Toelichting bij COM(2010)521 - Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2010)521 - Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA). |
|---|---|
| bron | COM(2010)521   |
| datum | 30-09-2010 |
1.1. Beleidsachtergrond
Het Europees Agentschap voor netwerk- en informatiebeveiliging (het ENISA) is in maart 2004 bij Verordening (EG) nr. 460/2004 [1] opgericht voor een eerste periode van 5 jaar, en heeft als hoofddoel "te zorgen voor een hoog en doeltreffend niveau van netwerk- en informatiebeveiliging in de Gemeenschap en (…) een cultuur van netwerk- en informatiebeveiliging ten behoeve van de burgers, consumenten, bedrijven en publieke organen in de Europese Unie tot stand te brengen en op die manier bij te dragen tot de goede werking van de interne markt". Het mandaat van het ENISA is bij Verordening (EG) nr. 1007/2008 [2] verlengd tot maart 2012.
De verlenging van het mandaat van het ENISA in 2008 heeft ook een debat op gang gebracht over de algemene richting van de Europese inspanningen op het gebied van netwerk- en informatiebeveiliging; de Commissie heeft een bijdrage geleverd tot dit debat door een openbare raadpleging op te starten over de mogelijke doelstellingen van een versterkt beleid voor netwerk- en informatiebeveiliging op het niveau van de Unie. Deze openbare raadpleging, die plaatsvond van november 2008 tot januari 2009, leverde bijna 600 reacties op [3].
Op 30 maart 2009 heeft de Commissie een mededeling betreffende de bescherming van kritieke informatie-infrastructuur vastgesteld [4], waarin met name aandacht wordt besteed aan de bescherming van Europa tegen cyberaanvallen en -verstoringen door de paraatheid, beveiliging en veerkracht te verbeteren; deze mededeling bevat ook een actieplan waarin het ENISA wordt opgeroepen om een rol te spelen, met name ter ondersteuning van de lidstaten. Tijdens de besprekingen in het kader van de ministeriële conferentie betreffende de bescherming van kritieke informatie-infrastructuur, die op 27 en 28 april 2009 plaatsvond in de Estse hoofdstad Tallinn, kon het actieplan op brede steun rekenen [5]. In de conclusies die het voorzitterschap van de Europese Unie uit deze conferentie heeft getrokken, wordt benadrukt dat het belangrijk is de operationele steun voor het ENISA op te drijven; volgens deze conclusies is het ENISA een waardevol instrument om de gezamenlijke inspanningen in de hele Unie op dit gebied te versterken en moet het mandaat van het Agentschap worden herbekeken en anders geformuleerd, zodat het beter is afgestemd op de prioriteiten en behoeften van de EU, een flexibeler responscapaciteit kan worden opgebouwd, vaardigheden en bekwaamheden kunnen worden ontwikkeld en de operationele efficiëntie en algemene impact van het Agentschap kunnen worden versterkt, teneinde ervoor te zorgen dat het Agentschap een permanente aanwinst wordt voor alle lidstaten en voor de Europese Unie in haar geheel.
Na de besprekingen in de Raad Telecommunicatie van 11 juni 2009, waar de lidstaten, gezien het belang van netwerk- en informatiebeveiliging, hun steun hebben uitgesproken voor een uitbreiding van het mandaat en een verhoging van de middelen van het ENISA, werd het debat afgesloten onder het Zweedse voorzitterschap van de Unie. In de resolutie van de Raad van 18 december 2009 over een coöperatieve Europese aanpak met betrekking tot netwerk- en informatiebeveiliging [6] worden de rol en het potentieel van het ENISA erkend, alsook de behoefte om het ENISA verder te ontwikkelen tot een doeltreffend orgaan. Volgens deze resolutie moet ook aandacht worden geschonken aan het moderniseren en versterken van het ENISA, zodat het de Commissie en de lidstaten kan helpen bij het overbruggen van de kloof tussen technologie en beleid en het centrum van deskundigheid kan worden in EU-aangelegenheden op het gebied van netwerk- en informatiebeveiliging.
Algemene context
Informatie- en communicatietechnologieën (ICT) vormen de ruggengraat van de Europese economie en samenleving. ICT zijn kwetsbaar voor bedreigingen die niet stoppen aan nationale grenzen en die veranderd zijn ten gevolge van technologische en marktontwikkelingen. Aangezien ICT een mondiale dimensie hebben en nauw met elkaar en met andere infrastructuren zijn verweven, kan de beveiliging en veerkracht ervan niet worden gewaarborgd door een louter nationale en niet-gecoördineerde aanpak. Tegelijk evolueren de uitdagingen met betrekking tot netwerk- en informatiebeveiliging zeer snel. Netwerk- en informatiesystemen moeten effectief worden beveiligd tegen alle soorten verstoringen en defecten, inclusief aanvallen door mensen.
Beleidsmaatregelen op het gebied van netwerk- en informatiebeveiliging spelen een centrale rol in de Digitale Agenda voor Europa [7] (DAE), een vlaggenschipinitiatief van de EU 2020-strategie, om het potentieel van ICT te exploiteren en te bevorderen en om dit potentieel te vertalen in duurzame groei en innovatie. De benutting van ICT stimuleren en het vertrouwen in de informatiemaatschappij bevorderen, zijn sleutelprioriteiten van de DAE.
Het ENISA is oorspronkelijk opgericht om een hoog en effectief niveau van netwerk- en informatiebeveiliging in de Unie te garanderen. Uit de ervaring die is opgedaan met het Agentschap en de uitdagingen en bedreigingen blijkt dat het mandaat van het Agentschap moet worden gemoderniseerd, zodat het beter aansluit bij de behoeften van de Europese Unie; daarbij moet aandacht worden besteed aan de volgende punten:
· de uiteenlopende nationale benaderingen om het hoofd te bieden aan de veranderende uitdagingen;
· het gebrek aan coöperatieve modellen bij de tenuitvoerlegging van beleid op het gebied van netwerk- en informatiebeveiliging;
· onvoldoende paraatheid, ook ten gevolge van de beperkte Europese capaciteit voor vroegtijdige waarschuwing en respons;
· gebrek aan betrouwbare Europese gegevens en beperkte kennis over veranderende problemen;
· laag bewustzijn van risico's en uitdagingen met betrekking tot netwerk- en informatiebeveiliging;
· de uitdaging om aspecten van netwerk- en informatiebeveiliging efficiënter te integreren in beleidsmaatregelen ter bestrijding van cybercriminaliteit.
Beleidsdoelstelling
enHet algemene doel van de voorgestelde verordening is ervoor te zorgen dat de Unie, de lidstaten en belanghebbenden de nodige bekwaamheid en paraatheid ontwikkelen om problemen op het gebied van netwerk- en informatiebeveiliging te voorkomen, op te sporen en aan te pakken. Dit helpt om vertrouwen op te bouwen, hetgeen de basis vormt voor de ontwikkeling van de informatiemaatschappij, om de concurrentiekracht van het Europese bedrijfsleven te verbeteren en om het effectief functioneren van de interne markt te garanderen.
Bestaande bepalingen op het door het voorstel bestreken gebied
Dit voorstel is een aanvulling op de regelgevende en niet-regelgevende beleidsinitiatieven inzake netwerk- en informatiebeveiliging die op het niveau van de Unie zijn genomen om de beveiliging en veerkracht van ICT te verbeteren:
· Het actieplan dat is opgestart door de Mededeling over de bescherming van kritieke communicatie- en informatie-infrastructuur voorziet in de oprichting van:
een Europees forum voor de lidstaten, dat tot doel heeft overleg en uitwisseling van goede beleidspraktijken te bevorderen, teneinde beleidsdoelstellingen en prioriteiten inzake beveiliging en veerkracht van ICT-infrastructuur te delen; dit forum heeft ook rechtstreeks baat bij de werkzaamheden en de ondersteuning van het Agentschap;
een Europees publiek-privaat partnerschap voor veerkracht (EP3R), een flexibel Europawijd governancekader voor de veerkracht van ICT-infrastructuur, dat de samenwerking tussen de publieke en de private sector stimuleert op het gebied van beveiligings- en veerkrachtsdoelstellingen, basisvereisten en goede beleidspraktijken en -maatregelen.
· Het Stockholmprogramma, dat op 11 december 2009 door de Europese Raad is vastgesteld, bevordert beleidsmaatregelen die netwerkbeveiliging beogen en die snellere reactie op cyberaanvallen in de Unie mogelijk maken.
· Deze initiatieven dragen ertoe bij dat de Digitale Agenda voor Europa zijn effect bereikt. Beleidsmaatregelen op het gebied van netwerk- en informatiebeveiliging spelen een centrale rol in het deel van de strategie dat het versterken van het vertrouwen in de beveiliging van de informatiemaatschappij beoogt. Ze ondersteunen ook de steunmaatregelen en het beleid van de Commissie inzake de bescherming van de privacy (met name privacy by design) en persoonsgegevens (herziening van het kader), het CPC-netwerk, identiteitsbeheer en het actieplan voor een veiliger internet.
1.5. Ontwikkelingen in het huidige beleid inzake netwerk- en informatiebeveiliging, met betrekking tot het voorstel
Diverse actuele ontwikkelingen in het beleid inzake netwerk- en informatiebeveiliging, met name die welke zijn aangekondigd in de Digitale Agenda voor Europa, hebben baat bij de ondersteuning en deskundigheid van het ENISA. Enkele hiervan zijn:
· Versterking van de samenwerking op het gebied van het beleid inzake netwerk- en informatiebeveiliging door de activiteiten in het Europees Forum voor de lidstaten te intensiveren; met de steun van het ENISA zal dit helpen om:
– manieren te vinden om een effectief Europees netwerk tot stand te brengen via grensoverschrijdende samenwerking tussen nationale/gouvernementele computercalamiteitenteams (CERT's);
– langetermijndoelstellingen en prioriteiten voor grootschalige pan-Europese oefeningen met betrekking tot incidenten op het gebied van netwerk- en informatiebeveiliging te identificeren;
– de minimumeisen voor overheidsaanbestedingen op te trekken om de beveiliging en veerkracht van publieke systemen en netwerken te bevorderen;
– economische en regelgevende stimulansen voor beveiliging en veerkracht te identificeren;
– de gezondheidstoestand van netwerk- en informatiebeveiliging in Europa te beoordelen.
· Versterking van de samenwerking en partnerschappen tussen de publieke en private sector door het Europees publiek-privaat partnerschap voor veerkracht (EP3R) te ondersteunen. Het ENISA speelt een steeds belangrijker rol bij het faciliteren van EP3R-vergaderingen en –activiteiten. De volgende stappen met betrekking tot EP3R zijn:
– De bespreking van innoverende maatregelen en instrumenten om de beveiliging en veerkracht te verbeteren, zoals:
basisvereisten inzake beveiliging en veerkracht, met name op het gebied van overheidsaanbestedingen voor ICT-producten of –diensten, teneinde een gelijk speelveld te creëren en tegelijk een passend niveau van paraatheid en preventie te garanderen;
problemen met betrekking tot de aansprakelijkheid van marktdeelnemers onderzoeken, bijvoorbeeld als deze minimumbeveiligingseisen vaststellen;
economische stimulansen voor de ontwikkeling en opname van risicobeheerpraktijken, beveiligingsprocessen en producten;
regelingen voor risicobeoordeling en –beheer, teneinde belangrijke incidenten te beoordelen en te beheren op basis van onderling begrip;
samenwerking tussen de private en de publieke sector bij grootschalige incidenten;
de organisatie van een topontmoeting tussen bedrijven met betrekking tot economische hinderpalen en stimulansen voor beveiliging en veerkracht.
· De beveiligingseisen van het regelgevingspakket inzake elektronische communicatie in de praktijk brengen; hiervoor is de deskundigheid en bijstand van het ENISA vereist, teneinde:
– de lidstaten en de Commissie te steunen, rekening houdende met de standpunten van de private sector, bij het vaststellen van een kader van regels en procedures voor de tenuitvoerlegging van de bepalingen inzake aanmelding van inbreuken op de beveiliging (vastgesteld in artikel 13, onder a), van de herziene kaderrichtlijn);
– een jaarlijks forum voor nationale organen die bevoegd zijn voor netwerk- en informatiebeveiliging/nationale regelgevende autoriteiten en belanghebbenden uit de private sector te organiseren, teneinde ervaringen en goede praktijken met betrekking tot de toepassing van regelgevende maatregelen op het gebied van netwerk- en informatiebeveiliging uit te wisselen.
· EU-wijde beveiligingsoefeningen ter voorbereiding op cyberaanvallen faciliteren, met de steun van de Commissie en de bijdrage van het ENISA, teneinde deze oefeningen in een latere fase op internationale schaal uit te breiden.
· Computercalamiteitenteams (CERT) oprichten voor de EU-instellingen. In het kader van kernactie 6 van de Digitale Agenda voor Europa zal de Commissie 'maatregelen voorleggen voor een versterkt netwerk- en informatiebeveiligingsbeleid op hoog niveau, met inbegrip van […] maatregelen ter verhoging van de reactiesnelheid bij cyberaanvallen, inclusief een CERT voor de EU-instellingen' [8]. Hiertoe moeten de Commissie en de andere instellingen van de Unie een computercalamiteitenteam analyseren en oprichten, waarvoor het ENISA de technische ondersteuning en deskundigheid kan leveren.
· De lidstaten mobiliseren en ondersteunen bij het voltooien en, waar nodig, oprichten van nationale/gouvernementele CERT's teneinde een goed functionerend netwerk van CERT's op te richten dat heel Europa bestrijkt. Deze activiteit zal ook bijdragen tot de verdere ontwikkeling van een Europees informatie-uitwisselings- en waarschuwingssysteem (EISAS) voor burgers en het mkb; dit systeem moet tegen eind 2012 worden uitgebouwd met nationale middelen en capaciteiten.
· Het bewustzijn van uitdagingen met betrekking tot netwerk- en informatiebeveiliging vergroten:
– de Commissie zal met het ENISA samenwerken om een eerste ontwerp van richtsnoeren voor de bevordering van normen, goede praktijken en een risicobeheerscultuur op het gebied van netwerk- en informatiebeveiliging op te stellen.
– het ENISA zal, samen met de lidstaten, de Europese maand van de netwerk- en informatiebeveiliging voor iedereen organiseren, met onder meer een nationale/Europese cyberbeveiligingswedstrijd.
1.6. Samenhang met andere beleidsmaatregelen en doelstellingen van de Unie
Het voorstel spoort met de bestaande beleidsmaatregelen en doelstellingen van de Europese Unie en ligt volledig in de lijn van de doelstelling om bij te dragen tot de vlotte werking van de interne markt via het verbeteren van de paraatheid en respons op de uitdagingen op het gebied van netwerk- en informatiebeveiliging.
2. RESULTAAT VAN DE RAADPLEGINGEN EN DE EFFECTBEOORDELING
Raadpleging van belanghebbende partijen
Dit beleidsinitiatief is het resultaat van een brede discussie op basis van een inclusieve benadering, waarbij de beginselen van participatie, openheid, toerekenbaarheid, effectiviteit en coherentie in acht zijn genomen. Het brede proces dat heeft plaatsgevonden, omvatte een evaluatie van het Agentschap in 2006/2007, gevolgd door aanbevelingen van de raad van bestuur van het ENISA, twee openbare raadplegingen (in 2007 en 2008-2009) en een aantal workshops over kwesties die verband houden met netwerk- en informatiebeveiliging.
De eerste openbare raadpleging vond plaats naar aanleiding van de tussentijdse evaluatie van het ENISA door de Commissie. Ze liep van 13 juni tot en met 7 september 2007 en had in de eerste plaats betrekking op de toekomst van het Agentschap; in totaal werden 44 online-reacties en twee schriftelijke reacties ingediend. Deze reacties waren afkomstig van uiteenlopende belanghebbenden en belangstellenden, inclusief ministeries van lidstaten, regelgevingsorganen, bedrijven en consumentenverenigingen, universitaire instellingen en individuele burgers.
De reacties hadden vooral betrekking op een aantal interessante problemen met betrekking tot de ontwikkeling van het bedreigingsscenario, de behoefte om de verordening te verduidelijken en meer flexibiliteit in de verordening in te bouwen zodat het ENISA zich kan aanpassen aan de uitdagingen, het belang te zorgen voor een effectieve interactie met belanghebbenden en de kans op een beperkte verhoging van de middelen.
De tweede openbare raadpleging, die plaatsvond van 7 november 2008 tot en met 9 januari 2009, had als doel de prioritaire doelstellingen voor een versterkt beleid inzake netwerk- en informatiebeveiliging op Europees niveau te identificeren, alsook de middelen om die doelstellingen te verwezenlijken. De autoriteiten van de lidstaten, universitaire/onderzoeksinstellingen, brancheverenigingen, private bedrijven en andere belanghebbenden, zoals gegevensbeschermingsorganisaties en consultants, en privépersonen hebben bijna 600 reacties ingediend.
Een grote meerderheid van de respondenten [9] steunde de uitbreiding van het mandaat van het Agentschap en was voorstander van een uitbreiding van de rol die het Agentschap speelt in de activiteiten met betrekking tot netwerk- en informatiebeveiliging op Europees niveau, en van een verhoging van de middelen van het Agentschap. Als sleutelprioriteiten werden de behoefte aan een meer gecoördineerde benadering van cyberbedreigingen in Europa, transnationale samenwerking om te reageren op grootschalige cyberaanvallen, het opbouwen van vertrouwen en verbeterde informatie-uitwisseling tussen belanghebbenden vermeld.
In september 2009 ging een effectbeoordeling van het voorstel van start, gebaseerd op een voorbereidende studie van een externe contractant. Hierbij waren diverse belanghebbenden en deskundigen betrokken. Onder meer netwerk- en informatiebeveiligingsorganen van lidstaten, nationale regelgevende autoriteiten, telecomoperatoren, internet service providers en verenigingen van aanverwante branches, consumentenverenigingen, ICT-fabrikanten, computercalamiteitenteams (CERT's), academici en gebruikers uit de bedrijfswereld dienden een bijdrage in. Ter ondersteuning van de uitvoering van de effectbeoordeling is een interdepartementale stuurgroep opgezet met vertegenwoordigers van de betrokken directoraten-generaal van de Europese Commissie.
Effectbeoordeling
Det instandhouding van een agentschap werd als een passende oplossing beschouwd voor het verwezenlijken van de Europese beleidsdoelstellingen [10]. Na een voorafgaande screening zijn vijf beleidsopties geselecteerd voor verdere analyse:
· Optie 1 – Geen beleid;
· Optie 2 – Het huidige beleid ongewijzigd voortzetten, d.w.z. met een vergelijkbaar mandaat en hetzelfde niveau van middelen;
· Optie 3 – De taken van het ENISA uitbreiden, waarbij ordehandhavingsautoriteiten en privacybeschermingsautoriteiten als volwaardige belanghebbenden worden toegevoegd;
· Optie 4 – De bestrijding van cyberaanvallen en de respons op cyberincidenten toevoegen aan de taken van het Agentschap;
· Optie 5 – De ondersteuning van gerechtelijke en politieautoriteiten bij de bestrijding van cybercriminaliteit toevoegen aan de taken van het Agentschap.
Op basis van een vergelijkende kosten-batenanalyse werd besloten dat optie 3 de meest kosteneffectieve en efficiënte wijze was om de beleidsdoelstellingen te verwezenlijken.
Optie 3 voorziet in een uitbreiding van de rol van het ENISA met de volgende taken:
· de uitbouw en instandhouding van een verbindingsnetwerk tussen belanghebbenden en een kennisnetwerk, zodat het ENISA op de hoogte blijft van het reilen en zeilen op het gebied van netwerk- en informatiebeveiliging in Europa;
· dienst doen als ondersteuningscentrum voor netwerk- en informatiebeveiliging met het oog op de ontwikkeling en toepassing van het beleid (met name met betrekking tot e-privacy, e-sign, e-ID en aanbestedingsnormen voor netwerk- en informatiebeveiliging);
· het EU-beleid inzake de bescherming van kritieke informatie-infrastructuur en de veerkracht van die infrastructuur ondersteunen (oefeningen, EP3R, Europees informatie-uitwisselings- en waarschuwingssysteem enz.);
· het opzetten van een EU-kader voor het verzamelen van gegevens met betrekking tot netwerk- en informatiebeveiliging, inclusief het ontwikkelen van methoden en praktijken voor wettelijke rapportering en uitwisseling;
· het bestuderen van de economische aspecten van netwerk- en informatiebeveiliging;
· het stimuleren van samenwerking met derde landen en internationale organisaties om een gemeenschappelijke mondiale benadering van netwerk- en informatiebeveiliging te bevorderen en om ervoor te zorgen dat internationale activiteiten op hoog niveau in Europa hun effect niet missen;
· het uitvoeren van niet-operationele taken met betrekking tot aspecten van netwerk- en informatiebeveiliging die verband houden met ordehandhaving en gerechtelijke samenwerking op het gebied van cybercriminaliteit.
Samenvatting van de voorgestelde maatregel(en)
Het doel van de voorgestelde verordening is het Europees Agentschap voor netwerk- en informatiebeveiliging (het ENISA) te versterken en te moderniseren, en een nieuw mandaat voor een periode van vijf jaar vast te stellen.
Het voorstel bevat enkele belangrijke wijzigingen in vergelijking met de oorspronkelijke verordening:
Grotere flexibiliteit, aanpasbaarheid en groter vermogen om te focussen. De taken worden geactualiseerd en ruimer geherformuleerd, teneinde de werkingssfeer van de activiteiten van het Agentschap te verruimen; de taken zijn voldoende afgelijnd om de middelen te kunnen beschrijven waarmee de doelstellingen moeten worden bereikt. Hierdoor wordt de opdracht van het Agentschap scherper omlijnd, is het Agentschap beter in staat zijn doelstellingen te verwezenlijken, en worden de taken van het Agentschap ter ondersteuning van de tenuitvoerlegging van het beleid van de Unie versterkt.
Betere afstemming van het Agentschap op het beleid en de regelgevingsprocedures van de Unie. De Europese instellingen en organen kunnen een beroep doen op het Agentschap voor bijstand en advies. Dit ligt in de lijn van de politieke en regelgevende ontwikkelingen: de Raad is begonnen met zich rechtstreeks tot het Agentschap te richten in resoluties, en het EP en de Raad hebben taken in verband met netwerk- en informatiebeveiliging aan het Agentschap toegewezen, als onderdeel van het regelgevingskader inzake elektronische communicatie.
Raakvlak met de strijd tegen cybercriminaliteit. Bij het verwezenlijken van zijn doelstellingen houdt het Agentschap rekening met de strijd tegen cybercriminaliteit. Ordehandhavings- en privacybeschermingsautoriteiten worden volwaardige belanghebbenden van het Agentschap, met name in de permanente groep van belanghebbenden.
Versterkte governancestructuur. Het voorstel versterkt de toezichthoudende rol van de raad van bestuur van het Agentschap, waarin de lidstaten en de Commissie zijn vertegenwoordigd. De raad van bestuur kan bijvoorbeeld algemene richtsnoeren opstellen inzake personeelszaken, hetgeen voorheen tot de exclusieve bevoegdheid van de uitvoerend directeur behoorde. De raad van bestuur kan ook werkgroepen oprichten om hem bij te staan bij het uitvoeren van zijn taken, ook wat het toezicht op de toepassing van zijn beslissingen betreft.
Stroomlijning van procedures. Procedures die nodeloos lastig bleken te zijn, worden vereenvoudigd. Voorbeelden: (a) vereenvoudigde procedure voor de interne regels van de raad van bestuur, (b) het advies over het werkprogramma van het ENISA wordt verstrekt door de diensten van de Commissie in plaats van via een besluit van de Commissie. De raad van bestuur krijgt ook voldoende middelen voor het geval hij uitvoerende besluiten moet nemen en toepassen (bijv. als een personeelslid een klacht indient tegen de uitvoerend directeur of de raad van bestuur zelf).
Geleidelijke verhoging van de middelen. Om te beantwoorden aan de versterkte Europese prioriteiten en de steeds groter wordende uitdagingen moeten de financiële middelen en het personeelsbestand van het Agentschap tussen 2012 en 2016 geleidelijk worden verhoogd, onverminderd het voorstel van de Commissie voor het volgende meerjarig financieel kader. Op basis van het voorstel van de Commissie voor de verordening waarbij het meerjarig financieel kader voor de periode na 2013 wordt vastgesteld, en rekening houdende met de conclusies van de effectbeoordeling, zal de Commissie een gewijzigd financieel memorandum presenteren.
De optie om de ambtstermijn van de uitvoerend directeur te verlengen. De raad van bestuur kan de ambtstermijn van de uitvoerend directeur met drie jaar verlengen.
Rechtsgrondslag
Dit voorstel is gebaseerd op artikel 114 van het Verdrag betreffende de werking van de Europese Unie [11] (VWEU).
Volgens een arrest van het Europees Hof van Justitie [12] moest vóór de inwerkingtreding van het Verdrag van Lissabon artikel 95 van het EG-Verdrag als passende rechtsgrondslag worden beschouwd voor de oprichting van een orgaan dat als doel heeft een hoog en effectief niveau van netwerk- en informatiebeveiliging in de Unie te garanderen. De auteurs van het Verdrag hebben in artikel 95 de uitdrukking maatregelen inzake de onderlinge aanpassing gebruikt om de wetgevende macht van de Unie de mogelijkheid te bieden passende maatregelen te kiezen om het gewenste resultaat te bereiken. Het verbeteren van de beveiliging en veerkracht van ICT-infrastructuur is dus een belangrijk element dat bijdraagt tot de vlotte werking van de interne markt.
Onder het Verdrag van Lissabon wordt in artikel 114 van het VWEU [13] - in bijna identieke bewoordingen - de bevoegdheid voor de interne markt beschreven. Om de hierboven uiteengezette redenen blijft dit de toepasselijke rechtsgrondslag voor het vaststellen van maatregelen ter verbetering van de netwerk- en informatiebeveiliging. De bevoegdheid voor de interne markt is nu een gedeelde bevoegdheid van de Unie en de lidstaten (artikel 4, lid 2, onder a), van het VWEU). Dit betekent dat de Unie en de lidstaten (bindende) maatregelen kunnen vaststellen en dat de lidstaten optreden als de Unie haar bevoegdheid niet uitoefent of heeft besloten haar bevoegdheid niet meer uit te oefenen (artikel 2, lid 2, van het VWEU).
Maatregelen die onder de bevoegdheid voor de interne markt vallen, worden vastgesteld volgens de gewone wetgevingsprocedure (artikelen 289 en 294 van het VWEU), die vergelijkbaar [14] is met de vroegere medebeslissingsprocedure (artikel 251 van het EG-Verdrag).
Met het Verdrag van Lissabon is ook het vroegere onderscheid tussen de pijlers verdwenen. Het voorkomen en bestrijden van misdaad is een gedeelde bevoegdheid van de Unie geworden. Dit heeft het ENISA de kans gegeven om een rol te spelen als platform voor aspecten van de bestrijding van cybercriminaliteit die verband houden met netwerk- en informatiebeveiliging en om standpunten en goede praktijken met betrekking tot cyberbeveiligings-, ordehandhavings- en privacybeschermingsautoriteiten uit te wisselen.
Subsidiariteitsbeginsel
Het voorstel is in overeenstemming met het subsidiariteitsbeginsel: het beleid inzake netwerk- en informatiebeveiliging vereist een coöperatieve aanpak en de doelstellingen van het voorstel kunnen niet door individuele lidstaten worden verwezenlijkt.
Een strategie waarbij de Unie niet tussenbeide komt in het nationale beleid inzake netwerk- en informatiebeveiliging zou tot gevolg hebben dat deze taak wordt overgelaten aan de lidstaten en dat geen rekening wordt gehouden met de onderlinge verwevenheid van de bestaande informatiesystemen. Een maatregel die zorgt voor een passende mate van coördinatie tussen de lidstaten om te garanderen dat risico's op het gebied van netwerk- en informatiebeveiliging goed kunnen worden beheerd in de grensoverschrijdende context waarin ze zich voordoen, is dan ook in overeenstemming met het subsidiariteitsbeginsel. Bovendien verbeteren Europese maatregelen de effectiviteit van bestaande nationale beleidsmaatregelen en zorgen ze dus voor toegevoegde waarde.
Bovendien zal een gezamenlijk en coöperatief beleid inzake netwerk- en informatiebeveiliging een positief effect hebben op de bescherming van de grondrechten, en met name het recht op de bescherming van persoonsgegevens en privacy. De behoefte aan gegevensbescherming is op dit ogenblik van cruciaal belang aangezien Europese burgers steeds vaker hun gegevens toevertrouwen aan complexe informatiesystemen, ofwel uit vrije wil ofwel omdat ze daartoe genoodzaakt zijn, zonder daarom noodzakelijk de bijbehorende risico's inzake gegevensbescherming correct te kunnen inschatten. In het geval van incidenten zullen zij dus niet altijd passende maatregelen kunnen nemen; het is bovendien niet zeker dat de lidstaten internationale incidenten effectief kunnen oplossen zonder Europese coördinatie op het gebied van netwerk- en informatiebeveiliging.
Evenredigheidsbeginsel
Dit voorstel beantwoordt aan het evenredigheidsbeginsel aangezien het niet verder gaat dan nodig is om de doelstellingen ervan te verwezenlijken.
Keuze van instrumenten
Voorgesteld instrument: een verordening, die rechtstreeks toepasselijk is in alle lidstaten.
Het voorstel heeft gevolgen voor de begroting van de Unie.
Aangezien wordt vastgesteld dat extra taken aan het nieuwe mandaat van het ENISA moeten worden toegevoegd, wordt verwacht dat het Agentschap de middelen krijgt om deze taken uit te voeren. Uit de evaluatie van het Agentschap, het uitgebreide raadplegingsproces met belanghebbenden op alle niveaus en de effectbeoordeling blijkt dat er algemene eensgezindheid bestaat over het feit dat de grootte van het Agentschap niet beantwoordt aan zijn kritische massa en dat een verhoging van de middelen noodzakelijk is. De gevolgen en effecten van een verhoging van het personeelsbestand en de begroting van het Agentschap worden geanalyseerd in de effectbeoordeling bij het voorstel.
De EU-financiering na 2013 zal worden onderzocht in de context van een bespreking van alle voorstellen voor de periode na 2013 in de hele Commissie.
5. AANVULLENDE OPMERKINGEN
5.1. Duur
De verordening heeft betrekking op een periode van vijf jaar.
5.2. Evaluatieclausule
De verordening voorziet in een evaluatie van het Agentschap, die betrekking heeft op de periode sinds de vorige evaluatie in 2007. In de evaluatie wordt beoordeeld hoe effectief het Agentschap tewerk gaat bij het verwezenlijken van de in de verordening uiteengezette doelstellingen, of het nog steeds een effectief instrument is en of de looptijd van het Agentschap moet worden verlengd. Op basis van de bevindingen dient de raad van bestuur bij de Commissie aanbevelingen in met het oog op wijzigingen in deze verordening, het Agentschap en zijn werkmethoden. Om de Commissie in staat te stellen tijdig een voorstel voor een verlenging van het mandaat op te stellen, moet de evaluatie zijn afgerond tegen het einde van het tweede jaar van het in de verordening vastgelegde mandaat.
5.3. Voorlopige maatregel
De Commissie is zich ervan bewust dat in het kader van de wetgevingsprocedure met betrekking tot het voorstel lange besprekingen kunnen plaatsvinden in het Europees Parlement en de Raad, met het risico op een juridisch vacuüm als het nieuwe mandaat van het Agentschap niet wordt goedgekeurd vóór het huidige mandaat verstrijkt. Daarom doet de Commissie, samen met dit voorstel, ook een voorstel voor een verordening tot verlenging van het huidige mandaat van het Agentschap met 18 maanden, zodat er voldoende tijd is voor de nodige discussies en procedures.