Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit (Text von Bedeutung für den EWR)
Amtsblatt Nr. L 077 vom 13/03/2004 S. 0001 - 0011
Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit (Text von Bedeutung für den EWR) DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION - gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel 95, auf Vorschlag der Kommission, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses(1), nach Anhörung des Ausschusses der Regionen, gemäß dem Verfahren des Artikels 251 des Vertrags(2), in Erwägung nachstehender Gründe: (1) Kommunikationsnetze und Informationssysteme sind zu einem wesentlichen Faktor der wirtschaftlichen und gesellschaftlichen Entwicklung geworden. Computer und Kommunikationsnetze werden wie Elektrizitäts- und Wasserversorgung zu unentbehrlichen Einrichtungen des täglichen Lebens. Daher gewinnt die Sicherheit, vor allem aber die Verfügbarkeit von Kommunikationsnetzen und Informationssystemen, für die Gesellschaft mehr und mehr an Bedeutung; dies gilt nicht zuletzt deshalb, weil sich aufgrund der Systemkomplexität sowie aufgrund von Unfällen, Bedienungsfehlern und unbefugten Eingriffen bei wichtigen Informationssystemen Probleme ergeben könnten, die sich auf die technische Infrastruktur von Diensten, die für das Wohlergehen der EU-Bürger von maßgeblicher Bedeutung sind, auswirken können. (2) Die zunehmende Zahl von Sicherheitsverletzungen hat bereits erheblichen finanziellen Schaden verursacht, das Vertrauen der Nutzer untergraben und die Entwicklung des elektronischen Geschäftsverkehrs beeinträchtigt. Einzelne Nutzer, Behörden und Unternehmen haben darauf mit Sicherheitstechnologien und Verfahren für das Sicherheitsmanagement reagiert. Die Mitgliedstaaten haben verschiedene flankierende Maßnahmen in Form von Informationskampagnen und Forschungsprojekten getroffen, um die Netz- und Informationssicherheit in der Gesellschaft zu erhöhen. (3) Die technische Komplexität von Netzen und Informationssystemen, die Vielfalt der zusammengeschalteten Produkte und Dienste und die Vielzahl eigenverantwortlicher privater und öffentlicher Akteure könnten das reibungslose Funktionieren des Binnenmarktes gefährden. (4) Die Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (Rahmenrichtlinie)(3) regelt die Aufgaben der nationalen Regulierungsbehörden; diese sollen unter anderem untereinander und mit der Kommission in transparenter Weise zusammenarbeiten, um die Entwicklung einer einheitlichen Regulierungspraxis sicherzustellen, zur Gewährleistung eines hohes Datenschutzniveaus beitragen und die Integrität und Sicherheit der öffentlichen Kommunikationsnetze gewährleisten. (5) Zu den derzeitigen Rechtsvorschriften der Gemeinschaft gehören ferner die Richtlinie 2002/20/EG(4), die Richtlinie 2002/22/EG(5), die Richtlinie 2002/19/EG(6), die Richtlinie 2002/58/EG(7), die Richtlinie 1999/93/EG(8) sowie die Richtlinie 2000/31/EG(9); zu nennen ist ferner die Entschließung des Rates vom 18. Februar 2003 über die Umsetzung des Aktionsplans eEurope 2005(10). (6) Aufgrund der Richtlinie 2002/20/EG können die Mitgliedstaaten die Erteilung von Allgemeingenehmigungen mit Auflagen zum Schutz öffentlicher Netze gegen unbefugten Zugang gemäß der Richtlinie 97/66/EG(11) verknüpfen. (7) Aufgrund der Richtlinie 2002/22/EG müssen die Mitgliedstaaten die gebotenen Maßnahmen treffen, um die Integrität und Verfügbarkeit öffentlicher Telefonfestnetze sicherzustellen, und sie müssen dafür sorgen, dass Unternehmen, die öffentlich zugängliche Telefondienste an festen Standorten bereitstellen, alle angemessenen Maßnahmen zur Gewährleistung des ununterbrochenen Zugangs zu Notdiensten treffen. (8) Gemäß der Richtlinie 2002/58/EG müssen Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Dienste zu gewährleisten; ferner ist die Vertraulichkeit der Kommunikation und der damit verbundenen Verkehrsdaten sicherzustellen. Aufgrund der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(12) müssen die Mitgliedstaaten dafür sorgen, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführt, die für den Schutz gegen zufällige oder unrechtmäßige Zerstörung, zufälligen Verlust, unberechtigte Änderung, unberechtigte Weitergabe oder unberechtigten Zugang - insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden - und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind. (9) Die Richtlinie 2002/21/EG und die Richtlinie 1999/93/EG enthalten Bestimmungen über Normen, die im Amtsblatt der Europäischen Union zu veröffentlichen sind. Die Mitgliedstaaten verwenden ferner Normen internationaler Einrichtungen sowie von der Industrie weltweit entwickelte De-facto-Normen. Die Kommission und die Mitgliedstaaten müssen verfolgen können, welche Normen den Anforderungen des Gemeinschaftsrechts entsprechen. (10) Diese Binnenmarktmaßnahmen erfordern unterschiedliche Formen der technischen und organisatorischen Durchführung durch die Mitgliedstaaten und die Kommission. Dabei handelt es sich um technisch komplexe Aufgaben, für die es keine Patentlösungen gibt. Die heterogene Umsetzung dieser Anforderungen kann zu ineffizienten Lösungen und Hindernissen für den Binnenmarkt führen. Daher bedarf es eines Fachzentrums auf europäischer Ebene, das im Rahmen seiner Ziele Orientierungshilfen, Beratung und auf Anfrage Unterstützung anbietet und vom Europäischen Parlament und von der Kommission oder von den in den Mitgliedstaaten benannten zuständigen Stellen in Anspruch genommen werden kann. Die nationalen Regulierungsbehörden nach der Richtlinie 2002/21/EG können von einem Mitgliedstaat als zuständige Stelle benannt werden. (11) Die Errichtung einer Europäischen Agentur für Netz- und Informationssicherheit, nachstehend "Agentur" genannt, würde diesem Bedarf gerecht; sie würde als Bezugspunkt fungieren und dank ihrer Unabhängigkeit, der Qualität ihrer Beratungsleistungen und der verbreiteten Informationen, der Transparenz ihrer Verfahren und Arbeitsmethoden sowie der Sorgfalt, die sie bei der Ausführung der ihr übertragenen Aufgaben walten lässt, Vertrauen schaffen. Die Agentur sollte aufbauend auf einzelstaatlichen und gemeinschaftlichen Anstrengungen ihre Aufgaben in uneingeschränkter Zusammenarbeit mit den Mitgliedstaaten wahrnehmen und für Kontakte zur Industrie und zu anderen beteiligten Kreisen offen stehen. Da sich elektronische Netze weitgehend in privater Hand befinden, sollte sich die Agentur auf Beiträge und die Kooperation des Privatsektors stützen. (12) Bei der Wahrnehmung der Aufgaben der Agentur sollten die Zuständigkeiten der nachstehend genannten Einrichtungen nicht beeinträchtigt werden, und hinsichtlich der diesen Einrichtungen übertragenen einschlägigen Befugnisse und Aufgaben sollte es nicht zu Vorgriffen, Behinderungen oder Überschneidungen kommen: - nationale Regulierungsbehörden gemäß den Richtlinien über elektronische Kommunikationsnetze und -dienste sowie die durch den Beschluss 2002/627/EG der Kommission(13) eingesetzte Gruppe Europäischer Regulierungsstellen für elektronische Kommunikationsnetze und -dienste und der Kommunikationsausschuss nach der Richtlinie 2002/21/EG; - europäische Normungsgremien, nationale Normungsgremien und Ständiger Ausschuss gemäß der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft(14); - Aufsichtsbehörden der Mitgliedstaaten im Zusammenhang mit dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Datenverkehr. (13) Für ein besseres Verständnis der Herausforderungen an die Netz- und Informationssicherheit muss die Agentur die derzeitigen und absehbaren Risiken analysieren; die Agentur kann für diesen Zweck geeignete Informationen insbesondere anhand von Fragenkatalogen erheben, ohne dem Privatsektor oder den Mitgliedstaaten neue Verpflichtungen zur Datengenerierung aufzuerlegen. Unter absehbaren Risiken sollten alle Aspekte verstanden werden, die bereits als mögliche künftige Risiken für die Netz- und Informationssicherheit erkennbar sind. (14) Vertrauen in Netze und Informationssysteme setzt voraus, dass die einzelnen Nutzer, die Unternehmen und die Behörden in Fragen der Netz- und Informationssicherheit hinreichend informiert, unterwiesen und geschult sind. Es gehört zu den Aufgaben der Behörden, einen Beitrag zur Aufklärungsarbeit zu leisten, indem sie die breite Öffentlichkeit, kleine und mittlere Unternehmen und Unternehmensgesellschaften, öffentliche Verwaltungen, Schulen und Hochschulen entsprechend informieren. Diese Maßnahmen sind weiterzuentwickeln. Ein verstärkter Informationsaustausch zwischen den Mitgliedstaaten wird derartige Sensibilisierungsmaßnahmen erleichtern. Die Agentur sollte im Hinblick auf vorbildliche Konzepte und Verfahren bei Aufklärung, Schulung und Unterweisung beratend tätig werden. (15) Die Agentur sollte die Aufgabe haben, zu einer hohen Netz- und Informationssicherheit innerhalb der Gemeinschaft beizutragen und eine Kultur der Netz- und Informationssicherheit zum Nutzen der Bürger, der Verbraucher, der Wirtschaft und der Organisationen des öffentlichen Sektors in der Europäischen Union zu entwickeln und auf diese Weise zum reibungslosen Funktionieren des Binnenmarkts beizutragen. (16) Effiziente Sicherheitsmaßnahmen sollten sowohl im öffentlichen als auch im privaten Sektor auf sorgfältig entwickelten Risikobewertungsmethoden beruhen. Risikobewertungsmethoden und -verfahren werden auf verschiedenen Ebenen angewandt, ohne dass es ein einheitliches System gibt, das ihren effizienten Einsatz gewährleistet. Durch Förderung und Entwicklung empfehlenswerter Verfahren zur Risikobewertung und interoperabler Lösungen für das Risikomanagement innerhalb von Organisationen des öffentlichen und des privaten Sektors wird das Sicherheitsniveau von Netzen und Informationssystemen in Europa erhöht. (17) Die Agentur sollte die Ergebnisse laufender Forschungs-, Entwicklungs- und Technologiebewertungsarbeiten nutzen, insbesondere solche, die sich im Rahmen der verschiedenen Forschungsinitiativen der Gemeinschaft ergeben. (18) Die Agentur könnte, sofern dies im Hinblick auf ihre Zuständigkeiten, Ziele und Aufgaben zweckmäßig und nützlich ist, mit den nach den Rechtsvorschriften der Europäischen Union geschaffenen Einrichtungen und Agenturen, die sich mit Netz- und Informationssicherheit befassen, Erfahrungen und allgemeine Informationen austauschen. (19) Die Probleme der Netz- und Informationssicherheit stellen sich weltweit. Es bedarf einer engeren weltweiten Zusammenarbeit, um die Sicherheitsstandards und die Informationsvermittlung zu verbessern und ein gemeinsames Gesamtkonzept für Fragen der Netz- und Informationssicherheit zu fördern, wodurch zur Entwicklung einer Kultur der Netz- und Informationssicherheit beigetragen wird. Eine effiziente Zusammenarbeit mit Drittländern und mit der Weltgemeinschaft ist eine Aufgabe, die sich nun auch auf europäischer Ebene stellt. Daher sollte die Agentur einen Beitrag zu den Bemühungen der Gemeinschaft um eine Zusammenarbeit mit Drittländern und gegebenenfalls mit internationalen Organisationen leisten. (20) Die Agentur sollte bei ihrer Tätigkeit auf kleine und mittlere Unternehmen eingehen. (21) Um die Erfuellung der Aufgaben der Agentur effektiv sicherzustellen, sollten die Mitgliedstaaten und die Kommission in einem Verwaltungsrat vertreten sein, der über die erforderlichen Befugnisse verfügt, den Haushaltsplan zu erstellen und seine Ausführung zu überprüfen, entsprechende Finanzvorschriften und transparente Verfahren für die Entscheidungsfindung der Agentur festzulegen, das Arbeitsprogramm der Agentur anzunehmen, sich eine Geschäftsordnung zu geben, die internen Verfahrensvorschriften der Agentur festzulegen und den Direktor zu ernennen und des Amtes zu entheben. Der Verwaltungsrat sollte dafür sorgen, dass die Agentur ihre Aufgaben unter Bedingungen wahrnimmt, die es ihr ermöglichen, den Vorgaben dieser Verordnung gerecht zu werden. (22) Für einen regelmäßigen Dialog mit dem Privatsektor, den Verbraucherorganisationen und anderen interessierten Kreisen wäre eine Ständige Gruppe der Interessenvertreter hilfreich. Die Ständige Gruppe der Interessenvertreter, die vom Direktor eingesetzt wird und deren Vorsitz der Direktor führt, sollte hauptsächlich Fragen behandeln, die alle Beteiligten betreffen, und den Direktor damit befassen. Nach Maßgabe der Tagesordnung für die jeweilige Sitzung kann der Direktor gegebenenfalls Vertreter des Europäischen Parlaments und anderer einschlägiger Einrichtungen zu den Sitzungen der Gruppe einladen. (23) Damit die Agentur einwandfrei funktioniert, ist ihr Direktor aufgrund von Leistung und nachgewiesenen Verwaltungs- und Managementfähigkeiten zu ernennen; der Direktor muss über einschlägigen Sachverstand und Erfahrungen auf dem Gebiet der Netz- und Informationssicherheit verfügen und seine Aufgaben hinsichtlich der Organisation der internen Arbeitsweise der Agentur völlig unabhängig und flexibel wahrnehmen. Dazu sollte er nach Anhörung der Kommission und der Ständigen Gruppe der Interessenvertreter einen Vorschlag für das Arbeitsprogramm der Agentur ausarbeiten und alle erforderlichen Maßnahmen zur ordnungsgemäßen Durchführung des Arbeitsprogramms der Agentur ergreifen, jährlich einen Entwurf des Tätigkeitsberichts erstellen, der dem Verwaltungsrat vorzulegen ist, den Entwurf eines Voranschlags der Einnahmen und Ausgaben erstellen und den Haushaltsplan ausführen. (24) Der Direktor sollte die Möglichkeit haben, Ad-hoc-Arbeitsgruppen einzusetzen, die sich insbesondere mit wissenschaftlichen und technischen Fragen befassen sollen. Bei der Einsetzung dieser Arbeitsgruppen sollte sich der Direktor um eine Mitwirkung von Experten aus dem Privatsektor bemühen. Die Ad-hoc-Arbeitsgruppen sollten der Agentur den Zugang zu den neuesten verfügbaren Informationen ermöglichen, damit die Agentur auf die sicherheitsspezifischen Herausforderungen, die sich im Zuge der Entwicklung der Informationsgesellschaft stellen, reagieren kann. Die Agentur sollte dafür Sorge tragen, dass die von ihr gebildeten Ad-hoc-Arbeitsgruppen fachkundig und repräsentativ sind und dass in ihnen je nach fachlicher Zuständigkeit gegebenenfalls die öffentlichen Verwaltungen der Mitgliedstaaten, der Privatsektor einschließlich der Industrie, Nutzer und wissenschaftliche Sachverständige für Netz- und Informationssicherheit vertreten sind. Die Agentur kann bei Bedarf die Arbeitsgruppen um unabhängige Experten, die in dem betreffenden Bereich als sachkundig anerkannt sind, erweitern. Die Experten, die an den von der Agentur eingesetzten Ad-hoc-Arbeitsgruppen teilnehmen, sollten nicht zum Personal der Agentur gehören. Ihre Ausgaben sollten von der Agentur gemäß ihren internen Vorschriften und gemäß den geltenden Finanzvorschriften getragen werden. (25) Die Agentur sollte das einschlägige Gemeinschaftsrecht betreffend den Zugang der Öffentlichkeit zu Dokumenten gemäß der Verordnung (EG) Nr. 1049/2001(15) und den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gemäß der Verordnung (EG) Nr. 45/2001(16) anwenden. (26) Im Rahmen ihrer Zuständigkeiten und Ziele und bei der Wahrnehmung ihrer Aufgaben sollte die Agentur insbesondere die für den Umgang mit sensiblen Dokumenten für die Gemeinschaftsorgane geltenden Bestimmungen sowie die entsprechenden einzelstaatlichen Rechtsvorschriften befolgen. (27) Damit die volle Autonomie und Unabhängigkeit der Agentur gewährleistet ist, muss diese über einen eigenständigen Haushalt verfügen, der im Wesentlichen von der Gemeinschaft finanziert wird. Zuschüsse aus dem Gesamthaushaltsplan der Europäischen Union unterliegen dem Haushaltsverfahren der Gemeinschaft. Im Übrigen ist die Rechnungsprüfung vom Rechnungshof vorzunehmen. (28) Gegebenenfalls kann die Agentur auf der Grundlage zu schließender Vereinbarungen Dolmetscherdienstleistungen der Generaldirektion für Dolmetscherdienste der Kommission oder der Dolmetscherdienste anderer Gemeinschaftsorgane in Anspruch nehmen. (29) Die Agentur sollte zunächst für einen begrenzten Zeitraum errichtet werden; durch eine Bewertung ihrer Tätigkeit sollte festgestellt werden, ob sie fortbestehen soll - HABEN FOLGENDE VERORDNUNG ERLASSEN: ABSCHNITT 1 ZUSTÄNDIGKEITSBEREICH, ZIELE UND AUFGABEN Artikel 1 Zuständigkeitsbereich (1) Zur Gewährleistung einer hohen und effektiven Netz- und Informationssicherheit innerhalb der Gemeinschaft und der Entwicklung einer Kultur der Netz- und Informationssicherheit, die den Bürgern, Verbrauchern, Unternehmen und Organisationen des öffentlichen Sektors der Europäischen Union Nutzen bringt und damit zum reibungslosen Funktionieren des Binnenmarkts beiträgt, wird eine Europäische Agentur für Netz- und Informationssicherheit, nachstehend "Agentur" genannt, errichtet. (2) Die Agentur unterstützt die Kommission und die Mitgliedstaaten und arbeitet folglich mit der Wirtschaft zusammen, um diesen dabei zu helfen, die Anforderungen an die Netz- und Informationssicherheit - einschließlich der in geltenden und künftigen Rechtsvorschriften der Gemeinschaft wie beispielsweise in der Richtlinie 2002/21/EG niedergelegten Anforderungen - zu erfuellen und damit das reibungslose Funktionieren des Binnenmarktes zu gewährleisten. (3) Von den Zielen und Aufgaben der Agentur unberührt bleiben die Zuständigkeiten der Mitgliedstaaten im Bereich der Netz- und Informationssicherheit, die nicht in den Anwendungsbereich des EG-Vertrags fallen, beispielsweise Zuständigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf jeden Fall Tätigkeiten betreffend die öffentliche Sicherheit, die Landesverteidigung und die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Tätigkeit die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich. Artikel 2 Ziele (1) Die Agentur verbessert die Fähigkeit der Gemeinschaft und der Mitgliedstaaten und folglich der Wirtschaft, Probleme im Bereich der Netz- und Informationssicherheit zu verhüten, zu bewältigen und zu beheben. (2) Die Agentur unterstützt und berät die Kommission und die Mitgliedstaaten in Fragen der Netz- und Informationssicherheit, die gemäß dieser Verordnung in ihre Zuständigkeit fallen. (3) Aufbauend auf einzelstaatlichen und gemeinschaftlichen Anstrengungen arbeitet die Agentur auf ein hohes Niveau fachlicher Kompetenz hin. Die Agentur nutzt diese Fachkompetenz, um Anstöße zu einer umfassenden Zusammenarbeit zwischen den Akteuren des öffentlichen und des privaten Sektors zu geben. (4) Auf Aufforderung unterstützt die Agentur die Kommission bei den technischen Vorarbeiten für die Aktualisierung und Weiterentwicklung der gemeinschaftlichen Rechtsvorschriften im Bereich der Netz- und Informationssicherheit. Artikel 3 Aufgaben Um zu gewährleisten, dass dem Zuständigkeitsbereich und den Zielen gemäß den Artikeln 1 und 2 entsprochen wird, nimmt die Agentur folgende Aufgaben wahr: a) Erhebung geeigneter Informationen zur Analyse der derzeitigen und absehbaren Risiken sowie - insbesondere auf europäischer Ebene - der Risiken, die sich auf die Belastbarkeit und die Verfügbarkeit elektronischer Kommunikationsnetze und auf die Authentizität, Integrität und Vertraulichkeit der auf diesem Weg abgerufenen und übertragenen Informationen auswirken könnten, sowie Bereitstellung der Analyseergebnisse für die Mitgliedstaaten und die Kommission; b) im Rahmen ihrer Ziele Beratung und - auf Verlangen - Unterstützung des Europäischen Parlaments, der Kommission, europäischer Stellen und Einrichtungen oder der von den Mitgliedstaaten benannten zuständigen Stellen; c) Förderung der Zusammenarbeit zwischen verschiedenen Akteuren im Bereich der Netz- und Informationssicherheit, unter anderem durch regelmäßige Anhörung der Industrie, der Hochschulen sowie anderer betroffener Sektoren und durch den Aufbau von Kontaktnetzen für gemeinschaftliche Stellen sowie für die von den Mitgliedstaaten benannten öffentlichen Stellen und für Organisationen des Privatsektors und Verbraucherorganisationen; d) Erleichterung der Zusammenarbeit zwischen der Kommission und den Mitgliedstaaten bei der Entwicklung gemeinsamer Methoden zur Verhütung, Bewältigung und Behebung von Problemen im Bereich der Netz- und Informationssicherheit; e) Beitrag zur Sensibilisierung und zur frühzeitigen, objektiven und umfassenden Informationsvermittlung in Fragen der Netz- und Informationssicherheit für alle Nutzer, unter anderem durch Förderung des Austauschs der jeweils besten Verfahren, einschließlich der Verfahren zur Warnung der Nutzer, sowie durch Nutzung der Synergieeffekte zwischen Initiativen des öffentlichen und des privaten Sektors; f) Unterstützung der Kommission und der Mitgliedstaaten in ihrem Dialog mit der Industrie, um sicherheitsrelevante Probleme bei Hardware- und Softwareprodukten anzugehen; g) Verfolgen der Entwicklung von Standards für Produkte und Dienstleistungen im Bereich der Netz- und Informationssicherheit; h) Beratung der Kommission in Bezug auf Forschungsarbeiten im Bereich der Netz- und Informationssicherheit sowie hinsichtlich des effizienten Einsatzes von Technologien zur Risikovermeidung; i) Förderung von Risikobewertungsmaßnahmen und interoperablen Lösungen für das Risikomanagement sowie von Studien über Lösungen für das Präventionsmanagement innerhalb von Organisationen des öffentlichen und des privaten Sektors; j) Beitrag zu den Bemühungen der Gemeinschaft um eine Zusammenarbeit mit Drittländern und gegebenenfalls mit internationalen Organisationen zur Förderung eines gemeinsamen Gesamtkonzepts für Fragen der Netz- und Informationssicherheit, wodurch zur Entwicklung einer Kultur der Netz- und Informationssicherheit beigetragen wird; k) unabhängige Formulierung eigener Schlussfolgerungen, Leitlinien und Ratschläge zu Fragen innerhalb ihrer Zuständigkeiten und Ziele. Artikel 4 Begriffsbestimmungen Im Sinne dieser Verordnung bezeichnet der Ausdruck a) "Netz" Übertragungssysteme und gegebenenfalls Vermittlungs- und Leitwegeinrichtungen sowie anderweitige Ressourcen, die eine Übertragung von Signalen über Kabel, Funk, optische oder andere elektromagnetische Einrichtungen ermöglichen; hierzu gehören Satellitennetze, feste (leitungs- oder paketvermittelt, einschließlich Internet) und mobile terrestrische Netze, Stromleitungssysteme, soweit sie zur Signalübertragung genutzt werden, Netze für Hör- und Fernsehfunk sowie Kabelfernsehnetze, unabhängig von der Art der übertragenen Informationen; b) "Informationssystem" Computer und elektronische Kommunikationsnetze sowie elektronische Daten, die durch bzw. über diese Medien zu deren Betrieb, Verwendung, Schutz und Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden; c) "Netz- und Informationssicherheit" die Fähigkeit eines Netzes oder Informationssystems, bei einem bestimmten Vertrauensniveau Störungen und rechtswidrige oder böswillige Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder übermittelter Daten und entsprechender Dienste beeinträchtigen, die über dieses Netz oder Informationssystem angeboten werden bzw. zugänglich sind; d) "Verfügbarkeit" die Zugänglichkeit der Daten und die Einsatzfähigkeit der Dienste; e) "Authentifizierung" die Bestätigung der behaupteten Identität von Körperschaften oder Nutzern; f) "Datenintegrität" die Bestätigung der Vollständigkeit und unveränderten Form der Daten, die übermittelt, empfangen oder gespeichert werden; g) "Vertraulichkeit der Daten" den Schutz des Kommunikationsverkehrs oder von gespeicherten Daten, so dass sie von unbefugten Personen nicht abgefangen und gelesen werden können; h) "Risiko" die Wahrscheinlichkeit, dass eine Schwachstelle des Systems die Authentifizierung oder Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit der verarbeiteten oder übertragenen Daten beeinflusst, und die Schwere dieser Folgen infolge der absichtlichen oder unabsichtlichen Nutzung einer solchen Schwachstelle; i) "Risikobewertung" einen wissenschaftlich und technisch untermauerten Vorgang mit den folgenden vier Stufen: Ermittlung von Bedrohungen, Beschreibung der Bedrohungen, Expositionsabschätzung und Risikobeschreibung; j) "Risikomanagement" den von der Risikobewertung getrennten Vorgang des Abwägens strategischer Alternativen in Abstimmung mit den Beteiligten unter Berücksichtigung der Risikobewertung und weiterer begründeter Faktoren und gegebenenfalls der Wahl geeigneter Vorbeugungs- und Kontrollmöglichkeiten; k) "Kultur der Netz- und Informationssicherheit" denselben Begriffsinhalt wie in den OECD-Leitlinien zur Sicherheit von Informationssystemen und -netzen vom 25. Juli 2002 und in der Entschließung des Rates vom 18. Februar 2003 zu einem europäischen Ansatz für eine Sicherheitskultur im Bereich der Netz- und Informationssicherheit(17). ABSCHNITT 2 ORGANISATION Artikel 5 Zusammensetzung der Agentur Die Agentur besteht aus a) einem Verwaltungsrat, b) einem Direktor und c) einer Ständigen Gruppe der Interessenvertreter. Artikel 6 Verwaltungsrat (1) Dem Verwaltungsrat gehören je ein Vertreter jedes Mitgliedstaats, drei von der Kommission ernannte Vertreter sowie drei weitere Personen ohne Stimmrecht an, die von der Kommission vorgeschlagen und vom Rat ernannt werden und jeweils eine der folgenden Gruppen vertreten: a) die Informations- und Kommunikationstechnologie-Industrie; b) Verbrauchergruppen; c) wissenschaftliche Sachverständige für die Netz- und Informationssicherheit. (2) Die Mitglieder des Verwaltungsrats werden aufgrund ihrer einschlägigen Erfahrung und ihres Fachwissens auf dem Gebiet der Netz- und Informationssicherheit ernannt. Die Mitglieder können durch Stellvertreter vertreten werden, die zum gleichen Zeitpunkt ernannt werden. (3) Der Verwaltungsrat wählt aus dem Kreis seiner Mitglieder einen Vorsitzenden und einen stellvertretenden Vorsitzenden für die Dauer von zweieinhalb Jahren; Wiederwahl ist zulässig. Der stellvertretende Vorsitzende tritt im Fall der Verhinderung des Vorsitzenden von Amts wegen an dessen Stelle. (4) Der Verwaltungsrat gibt sich eine Geschäftsordnung auf der Grundlage eines Vorschlags der Kommission. Sofern nichts anderes vorgesehen ist, fasst der Verwaltungsrat seine Beschlüsse mit der Mehrheit seiner stimmberechtigten Mitglieder. Für die Annahme der Geschäftsordnung, der internen Verfahrensvorschriften, des Haushaltsplans und des jährlichen Arbeitsprogramms und sowie für die Ernennung oder Amtsenthebung des Direktors ist eine Mehrheit von zwei Dritteln aller stimmberechtigten Mitglieder erforderlich. (5) Sitzungen des Verwaltungsrats werden von dessen Vorsitzendem einberufen. Zweimal jährlich findet eine ordentliche Sitzung des Verwaltungsrats statt. Auf Veranlassung des Vorsitzenden oder auf Antrag mindestens eines Drittels seiner stimmberechtigten Mitglieder tritt er darüber hinaus zu außerordentlichen Sitzungen zusammen. Der Direktor nimmt an den Sitzungen des Verwaltungsrats ohne Stimmrecht teil und nimmt die Sekretariatsgeschäfte wahr. (6) Der Verwaltungsrat legt die internen Verfahrensvorschriften der Agentur auf der Grundlage eines Vorschlags der Kommission fest. Die Vorschriften sind zu veröffentlichen. (7) Der Verwaltungsrat legt die allgemeinen Leitlinien für die Tätigkeit der Agentur fest. Der Verwaltungsrat sorgt dafür, dass die Agentur bei ihrer Arbeit die in den Artikeln 12 bis 14 und in Artikel 23 niedergelegten Grundsätze beachtet. Er sorgt zudem für eine Abstimmung der Arbeit der Agentur mit den Tätigkeiten, die von den Mitgliedstaaten und auf Ebene der Gemeinschaft durchgeführt werden. (8) Vor dem 30. November eines jeden Jahres nimmt der Verwaltungsrat nach Stellungnahme der Kommission das Arbeitsprogramm der Agentur für das folgende Jahr an. Der Verwaltungsrat sorgt dafür, dass das Arbeitsprogramm dem Zuständigkeitsbereich, den Zielen und den Aufgaben der Agentur sowie den legislativen und politischen Prioritäten der Gemeinschaft im Bereich der Netz- und Informationssicherheit entspricht. (9) Vor dem 31. März eines jeden Jahres billigt der Verwaltungsrat den Gesamtbericht über die Tätigkeiten der Agentur für das vorangegangene Jahr. (10) Der Verwaltungsrat erlässt nach Konsultation der Kommission die für die Agentur geltende Finanzregelung. Diese darf von der Verordnung (EG, Euratom) Nr. 2343/2002 der Kommission vom 19. November 2002 betreffend die Rahmenfinanzregelung für Einrichtungen gemäß Artikel 185 der Verordnung (EG, Euratom) Nr. 1605/2002 des Rates über die Haushaltsordnung für den Gesamthaushaltsplan der Europäischen Gemeinschaften(18) nur abweichen, wenn besondere Merkmale der Funktionsweise der Agentur es erfordern und nachdem die Kommission dem zugestimmt hat. Artikel 7 Direktor (1) Die Agentur wird von ihrem Direktor geleitet, der bei der Wahrnehmung seiner Aufgaben unabhängig ist. (2) Der Direktor wird vom Verwaltungsrat auf der Grundlage einer Bewerberliste ernannt, die von der Kommission im Anschluss an ein allgemeines Auswahlverfahren vorgeschlagen wird, nachdem im Amtsblatt der Europäischen Union und an anderer Stelle eine Aufforderung zur Interessenbekundung veröffentlicht wurde. Kriterien für die Ernennung sind erworbene Verdienste und nachgewiesene Verwaltungs- und Leitungsfähigkeiten sowie für Netz- und Informationssicherheit relevante Befähigung und Erfahrung. Vor der Ernennung wird der vom Verwaltungsrat benannte Kandidat unverzüglich aufgefordert, vor dem Europäischen Parlament eine Erklärung abzugeben und Fragen der Abgeordneten zu beantworten. Ferner können das Europäische Parlament oder der Rat den Direktor jederzeit zu jedem Thema im Zusammenhang mit der Tätigkeit der Agentur befragen. Der Direktor kann vom Verwaltungsrat des Amtes enthoben werden. (3) Die Amtszeit des Direktors beträgt höchstens fünf Jahre. (4) Der Direktor ist verantwortlich für a) die laufende Verwaltung der Agentur, b) die Erstellung eines Vorschlags für die Arbeitsprogramme der Agentur nach Anhörung der Kommission und der Ständigen Gruppe der Interessenvertreter, c) die Umsetzung der Arbeitsprogramme und der vom Verwaltungsrat angenommenen Beschlüsse, d) die Wahrnehmung der Aufgaben der Agentur unter Berücksichtigung der Erfordernisse der Nutzer ihrer Dienste, insbesondere in Bezug auf die Zweckmäßigkeit der erbrachten Dienstleistungen, e) die Erstellung des Entwurfs des Voranschlags der Einnahmen und Ausgaben und die Ausführung des Haushaltsplans der Agentur, f) sämtliche Personalfragen, g) die Aufnahme und Pflege von Kontakten zum Europäischen Parlament und die Sicherstellung eines regelmäßigen Dialogs mit dessen zuständigen Ausschüssen, h) die Aufnahme und Pflege von Kontakten zur Wirtschaft und zu Verbraucherorganisationen im Hinblick auf einen regelmäßigen Dialog mit interessierten Kreisen, i) die Übernahme des Vorsitzes der Ständigen Gruppe der Interessenvertreter. (5) Der Direktor legt dem Verwaltungsrat jährlich folgende Unterlagen zur Genehmigung vor: a) den Entwurf des Gesamtberichts über die Tätigkeiten der Agentur für das vorangegangene Jahr, b) den Entwurf des Arbeitsprogramms. (6) Der Direktor übermittelt das Arbeitsprogramm nach dessen Annahme durch den Verwaltungsrat dem Europäischen Parlament, dem Rat, der Kommission und den Mitgliedstaaten und veranlasst dessen Veröffentlichung. (7) Der Direktor übermittelt den Gesamtbericht der Agentur nach dessen Genehmigung durch den Verwaltungsrat dem Europäischen Parlament, dem Rat, der Kommission, dem Rechnungshof, dem Europäischen Wirtschafts- und Sozialausschuss und dem Ausschuss der Regionen und veranlasst dessen Veröffentlichung. (8) Soweit erforderlich kann der Direktor im Rahmen des Zuständigkeitsbereichs, der Ziele und der Aufgaben der Agentur sowie in Absprache mit der Ständigen Gruppe der Interessenvertreter Ad-hoc-Arbeitsgruppen einsetzen, die sich aus Sachverständigen zusammensetzen. Der Verwaltungsrat wird davon ordnungsgemäß unterrichtet. Die Verfahren, die insbesondere die Zusammensetzung dieser Gruppen, die Bestellung der Sachverständigen durch den Direktor und die Arbeitsweise der Ad-hoc-Arbeitsgruppen betreffen, werden in den internen Verfahrensvorschriften der Agentur festgelegt. Die Ad-hoc-Arbeitsgruppen befassen sich insbesondere mit technischen und wissenschaftlichen Fragen. Die Mitglieder des Verwaltungsrates dürfen nicht den Ad-hoc-Arbeitsgruppen angehören. Vertreter der Kommission können an den Sitzungen der Arbeitsgruppen teilnehmen. Artikel 8 Ständige Gruppe der Interessenvertreter (1) Der Direktor setzt eine Ständige Gruppe der Interessenvertreter ein, die sich aus Sachverständigen der interessierten Kreise, wie Informations- und Kommunikationstechnologie-Industrie, Verbrauchergruppen und wissenschaftliche Sachverständige für Netz- und Informationssicherheit, zusammensetzt. (2) Die Verfahren, die insbesondere die Anzahl, die Zusammensetzung, die Ernennung der Mitglieder durch den Direktor und die Arbeitweise der Gruppe betreffen, werden in den internen Verfahrensvorschriften der Agentur festgelegt und öffentlich bekannt gemacht. (3) Den Vorsitz der Gruppe führt der Direktor. Die Amtszeit der Mitglieder der Gruppe beträgt zweieinhalb Jahre. Mitglieder der Gruppe dürfen nicht dem Verwaltungsrat angehören. (4) Vertreter der Kommission können an den Sitzungen teilnehmen und an der Arbeit der Gruppe mitwirken. (5) Die Gruppe kann den Direktor bei der Wahrnehmung seiner in dieser Verordnung vorgesehenen Aufgaben, bei der Ausarbeitung eines Vorschlags für das Arbeitsprogramm der Agentur sowie bei der Pflege der Kontakte zu den interessierten Kreisen in allen Fragen im Zusammenhang mit dem Arbeitsprogramm beraten. ABSCHNITT 3 ARBEITSWEISE Artikel 9 Arbeitsprogramm Grundlage der Arbeit der Agentur ist das gemäß Artikel 6 Absatz 8 angenommene Arbeitsprogramm. Das Arbeitsprogramm schließt jedoch nicht aus, dass die Agentur im Rahmen ihrer Haushaltsmittel auch unvorhergesehene Tätigkeiten durchführt, die ihrem Zuständigkeitsbereich und ihren Zielen entsprechen. Artikel 10 Ersuchen (1) Ersuchen um Beratung und Unterstützung, die dem Zuständigkeitsbereich, den Zielen und den Aufgaben der Agentur entsprechen, sind zusammen mit erläuternden Hintergrundinformationen an den Direktor zu richten. Der Direktor unterrichtet die Kommission über die eingegangenen Ersuchen. Lehnt die Agentur ein Ersuchen ab, so muss sie dies begründen. (2) Ersuchen gemäß Absatz 1 können gestellt werden a) vom Europäischen Parlament, b) von der Kommission, c) von einer von einem Mitgliedstaat benannten zuständigen Stelle, wie zum Beispiel einer einzelstaatlichen Regulierungsbehörde im Sinne des Artikels 2 der Richtlinie 2002/21/EG. (3) Der Verwaltungsrat legt die praktischen Einzelheiten für die Anwendung der Absätze 1 und 2, insbesondere bezüglich der Vorlage von Ersuchen, der Festlegung ihrer Rangfolge, des weiteren Vorgehens sowie der Unterrichtung des Verwaltungsrates über die an die Agentur gerichteten Ersuchen in den internen Verfahrensvorschriften der Agentur fest. Artikel 11 Interessenerklärung (1) Der Direktor und die von den Mitgliedstaaten auf Zeit abgeordneten Beamten geben eine Verpflichtungserklärung und eine Interessenerklärung ab, aus der hervorgeht, dass keine direkten oder indirekten Interessen bestehen, die ihre Unabhängigkeit beeinträchtigen könnten. Diese Erklärungen sind schriftlich abzugeben. (2) Externe Sachverständige, die in den Ad-hoc-Arbeitsgruppen mitwirken, geben in jeder Sitzung eine Erklärung über alle Interessen ab, die ihre Unabhängigkeit in Bezug auf die Tagesordnungspunkte beeinträchtigen könnten. Artikel 12 Transparenz (1) Die Agentur gewährleistet, dass sie ihre Tätigkeiten mit einem hohen Maß an Transparenz und gemäß den Artikeln 13 und 14 ausübt. (2) Die Agentur gewährleistet einen problemlosen Zugang der Öffentlichkeit und interessierter Kreise zu objektiven und zuverlässigen Informationen, insbesondere, sofern angemessen, zu ihren etwaigen eigenen Arbeitsergebnissen. Ferner veröffentlicht sie die Interessenerklärungen des Direktors und der von den Mitgliedstaaten auf Zeit abgeordneten Beamten sowie die Interessenerklärungen der Sachverständigen in Bezug auf die Tagesordnungspunkte der Sitzungen der Ad-hoc-Arbeitsgruppen. (3) Der Verwaltungsrat kann auf Vorschlag des Direktors gestatten, dass interessierte Kreise als Beobachter an bestimmten Arbeiten der Agentur teilnehmen. (4) Die Agentur legt die praktischen Einzelheiten für die Anwendung der Transparenzregeln nach den Absätzen 1 und 2 in ihren internen Verfahrensvorschriften fest. Artikel 13 Vertraulichkeit (1) Unbeschadet des Artikels 14 gibt die Agentur Informationen, die bei ihr eingehen oder von ihr verarbeitet werden und um deren vertrauliche Behandlung ersucht wurde, nicht an Dritte weiter. (2) Die Mitglieder des Verwaltungsrats, der Direktor, die Mitglieder der Ständigen Gruppe der Interessenvertreter, die externen Sachverständigen der Ad-hoc-Arbeitsgruppen sowie das Personal der Agentur einschließlich der von den Mitgliedstaaten auf Zeit abgeordneten Beamten unterliegen auch nach Beendigung ihrer Tätigkeit den Vertraulichkeitsbestimmungen gemäß Artikel 287 des Vertrags. (3) Die Agentur legt die praktischen Einzelheiten für die Anwendung der in den Absätzen 1 und 2 enthaltenen Vertraulichkeitsregelungen in ihren internen Verfahrensvorschriften fest. Artikel 14 Zugang zu Dokumenten (1) Für die im Besitz der Agentur befindlichen Unterlagen gilt die Verordnung (EG) Nr. 1049/2001. (2) Der Verwaltungsrat legt innerhalb von sechs Monaten nach Errichtung der Agentur Maßnahmen zur Durchführung der Verordnung (EG) Nr. 1049/2001 fest. (3) Gegen Entscheidungen der Agentur nach Artikel 8 der Verordnung (EG) Nr. 1049/2001 kann nach Maßgabe von Artikel 195 bzw. 230 des Vertrags Beschwerde beim Bürgerbeauftragten eingelegt oder Klage beim Gerichtshof der Europäischen Gemeinschaften erhoben werden. ABSCHNITT 4 FINANZVORSCHRIFTEN Artikel 15 Feststellung des Haushalts (1) Die Einnahmen der Agentur bestehen aus einem Beitrag der Gemeinschaft und etwaigen Beiträgen von Drittländern, die sich gemäß Artikel 24 an der Arbeit der Agentur beteiligen. (2) Die Ausgaben der Agentur umfassen Aufwendungen für Personal, Verwaltung, technische Unterstützung, Infrastruktur, Betriebskosten und Ausgaben, die sich aus Verträgen mit Dritten ergeben. (3) Spätestens bis zum 1. März eines jeden Jahres erstellt der Direktor den Entwurf des Voranschlags der Einnahmen und Ausgaben der Agentur für das folgende Haushaltsjahr und legt ihn dem Verwaltungsrat zusammen mit dem Entwurf des Stellenplans vor. (4) Einnahmen und Ausgaben sind auszugleichen. (5) Der Verwaltungsrat erstellt alljährlich auf der Grundlage des vom Direktor erstellten Entwurfs des Voranschlags der Einnahmen und Ausgaben einen Voranschlag der Einnahmen und Ausgaben der Agentur für das folgende Haushaltsjahr. (6) Dieser Voranschlag, der auch den Entwurf des Stellenplans und das vorläufige Arbeitsprogramm umfasst, wird der Kommission und den Staaten, mit denen die Gemeinschaft Abkommen gemäß Artikel 24 geschlossen hat, bis zum 31. März vom Verwaltungsrat zugeleitet. (7) Die Kommission übermittelt den Voranschlag zusammen mit dem Vorentwurf des Gesamthaushaltsplans der Europäischen Union dem Europäischen Parlament und dem Rat (beide nachstehend "Haushaltsbehörde" genannt). (8) Die Kommission setzt aufgrund dieses Voranschlags die von ihr für erforderlich erachteten Mittelansätze für den Stellenplan und den Betrag des Zuschusses aus dem Gesamthaushaltsplan in den Vorentwurf des Gesamthaushaltsplans der Europäischen Union ein, den sie gemäß Artikel 272 des Vertrags der Haushaltsbehörde vorlegt. (9) Die Haushaltsbehörde bewilligt die Mittel für den Zuschuss für die Agentur. Die Haushaltsbehörde genehmigt den Stellenplan für die Agentur. (10) Der Haushaltsplan der Agentur wird vom Verwaltungsrat festgestellt. Er wird endgültig, wenn der Gesamthaushaltsplan der Europäischen Union endgültig festgestellt ist. Der Haushaltsplan der Agentur wird gegebenenfalls entsprechend angepasst. Der Verwaltungsrat übermittelt den Haushaltsplan unverzüglich der Kommission und der Haushaltsbehörde. (11) Der Verwaltungsrat unterrichtet die Haushaltsbehörde schnellstmöglich über alle von ihm geplanten Vorhaben, die erhebliche finanzielle Auswirkungen auf die Finanzierung des Haushaltsplans haben könnten, was insbesondere für Immobilienvorhaben wie die Anmietung oder den Erwerb von Gebäuden gilt. Er setzt die Kommission von diesen Vorhaben in Kenntnis. Hat ein Teil der Haushaltsbehörde mitgeteilt, dass er eine Stellungnahme abgeben will, so übermittelt er diese Stellungnahme dem Verwaltungsrat innerhalb von sechs Wochen nach der Unterrichtung über das Vorhaben. Artikel 16 Betrugsbekämpfung (1) Zur Bekämpfung von Betrug, Korruption und sonstigen rechtswidrigen Handlungen finden die Vorschriften der Verordnung (EG) Nr. 1073/1999 des Europäischen Parlaments und des Rates vom 25. Mai 1999 über die Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF)(19) ohne Einschränkung Anwendung. (2) Die Agentur tritt der Interinstitutionellen Vereinbarung vom 25. Mai 1999 zwischen dem Europäischen Parlament, dem Rat der Europäischen Union und der Kommission der Europäischen Gemeinschaften über die internen Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF)(20) bei und erlässt unverzüglich die entsprechenden Vorschriften, die für sämtliche Mitarbeiter der Agentur gelten. Artikel 17 Ausführung des Haushaltsplans (1) Der Direktor führt den Haushaltsplan der Agentur aus. (2) Der interne Rechnungsprüfer der Kommission übt gegenüber der Agentur dieselben Befugnisse aus wie gegenüber den Kommissionsdienststellen. (3) Spätestens am 1. März des auf das jeweilige Haushaltsjahr folgenden Jahres übermittelt der Rechnungsführer der Agentur dem Rechnungsführer der Kommission die vorläufigen Rechnungen und den Bericht über die Haushaltsführung und das Finanzmanagement für das abgeschlossene Haushaltsjahr. Der Rechnungsführer der Kommission konsolidiert die vorläufigen Rechnungen der Organe und dezentralisierten Einrichtungen gemäß Artikel 128 der Verordnung (EG, Euratom) Nr. 1605/2002 des Rates vom 25. Juni 2002 über die Haushaltsordnung für den Gesamthaushaltsplan der Europäischen Gemeinschaften(21) (nachstehend "Haushaltsordnung" genannt). (4) Spätestens am 31. März des auf das jeweilige Haushaltsjahr folgenden Jahres übermittelt der Rechnungsführer der Kommission dem Rechnungshof die vorläufigen Rechnungen der Agentur zusammen mit dem Bericht über die Haushaltsführung und das Finanzmanagement für das betreffende Haushaltsjahr. Dieser Bericht geht auch der Haushaltsbehörde zu. (5) Nach Eingang der Bemerkungen des Rechnungshofes zu den vorläufigen Rechnungen der Agentur gemäß Artikel 129 der Haushaltsordnung stellt der Direktor in eigener Verantwortung den endgültigen Jahresabschluss der Agentur auf und legt ihn dem Verwaltungsrat zur Stellungnahme vor. (6) Der Verwaltungsrat gibt eine Stellungnahme zu dem endgültigen Jahresabschluss der Agentur ab. (7) Der Direktor leitet diesen endgültigen Jahresabschluss zusammen mit der Stellungnahme des Verwaltungsrats spätestens am 1. Juli des auf das jeweilige Haushaltsjahr folgenden Jahres dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof zu. (8) Der endgültige Jahresabschluss wird veröffentlicht. (9) Der Direktor übermittelt dem Rechnungshof bis zum 30. September eine Antwort auf seine Bemerkungen. Diese Antwort geht auch dem Verwaltungsrat zu. (10) Der Direktor unterbreitet dem Europäischen Parlament auf dessen Anfrage gemäß Artikel 146 Absatz 3 der Haushaltsordnung alle Informationen, die für die ordnungsgemäße Abwicklung des Entlastungsverfahren für das betreffende Haushaltsjahr erforderlich sind. (11) Auf Empfehlung des Rates, der mit qualifizierter Mehrheit beschließt, erteilt das Europäische Parlament dem Direktor vor dem 30. April des Jahres N + 2 Entlastung zur Ausführung des Haushaltsplans für das Jahr N. ABSCHNITT 5 ALLGEMEINE BESTIMMUNGEN Artikel 18 Rechtsstellung (1) Die Agentur ist eine Einrichtung der Gemeinschaft. Sie besitzt Rechtspersönlichkeit. (2) Die Agentur besitzt in jedem Mitgliedstaat die weitestgehende Rechts- und Geschäftsfähigkeit, die juristischen Personen nach dessen Rechtsvorschriften zuerkannt ist. Sie kann insbesondere bewegliches und unbewegliches Vermögen erwerben und veräußern und ist vor Gericht parteifähig. (3) Die Agentur wird von ihrem Direktor vertreten. Artikel 19 Personal (1) Das Personal der Agentur, einschließlich ihres Direktors, unterliegt den für die Beamten und sonstigen Bediensteten der Europäischen Gemeinschaften geltenden Regeln und Verordnungen. (2) Unbeschadet des Artikels 6 übt die Agentur gegenüber ihrem Personal die Befugnisse aus, die der Anstellungsbehörde durch das Statut und der zum Abschluss von Verträgen ermächtigten Behörde durch die Beschäftigungsbedingungen der sonstigen Bediensteten übertragen wurden. Die Agentur kann auch von den Mitgliedstaaten auf Zeit abgeordnete Beamte für höchstens fünf Jahre einstellen. Artikel 20 Vorrechte und Befreiungen Das Protokoll über die Vorrechte und Befreiungen der Europäischen Gemeinschaften findet auf die Agentur und ihr Personal Anwendung. Artikel 21 Haftung (1) Die vertragliche Haftung der Agentur bestimmt sich nach dem Recht, das auf den betreffenden Vertrag anzuwenden ist. Für Entscheidungen aufgrund einer Schiedsklausel in einem von der Agentur geschlossenen Vertrag ist der Gerichtshof der Europäischen Gemeinschaften zuständig. (2) Im Bereich der außervertraglichen Haftung ersetzt die Agentur den durch sie selbst oder durch ihre Bediensteten in Ausübung ihrer Tätigkeit verursachten Schaden nach den allgemeinen Grundsätzen, die den Rechtsordnungen der Mitgliedstaaten gemeinsam sind. In Streitsachen über den Schadensersatz ist der Gerichtshof zuständig. (3) Die persönliche Haftung der Bediensteten gegenüber der Agentur bestimmt sich nach den für sie geltenden Beschäftigungsbedingungen. Artikel 22 Sprachenregelung (1) Die Bestimmungen der Verordnung Nr. 1 vom 15. April 1958 zur Regelung der Sprachenfrage für die Europäische Wirtschaftsgemeinschaft(22) gelten für die Agentur. Die Mitgliedstaaten und die anderen von ihnen benannten Einrichtungen können sich an die Agentur in der Gemeinschaftssprache ihrer Wahl wenden und erhalten eine Antwort in dieser Sprache. (2) Die für die Arbeit der Agentur erforderlichen Übersetzungsaufgaben werden vom Übersetzungszentrum für die Einrichtungen der Europäischen Union(23) übernommen. Artikel 23 Schutz personenbezogener Daten Bei der Verarbeitung personenbezogener Daten gelten für die Agentur die Bestimmungen der Verordnung (EG) Nr. 45/2001. Artikel 24 Beteiligung von Drittländern (1) Die Agentur steht der Beteiligung von Ländern offen, die mit der Europäischen Gemeinschaft Übereinkünfte geschlossen haben, nach denen sie Gemeinschaftsvorschriften in dem dieser Verordnung unterliegenden Bereich übernommen haben und anwenden. (2) Gemäß den einschlägigen Bestimmungen dieser Übereinkünfte werden Vereinbarungen getroffen, die insbesondere Art, Umfang und Form einer Beteiligung dieser Länder an der Arbeit der Agentur festlegen; hierzu zählen auch Bestimmungen über die Mitwirkung in den von der Agentur durchgeführten Initiativen, über finanzielle Beiträge und Personal. ABSCHNITT 6 SCHLUSSBESTIMMUNGEN Artikel 25 Überprüfungsklausel (1) Bis zum 17. März 2007 führt die Kommission unter Anhörung aller Beteiligten eine Bewertung anhand der mit dem Verwaltungsrat abgestimmten Vorgaben durch. Mit der Bewertung der Kommission soll insbesondere festgestellt werden, ob die Agentur über den in Artikel 27 genannten Zeitraum hinaus fortbestehen soll. (2) In der Bewertung werden der Einfluss der Agentur bezüglich des Erreichens ihrer Ziele und der Erfuellung ihrer Aufgaben sowie ihre Arbeitsweise untersucht und erforderlichenfalls geeignete Vorschläge erwogen. (3) Der Verwaltungsrat erhält einen Bericht über die Bewertung und gibt der Kommission Empfehlungen für etwaige Änderungen dieser Verordnung. Sowohl die Ergebnisse der Bewertung als auch die Empfehlungen werden von der Kommission an das Europäische Parlament und den Rat übermittelt; sie werden veröffentlicht. Artikel 26 Verwaltungskontrolle Die Tätigkeit der Agentur unterliegt der Aufsicht des Bürgerbeauftragten gemäß Artikel 195 des Vertrags. Artikel 27 Dauer des Bestehens Die Agentur wird zum 14. März 2004 für einen Zeitraum von fünf Jahren errichtet. Artikel 28 Inkrafttreten Diese Verordnung tritt am Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Geschehen zu Straßburg am 10. März 2004. Im Namen des Europäischen Parlaments Der Präsident P. Cox Im Namen des Rates Der Präsident D. Roche (1) ABl. C 220 vom 16.9.2003, S. 33. (2) Stellungnahme des Europäischen Parlaments vom 19. November 2003 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 19. Februar 2004. (3) ABl. L 108 vom 24.4.2002, S. 33. (4) Richtlinie 2002/20/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über die Genehmigung elektronischer Kommunikationsnetze und -dienste (Genehmigungsrichtlinie) (ABl. L 108 vom 24.4.2002, S. 21). (5) Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten (Universaldienstrichtlinie) (ABl. L 108 vom 24.4.2002, S. 51). (6) Richtlinie 2002/19/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über den Zugang zu elektronischen Kommunikationsnetzen und zugehörigen Einrichtungen sowie deren Zusammenschaltung (Zugangsrichtlinie) (ABl. L 108 vom 24.4.2002, S. 7). (7) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37). (8) Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (ABl. L 13 vom 19.1.2000, S. 12). (9) Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt (Richtlinie über den elektronischen Geschäftsverkehr) (ABl. L 178 vom 17.7.2000, S. 1). (10) ABl. C 48 vom 28.2.2003, S. 2. (11) Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation (ABl. L 24 vom 30.1.1998, S. 1). Aufgehoben und ersetzt durch die Richtlinie 2002/58/EG. (12) ABl. L 281 vom 23.11.1995, S. 31. Geändert durch die Verordnung (EG) Nr. 1882/2003 (ABl. L 284 vom 31.10.2003, S. 1). (13) ABl. L 200 vom 30.7.2002, S. 38. (14) ABl. L 204 vom 21.7.1998, S. 37. Geändert durch die Richtlinie 98/48/EG (ABl. L 217 vom 5.8.1998, S. 18). (15) Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43). (16) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1). (17) ABl. C 48 vom 28.2.2003, S. 1. (18) ABl. L 357 vom 31.12.2002, S. 72. (19) ABl. L 136 vom 31.5.1999, S. 1. (20) ABl. L 136 vom 31.5.1999, S. 15. (21) ABl. L 248 vom 16.9.2002, S. 1. (22) ABl. 17 vom 6.10.1958, S. 385/58. Zuletzt geändert durch die Beitrittsakte von 1994. (23) Verordnung (EG) Nr. 2965/94 des Rates vom 28. November 1994 zur Errichtung eines Übersetzungszentrums für die Einrichtungen der Europäischen Union (ABl. L 314 vom 7.12.1994, S. 1). Zuletzt geändert durch die Verordnung (EG) Nr. 1645/2003 (ABl. L 245 vom 29.9.2003, S. 13).