gevolge van technologische, commerciële en sociaaleconomische ontwikkelingen, en zijn ze het voorwerp geweest van verdere beschouwing en debat. In reactie op de veranderende uitdagingen heeft de Unie haar prioriteiten voor het netwerk- en informatiebeveiligingsbeleid bijgewerkt. Deze verordening beoogt het Agentschap te versterken, teneinde met succes bij te dragen tot de inspanningen van de instellingen van de Unie en de lidstaten om een Europese capaciteit op te bouwen waarmee het hoofd kan worden geboden aan uitdagingen met betrekking tot netwerk- en informatiebeveiliging.

 

(12)

Maatregelen op de interne markt op het gebied van de beveiliging van elektronische communicatie en, meer in het algemeen, netwerk- en informatiebeveiliging vereisen verschillende vormen van technische en organisatorische toepassingen door de instellingen van de Unie en de lidstaten. De heterogene toepassing van deze eisen kan tot inefficiëntie leiden en belemmeringen creëren voor de interne markt. Dit maakt een expertisecentrum op Europees niveau onmisbaar, dat begeleiding, advies en bijstand verstrekt met betrekking tot kwesties die verband houden met netwerk- en informatiebeveiliging, waarop zowel de instellingen van de Unie als de lidstaten moeten kunnen vertrouwen. Het Agentschap kan op deze behoeften inspelen door een hoog niveau van deskundigheid te ontwikkelen en in stand te houden en door de instellingen van de Unie, de lidstaten en het bedrijfsleven te helpen voldoen aan de juridische en regelgevende eisen met betrekking tot netwerk- en informatiebeveiliging, en knelpunten op het vlak van netwerk- en informatiebeveiliging op te sporen en aan te pakken; hierdoor draagt het Agentschap ook bij tot de goede werking van de interne markt.

 

(13)

Het Agentschap moet de taken uitvoeren die hem worden toegewezen in de rechtshandelingen van de Unie op het gebied van elektronische communicatie en, in het algemeen, bijdragen tot een verbetering van het niveau van de beveiliging van elektronische communicatie en van de bescherming van de persoonlijke levenssfeer en persoonsgegevens door onder meer deskundigheid ter beschikking te stellen, advies te verstrekken en de uitwisseling van beste praktijken te bevorderen.

 

(14)

Bij Richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronische-communicatienetwerken en -diensten (kaderrichtlijn) (7) is vereist dat aanbieders van openbare elektronische communicatienetwerken of openbare elektronische communicatiediensten passende maatregelen nemen om de integriteit en beveiliging daarvan in stand te houden, en wordt de nationale regulerende instanties, indien passend, een verplichting opgelegd om het Agentschap op de hoogte te stellen van onder meer elke inbreuk op de beveiliging en verlies van integriteit die een aanzienlijke invloed heeft gehad op de werking van netwerken of diensten, en bij de Commissie en het Agentschap een samenvattend jaarverslag over de ontvangen meldingen en de ondernomen acties in te dienen. In Richtlijn 2002/21/EG wordt het Agentschap ook opgeroepen om door het verlenen van adviezen bij te dragen tot de harmonisering van passende technische en organisatorische beveiligingsmaatregelen.

 

(15)

Volgens Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (8) moeten aanbieders van openbare elektronische communicatiediensten passende technische en organisatorische maatregelen nemen om de beveiliging van hun diensten te garanderen en moet het vertrouwelijke karakter van de communicatie en het bijbehorende gegevensverkeer in stand worden gehouden. Richtlijn 2002/58/EG bevat ook eisen waaraan aanbieders van elektronische communicatiediensten moeten voldoen met betrekking tot de informatieverstrekking en aanmelding van inbreuken op de bescherming van persoonsgegevens. Volgens deze richtlijn moet de Commissie het Agentschap ook raadplegen over alle technische tenuitvoerleggingsmaatregelen die volgens de omstandigheden moeten worden vastgesteld of over het formaat en de procedures die van toepassing zijn op de eisen inzake informatieverstrekking en aanmelding. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (9) verplicht de lidstaten ervoor te zorgen dat de controlerende instantie passende technische en organisatorische maatregelen treft om persoonsgegevens te beveiligen tegen vernietiging, hetzij accidenteel, hetzij onrechtmatig, tegen accidenteel verlies, vervalsing, ongeautoriseerde verspreiding of toegang, met name als de verwerking betrekking heeft op de verzending van gegevens over een netwerk, en tegen enige andere vorm van onwettige verwerking.

 

(16)

Het Agentschap moet bijdragen tot een hoog niveau van netwerk- en informatiebeveiliging, tot een betere bescherming van de persoonlijke levenssfeer en persoonsgegevens en tot de ontwikkeling en bevordering van een cultuur van netwerk- en informatiebeveiliging ten behoeve van de burgers, consumenten, bedrijven en organisaties uit de publieke sector in de Unie, en aldus bijdragen tot de goede werking van de interne markt. Om dit te bereiken, moeten aan het Agentschap de nodige begrotingsmiddelen worden toegewezen.

 

(17)

Gezien het toenemende belang van elektronische netwerken en communicatie, die thans de ruggengraat van de Europese economie vormen, en de werkelijke omvang van de digitale economie moeten de financiële en personele middelen die aan het Agentschap worden toegewezen worden uitgebreid om recht te doen aan zijn versterkte rol en taken en zijn kritieke positie bij de verdediging van het Europese digitale ecosysteem.

 

(18)

Het Agentschap moet als referentiepunt fungeren en vertrouwen scheppen door zijn onafhankelijkheid, de kwaliteit van zijn advies en informatie, de transparantie van zijn procedures en werkmethoden, en de toewijding bij de uitvoering van zijn taken. Het Agentschap dient voort te bouwen op inspanningen in de lidstaten en de Unie en dient derhalve zijn taken uit te voeren in volledige samenwerking met de instellingen, organen en instanties van de Unie en de lidstaten en dient open te staan voor contacten met het bedrijfsleven en andere belanghebbenden. Bovendien moet het Agentschap voortbouwen op de input van en de samenwerking met de privésector, die een belangrijke rol speelt in de beveiliging van elektronische communicatie, infrastructuur en diensten.

 

(19)

In een reeks taken moet worden aangegeven hoe het Agentschap zijn doelstellingen moet verwezenlijken en toch flexibel kan functioneren. De taken die het Agentschap moet uitvoeren, moeten onder meer betrekking hebben op het verzamelen van passende informatie en gegevens die nodig zijn om de risico’s voor de beveiliging en veerkracht van de elektronische communicatie, infrastructuur en diensten te analyseren en om, samen met de lidstaten, de Commissie en desgevallend de belanghebbenden, de staat van de netwerk- en informatiebeveiliging in de Unie te beoordelen. Het Agentschap moet zorgen voor coördinatie en samenwerking met de instellingen, organen en instanties van de Unie en de lidstaten en dient de samenwerking tussen belanghebbenden in Europa te verbeteren, met name door bevoegde organen van de lidstaten en de Unie en vooraanstaande, uit de privésector afkomstige deskundigen op de betrokken gebieden, met name aanbieders van elektronische communicatienetwerken en -diensten, fabrikanten van netwerkapparatuur en softwareverkopers, te betrekken bij zijn activiteiten, rekening houdend met het feit dat netwerk- en informatiesystemen combinaties van hardware, software en diensten omvatten. Het Agentschap moet de instellingen van de Unie en de lidstaten helpen met het bedrijfsleven te overleggen om beveiligingsproblemen in hardware- en softwareproducten op te lossen, en draagt aldus bij tot een coöperatieve benadering van netwerk- en informatiebeveiliging.

 

(20)

Netwerk- en informatiebeveiligingsstrategieën die door een instelling, orgaan of instantie van de Unie of door een lidstaat bekend zijn gemaakt, moeten ter informatie aan het Agentschap worden meegedeeld om dubbel werk te voorkomen. Het Agentschap moet de strategieën analyseren en bevorderen dat zij worden gepresenteerd in een vorm die vergelijking vergemakkelijkt. Het moet de strategieën en zijn analyses via elektronische middelen beschikbaar maken voor het publiek.

 

(21)

Het Agentschap moet de Commissie bijstaan met advies, standpunten en analyses over alle Unie-aangelegenheden in verband met de ontwikkeling van beleid op het gebied van netwerk- en informatiebeveiliging, waaronder bescherming van kritische informatie-infrastructuur (Critical Information Infrastructure Protection) en veerkracht. Het Agentschap moet ook de instellingen, organen en instanties van de Unie en in voorkomend geval, de lidstaten op hun verzoek bijstaan in hun inspanningen om beleid en bekwaamheid op het gebied van netwerk- en informatiebeveiliging te ontwikkelen.

 

(22)

Het Agentschap moet volledig rekening houden met de lopende activiteiten op het gebied van onderzoek, ontwikkeling en technologiebeoordeling, en in het bijzonder de activiteiten van de verschillende onderzoeksinitiatieven van de Unie om de instellingen, organen en instanties van de Unie en in voorkomend geval de lidstaten op hun verzoek te adviseren over onderzoeksbehoeften op het gebied van netwerk- en informatiebeveiliging.

 

(23)

Het Agentschap moet de instellingen, organen en instanties van de Unie en de lidstaten helpen bij hun inspanningen om grensoverschrijdende bekwaamheid en paraatheid te ontwikkelen en te vergroten om problemen op het gebied van netwerk- en informatiebeveiliging te voorkomen, op te sporen en aan te pakken. Om dit doel te verwezenlijken, moet het Agentschap de samenwerking tussen de lidstaten onderling en tussen de Commissie en andere instellingen, organen en instanties van de Unie en de lidstaten bevorderen. Daartoe moet het Agentschap de lidstaten ondersteunen in hun doorlopende inspanningen om hun responscapaciteit te verbeteren en om Europese oefeningen aangaande beveiligingsincidenten en, op verzoek van een lidstaat, nationale oefeningen te organiseren en uit te voeren.

 

(24)

Het Agentschap moet actuele en opkomende risico’s analyseren om een beter begrip te verkrijgen van de uitdagingen op het gebied van netwerk- en informatiebeveiliging. Daartoe moet het Agentschap, in samenwerking met lidstaten en met statistische en andere organen, voor zover van toepassing, relevante informatie verzamelen. Het Agentschap moet bovendien de instellingen, organen en instanties van de Unie en de lidstaten bijstaan in hun inspanningen om gegevens met betrekking tot netwerk- en informatiebeveiliging te verzamelen, te analyseren en te verspreiden. Het verzamelen van geschikte statistische informatie en gegevens die nodig zijn om de risico’s voor de beveiliging en veerkracht van de elektronische communicatie, infrastructuur en diensten te analyseren, dient te geschieden op basis van de door de lidstaten verstrekte informatie en van de toegang tot de ict-infrastructuur van de instellingen van de Unie die conform de Uniebepalingen en de met het Unierecht strokende nationale bepalingen aan het Agentschap is verleend. Op basis van deze informatie dient het Agentschap te zorgen voor bekendheid met de laatste ontwikkelingen op het gebied van netwerk- en informatiebeveiliging en aanverwante trends in de Unie, ten behoeve van de instellingen, organen en instanties van de Unie en van de lidstaten.

 

(25)

Bij het uitvoeren van zijn taken moet het Agentschap de samenwerking tussen de Unie en de lidstaten bevorderen om de bewustwording inzake de toestand van de netwerk- en informatiebeveiliging in de Unie te verbeteren.

 

(26)

Het Agentschap moet de samenwerking tussen de bevoegde onafhankelijke regelgevende autoriteiten van de lidstaten bevorderen, met name door de opstelling, bevordering en uitwisseling van goede praktijken en normen voor opleidingsprogramma’s en bewustmakingsregelingen te ondersteunen. Meer informatie-uitwisseling tussen de lidstaten kan bijdragen tot dergelijke acties. Het Agentschap moet bijdragen tot grotere bewustwording bij de individuele gebruikers van elektronische communicatie, infrastructuur en diensten, onder andere door lidstaten te assisteren wanneer zij ervoor hebben gekozen gebruik te maken van het platform voor informatie van algemeen belang dat is opgericht bij Richtlijn 2002/22/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake de universele dienst en gebruikersrechten met betrekking tot elektronischecommunicatienetwerken en -diensten (Universeledienstrichtlijn) (10) voor het produceren van relevante informatie van algemeen belang over netwerk- en informatiebeveiliging, en ook door te helpen bij de ontwikkeling van informatie die bij de levering van nieuwe, voor gebruik op openbare communicatienetwerken bestemde apparaten moet worden bijgevoegd. Het Agentschap moet ook de samenwerking tussen belanghebbenden op uniaal niveau ondersteunen, onder meer door informatie-uitwisseling, bewustmakingscampagnes en opleidings- en trainingsprogramma’s te bevorderen.

 

(27)

Het Agentschap moet onder meer de desbetreffende instellingen, organen en instanties van de Unie en de lidstaten helpen bij voor eindgebruikers bestemde, publieke voorlichtingscampagnes, gericht op het bevorderen van een veiliger individueel online-gedrag, bewustmaking van het publiek aangaande potentiële gevaren in de cyberruimte, waaronder cybermisdaden zoals phishing-aanvallen, botnets, financiële en bankfraude, en ook het bevorderen van fundamenteel authentificatie- en gegevensbeschermingsadvies.

 

(28)

Om te zorgen dat het zijn doelstellingen volledig bereikt, moet het Agentschap zich in verbinding stellen met relevante instanties, onder meer die welke zich bezighouden met cybercriminaliteit, zoals Europol, en autoriteiten op het gebied van de privacybescherming, teneinde kennis en beste praktijken uit te wisselen en advies te verlenen over netwerk- en informatiebeveiligingsaspecten die van invloed kunnen zijn op hun werkzaamheden. Het Agentschap moet trachten synergie tot stand te brengen tussen de inspanningen van deze instanties en die van zichzelf om geavanceerde netwerk- en informatiebeveiliging te bevorderen. De vertegenwoordigers van de wetshandhavings- en privacybeschermingsautoriteiten van de lidstaten en de Unie moeten recht hebben op vertegenwoordiging in de permanente groep van belanghebbenden van het Agentschap. In samenspraak met wethandhavende instanties betreffende netwerk- en informatiebeveiligingsaspecten die van invloed kunnen zijn op hun werkzaamheden, moet het Agentschap bestaande informatiekanalen en gevestigde netwerken respecteren.

 

(29)

De Commissie is een Europees publiek-private samenwerking voor veerkracht gestart dat dienst doet als flexibel Uniebreed samenwerkingsplatform voor veerkracht van ict-infrastructuur, waarin het Agentschap een faciliterende rol moet spelen door belanghebbenden uit te sector samen te brengen om te overleggen over prioriteiten van het openbaar beleid en de economische en marktdimensie van uitdagingen en maatregelen voor de veerkracht van ict-infrastructuur.

 

(30)

Teneinde de netwerk- en informatiebeveiliging te bevorderen en de zichtbaarheid daarvan te vergroten, moet het Agentschap de samenwerking tussen de bevoegde overheidsorganen van de lidstaten vergemakkelijken, met name door het opstellen en uitwisselen van beste praktijken en bewustmakingsregelingen en door het ondersteunen van hun stimuleringsactiviteiten. Het Agentschap moet ook de samenwerking tussen belanghebbenden en de instellingen van de Unie ondersteunen, onder meer door activiteiten voor informatie-uitwisseling en bewustmaking te bevorderen.

 

(31)

Ter bevordering van een hoog niveau van netwerk- en informatiebeveiliging in de Unie moet het Agentschap samenwerking en uitwisseling van goede praktijken tussen de bevoegde organisaties bevorderen, zoals calamiteitenteams voor computerveiligheid (Computer Security Incident Response Teams — CSIRTs) en hulpdiensten voor computernoodgevallen (Computer Emergency Response Teams — CERTs).

 

(32)

Een Uniebreed systeem van degelijk functionerende CERTs moet een hoeksteen van de netwerk- en informatiebeveiligingsinfrastructuur van de Unie vormen. Het Agentschap moet de CERTs van de lidstaten en de CERT van de Unie ondersteunen bij de exploitatie van een netwerk van CERTs, waarvan ook de leden van de European Governmental CERTs Group deel uitmaken. Om ervoor te helpen zorgen dat elk van de CERTs over voldoende geavanceerde capaciteiten beschikt en dat die capaciteiten zoveel mogelijk overeenstemmen met de capaciteiten van de meest geavanceerde CERTs, moet het Agentschap het opzetten en toepassen van een systeem van collegiale toetsing bevorderen. Het Agentschap moet bovendien samenwerking bevorderen tussen de betrokken CERTs in het geval van incidenten, aanvallen of storingen in netwerken of infrastructuurvoorzieningen die door hen worden beheerd of beveiligd en waarbij tenminste twee CERTs betrokken zijn of kunnen zijn.

 

(33)

Efficiënte netwerk- en informatiebeveiligingsvoorschriften zijn gebaseerd op goed ontwikkelde methoden voor risicoanalyse, zowel in de openbare als in de particuliere sector. Methoden en procedures voor risicoanalyse worden op verschillende niveaus ingezet zonder dat er een gemeenschappelijke praktijk bestaat wat betreft de vraag hoe deze efficiënt toe te passen. Door beste praktijken voor risicoanalyse en voor interoperabele oplossingen voor risicobeheersing binnen overheids- en particuliere organisaties te stimuleren en te ontwikkelen, kan het beveiligingsniveau van netwerken en informatiesystemen in de Unie worden verbeterd. Daartoe moet het Agentschap de samenwerking tussen belanghebbenden op het niveau van de Unie bevorderen door hun inspanningen te ondersteunen met betrekking tot het instellen en gebruiken van Europese en internationale normen voor risicobeheer en meetbare beveiliging van elektronische producten, systemen, netwerken en diensten die, samen met software, de netwerk- en informatiesystemen vormen.

 

(34)

Voor zover dat nodig en nuttig is voor de uitvoering van zijn taken, moet het Agentschap ervaringen en algemene informatie uitwisselen met instellingen, organen en instanties die zich met netwerk- en informatiebeveiliging bezighouden. Het Agentschap moet bijdragen tot het aanwijzen van onderzoeksprioriteiten, op Unieniveau, op het vlak van de veerkracht van netwerken en netwerk- en informatiebeveiliging, en het moet kennis over de behoeften van het bedrijfsleven aan relevante onderzoeksinstellingen overbrengen.

 

(35)

Het Agentschap moet de lidstaten en dienstverleners stimuleren hun algemene veiligheidsnormen op te voeren, zodat alle internetgebruikers de nodige stappen ondernemen om voor hun eigen cyberveiligheid te zorgen.

 

(36)

Problemen op het gebied van netwerk- en informatiebeveiliging zijn wereldwijde problemen. Er is dan ook behoefte aan nauwere internationale samenwerking om de beveiligingsnormen, met inbegrip van de omschrijving van gemeenschappelijke gedragsnormen en -codes, en informatie-uitwisseling, te verbeteren om snellere internationale samenwerking bij en een gemeenschappelijke wereldwijde aanpak van problemen op het gebied van netwerk- en informatiebeveiliging te stimuleren. Daartoe moet het Agentschap een verdere betrokkenheid van de Unie en de samenwerking met derde landen en internationale organisaties ondersteunen door, voor zover van toepassing, de noodzakelijke expertise en analyses aan de desbetreffende instellingen, organen en instellingen van de Unie beschikbaar te stellen.

 

(37)

Het Agentschap moet werken in overeenstemming met het subsidiariteitsbeginsel, waardoor een passende graad van coördinatie wordt gegarandeerd tussen de lidstaten aangaande kwesties betreffende netwerk- en informatiebeveiliging en waardoor de effectiviteit van het nationale beleid wordt verbeterd, en aldus toegevoegde waarde voor de lidstaten wordt geleverd, en het evenredigheidsbeginsel, dat wil zeggen dat niet verder wordt gegaan dan wat noodzakelijk is om de doelstellingen van deze verordening te verwezenlijken. De uitoefening van de taken van het Agentschap moet de bevoegdheden van de volgende instanties versterken en onverlet laten en mag hun bevoegdheden en taken niet uithollen, belemmeren of overlappen: de nationale regelgevende autoriteiten, zoals vermeld in de richtlijnen inzake elektronische communicatienetwerken en -diensten, de Europese Groep van regelgevende instanties voor elektronische communicatienetwerken en -diensten, opgericht bij Verordening (EG) nr. 1211/2009 (11), het Comité voor communicatie, zoals vermeld in Richtlijn 2002/21/EG, de Europese normalisatie-instanties, de nationale normalisatie-instanties en het permanent comité, zoals vermeld in Richtlijn 98/34/EG (12) en de onafhankelijke toezichthoudende autoriteiten van de lidstaten, zoals vermeld in Richtlijn 95/46/EG.

 

(38)

Het is noodzakelijk met betrekking tot het bestuur van het Agentschap bepaalde beginselen toe te passen om te voldoen aan de gezamenlijke verklaring en gemeenschappelijke aanpak die in juli 2012 door de interinstitutionele werkgroep voor gedecentraliseerde EU-agentschappen zijn overeengekomen en welke verklaring en aanpak tot doel hebben de activiteiten van de agentschappen te stroomlijnen en hun prestaties te verbeteren.

 

(39)

De gezamenlijke verklaring en gemeenschappelijke aanpak moeten ook naar behoren tot uiting komen in de werkprogramma’s, de beoordelingen en de verslaglegging en de administratieve werkwijzen van het Agentschap.

 

(40)

Omwille van de goede werking van het Agentschap moeten de Commissie en de lidstaten erop toezien dat personen die worden benoemd tot de raad van bestuur over passende professionele deskundigheid beschikken. De Commissie en de lidstaten dienen zich in te spannen om het verloop onder hun respectievelijke vertegenwoordigers in de raad van bestuur te beperken om continuïteit in haar werk zeker te stellen.

 

(41)

Het is essentieel dat het Agentschap een reputatie van onpartijdigheid, integriteit en hoge professionele standaards opbouwt en behoudt. Daarom moet de raad van bestuur voor het hele Agentschap uitgebreide regels vaststellen inzake het voorkomen en beheren van belangenconflicten.

 

(42)

Gezien de unieke omstandigheden van het Agentschap en de moeilijke uitdagingen waarmee het geconfronteerd wordt, moet de organisatiestructuur van het Agentschap vereenvoudigd en versterkt worden om een grotere efficiëntie en doeltreffendheid te waarborgen. Te dien einde moet er onder meer een dagelijks bestuur worden ingesteld om de raad van bestuur in staat te stellen zich te concentreren op kwesties van strategisch belang.

 

(43)

De raad van bestuur moet een rekenplichtige aanstellen overeenkomstig de voorschriften van Verordening (EU, Euratom) nr. 966/2012 (13) (Financiële verordening).

 

(44)

Om de effectiviteit van het Agentschap te garanderen, moeten de lidstaten en de Commissie vertegenwoordigd zijn in de raad van bestuur, die de algemene richting van de werkzaamheden van het Agentschap vaststelt en garandeert dat het Agentschap zijn taken overeenkomstig deze verordening uitvoert. De raad van bestuur dient de noodzakelijke bevoegdheden toegewezen te krijgen voor het vaststellen van de begroting, de controle op de uitvoering ervan, het vaststellen van passende financiële regels, het opstellen van transparante werkprocedures voor besluitvorming door het Agentschap, het goedkeuren van het werkprogramma van het Agentschap, het vaststellen van zijn eigen reglement van orde en van het huishoudelijk reglement van het Agentschap, het benoemen van de uitvoerend directeur, het besluiten over de verlenging van aanstellingstermijn van de uitvoerend directeur, na het standpunt van het Europees Parlement te hebben ingewonnen, en het besluiten over de beëindiging daarvan. De raad van bestuur dient een dagelijks bestuur in te stellen om hem bij te staan bij het uitvoeren van zijn taken op administratief en begrotingsgebied.

 

(45)

Voor een goede werking van het Agentschap is het noodzakelijk dat de uitvoerend directeur wordt benoemd op grond van zowel verdiensten en aantoonbare administratieve en bestuurskundige vaardigheden, als van bekwaamheid en ervaring die relevant is voor netwerk- en informatiebeveiliging. Daarnaast dient hij zijn taken op volledig onafhankelijke wijze ten aanzien van de organisatie van de interne werking van het Agentschap uit te voeren. Daartoe moet de uitvoerend directeur een voorstel voor het werkprogramma van het Agentschap voorbereiden, na overleg met de Commissie, en alle nodige stappen ondernemen om de goede uitvoering van het werkprogramma van het Agentschap te garanderen. Hij moet een jaarverslag opstellen, dat moet worden voorgelegd aan de raad van bestuur, een ontwerpverklaring van de geraamde inkomsten en uitgaven van het Agentschap opstellen en de begroting ten uitvoer leggen.

 

(46)

De uitvoerend directeur moet over de mogelijkheid beschikken om ad-hocwerkgroepen op te richten voor specifieke kwesties, met name van wetenschappelijke, technische, juridische of sociaaleconomische aard. Bij het oprichten van ad-hocwerkgroepen moet de uitvoerend directeur input vragen van en gebruikmaken van de relevante externe deskundigheid die nodig is om het Agentschap in staat te stellen toegang te krijgen tot de meest actuele informatie die beschikbaar is over beveiligingsuitdagingen ten gevolge van de ontwikkelende informatiemaatschappij. De uitvoerend directeur moet erop toezien dat de leden van de ad-hocwerkgroepen overeenkomstig de hoogste normen inzake deskundigheid worden geselecteerd, ermee rekening houdende dat, afhankelijk van de specifieke kwestie, een passend evenwicht moet worden bereikt tussen de overheidsinstanties van de lidstaten, de instellingen van de Unie, de private sector, inclusief het bedrijfsleven, de gebruikers en universitaire deskundigen op het gebied van netwerk- en informatiebeveiliging. De uitvoerend directeur dient de mogelijkheid te hebben om indien nodig op ad-hocbasis individuele deskundigen die erkenning genieten op het desbetreffende gebied uitnodigen om per geval deel te nemen aan de werkzaamheden van de werkgroepen. Hun kosten dienen door het Agentschap te worden vergoed overeenkomstig zijn huishoudelijk reglement en in overeenstemming met de regels die worden vastgesteld krachtens de Financiële verordening.

 

(47)

Het Agentschap moet beschikken over een permanente groep van belanghebbenden, die optreedt als adviserend orgaan, om te zorgen voor regelmatig overleg met de private sector, consumentenverenigingen en andere relevante belanghebbenden. Deze permanente groep van belanghebbenden, die wordt opgericht op voorstel van de uitvoerend directeur, dient zijn werkzaamheden toe te spitsen op aangelegenheden die voor belanghebbenden relevant zijn en deze onder de aandacht van het Agentschap te brengen. De uitvoerend directeur dient, in voorkomend geval en overeenkomstig de vergaderagenda, de mogelijkheid te hebben om vertegenwoordigers van het Europees Parlement en van andere relevante instanties uitnodigen deel te nemen aan de vergaderingen van de groep.

 

(48)

Aangezien belanghebbenden ruim zijn vertegenwoordigd in de permanente groep van belanghebbenden en deze groep moet worden geraadpleegd met betrekking tot het ontwerp van werkprogramma, is vertegenwoordiging in de raad van bestuur niet langer nodig.

 

(49)

Het Agentschap moet de relevante bepalingen van de Unie inzake publieke toegang tot documenten toepassen, zoals uiteengezet in Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (14). De gegevens die door het Agentschap met het oog op zijn intern functioneren worden verwerkt en ook de gegevens die tijdens de uitvoering van zijn taken worden verwerkt, vallen onder de werkingssfeer van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (15).

 

(50)

Het Agentschap dient in het bijzonder de bepalingen na te leven die van toepassing zijn op de instellingen van de Unie, alsmede de nationale wetgeving inzake de behandeling van gevoelige documenten.

 

(51)

Om de volledige autonomie en onafhankelijkheid van het Agentschap te waarborgen en het in staat te stellen bijkomende en nieuwe taken te verrichten, waaronder onvoorziene noodmaatregelen, dient aan het Agentschap een toereikende eigen begroting toe te kennen die hoofdzakelijk wordt gefinancierd uit een bijdrage van de Unie en bijdragen van derde landen die deelnemen aan de werkzaamheden van het Agentschap. Het merendeel van het personeel van het Agentschap moet rechtstreeks ingezet worden voor de operationele tenuitvoerlegging van het mandaat van het Agentschap. De lidstaat van vestiging of om het even welke andere lidstaat mag een vrijwillige bijdrage leveren tot de inkomsten van het Agentschap. De uniale begrotingsprocedure blijft van toepassing op eventuele subsidies die ten laste van de algemene begroting van de Europese Unie komen. Bovendien controleert de Rekenkamer de rekeningen van het Agentschap teneinde transparantie en verantwoording zeker te stellen.

 

(52)

Gezien het steeds veranderend scala aan bedreigingen en de evolutie van het Uniebeleid aangaande netwerk- en informatiebeveiliging, en omwille van de overeenstemming met het meerjarig financieel kader, moet de duur van het mandaat van het Agentschap worden beperkt tot zeven jaar, met de mogelijkheid de looptijd te verlengen.

 

(53)

Het optreden van het Agentschap moet aan een onafhankelijke beoordeling worden onderworpen. Die beoordeling moet betrekking hebben op de effectiviteit van het Agentschap bij het verwezenlijken van zijn doelstellingen, zijn werkmethoden en de relevantie van zijn taken om te bepalen of de doelstellingen van het Agentschap nog steeds geldig zijn en, op basis daarvan, of en voor hoe lang de looptijd van zijn mandaat moet worden verlengd.

 

(54)

Indien de Commissie tegen het tijdstip waarop het mandaat van het Agentschap verloopt, geen voorstel heeft ingediend tot verlenging van het mandaat, moeten het Agentschap en de Commissie de benodigde maatregelen nemen, met name met betrekking tot contracten van personeelsleden en begrotingsregelingen.

 

(55)

Daar de doelstelling van deze richtlijn, namelijk de oprichting van een Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging, met als doel bij te dragen aan een hoog niveau van netwerk en informatieveiligheid binnen de Unie en om de bewustzijn te versterken en om een cultuur van netwerk en informatieveiligheid aan te moedigen ten behoeve van burgers, consumenten, ondernemingen en organisatie in de publieke sector binnen de Unie, niet voldoende door de lidstaten kan worden verwezenlijkt en derhalve beter op het niveau van de Unie kan worden bereikt, kan de Unie overeenkomstig het subsidiariteitsbeginsel van artikel 5 van het Verdrag betreffende de Europese Unie maatregelen vaststellen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan wat nodig is om die doelstellingen te verwezenlijken,

 

(56)

Verordening (EG) nr. 460/2004 moet worden ingetrokken.

 

(57)

De Europese Toezichthouder voor gegevensbescherming is geraadpleegd in overeenstemming met artikel 28, lid 2, van Verordening (EG) nr. 45/2001 en heeft zijn advies vastgesteld op 20 december 2010 (16),

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

AFDELING 1

WERKINGSSFEER, DOELSTELLINGEN EN TAKEN

Artikel 1

Onderwerp en toepassingsgebied

  • 1. 
    Bij deze verordening wordt een Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa, hierna „het Agentschap”) opgericht voor de uitvoering van de aan deze toegewezen taken met als doel bij te dragen tot een hoog niveau van netwerk- en informatiebeveiliging in de Unie en ten einde het bewustzijn aangaande netwerk- en informatiebeveiliging te vergroten en een cultuur van netwerk- en informatiebeveiliging ten behoeve van burgers, consumenten, bedrijven en publieke organen in de Unie te ontwikkelen en te bevorderen en op die manier bij te dragen tot de totstandbrenging en de goede werking van de interne markt.
  • 2. 
    De doelstellingen en taken van het Agentschap laten de bevoegdheden van de lidstaten betreffende netwerk- en informatiebeveiliging en in ieder geval de activiteiten op het gebied van openbare veiligheid, defensie, staatsveiligheid (inclusief de economische welvaart van de staat indien de vraagstukken verband houden met de staatsveiligheid) en activiteiten van de staat op het gebied van het strafrecht, onverlet.
  • 3. 
    In deze verordening wordt onder „netwerk- en informatiebeveiliging” verstaan: het vermogen van een netwerk of informatiesysteem om met een gegeven niveau van betrouwbaarheid weerstand te bieden aan toevallige gebeurtenissen of onwettige of kwaadaardige acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen of verzonden gegevens en de daaraan gerelateerde diensten die via deze netwerken en systemen worden aangeboden of toegankelijk zijn, in gevaar brengen.

Artikel 2

Doelstellingen

  • 1. 
    Het Agentschap ontwikkelt en onderhoudt een hoog niveau van deskundigheid.
  • 2. 
    Het Agentschap verleent bijstand aan de instellingen, organen en instanties van de Unie bij de ontwikkeling van beleid op het gebied van netwerk- en informatiebeveiliging.
  • 3. 
    Het Agentschap verleent bijstand aan de instellingen, organen en instanties van de Unie en de lidstaten bij de tenuitvoerlegging van het beleid dat nodig is voor de naleving van wettelijke of regelgevende eisen aangaande netwerk- en informatiebeveiliging uit hoofde van de bestaande en toekomstige rechtshandelingen van de Unie, en draagt aldus bij tot de goede werking van de interne markt.
  • 4. 
    Het Agentschap verleent bijstand aan de Unie en de lidstaten bij het verhogen en versterken van hun vermogen en paraatheid om problemen en incidenten op het gebied van netwerk- en informatiebeveiliging te voorkomen, op te sporen en aan te pakken.
  • 5. 
    Het Agentschap zet zijn deskundigheid in om brede samenwerking tussen actoren uit de publieke en de private sector te stimuleren.

Artikel 3

Taken

  • 1. 
    In het kader van het in artikel 1 uiteengezette doel en om de in artikel 2 genoemde doelstellingen te verwezenlijken, met inachtneming van artikel 1, lid 2, voert het Agentschap de volgende taken uit:
 

a)

het ondersteunen van de ontwikkeling van uniaal beleid en recht door:

 

i)

bijstand en advies te verlenen over alle aangelegenheden die het beleid en het recht van de Unie inzake netwerk- en informatiebeveiliging betreffen;

 

ii)

voorbereidende werkzaamheden te verrichten en advies en analyses te verstrekken met betrekking tot de ontwikkeling en de actualisering van het beleid en het recht van de Unie inzake netwerk- en informatiebeveiliging;

 

iii)

publiekelijk beschikbare strategieën voor netwerk- en informatiebeveiliging te analyseren en de bekendmaking ervan te bevorderen;

 

b)

het ondersteunen van capaciteitsopbouw door:

 

i)

lidstaten op hun verzoek ondersteuning te verlenen bij hun inspanningen om de preventie, de opsporing en de analyse van, en het vermogen te reageren op, problemen en incidenten betreffende netwerk- en informatiebeveiliging te ontwikkelen en te verbeteren, en hen te voorzien van de noodzakelijke kennis;

 

ii)

vrijwillige samenwerking tussen de lidstaten onderling en tussen de instellingen, organen en instanties van de Unie en de lidstaten te bevorderen en te vergemakkelijken bij hun inspanningen om problemen en incidenten op het gebied van netwerk- en informatiebeveiliging te voorkomen, op te sporen en aan te pakken wanneer deze een grensoverschrijdende effect hebben;

 

iii)

bijstand te verlenen aan de instellingen, organen en instanties van de Unie bij hun inspanningen om de preventie, de opsporing en de analyse van, en het vermogen te reageren op, problemen en incidenten op het gebied van netwerk- en informatiebeveiliging te ontwikkelen, in het bijzonder door het functioneren van een responsteams voor computernoodgevallen (Computer Emergency Response Teams — CERT)) voor hen te ondersteunen;

 

iv)

ondersteuning te verlenen aan het verhogen van het niveau van de capaciteiten van nationale CERTs, CERTs van de overheid en uniale CERTs, onder meer door de dialoog en de informatie-uitwisseling te bevorderen, met als doel ervoor te zorgen dat iedere CERT, rekening houdend met de stand van de techniek, aan een gemeenschappelijke set aan minimumcapaciteiten voldoet en opereert in overeenstemming met de beste praktijken;

 

v)

ondersteuning te verlenen voor het organiseren en het uitvoeren van uniale oefeningen met betrekking tot de netwerk- en informatiebeveiliging en desgevraagd advies te verlenen aan de lidstaten aangaande nationale oefeningen;

 

vi)

bijstand te verlenen aan de instellingen, organen en instanties van de Unie en de lidstaten bij hun inspanningen om relevante netwerk- en informatiebeveiligingsgegevens te verzamelen, te analyseren en, met inachtneming van de beveiligingsvoorschriften van de lidstaten, te verspreiden, alsmede de bekendheid van de instellingen, organen en instanties van de Unie en van de lidstaten, met de laatste stand van de netwerk- en informatieveiligheid in de Unie te onderhouden, op basis van informatie die is verstrekt door de instellingen, organen en instanties van de Unie en de lidstaten in overeenstemming met de bepalingen van het Unierecht en de nationale bepalingen die voldoen aan de bepalingen van het Unierecht;

 

vii)

ondersteuning te verlenen bij de ontwikkeling van een uniaal vroegtijdig waarschuwingsmechanisme dat een aanvulling vormt op de mechanismen van de lidstaten;

 

viii)

opleidingen aangaande netwerk- en informatiebeveiliging aan te bieden aan betrokken overheidsorganen, in voorkomend geval in samenwerking met belanghebbenden;

 

c)

het ondersteunen van vrijwillige samenwerking tussen bevoegde overheidsinstanties, en tussen belanghebbenden, met inbegrip van universiteiten en onderzoekscentra in de Unie, en het ondersteunen van bewustmaking, onder andere door:

 

i)

samenwerking te bevorderen tussen nationale CERTs en CERTs van overheden of computercalamiteitenteams (Computer Security Incident Response Teams (CSIRTs)), met inbegrip van het CERT voor de instellingen, organen en instanties van de Unie;

 

ii)

de ontwikkeling en de uitwisseling van beste praktijken te bevorderen met als doel een verhoogd niveau van netwerk- en informatieveiligheid te bereiken;

 

iii)

dialoog en inspanningen te faciliteren met het oog op de ontwikkeling en uitwisseling van goede praktijken;

 

iv)

beste praktijken op het gebied van informatie-uitwisseling en bewustmaking te bevorderen;

 

v)

ondersteuning te verlenen aan de instellingen, organen en instanties van de Unie en, op hun verzoek, aan de lidstaten en de Unie bij het organiseren van bewustmakingsactiviteiten, waaronder op het niveau van de individuele gebruiker, en andere stimuleringsactiviteiten om de netwerk- en informatiebeveiliging en de zichtbaarheid ervan te vergroten, door beste praktijken en richtsnoeren aan te reiken;

 

d)

het ondersteunen van onderzoek en ontwikkeling en standaardisatie door:

 

i)

het opstellen en het toepassen te vergemakkelijken van Europese en internationale standaarden voor risicobeheersing en voor de beveiliging van elektronische producten, netwerken en diensten;

 

ii)

advies te verlenen aan de Unie en de lidstaten over onderzoeksbehoeften op het gebied van netwerk- en informatiebeveiliging om doelmatig te kunnen reageren op bestaande en opkomende risico’s en dreigingen op dat gebied, waaronder met betrekking tot nieuwe en opkomende informatie- en communicatietechnologieën, en om risicopreventietechnologieën doelmatig te gebruiken;

 

e)

het samenwerken met de instellingen, organen en instanties van de Unie, waaronder die welke zich bezighouden met cybercriminaliteit en de bescherming van privacy en persoonsgegevens, met als doel het aanpakken van gemeenschappelijke zorgpunten, onder meer door:

 

i)

kennis en beste praktijken uit te wisselen;

 

ii)

advies te verstrekken over relevante netwerk- en informatiebeveiligingsaspecten met het oog op het tot stand brengen van synergie;

 

f)

het bijdragen aan inspanningen van de Unie om samen te werken met derde landen en internationale organisaties, teneinde internationale samenwerking inzake problemen op het gebied van netwerk- en informatiebeveiliging te bevorderen, onder meer door:

 

i)

betrokken te zijn, waar toepasselijk, als waarnemer bij en medeorganisator van internationale oefeningen en de resultaten van die oefeningen te analyseren en verslag uit te brengen over dergelijke oefeningen;

 

ii)

de uitwisseling van beste praktijken van desbetreffende organisaties te bevorderen;

 

iii)

aan de instellingen van de Unie deskundigheid verstrekken.

  • 2. 
    De instellingen, organen en instanties van de Unie en de organen van de lidstaten kunnen het Agentschap om advies verzoeken in het geval van schending van de beveiliging of van integriteitsverlies met een aanmerkelijke impact op de exploitatie van netwerken en diensten.
  • 3. 
    Het Agentschap voert de aan hem bij rechtshandelingen van de Unie opgedragen taken uit.
  • 4. 
    Het Agentschap brengt zijn eigen conclusies, richtsnoeren en adviezen vraagstukken die onder de werkingssfeer en de doelstellingen van deze verordening vallen, op een onafhankelijke wijze tot uitdrukking.

AFDELING 2

ORGANISATIE

Artikel 4

Samenstelling van het Agentschap

  • 1. 
    Het Agentschap bestaat uit:
 

a)

een raad van bestuur;

 

b)

een uitvoerend directeur en personeel, en

 

c)

een permanente groep van belanghebbenden.

  • 2. 
    Om bij te dragen aan de doeltreffendheid en doelmatigheid van het functioneren van het Agentschap, stelt de raad van bestuur een dagelijks bestuur in.

Artikel 5

Raad van bestuur

  • 1. 
    De raad van bestuur bepaalt de algemene opzet van de werkzaamheden van het Agentschap en ziet erop toe dat de werkzaamheden van het Agentschap in overeenstemming zijn met de in deze verordening vastgestelde regels en beginselen. Ook zorgt hij voor samenhang tussen de werkzaamheden van het Agentschap en de activiteiten op het niveau van de lidstaten en de Unie.
  • 2. 
    De raad van bestuur stelt het jaarlijks werkprogramma en het meerjarenwerkprogramma van het Agentschap vast.
  • 3. 
    De raad van bestuur keurt een algemeen jaarverslag over de activiteiten van het Agentschap goed en doet dat uiterlijk op 1 juli van het volgende jaar toekomen aan het Europees Parlement, de Raad, de Commissie en de Rekenkamer. Het jaarverslag bevat de rekeningen en beschrijft hoe het Agentschap zijn prestatie-indicatoren heeft nageleefd. Dit jaarverslag wordt openbaar gemaakt.
  • 4. 
    De raad van bestuur stelt een fraudebestrijdingsstrategie vast die in verhouding staat tot de frauderisico’s voor wat betreft een kosten-batenanalyse van de uit te voeren maatregelen.
  • 5. 
    De raad van bestuur zorgt voor adequate follow-up van de bevindingen en aanbevelingen die voortkomen uit onderzoeken van het Europees Bureau voor fraudebestrijding (OLAF) en de diverse interne of externe auditverslagen en evaluaties.
  • 6. 
    De raad van bestuur stelt regels vast voor het voorkomen en beheren van belangenconflicten.
  • 7. 
    De raad van bestuur oefent ten aanzien van het personeel van het Agentschap de bevoegdheden uit die krachtens het Statuut van de ambtenaren en de Regeling welke van toepassing is op de andere personeelsleden van de Europese Gemeenschappen („het Statuut” en „de Regeling die van toepassing is op de andere personeelsleden”), zoals vastgelegd in Verordening (EEG, Euratom, EGKS) nr. 259/68 (17), respectievelijk zijn verleend aan het tot aanstelling bevoegde gezag en aan het tot het aangaan van overeenkomsten bevoegde gezag.

De raad van bestuur stelt overeenkomstig de procedure uit hoofde van artikel 110 van het Statuut, op basis van artikel 2, lid 1, van het Statuut en artikel 6 van de Regeling die van toepassing is op de andere personeelsleden een besluit vast, waarbij de desbetreffende bevoegdheden van het tot aanstelling bevoegde gezag worden gedelegeerd aan de uitvoerend directeur. De uitvoerend directeur mag deze bevoegdheden verder delegeren.

Indien uitzonderlijke omstandigheden dat vereisen, kan de raad van bestuur de aan de uitvoerend directeur gedelegeerde bevoegdheden van het tot aanstelling bevoegde gezag en de door de uitvoerend directeur gedelegeerde bevoegdheden terugnemen. In dat geval kan de raad van bestuur die bevoegdheden voor beperkte tijd delegeren aan een van zijn leden of aan een ander personeelslid dan de uitvoerend directeur.

  • 8. 
    De raad van bestuur stelt overeenkomstig de procedure van artikel 110 van het Statuut passende voorschriften op voor de toepassing van het Statuut en van de Regeling die van toepassing is op de andere personeelsleden.
  • 9. 
    De raad van bestuur benoemt de uitvoerend directeur en kan diens ambtstermijn verlengen of hem uit zijn ambt ontheffen in overeenstemming met artikel 24 van deze verordening.
  • 10. 
    De raad van bestuur stelt na raadpleging van de Commissie voor zichzelf en voor het dagelijks bestuur het reglement van orde vast. Het reglement van orde voorziet in snelle besluitvorming hetzij via een schriftelijke procedure hetzij via videoconferencing.
  • 11. 
    De raad van bestuur stelt na raadpleging van de diensten van de Commissie het huishoudelijk reglement van het Agentschap vast. Dit huishoudelijk reglement wordt openbaar gemaakt.
  • 12. 
    De raad van bestuur stelt de financiële regels vast die van toepassing zijn op het Agentschap. Deze financiële regels mogen niet afwijken van Verordening (EG, Euratom) nr. 2343/2002 van de Commissie van 19 november 2002 houdende de financiële kaderregeling van de organen, bedoeld in artikel 185 van Verordening (EG, Euratom) nr. 1605/2002 van de Raad houdende het Financieel Reglement van toepassing op de algemene begroting van de Europese Gemeenschappen (18) tenzij de specifieke vereisten van werking van het Agentschap zulks vereisen en de Commissie hierin vooraf heeft toegestemd.
  • 13. 
    De raad van bestuur stelt een meerjarig personeelsbeleidsplan vast, na raadpleging van de diensten van de Commissie en na het Europees Parlement en de Raad naar behoren in kennis te hebben gesteld.

Artikel 6

Samenstelling van de raad van bestuur

  • 1. 
    De raad van bestuur bestaat uit één vertegenwoordiger per lidstaat en twee door de Commissie benoemde vertegenwoordigers. Alle vertegenwoordigers hebben stemrecht.
  • 2. 
    Elk lid van de raad van bestuur heeft een plaatsvervanger om het lid te vertegenwoordigen in geval van afwezigheid.
  • 3. 
    De leden van de raad van bestuur en hun plaatsvervangers worden benoemd op grond van hun kennis van de taken en doelstellingen van het Agentschap, rekening houdend met de bestuurlijke, administratieve en budgettaire vaardigheden die van belang zijn voor het vervullen van de in artikel 5 vermelde taken. De Commissie en de lidstaten dienen zich ter wille van de continuïteit van het werk van de raad van bestuur in te spannen om het verloop onder hun vertegenwoordigers in de raad van bestuur te beperken. De Commissie en de lidstaten streven naar een evenwichtige deelname van mannen en vrouwen in de raad van bestuur.
  • 4. 
    De ambtstermijn van de leden van de raad van bestuur en hun plaatsvervangers bedraagt vier jaar. Die termijn kan worden verlengd.

Artikel 7

Voorzitter van de raad van bestuur

  • 1. 
    De raad van bestuur kiest uit zijn midden een voorzitter en een vicevoorzitter voor een periode van drie jaar, die kan worden hernieuwd. De vicevoorzitter vervangt ambtshalve de voorzitter wanneer deze is verhinderd zijn taken te verrichten.
  • 2. 
    De voorzitter kan worden uitgenodigd een verklaring voor de desbetreffende commissie(s) van het Europees Parlement af te leggen en vragen van leden te beantwoorden.

Artikel 8

Vergaderingen

  • 1. 
    De voorzitter roept de raad van bestuur in vergadering bijeen.
  • 2. 
    De raad van bestuur belegt ten minste eenmaal per jaar een gewone vergadering. Op verzoek van de voorzitter of van ten minste een derde van zijn leden belegt de raad van bestuur ook buitengewone vergaderingen.
  • 3. 
    De uitvoerend directeur neemt zonder stemrecht deel aan de vergaderingen van de raad van bestuur.

Artikel 9

Stemming

  • 1. 
    De raad van bestuur neemt besluiten met absolute meerderheid van de stemmen.
  • 2. 
    Voor de vaststelling van het reglement van orde van de raad van bestuur, het huishoudelijk reglement van het Agentschap, de begroting, het jaarlijkse en meerjarenwerkprogramma, de benoeming, termijnverlenging en ambtsontheffing van de uitvoerend directeur en de benoeming van de voorzitter van de raad van bestuur is een tweederde meerderheid van alle leden van de raad van bestuur vereist.

Artikel 10

Dagelijks bestuur

  • 1. 
    De raad van bestuur wordt bijgestaan door een dagelijks bestuur.
  • 2. 
    Het dagelijks bestuur bereidt door de raad van bestuur goed te keuren besluiten voor aangaande uitsluitend administratieve en budgettaire aangelegenheden.

Samen met de raad van bestuur zorgt het voor adequate follow-up van de bevindingen en aanbevelingen die voortkomen uit onderzoeken van het Europees Bureau voor fraudebestrijding (OLAF) en de diverse interne of externe auditverslagen en evaluaties.

Onverminderd de in artikel 11 genoemde verantwoordelijkheden van de uitvoerend directeur, assisteert en adviseert het dagelijks bestuur de uitvoerend directeur bij de uitvoering van de besluiten van de raad van bestuur aangaande administratieve en budgettaire aangelegenheden.

  • 3. 
    Het dagelijks bestuur bestaat uit vijf uit de raad van bestuur benoemde leden, onder wie de voorzitter van de raad van bestuur, die ook het dagelijks bestuur kan voorzitten, en een van de vertegenwoordigers van de Commissie.
  • 4. 
    De ambtstermijn van de leden van het dagelijks bestuur heeft dezelfde duur als die van de leden van de raad van bestuur als vastgelegd in artikel 6, lid 4.
  • 5. 
    Het dagelijks bestuur vergadert ten minste eens in de drie maanden. De voorzitter van het dagelijks bestuur belegt aanvullende vergaderingen op verzoek van de leden ervan.

Artikel 11

Taken van de uitvoerend directeur

  • 1. 
    Het Agentschap wordt geleid door de uitvoerend directeur, die onafhankelijk is in de uitvoering van zijn taken.
  • 2. 
    De uitvoerend directeur is belast met:
 

a)

het dagelijks beheer van het Agentschap;

 

b)

de uitvoering van de besluiten van de raad van bestuur;

 

c)

het na overleg met de raad van bestuur voorbereiden van het jaarlijks werkprogramma en het meerjarenwerkprogramma en het voorleggen daarvan aan de raad van bestuur, na raadpleging van de Commissie;

 

d)

het uitvoeren van het jaarlijks werkprogramma en het meerjarenwerkprogramma en het rapporteren daarover aan de raad van bestuur;

 

e)

het opstellen van het jaarverslag over de werkzaamheden van het Agentschap en het ter goedkeuring voorleggen daarvan aan de raad van bestuur;

 

f)

het opstellen van een actieplan voor de follow-up van de conclusies van de beoordelingen achteraf, en het uitbrengen van verslag aan de Commissie over de vooruitgang elke twee jaar;

 

g)

het beschermen van de financiële belangen van de Unie door maatregelen ter voorkoming van fraude, corruptie en andere onwettige activiteiten toe te passen, controles te verrichten en, wanneer er onregelmatigheden worden ontdekt, ten onrechte betaalde bedragen terug te vorderen en desgevallend effectieve, evenredige en afschrikkende administratieve en geldelijke sancties op te leggen;

 

h)

het opstellen van een fraudebestrijdingsstrategie voor het Agentschap en het ter goedkeuring voorleggen daarvan aan de raad van bestuur;

 

i)

de taakuitoefening van het Agentschap conform de behoeften van de afnemers, met name wat betreft de doeltreffendheid van de verleende diensten;

 

j)

het ontwikkelen en het in stand houden van contacten met de instellingen, organen en de instanties van de Unie;

 

k)

het leggen en onderhouden van contacten met het bedrijfsleven en consumentenorganisaties om een regelmatige dialoog met de belanghebbenden te waarborgen;

 

l)

andere taken waarmee de uitvoerend directeur krachtens deze verordening is belast.

  • 3. 
    Indien dit noodzakelijk is en binnen de doelstellingen en taken van het Agentschap valt, kan de uitvoerend directeur ad-hocwerkgroepen oprichten, samengesteld uit deskundigen, onder meer van de bevoegde autoriteiten van de lidstaten. De raad van bestuur wordt daarvan van tevoren in kennis gesteld. De procedures betreffende met name de samenstelling, de benoeming van de deskundigen door de uitvoerend directeur en de werkwijze van de ad-hocwerkgroepen worden in het huishoudelijk reglement van het Agentschap vastgesteld.
  • 4. 
    De uitvoerend directeur stelt ondersteunend administratief personeel en andere middelen waar nodig ter beschikking van de raad van bestuur en het dagelijks bestuur.

Artikel 12

Permanente groep van belanghebbenden

  • 1. 
    De raad van bestuur richt, op voorstel van de uitvoerend directeur, een permanente groep van belanghebbenden op, samengesteld uit erkende deskundigen die de relevante belanghebbenden vertegenwoordigen, zoals de ict-industrie, aanbieders van openbare elektronische communicatienetwerken of -diensten, consumentenorganisaties, universitaire deskundigen op het gebied van netwerk- en informatiebeveiliging en vertegenwoordigers van krachtens Richtlijn 2002/21/EG aangemelde nationale regelgevende instanties, alsook autoriteiten op het gebied van rechtshandhavings- en privacybescherming.
  • 2. 
    De procedures betreffende met name het aantal, de samenstelling en de benoeming van de leden van de Groep permanente belanghebbenden door de raad van bestuur, het voorstel van de uitvoerend directeur en de werking van de groep worden in het huishoudelijk reglement van het Agentschap gespecificeerd en worden bekendgemaakt.
  • 3. 
    De Groep permanente belanghebbenden wordt voorgezeten door de uitvoerend directeur of door een ander persoon die door de uitvoerend directeur per geval wordt benoemd.
  • 4. 
    De ambtstermijn van de leden van de Groep permanente belanghebbenden bedraagt tweeënhalf jaar. Leden van de raad van bestuur kunnen geen lid zijn van de Groep permanente belanghebbenden. Deskundigen van de Commissie en van de lidstaten mogen de vergaderingen van de Groep permanente belanghebbenden bijwonen en aan de werkzaamheden daarvan deelnemen. Vertegenwoordigers van andere door de uitvoerend directeur relevant geachte organen, die geen lid zijn van de Groep permanente belanghebbenden, mogen worden uitgenodigd op de vergaderingen Groep permanente belanghebbenden en deelnemen aan de werkzaamheden daarvan.
  • 5. 
    De Groep permanente belanghebbenden adviseert het Agentschap met betrekking tot de uitvoering van zijn activiteiten. Zij adviseert met name de uitvoerend directeur met betrekking tot de opstelling van een voorstel voor het werkprogramma van het Agentschap en met betrekking tot de communicatie met de relevante belanghebbenden over alle met het werkprogramma verband houdende kwesties.

AFDELING 3

WERKING

Artikel 13

Werkprogramma

  • 1. 
    Het Agentschap voert zijn werkzaamheden uit overeenkomstig zijn jaarlijks en meerjarenwerkprogramma, welke alle geplande activiteiten van het Agentschap bevatten.
  • 2. 
    Het werkprogramma bevat gerichte prestatie-indicatoren die een doeltreffende beoordeling van de behaalde resultaten ten opzichte van de doelstellingen mogelijk maken.
  • 3. 
    De uitvoerend directeur is verantwoordelijk voor het opstellen van het ontwerpwerkprogramma van het Agentschap, na overleg met de diensten van de Commissie. Uiterlijk 15 maart van elk jaar dient de uitvoerend directeur het ontwerpwerkprogramma voor het volgende jaar in bij de raad van bestuur.
  • 4. 
    De raad van bestuur stelt jaarlijks uiterlijk 30 november het werkprogramma van het Agentschap voor het komende jaar vast, na het advies van de Commissie te hebben ingewonnen. Het werkprogramma bevat ook een meerjarenvisie. De raad van bestuur ziet erop toe dat het werkprogramma aansluit bij de doelstellingen van het Agentschap, alsook bij de wetgevings- en beleidsprioriteiten van de Unie op het gebied van netwerk- en informatiebeveiliging.
  • 5. 
    Het werkprogramma wordt georganiseerd in overeenstemming met het beginsel van activiteitsgestuurd management (activity-based management). Het werkprogramma spoort met de raming van de ontvangsten en uitgaven van het Agentschap en met de begroting van het Agentschap voor het betreffende financiële jaar.
  • 6. 
    De uitvoerend directeur zendt het werkprogramma, nadat dit door de raad van bestuur is aangenomen, naar het Europees Parlement, de Raad, de Commissie en de lidstaten en maakt deze bekend. Op uitnodiging van de betreffende commissie van het Europees Parlement licht de uitvoerend directeur het goedgekeurde jaarlijkse werkprogramma toe en wisselt met die commissie erover van gedachte.

Artikel 14

Verzoeken aan het Agentschap

  • 1. 
    Verzoeken om adviezen en bijstand die binnen de doelstellingen en taken van het Agentschap vallen, dienen aan de uitvoerend directeur te worden gericht, vergezeld van achtergrondinformatie waarin het te behandelen probleem wordt uitgelegd. De uitvoerend directeur stelt het raad van bestuur en het dagelijks bestuur in kennis van de ontvangen verzoeken, van de potentiële gevolgen ervan voor de middelen en, te zijner tijd, van de follow-up van die verzoeken. Indien het Agentschap een verzoek weigert, geeft het een motivatie.
  • 2. 
    De in lid 1 genoemde verzoeken kunnen worden ingediend door:
 

a)

het Europees Parlement;

 

b)

de Raad;

 

c)

de Commissie;

 

d)

elke bevoegde instantie die door de lidstaten is aangewezen, zoals een nationale regelgevende instantie als gedefinieerd in artikel 2 van Richtlijn 2002/21/EG.

  • 3. 
    De praktische regelingen voor de toepassing van de leden 1 en 2, in het bijzonder met betrekking tot de indiening, de vaststelling van prioriteiten, de follow-up en het op de hoogte brengen van de raad van bestuur en het dagelijks bestuur over de bij het Agentschap ingediende verzoeken, worden door de raad van bestuur vastgesteld in het huishoudelijk reglement van het Agentschap.

Artikel 15

Belangenverklaring

  • 1. 
    De leden van de raad van bestuur, de uitvoerend directeur en de door de lidstaten op tijdelijke basis gedetacheerde ambtenaren leggen elk een verklaring af over hun verplichtingen en een verklaring over hun belangen waaruit blijkt dat zij wel of geen directe of indirecte belangen hebben die als nadelig voor hun onafhankelijkheid kunnen worden beschouwd. De verklaringen zijn accuraat en volledig, en worden jaarlijks schriftelijk afgelegd en telkens wanneer dat nodig is geactualiseerd.
  • 2. 
    De leden van de raad van bestuur, de uitvoerend directeur en de externe deskundigen die deelnemen aan ad-hocwerkgroepen leggen elk uiterlijk aan het begin van elke vergadering een nauwkeurige en volledige verklaring af over belangen die met betrekking tot de agendapunten als nadelig voor hun onafhankelijkheid zouden kunnen worden beschouwd, en nemen niet deel aan de bespreking van en de stemming over die punten.
  • 3. 
    Het Agentschap legt in zijn huishoudelijk reglement de praktische regelingen voor de toepassing van de in de leden 1 en 2 bedoelde bepalingen inzake belangenverklaring vast.

Artikel 16

Transparantie

  • 1. 
    Het Agentschap ziet erop toe dat het zijn activiteiten uitvoert met een hoog niveau van transparantie en in overeenstemming met artikelen 17 en 18.
  • 2. 
    Het Agentschap ziet erop toe dat geïnteresseerden en alle belanghebbenden van passende, objectieve, betrouwbare en gemakkelijk toegankelijke informatie worden voorzien, in het bijzonder met betrekking tot de resultaten van zijn werkzaamheden. Tevens maakt het de overeenkomstig artikel 15 afgelegde belangenverklaringen openbaar.
  • 3. 
    De raad van bestuur kan op voorstel van de uitvoerend directeur belanghebbenden toestemming geven om de uitvoering van activiteiten van het Agentschap als waarnemer bij te wonen.
  • 4. 
    Het Agentschap legt in zijn huishoudelijk reglement de praktische regelingen voor de toepassing van de in de leden 1 en 2 bedoelde transparantiebepalingen vast.

Artikel 17

Vertrouwelijkheid

  • 1. 
    Onverminderd artikel 18, onthult het Agentschap aan derden geen verwerkte of ontvangen informatie waarvoor een met redenen omkleed verzoek om gehele of gedeeltelijke vertrouwelijke behandeling is ingediend.
  • 2. 
    De leden van de raad van bestuur, de uitvoerend directeur, de leden van de permanente groep van belanghebbenden, de externe deskundigen die deelnemen aan ad-hocwerkgroepen en de personeelsleden van het Agentschap, met inbegrip van de door de lidstaten tijdelijk gedetacheerde ambtenaren, leven na het beëindigen van hun functie de geheimhoudingsplicht uit hoofde van artikel 339 van het Verdrag betreffende de werking van de Europese Unie (VWEU) na.
  • 3. 
    Het Agentschap legt in zijn huishoudelijk reglement de praktische regelingen voor de toepassing van de in de leden 1 en 2 bedoelde vertrouwelijkheidsregels vast.
  • 4. 
    Indien dat voor de verrichting van de taken van het Agentschap noodzakelijk is, besluit de raad van bestuur het Agentschap toestemming te geven om gerubriceerde informatie te verwerken. In dat geval stelt de raad van bestuur, in overleg met de diensten van de Commissie, interne regels vast waarbij de beveiligingsbeginselen van Besluit 2001/844/EG, EGKS, Euratom van de Commissie van 29 november 2001 tot wijziging van haar reglement van orde (19) worden toegepast. Deze regels gelden onder meer voor de bepalingen betreffende de uitwisseling, de verwerking en de opslag van gerubriceerde gegevens.

Artikel 18

Toegang tot documenten

  • 1. 
    Verordening (EG) nr. 1049/2001 is van toepassing op de documenten die gehouden worden door het Agentschap.
  • 2. 
    De raad van bestuur stelt binnen zes maanden na de oprichting van het Agentschap regelingen voor de uitvoering van Verordening (EG) nr. 1049/2001 vast.
  • 3. 
    Tegen besluiten van het Agentschap uit hoofde van artikel 8 van Verordening (EG) nr. 1049/2001 kan een klacht bij de ombudsman worden ingediend uit hoofde van artikel 228 VWEU of een beroep bij het Hof van Justitie van de Europese Unie worden ingesteld uit hoofde van artikel 263 VWEU.

AFDELING 4

FINANCIËLE BEPALINGEN

Artikel 19

Vaststelling van de begroting

  • 1. 
    Het Agentschap wordt gefinancierd door een bijdrage uit de begroting van de Unie en bijdragen van derde landen die deelnemen aan de werkzaamheden van het Agentschap, zoals bepaald in artikel 30, en vrijwillige bijdragen van de lidstaten, in geld of in natura. lidstaten die vrijwillig bijdragen kunnen geen aanspraak maken op specifieke rechten of diensten op grond daarvan.
  • 2. 
    De uitgaven van het Agentschap hebben betrekking op het personeel, administratieve en technische ondersteuning, infrastructuur, werkingskosten en uitgaven die voortvloeien uit contracten met derden.
  • 3. 
    De uitvoerend directeur stelt jaarlijks uiterlijk 1 maart, een ontwerpraming op van de ontvangsten en uitgaven van het Agentschap voor het volgende begrotingsjaar en zendt die, tezamen met een ontwerpoverzicht van de personeelsformatie, aan de raad van bestuur.
  • 4. 
    De ontvangsten en uitgaven zijn in evenwicht.
  • 5. 
    De raad van bestuur stelt jaarlijks de raming van de ontvangsten en uitgaven van het Agentschap voor het volgende begrotingsjaar vast op basis van een door de uitvoerend directeur opgestelde ontwerpraming van de ontvangsten en uitgaven.
  • 6. 
    Uiterlijk 31 maart van elk jaar stuurt de raad van bestuur deze raming, samen met het ontwerpoverzicht van de personeelsformatie en het ontwerpwerkprogramma, naar de Commissie en de derde landen waarmee de Unie overeenkomstig artikel 30 een overeenkomst heeft gesloten.
  • 7. 
    De Commissie stuurt de raming samen met het ontwerp van de algemene begroting van de Europese Unie door aan het Europees Parlement en de Raad.
  • 8. 
    Op basis van deze raming voert de Commissie in het ontwerp van algemene begroting van de Europese Unie, dat zij overeenkomstig artikel 314 VWEU bij het Europees Parlement en de Raad indient, de ramingen op die zij nodig acht voor het overzicht van de personeelsformatie en voor de subsidie ten laste van de algemene begroting.
  • 9. 
    Het Europees Parlement en de Raad keuren de kredieten voor de subsidie aan het Agentschap goed.
  • 10. 
    Het Europees Parlement en de Raad stellen de personeelsformatie van het Agentschap vast.
  • 11. 
    De raad van bestuur stelt, samen met het werkprogramma, de begroting van het Agentschap vast. De begroting wordt definitief na de definitieve vaststelling van de algemene begroting van de Unie. Voor zover van toepassing past de raad van bestuur de begroting en het werkprogramma van het Agentschap aan in overeenstemming met de algemene begroting van de Unie. De raad van bestuur stuurt de begroting onverwijld aan het Europees Parlement, de Raad en de Commissie.

Artikel 20

Fraudebestrijding

  • 1. 
    Om de bestrijding van fraude, corruptie en andere illegale handelingen als bedoeld in Verordening (EG) nr. 1073/1999 (20) te bevorderen, treedt het Agentschap binnen zes maanden na de datum waarop het operationeel is geworden toe tot het Interinstitutioneel Akkoord van 25 mei 1999 betreffende de interne onderzoeken verricht door het Europees Bureau voor fraudebestrijding (OLAF) (21) en stelt het de geschikte, voor alle werknemers van het Agentschap geldende bepalingen vast volgens het model van de bijlage bij dat akkoord.
  • 2. 
    De Rekenkamer is bevoegd om audits te verrichten, op basis van documenten en ter plaatse, bij alle begunstigden, contractanten en subcontractanten die van het Agentschap middelen van de Unie hebben ontvangen.
  • 3. 
    OLAF kan overeenkomstig de bepalingen en procedures van Verordening (EG) nr. 1073/1999 en Verordening (Euratom, EG) nr. 2185/96 van de Raad van 11 november 1996 betreffende de controles en verificaties ter plaatse die door de Commissie worden uitgevoerd ter bescherming van de financiële belangen van de Europese Gemeenschappen tegen fraudes en andere onregelmatigheden (22) controles en verificaties ter plaatse verrichten om vast te stellen of er in verband met een door het Agentschap gefinancierde subsidie of overeenkomst sprake is van fraude, corruptie of andere illegale handelingen waardoor de financiële belangen van de Unie worden geschaad.
  • 4. 
    Onverminderd de leden 1, 2 en 3 bevatten samenwerkingsovereenkomsten met derde landen en internationale organisaties, contracten, subsidieovereenkomsten en subsidiebesluiten van het Agentschap bepalingen die de Rekenkamer en OLAF uitdrukkelijk de bevoegdheid verlenen dergelijke audits en onderzoeken binnen hun respectieve bevoegdheden te verrichten.

Artikel 21

Tenuitvoerlegging van de begroting

  • 1. 
    De uitvoerend directeur is verantwoordelijk voor de tenuitvoerlegging van de begroting van het Agentschap.
  • 2. 
    De interne controleur van de Commissie heeft ten aanzien van het Agentschap dezelfde bevoegdheden als ten aanzien van de diensten van de Commissie.
  • 3. 
    Uiterlijk 1 maart van het jaar dat volgt op het afgesloten begrotingsjaar (1 maart N + 1) dient de rekenplichtige van het Agentschap de voorlopige rekeningen met het verslag over het budgettaire en financiële beheer van dat begrotingsjaar in bij de rekenplichtige van de Commissie. De rekenplichtige van de Commissie consolideert de voorlopige rekeningen van de instellingen en de gedecentraliseerde organen overeenkomstig artikel 147 van het Financieel Reglement.
  • 4. 
    Uiterlijk 31 maart van het jaar N + 1 dient de rekenplichtige van de Commissie de voorlopige rekeningen van het Agentschap in bij de Rekenkamer, samen met een verslag over het begrotings- en financieel beheer tijdens het begrotingsjaar. Het verslag over het budgettaire en financiële beheer tijdens het begrotingsjaar wordt tevens aan het Europees Parlement en aan de Raad gezonden.
  • 5. 
    Na ontvangst van de opmerkingen van de Rekenkamer over de voorlopige rekeningen van het Agentschap krachtens artikel 148 van het Financieel Reglement maakt de uitvoerend directeur van het Agentschap onder zijn eigen verantwoordelijkheid de definitieve rekeningen op en legt hij deze voor advies voor aan de raad van bestuur.
  • 6. 
    De raad van bestuur brengt advies uit over de definitieve rekeningen van het Agentschap.
  • 7. 
    Uiterlijk 1 juli van het jaar N + 1 dient de uitvoerend directeur de definitieve rekeningen, inclusief het verslag over het begrotings- en financieel beheer voor dat begrotingsjaar en de opmerkingen van de Rekenkamer, samen met het advies van de raad van bestuur, in bij het Europees Parlement, de Raad, de Commissie en de Rekenkamer.
  • 8. 
    De uitvoerend directeur maakt de definitieve rekeningen bekend.
  • 9. 
    De uitvoerend directeur stuurt uiterlijk 30 september van het jaar N + 1 aan de Rekenkamer een antwoord op diens opmerkingen en stuurt aan de raad van bestuur een kopie van dit antwoord.
  • 10. 
    De uitvoerend directeur verstrekt het Europees Parlement op verzoek, overeenkomstig het bepaalde in artikel 165, lid 3, van het Financieel Reglement, alle inlichtingen die nodig zijn voor het goede verloop van de kwijtingsprocedure voor het betrokken begrotingsjaar.
  • 11. 
    Het Europees Parlement verleent op aanbeveling van de Raad vóór 15 mei van het jaar N + 2 aan de uitvoerend directeur kwijting inzake de uitvoering van de begroting van het jaar N.

AFDELING 5

PERSONEEL

Artikel 22

Algemene bepalingen

Het Statuut en de Regeling die van toepassing is op de andere personeelsleden, alsook de voorschriften die in onderling overeengekomen zijn tussen de instellingen van de Unie om daaraan uitvoering te geven, zijn van toepassing op het personeel van het Agentschap.

Artikel 23

Voorrechten en immuniteiten

Protocol nr. 7 betreffende de voorrechten en immuniteiten van de Europese Unie dat is gehecht aan het Verdrag betreffende de Europese Unie en het VWEU is van toepassing op het Agentschap en op het personeel ervan.

Artikel 24

Uitvoerend directeur

  • 1. 
    De uitvoerend directeur wordt aangeworven als een tijdelijke functionaris van het Agentschap overeenkomstig artikel 2, onder a), van de Regeling die van toepassing is op de andere personeelsleden.
  • 2. 
    De uitvoerend directeur wordt benoemd door de raad van bestuur, uit een kandidatenlijst die door de Commissie wordt opgesteld na een open en transparante selectieprocedure.

Voor de sluiting van het contract met de uitvoerend directeur wordt het Agentschap vertegenwoordigd door de voorzitter van de raad van bestuur.

Vóór de benoeming wordt de door de raad van bestuur gekozen kandidaat uitgenodigd een verklaring voor de betreffende commissie van het Europees Parlement af te leggen en vragen van leden te beantwoorden.

  • 3. 
    De ambtstermijn van de uitvoerend directeur bedraagt vijf jaar. Aan het eind van deze termijn verricht de Commissie een beoordeling waarin rekening wordt gehouden met de evaluatie van de prestaties van de uitvoerend directeur en de toekomstige taken en uitdagingen van het Agentschap.
  • 4. 
    De raad van bestuur kan op voorstel van de Commissie, waarbij rekening wordt gehouden met de in lid 3 bedoelde beoordeling, en na het standpunt van het Europees Parlement te hebben verkregen de ambtstermijn van de uitvoerend directeur eenmaal met ten hoogste vijf jaar verlengen.
  • 5. 
    De raad van bestuur stelt het Europees Parlement in kennis van zijn voornemen om de ambtstermijn van de directeur te verlengen. Binnen drie maanden voorafgaand aan een zodanige verlenging legt de uitvoerend directeur, indien daartoe uitgenodigd, een verklaring af voor de betreffende commissie van het Europees Parlement en beantwoordt vragen van leden.
  • 6. 
    Een uitvoerend directeur wiens ambtstermijn is verlengd, mag niet deelnemen aan een andere selectieprocedure voor dezelfde betrekking.
  • 7. 
    De uitvoerend directeur kan enkel uit zijn ambt worden ontheven door een besluit van de raad van bestuur.

Artikel 25

Gedetacheerde nationale deskundigen en ander personeel

  • 1. 
    Het Agentschap mag ook gebruikmaken van diensten van gedetacheerde nationale deskundigen of ander personeel dat niet in dienst is van het Agentschap. Het Statuut van de ambtenaren van de Europese Unie en de Regeling die van toepassing is op de andere personeelsleden zijn niet van toepassing op dit personeel.
  • 2. 
    De raad van bestuur stelt een besluit vast houdende voorschriften inzake de detachering van nationale deskundigen bij het Agentschap.

AFDELING 6

ALGEMENE BEPALINGEN

Artikel 26

Rechtspositie

  • 1. 
    Het Agentschap is een orgaan van de Unie. Het heeft rechtspersoonlijkheid.
  • 2. 
    Het Agentschap beschikt in alle lidstaten over de ruimste handelingsbevoegdheid die volgens de geldende wetgeving aan rechtspersonen wordt verleend. Het kan met name roerende en onroerende goederen verwerven of vervreemden en in rechte optreden.
  • 3. 
    Het Agentschap wordt vertegenwoordigd door zijn uitvoerend directeur.
  • 4. 
    Het bijkantoor dat is opgericht in het grootstedelijk gebied van Athene, wordt gehandhaafd om de doelmatigheid van het Agentschap te vergroten.

Artikel 27

Aansprakelijkheid

  • 1. 
    De contractuele aansprakelijkheid van het Agentschap wordt beheerst door het recht dat op de betrokken overeenkomst van toepassing is.

Het Hof van Justitie van de Europese Unie is bevoegd uitspraak te doen krachtens arbitrageclausules in door het Agentschap gesloten overeenkomsten.

  • 2. 
    In geval van niet-contractuele aansprakelijkheid vergoedt het Agentschap, overeenkomstig de algemene beginselen die de wetgevingen van de lidstaten gemeen hebben, alle schade die door het Agentschap zelf of zijn personeelsleden in de uitoefening van hun functie is veroorzaakt.

Het Hof van Justitie van de Europese Unie is bevoegd voor geschillen over de vergoeding van dergelijke schade.

  • 3. 
    De persoonlijke aansprakelijkheid van de personeelsleden van het Agentschap ten aanzien van het Agentschap is geregeld bij de desbetreffende bepalingen die van toepassing zijn op het personeel van het Agentschap.

Artikel 28

Talen

  • 1. 
    Verordening nr. 1 van de Raad van 15 april 1958 tot regeling van het taalgebruik in de Europese Economische Gemeenschap (23) is van toepassing op het Agentschap. De lidstaten en de overige door de lidstaten aangewezen instanties kunnen hun verzoeken aan het Agentschap richten en daarop een antwoord verlangen in de officiële taal van de instellingen van de Unie van hun keuze.
  • 2. 
    De voor het functioneren van het Agentschap vereiste vertaaldiensten worden geleverd door het Vertaalbureau voor de organen van de Europese Unie.

Artikel 29

Bescherming van persoonsgegevens

  • 1. 
    Bij het verwerken van gegevens met betrekking tot personen, in het bijzonder bij de uitvoering van zijn taken, leeft het Agentschap de in Verordening (EG) nr. 45/2001 vervatte beginselen inzake de bescherming van persoonsgegevens na, en is het onderworpen aan de bepalingen van die verordening.
  • 2. 
    De raad van bestuur stelt uitvoeringsvoorschriften als bedoeld in artikel 24, lid 8, van Verordening (EG) nr. 45/2001 vast. De raad van bestuur kan aanvullende maatregelen vaststellen met het oog op de toepassing van Verordening (EG) nr. 45/2001 door het Agentschap.

Artikel 30

Deelname van derde landen

  • 1. 
    Het Agentschap staat open voor deelname van derde landen die met de Europese Unie overeenkomsten hebben gesloten uit hoofde waarvan zij uniale rechtshandelingen op het onder deze verordening vallende gebied hebben overgenomen en hebben toegepast.
  • 2. 
    Overeenkomstig de desbetreffende bepalingen van deze overeenkomsten worden regelingen getroffen waarin met name de aard, de omvang en de methode van deelneming van deze landen aan de werkzaamheden van het Agentschap worden uiteengezet, met inbegrip van bepalingen met betrekking tot de deelneming aan de door het Agentschap ontwikkelde initiatieven, de financiële bijdragen en het personeel.

Artikel 31

Veiligheidsvoorschriften betreffende de bescherming van gerubriceerde gegevens

Het Agentschap past de veiligheidsbeginselen toe van de veiligheidsvoorschriften van de Commissie voor de bescherming van gerubriceerde EU-informatie (EUCI) en gevoelige niet-gerubriceerde gegevens als vermeld in de bijlage bij Besluit 2001/844/EG, EGKS, Euratom. Dit geldt onder meer voor de bepalingen betreffende de uitwisseling, de verwerking en de opslag van dergelijke gegevens.

HOOFDSTUK 7

SLOTBEPALINGEN

Artikel 32

Evaluatie en toetsing

  • 1. 
    Uiterlijk 20 juni 2018 geeft de Commissie opdracht tot het verrichten van een evaluatie waarin met name aandacht wordt besteed aan de impact, de doeltreffendheid en doelmatigheid en de werkmethoden van het Agentschap. In die evaluatie wordt ook onderzocht of het nodig is het mandaat van het Agentschap aan te passen en welke financiële gevolgen een dergelijke wijziging zou meebrengen.
  • 2. 
    Bij de in het eerste lid bedoelde evaluatie wordt rekening gehouden met feedback die aan het Agentschap is gegeven naar aanleiding van zijn activiteiten.
  • 3. 
    De Commissie stuurt het evaluatieverslag en haar conclusies toe aan het Europees Parlement, de Raad en de raad van bestuur. De bevindingen van de evaluatie worden openbaar gemaakt.
  • 4. 
    Als onderdeel van de evaluatie zal ook een beoordeling worden verricht van de door het Agentschap behaalde resultaten ten opzichte van zijn doelstellingen, mandaat en taken. Indien de Commissie van oordeel is dat de voortzetting van het Agentschap gezien de daaraan toegewezen doelstellingen en taken en het mandaat ervan gerechtvaardigd is, kan zij voorstellen de in artikel 36 genoemde looptijd van het mandaat van het Agentschap te verlengen.

Artikel 33

Samenwerking met de lidstaat van vestiging

De lidstaat van vestiging van het Agentschap verschaft zo goed mogelijke voorwaarden om een goede werking van het Agentschap te waarborgen, met inbegrip van de bereikbaarheid van de locatie, de aanwezigheid van passende onderwijsvoorzieningen voor de kinderen van personeelsleden en passende arbeidsmogelijkheden, sociale zekerheid en medische zorg voor kinderen en echtgenoten van personeelsleden.

Artikel 34

Administratieve controle

De Ombudsman ziet toe op de activiteiten van het Agentschap in overeenstemming met artikel 228 VWEU.

Artikel 35

Intrekking en opvolging

  • 1. 
    Verordening (EG) nr. 460/2004 wordt ingetrokken.

Verwijzingen naar Verordening (EG) nr. 460/2004 en naar het Enisa gelden als verwijzingen naar deze verordening en naar het Agentschap.

  • 2. 
    Het Agentschap volgt het bij Verordening (EG) nr. 460/2004 opgerichte agentschap op voor wat alle eigendommen, overeenkomsten, wettelijke verplichtingen, arbeidsovereenkomsten, financiële verbintenissen en verplichtingen betreft.

Artikel 36

Duur

Het Agentschap wordt opgericht voor een periode van zeven jaar met ingang van 19 juni 2013.

Artikel 37

Inwerkingtreding

Deze verordening treedt in werking op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Straatsburg, 21 mei 2013.

Voor het Europees Parlement

De voorzitter

  • M. 
    SCHULZ

Voor de Raad

De voorzitter

  • L. 
    CREIGHTON
 

  • (2) 
    Standpunt van het Europees Parlement van 16 april 2013 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 13 mei 2013.
  • (3) 
    Besluit 2004/97/EG, Euratom, in onderlinge overeenstemming genomen door de vertegenwoordigers van de lidstaten, op het niveau van de staatshoofden en regeringsleiders bijeen, van 13 december 2003 inzake de vestigingsplaatsen van bepaalde bureaus en organen van de Europese Unie (PB L 29 van 3.2.2004, blz. 15).
  • (4) 
    Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging (PB L 77 van 13.3.2004, blz. 1).
  • (5) 
    Verordening (EG) nr. 1007/2008 van het Europees Parlement en de Raad van 24 september 2008 tot wijziging van Verordening (EG) nr. 460/2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging, ten aanzien van de looptijd van het Agentschap (PB L 293 van 31.10.2008, blz. 1).
  • (6) 
    Verordening (EU) nr. 580/2011 van het Europees Parlement en de Raad van 8 juni 2011 tot wijziging van Verordening (EG) nr. 460/2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging, ten aanzien van de looptijd van het Agentschap (PB L 165 van 24.6.2011, blz. 3).
  • Verordening (EG) nr. 1211/2009 van het Europees Parlement en de Raad van 25 november 2009 tot oprichting van het Orgaan van Europese regelgevende instanties voor elektronische communicatie (Berec) en het Bureau (PB L 337 van 18.12.2009, blz. 1).
  • Richtlijn 98/34/EG van het Europees Parlement en de Raad van 22 juni 1998 betreffende een informatieprocedure op het gebied van normen en technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (PB L 204 van 21.7.1998, blz. 37).
  • Verordening (EU, Euratom) nr. 966/2012 van het Europees Parlement en de Raad van 25 oktober 2012 tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie en tot intrekking van Verordening (EG, Euratom) nr. 1605/2002 (PB L 298 van 26.10.2012, blz. 1).
  • Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).
  • Verordening (EG) nr. 1073/1999 van het Europees Parlement en de Raad van 25 mei 1999 betreffende onderzoeken door het Europees Bureau voor fraudebestrijding (OLAF) (PB L 136 van 31.5.1999, blz. 1).
  • Interinstitutioneel akkoord van 25 mei 1999 tussen het Europees Parlement, de Raad van de Europese Unie en de Commissie van de Europese Gemeenschappen betreffende de interne onderzoeken verricht door het Europees Bureau voor fraudebestrijding (OLAF) (PB L 136 van 31.5.1999, blz. 15).
 

2.

Verwante dossiers

 
 

3.

Uitgebreide versie

Van deze pagina bestaat een uitgebreide versie met de juridische context.

De uitgebreide versie is beschikbaar voor betalende gebruikers van de EU Monitor van PDC Informatie Architectuur.

4.

EU Monitor

Met de EU Monitor volgt u alle Europese dossiers die voor u van belang zijn en bent u op de hoogte van alles wat er speelt in die dossiers. Helaas kunnen wij geen nieuwe gebruikers aansluiten, deze dienst zal over enige tijd de werkzaamheden staken.

De EU Monitor is ook beschikbaar in het Engels.