Règlement (UE) n° 526/2013 du Parlement européen et du Conseil
du 21 mai 2013
concernant l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et abrogeant le règlement (CE) n° 460/2004
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 114,
vu la proposition de la Commission européenne,
après transmission du projet d'acte législatif aux parlements nationaux,
vu l'avis du Comité économique et social européen (1),
statuant conformément à la procédure législative ordinaire (2),
considérant ce qui suit :
(1) Les communications, infrastructures et services électroniques sont des facteurs clés, directement et indirectement, du développement de l'économie et de la société. Ils jouent un rôle essentiel pour la société, sont devenus eux-mêmes des services tout aussi omniprésents que l'approvisionnement en électricité ou en eau et constituent également des facteurs vitaux dans la fourniture d'électricité, d'eau et d'autres services essentiels. Les réseaux de communication fonctionnent comme des catalyseurs pour la société et l'innovation dès lors qu'ils multiplient l'impact de la technologie et influencent les habitudes des consommateurs, les modèles commerciaux, les entreprises, ainsi que la citoyenneté et la participation à la vie politique. Toute perturbation de ces services peut causer des dommages physiques, sociaux et économiques considérables, d'où l'importance de mesures de protection et de résilience accrues visant à assurer la continuité des services essentiels. La sécurité des communications, infrastructures et services électroniques, en particulier leur intégrité, leur disponibilité et leur confidentialité, fait face à des défis toujours plus nombreux, qui touchent notamment aux composants individuels des infrastructures de communication et aux logiciels contrôlant ces composants, aux infrastructures dans leur ensemble et aux services fournis grâce à ces infrastructures. C'est un sujet de préoccupation croissante pour la société, notamment parce que des problèmes pourraient se poser en raison de la complexité des systèmes, d'un dysfonctionnement, d'une faille du système, d'un accident, d'une erreur ou d'une attaque, susceptibles d'avoir des répercussions sur l'infrastructure physique et électronique qui fournit des services essentiels au bien-être des européens.
(2) La nature de la menace évolue constamment et les incidents de sécurité peuvent ébranler la confiance que les utilisateurs ont dans les technologies, les réseaux et les services, affectant de la sorte leur capacité à exploiter tout le potentiel du marché intérieur et l'utilisation généralisée des technologies de l'information et de la communication (TIC).
(3) Il est donc important pour les décideurs, les entreprises et les utilisateurs que la situation en matière de sécurité des réseaux et de l'information dans l'Union soit régulièrement évaluée à partir de données de l'Union fiables et d'une anticipation systématique des évolutions, défis et menaces futurs tant au niveau de l'Union qu'au niveau mondial.
(4) Par la décision 2004/97/CE, Euratom (3), adoptée lors du Conseil européen du 13 décembre 2003, les représentants des États membres ont décidé que l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), qui devait être instituée sur la base de la proposition soumise par la Commission, aurait son siège dans une ville en Grèce que le gouvernement grec désignera. À la suite de cette décision, le gouvernement grec a choisi la ville d'Héraklion, en Crète, pour accueillir le siège de l'ENISA.
(5) Le 1er avril 2005, un accord de siège a été conclu entre l'Agence et l'État membre d'accueil.
(6) L'État membre d'accueil de l'Agence devrait offrir les meilleures conditions possibles pour un fonctionnement harmonieux et efficace de l'Agence. Il est impératif, pour l'accomplissement correct et efficace de ses missions, pour le recrutement et la fidélisation du personnel et pour une plus grande efficacité des activités de mise en réseau, que l'Agence soit établie dans un lieu approprié, offrant, entre autres, des liaisons de transport et des aménagements appropriés pour les conjoints et enfants accompagnant les membres du personnel de l'Agence. Les dispositions nécessaires devraient être arrêtées dans un accord conclu, après approbation du conseil d'administration de l'Agence, entre l'Agence et l'État membre d'accueil.
(7) Afin d'améliorer son efficacité opérationnelle, l'Agence a installé une antenne dans la zone métropolitaine d'Athènes, qui devrait être maintenue avec l'accord et le soutien de l'État membre d'accueil et qui devrait accueillir le personnel opérationnel de l'Agence. Le personnel principalement affecté à l'administration de l'Agence (y compris le directeur exécutif), aux questions financières, à la recherche et à l'analyse documentaires, à la gestion de l'informatique et des infrastructures, aux ressources humaines, à la formation, ainsi qu'aux communications et aux affaires publiques, devrait être basé à Héraklion.
(8) L'Agence a le droit de décider de sa propre organisation de manière à assurer l'accomplissement correct et efficace de ses missions, dans le respect des dispositions relatives au siège et à l'antenne d'Athènes arrêtées dans le présent règlement. En particulier, en vue d'accomplir les missions qui impliquent une interaction avec des parties prenantes essentielles telles que les institutions de l'Union, l'Agence devrait prendre les dispositions pratiques nécessaires pour renforcer cette efficacité opérationnelle.
(9) En 2004, le Parlement européen et le Conseil ont adopté le règlement (CE) n° 460/2004 (4) instituant l'ENISA en vue de contribuer à la réalisation des objectifs visant à assurer un niveau élevé de sécurité des réseaux et de l'information au sein de l'Union et à favoriser l'émergence d'une culture de la sécurité des réseaux et de l'information dans l'intérêt des citoyens, des consommateurs, des entreprises et des administrations publiques. En 2008, le Parlement européen et le Conseil ont adopté le règlement (CE) n° 1007/2008 (5) prolongeant le mandat de l'Agence jusqu'en mars 2012. Le règlement (CE) n° 580/2011 (6) prolonge le mandat de l'Agence jusqu'au 13 septembre 2013.
(10) L'Agence devrait succéder à l'ENISA, instituée par le règlement (CE) n° 460/2004. Dans le cadre de la décision prise par les représentants des États membres réunis au Conseil européen du 13 décembre 2003, l'État membre d'accueil devrait maintenir et continuer à développer les modalités pratiques actuelles en vue de garantir le fonctionnement harmonieux et efficace de l'Agence, y compris de son antenne à Athènes, et faciliter l'engagement et la fidélisation de personnel hautement qualifié.
(11) Depuis que l'ENISA a été instituée, les défis en matière de sécurité des réseaux et de l'information ont changé en fonction des évolutions technologiques, commerciales et socio-économiques, et ont fait l'objet de réflexions et de débats approfondis. En réponse aux défis toujours nouveaux, l'Union a revu les priorités de sa politique en matière de sécurité des réseaux et de l'information. Le présent règlement vise à renforcer l'Agence pour contribuer avec succès aux efforts des États membres et des institutions de l'Union visant à mettre en place, en Europe, des moyens permettant de relever les défis de la sécurité des réseaux et de l'information.
(12) Dans le domaine de la sécurité des communications électroniques et, plus généralement, de la sécurité des réseaux et de l'information, les mesures relatives au marché intérieur nécessitent l'adoption de différentes modalités d'application techniques et organisationnelles par les institutions de l'Union et les États membres. L'application hétérogène de ces exigences peut conduire à des pertes d'efficacité et créer des obstacles au marché intérieur. Il est donc nécessaire de créer, au niveau de l'Union, un centre d'expertise chargé de fournir des indications, des conseils et une assistance concernant les questions liées à la sécurité des réseaux et de l'information, sur lequel les institutions de l'Union et les États membres peuvent compter. L'Agence peut répondre à ces besoins en acquérant et en conservant un niveau élevé de compétences spécialisées et en assistant les institutions de l'Union, les États membres et le secteur des entreprises en vue de les aider à satisfaire aux exigences légales et réglementaires en matière de sécurité des réseaux et de l'information, et de déterminer et résoudre les questions de sécurité des réseaux et de l'information, contribuant ainsi au bon fonctionnement du marché intérieur.
(13) L'Agence devrait exécuter les tâches qui lui sont confiées en vertu des actes juridiques de l'Union dans le domaine des communications électroniques et, en général, contribuer à améliorer le niveau de sécurité des communications électroniques et le niveau de protection de la vie privée et des données à caractère personnel, notamment en mettant à disposition des compétences spécialisées, en fournissant des conseils et en promouvant l'échange des meilleures pratiques ainsi qu'en formulant des propositions quant aux politiques à mener.
(14) La directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive "cadre") (7) exige que les fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public prennent les mesures appropriées pour assurer leur intégrité et sécurité et impose aux autorités réglementaires nationales, le cas échéant, d'informer entre autres l'Agence de toute atteinte à la sécurité ou perte d'intégrité ayant eu un impact significatif sur le fonctionnement des réseaux ou services, ainsi que de soumettre à la Commission et à l'Agence un rapport annuel succinct sur les notifications reçues et l'action engagée. La directive 2002/21/CE invite également l'Agence à contribuer à l'harmonisation de mesures techniques et organisationnelles appropriées en matière de sécurité en formulant des avis.
(15) La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (8) exige que les fournisseurs de services de communications électroniques accessibles au public prennent les mesures techniques et organisationnelles appropriées pour assurer la sécurité de leurs services et requiert également que la confidentialité des communications et des données relatives au trafic y afférentes soit préservée. La directive 2002/58/CE instaure pour les fournisseurs de services de communications électroniques des exigences en matière d'information et de notification des violations des données à caractère personnel. Elle exige aussi de la Commission de consulter l'Agence sur toute mesure technique d'application à adopter concernant les circonstances, le format et les procédures applicables aux exigences en matière d'information et de notification. La directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (9) exige des États membres de veiller à ce que le responsable du traitement mette en uvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite ou la perte accidentelle, l'altération, la divulgation ou l'accès non autorisés, notamment lorsque le traitement implique la transmission de données par un réseau, ainsi que contre toute autre forme de traitement illicite.
(16) L'Agence devrait contribuer à un niveau élevé de sécurité des réseaux et de l'information, à l'amélioration de la protection de la vie privée et de la protection des données à caractère personnel ainsi qu'à l'émergence et à la promotion d'une culture de la sécurité des réseaux et de l'information, dans l'intérêt des citoyens, des consommateurs, des entreprises et des organismes du secteur public de l'Union, prenant part ainsi au bon fonctionnement du marché intérieur. Pour atteindre cet objectif, il y a lieu d'allouer les crédits budgétaires nécessaires à l'Agence.
(17) Considérant l'importance croissante des réseaux et communications électroniques, qui forment désormais la base de l'économie européenne, et l'étendue réelle de l'économie numérique, il importe d'accroître les ressources budgétaires et humaines allouées à l'Agence afin de refléter le renforcement de son rôle et de ses missions ainsi que sa position stratégique dans la défense de l'écosystème numérique européen.
(18) L'Agence devrait servir de point de référence et instaurer la confiance du fait de son indépendance, de la qualité des conseils fournis et des informations diffusées, de la transparence de ses procédures et modes de fonctionnement, et de sa diligence à exécuter ses tâches. L'Agence devrait s'appuyer sur les efforts déployés aux niveaux national et de l'Union et par conséquent exécuter ses tâches en totale coopération avec les institutions, organes et organismes de l'Union et les États membres et être ouverte à tout contact avec les entreprises et d'autres parties prenantes concernées. De plus, l'Agence devrait s'appuyer sur les informations fournies par le secteur privé et travailler en coopération avec celui-ci, le secteur privé jouant un rôle important dans la sécurisation des communications, infrastructures et services électroniques.
(19) Un ensemble de tâches devrait indiquer à l'Agence la manière d'atteindre ses objectifs tout en lui laissant une certaine souplesse de fonctionnement. Au nombre des tâches exécutées par l'Agence devrait figurer la collecte des informations et données nécessaires à l'analyse des risques pour la sécurité et la résilience des communications, infrastructures et services électroniques et à l'évaluation, en coopération avec les États membres, la Commission et, le cas échéant, les parties prenantes concernées, de la situation en matière de sécurité des réseaux et de l'information dans l'Union. L'Agence devrait assurer la coordination et la collaboration avec les institutions, organes et organismes de l'Union et les États membres et renforcer la coopération entre les parties prenantes en Europe, notamment en faisant participer à ses activités les organismes nationaux et de l'Union compétents et des experts de haut niveau du secteur privé dans les domaines concernés, en particulier les fournisseurs de réseaux et de services de communications électroniques, les fabricants d'équipements de réseau et les vendeurs de logiciels, en tenant compte du fait que les réseaux et systèmes d'information comprennent des combinaisons de matériel, de logiciels et de services. L'Agence devrait prêter assistance aux institutions de l'Union et aux États membres dans leur dialogue avec les entreprises pour traiter les problèmes liés à la sécurité que posent les matériels et logiciels, contribuant ainsi à une approche concertée de la sécurité des réseaux et de l'information.
(20) Les stratégies en matière de sécurité des réseaux et de l'information rendues publiques par une institution, un organe ou un organisme de l'Union ou un État membre devraient être communiquées à l'Agence pour informer celle-ci et éviter les doubles emplois. L'Agence devrait analyser les stratégies et promouvoir leur présentation dans un format facilitant leur comparabilité. Elle devrait mettre les stratégies et ses analyses à la disposition du public par des moyens électroniques.
(21) L'Agence devrait assister la Commission sous la forme de conseils, d'avis et d'analyses sur toutes les questions de l'Union liées à l'élaboration de la politique en matière de sécurité des réseaux et de l'information, y compris en ce qui concerne la protection des infrastructures d'information critiques et la résilience. L'Agence devrait aussi assister les institutions, organes et organismes de l'Union et, le cas échéant, à leur demande, les États membres, dans leurs efforts pour mettre en place une politique et des moyens en matière de sécurité des réseaux et de l'information.
(22) L'Agence devrait prendre pleinement en compte les activités en cours en matière de recherche, de développement et d'évaluation technologique, et plus particulièrement celles menées dans le cadre des différentes initiatives de recherche de l'Union, pour fournir des conseils aux institutions, organes et organismes de l'Union et, le cas échéant, à leur demande, aux États membres sur les besoins en matière de recherche dans le domaine de la sécurité des réseaux et de l'information.
(23) L'Agence devrait assister les institutions, organes et organismes de l'Union ainsi que les États membres dans leurs efforts pour mettre en place et développer des moyens et une préparation transfrontaliers afin de prévenir les problèmes et incidents de sécurité des réseaux et de l'information, de les détecter et d'y faire face. À cet égard, l'Agence devrait faciliter la coopération entre les États membres et entre la Commission et les autres institutions, organes et organismes de l'Union et les États membres. À cette fin, l'Agence devrait soutenir les États membres dans leurs efforts continus pour développer leurs moyens d'intervention et pour organiser et réaliser des exercices européens et, à la demande d'un État membre, nationaux concernant des incidents de sécurité.
(24) Pour mieux comprendre les défis dans le domaine de la sécurité des réseaux et de l'information, l'Agence doit analyser les risques actuels et émergents. À cet effet, l'Agence devrait, en coopération avec les États membres et, le cas échéant, les instituts de statistiques et d'autres organismes, recueillir des informations pertinentes. En outre, l'Agence devrait assister les institutions, organes et organismes de l'Union et les États membres dans leurs efforts pour recueillir, analyser et diffuser des données sur la sécurité des réseaux et de l'information. La collecte des informations et données statistiques appropriées nécessaires à l'analyse des risques pour la sécurité et la résilience des communications, infrastructures et services électroniques devrait s'effectuer sur la base des informations fournies par les États membres et du point de vue de l'Agence en ce qui concerne les infrastructures TIC des institutions de l'Union conformément aux dispositions de l'Union et aux dispositions nationales arrêtées dans le respect du droit de l'Union. Sur la base de ces informations, l'Agence devrait se tenir informée en permanence de l'état le plus actualisé de la sécurité des réseaux et de l'information ainsi que des tendances observées en la matière dans l'Union, dans l'intérêt des institutions, organes et organismes de l'Union et des États membres.
(25) Dans l'accomplissement de ses tâches, l'Agence devrait faciliter la coopération entre l'Union et les États membres afin de sensibiliser à la situation en matière de sécurité des réseaux et de l'information dans l'Union.
(26) L'Agence devrait faciliter la coopération entre les autorités réglementaires indépendantes compétentes des États membres, notamment en favorisant la mise au point, la promotion et l'échange des meilleures pratiques et de normes pour des programmes éducatifs et de sensibilisation. Une intensification des échanges d'informations entre les États membres facilitera cette action. L'Agence devrait contribuer à sensibiliser les utilisateurs individuels des communications, infrastructures et services électroniques, y compris en aidant les États membres, lorsqu'ils ont choisi d'utiliser la plate-forme d'informations d'intérêt public prévue dans la directive 2002/22/CE du Parlement européen et du Conseil du 7 mars 2002 concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques (directive "service universel") (10), à produire des informations utiles d'intérêt public concernant la sécurité des réseaux et de l'information, et en aidant également à élaborer ces informations, qui doivent être jointes lors de la fourniture de nouveaux appareils destinés à être utilisés sur des réseaux publics de communications. L'Agence devrait aussi favoriser la coopération entre les parties prenantes au niveau de l'Union, en particulier par la promotion du partage d'informations, des campagnes de sensibilisation et des programmes éducatifs et de formation.
(27) L'Agence devrait aider, entre autres, les institutions, organes et organismes de l'Union concernés et les États membres lors de campagnes publiques d'éducation à destination des utilisateurs finaux, en vue de promouvoir une navigation en ligne plus sûre pour tous et de sensibiliser aux dangers potentiels du cyberespace, y compris la cybercriminalité telle que les hameçonnages, réseaux zombies, fraudes financières et bancaires, et de donner des conseils de base en matière d'authentification et de protection des données.
(28) Pour pouvoir atteindre pleinement ses objectifs, l'Agence devrait assurer la liaison avec les organismes concernés, notamment ceux traitant de la cybercriminalité, comme Europol, et les autorités chargées du respect de la vie privée, pour échanger savoir-faire et meilleures pratiques ainsi que pour fournir des conseils sur les aspects liés à la sécurité des réseaux et de l'information susceptibles d'avoir une incidence sur leurs activités. L'Agence devrait avoir pour but de créer des synergies entre les efforts de ces organismes et les siens visant à promouvoir l'amélioration de la sécurité des réseaux et de l'information. Les représentants des autorités nationales et des autorités de l'Union chargées de l'application de la loi et du respect de la vie privée devraient pouvoir être représentés au sein du groupe permanent des parties prenantes de l'Agence. Dans ses relations avec les organismes chargés de l'application de la loi concernant les questions de sécurité des réseaux et de l'information susceptibles d'avoir une incidence sur leurs activités, l'Agence devrait utiliser les canaux d'information existants et les réseaux établis.
(29) La Commission a lancé un partenariat public-privé européen pour la résilience, qui a pris la forme d'une plate-forme de coopération souple à l'échelle de l'Union pour la résilience des infrastructures TIC, dans laquelle l'Agence devrait jouer un rôle de facilitateur consistant à réunir les parties prenantes pour qu'elles discutent des priorités de politique générale, des aspects économiques et commerciaux des défis et des mesures en faveur de la résilience des TIC.
(30) Pour promouvoir la sécurité des réseaux et de l'information ainsi que sa visibilité, l'Agence devrait faciliter la coopération entre les organismes publics compétents des États membres, notamment en favorisant la mise en place et l'échange des meilleures pratiques et de programmes de sensibilisation ainsi qu'en renforçant leurs actions d'information. L'Agence devrait aussi soutenir la coopération entre les parties prenantes et les institutions de l'Union, en partie par la promotion du partage d'informations et des activités de sensibilisation.
(31) Pour rehausser le niveau de sécurité des réseaux et de l'information dans l'Union, l'Agence devrait favoriser la coopération et l'échange d'informations et des meilleures pratiques entre les organismes concernés, tels que les équipes de réaction aux incidents touchant la sécurité informatique (CSIRT) et les équipes d'intervention en cas d'urgence informatique (CERT).
(32) Un système de CERT fonctionnelles au niveau de l'Union devrait être une pierre angulaire des infrastructures de sécurité des réseaux et de l'information de l'Union. L'Agence devrait aider les CERT des États membres et la CERT de l'Union à assurer le fonctionnement d'un réseau de CERT, comprenant les membres du groupe des CERT gouvernementales européennes. Afin de contribuer à assurer que toutes les CERT disposent de capacités suffisamment avancées et que ces capacités correspondent, autant que possible, à celles des CERT les plus avancées, l'Agence devrait promouvoir la mise en place et le fonctionnement d'un système d'évaluation par les pairs. En outre, l'Agence devrait promouvoir et soutenir la coopération entre les CERT concernées en cas d'incidents, d'attaques ou de perturbations sur les réseaux ou infrastructures dont les CERT assurent la gestion ou la protection et impliquant, ou susceptibles d'impliquer, au moins deux CERT.
(33) Des politiques de sécurité des réseaux et de l'information efficaces devraient reposer sur des méthodes d'évaluation des risques bien élaborées, dans le secteur public comme dans le secteur privé. Les méthodes et procédures d'évaluation des risques sont utilisées à différents niveaux et il n'existe pas de pratiques communes en ce qui concerne leur application efficace. La promotion et le développement des meilleures pratiques en matière d'évaluation des risques et de solutions interopérables de gestion des risques dans les organisations des secteurs public et privé rehausseront le niveau de sécurité des réseaux et systèmes d'information dans l'Union. À cette fin, l'Agence devrait favoriser la coopération entre parties prenantes au niveau de l'Union, en contribuant à leurs efforts concernant l'établissement et l'adoption de normes européennes et internationales en matière de gestion des risques et de sécurité mesurable des produits, systèmes, réseaux et services électroniques, lesquels, conjointement avec les logiciels, constituent les réseaux et systèmes d'information.
(34) Le cas échéant, pour autant que cela soit utile à la réalisation de ses objectifs et de ses tâches, l'Agence devrait partager expérience et informations générales avec les institutions, organes et organismes de l'Union traitant de la sécurité des réseaux et de l'information. L'Agence devrait contribuer, au niveau de l'Union, à identifier les priorités en matière de recherche dans les domaines de la résilience du réseau et de la sécurité du réseau et des informations, ainsi qu'à fournir des informations sur les besoins des entreprises aux instituts de recherche concernés.
(35) L'Agence devrait encourager les États membres et les fournisseurs de services à renforcer leurs normes de sécurité générales, de manière que tous les utilisateurs d'internet prennent les mesures nécessaires pour garantir leur propre cybersécurité.
(36) Les questions de sécurité des réseaux et de l'information sont des problèmes de dimension mondiale. Il est nécessaire de renforcer la coopération internationale pour améliorer les normes de sécurité, y compris en définissant des normes de comportement et codes de conduite communs, et en partageant les informations, en encourageant une collaboration internationale plus prompte en réponse aux problèmes de sécurité des réseaux et de l'information ainsi qu'une approche globale commune de ces problèmes. À cette fin, l'Agence devrait soutenir la poursuite de l'engagement et de la coopération de l'Union avec les pays tiers et les organisations internationales en mettant, le cas échéant, les compétences et l'analyse nécessaires au service des institutions, organes et organismes de l'Union concernés.
(37) L'Agence devrait fonctionner conformément au principe de subsidiarité, en garantissant un degré adéquat de coordination entre les États membres sur les questions de sécurité des réseaux et de l'information, en améliorant l'efficacité des politiques nationales et en leur donnant donc une valeur ajoutée, et conformément au principe de proportionnalité, en n'excédant pas ce qui est nécessaire pour atteindre les objectifs fixés dans le présent règlement. Dans l'exécution de ses tâches, l'Agence devrait renforcer les compétences, non leur porter atteinte, et ne devrait ni retirer, entraver ou empiéter sur les pouvoirs et les tâches des autorités réglementaires nationales prévus dans les directives relatives aux réseaux et services de communications électroniques ainsi que sur ceux de l'Organe des régulateurs européens des communications électroniques (ORECE) institué par le règlement (CE) n° 1211/2009 (11) et du comité des communications visé dans la directive 2002/21/CE, des organismes européens de normalisation, des organismes nationaux de normalisation et du comité permanent prévus dans la directive 98/34/CE (12) et des autorités de contrôle indépendantes des États membres prévus dans la directive 95/46/CE.
(38) Il convient de mettre en uvre certains principes en ce qui concerne la gouvernance de l'Agence afin de se conformer à la déclaration conjointe et à l'approche commune adoptées par le groupe de travail interinstitutionnel sur les agences décentralisées de l'Union en juillet 2012, le but de cette déclaration et de cette approche étant de rationaliser les activités des agences et d'améliorer leur efficacité.
(39) La déclaration conjointe et l'approche commune devraient également se refléter, le cas échéant, dans les programmes de travail, les évaluations, ainsi que les pratiques en matière d'établissement des rapports et les pratiques administratives de l'Agence.
(40) Pour assurer le bon fonctionnement de l'Agence, la Commission et les États membres devraient veiller à ce que les personnes désignées au conseil d'administration soient dotées de compétences professionnelles appropriées. La Commission et les États membres devraient s'efforcer de limiter le roulement de leurs représentants respectifs dans le conseil d'administration, afin de garantir la continuité des travaux de ce dernier.
(41) Il est essentiel que l'Agence établisse et entretienne une réputation d'impartialité, d'intégrité et de normes professionnelles élevées. En conséquence, le conseil d'administration devrait adopter des règles exhaustives en matière de prévention et de gestion des conflits d'intérêts, couvrant l'ensemble de l'Agence.
(42) Vu la situation particulière de l'Agence et les défis difficiles auxquels elle se trouve confrontée, sa structure organisationnelle devrait être simplifiée et renforcée, pour assurer une plus grande efficacité et efficience. Il y a donc lieu, entre autres, d'instituer un conseil exécutif pour permettre au conseil d'administration de se concentrer sur les questions d'importance stratégique.
(43) Le conseil d'administration devrait désigner un comptable conformément aux règles adoptées au titre du règlement (UE, Euratom) n° 966/2012 (13) (ci-après dénommé "règlement financier").
(44) Afin d'assurer l'efficacité de l'Agence, les États membres et la Commission devraient être représentés au sein du conseil d'administration chargé de fixer l'orientation générale du fonctionnement de l'Agence et de veiller à ce qu'elle exécute ses tâches conformément au présent règlement. Le conseil d'administration devrait être doté des pouvoirs nécessaires pour établir le budget, vérifier son exécution, adopter les règles financières appropriées, instaurer des procédures de travail transparentes pour la prise de décisions par l'Agence, adopter le programme de travail de l'Agence, son propre règlement intérieur et les règles internes de fonctionnement de l'Agence, nommer le directeur exécutif, décider de la prolongation du mandat du directeur exécutif après avoir reçu le point de vue du Parlement européen et décider de l'expiration dudit mandat. Le conseil d'administration devrait créer un conseil exécutif pour l'assister dans ses tâches administratives et budgétaires.
(45) Le bon fonctionnement de l'Agence exige que le directeur exécutif de celle-ci soit nommé sur la base de son mérite et de ses capacités attestées dans le domaine de l'administration et de la gestion, ainsi que de ses compétences et de son expérience pertinentes en matière de sécurité des réseaux et de l'information, et qu'il exerce ses fonctions en toute indépendance quant à l'organisation du fonctionnement interne de l'Agence. À cette fin, le directeur exécutif devrait élaborer une proposition de programme de travail pour l'Agence, après consultation préalable de la Commission, et prendre toutes les mesures nécessaires pour garantir la bonne exécution de ce programme de travail. Le directeur exécutif devrait préparer un rapport annuel à soumettre au conseil d'administration, établir un projet d'état prévisionnel des recettes et des dépenses de l'Agence et exécuter le budget.
(46) Le directeur exécutif devrait avoir la possibilité de créer des groupes de travail ad hoc pour traiter des questions spécifiques, en particulier de nature scientifique, technique, juridique ou socio-économique. Lors de la création de groupes de travail ad hoc, le directeur exécutif devrait recueillir et prendre en compte les avis des experts externes concernés nécessaires pour permettre à l'Agence d'avoir accès aux informations disponibles les plus récentes concernant les défis que pose, en matière de sécurité, l'évolution de la société de l'information. Le directeur exécutif devrait veiller à ce que les membres des groupes de travail ad hoc soient sélectionnés selon les critères de compétence les plus élevés, compte dûment tenu de la nécessité d'assurer une représentation équilibrée, en fonction des questions spécifiques concernées, des administrations publiques des États membres, des institutions de l'Union et du secteur privé, y compris des entreprises, des utilisateurs et des experts universitaires en matière de sécurité des réseaux et de l'information. Le directeur exécutif devrait pouvoir, le cas échéant, inviter à titre individuel des experts dont les compétences dans le domaine concerné sont reconnues à participer aux activités des groupes de travail au cas par cas. Leurs dépenses devraient être couvertes par l'Agence conformément à ses règles internes de fonctionnement et aux règles adoptées au titre du règlement financier.
(47) L'Agence devrait disposer, à titre d'organe consultatif, d'un groupe permanent des parties prenantes pour maintenir un dialogue régulier avec le secteur privé, les organisations de consommateurs et les autres parties prenantes concernées. Le groupe permanent des parties prenantes, institué par le conseil d'administration sur proposition du directeur exécutif, devrait s'attacher à examiner des questions pertinentes pour les parties prenantes et à les porter à l'attention de l'Agence. Le directeur exécutif devrait pouvoir, le cas échéant et en fonction de l'ordre du jour des réunions, inviter des représentants du Parlement européen et d'autres organismes intéressés à participer aux réunions du groupe.
(48) Étant donné qu'il est prévu que les parties prenantes sont amplement représentées au sein du groupe permanent des parties prenantes, et que ce groupe doit être consulté, en particulier, en ce qui concerne le projet de programme de travail, il n'est plus nécessaire de prévoir que les parties prenantes sont représentées au sein du conseil d'administration.
(49) L'Agence devrait appliquer les dispositions pertinentes du droit de l'Union en ce qui concerne l'accès du public aux documents prévu par le règlement (CE) n° 1049/2001 du Parlement européen et du Conseil (14). Les informations traitées par l'Agence pour des motifs liés à son fonctionnement interne, ainsi que les informations traitées par celle-ci dans l'exercice de ses tâches, devraient être soumises au règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (15).
(50) L'Agence devrait respecter les dispositions applicables aux institutions de l'Union et la législation nationale concernant le traitement des documents sensibles.
(51) Pour garantir l'autonomie et l'indépendance complètes de l'Agence et lui permettre d'effectuer des tâches nouvelles et supplémentaires, y compris des tâches urgentes imprévues, il conviendrait de la doter d'un budget suffisant et autonome dont l'essentiel des recettes provient d'une contribution de l'Union et de contributions des pays tiers participant aux travaux de l'Agence. La plus grande partie des effectifs de l'Agence devrait se consacrer directement à la mise en uvre opérationnelle du mandat de l'Agence. L'État membre d'accueil, ou tout autre État membre, devrait être autorisé à apporter des contributions volontaires aux recettes de l'Agence. La procédure budgétaire de l'Union devrait rester applicable en ce qui concerne toute subvention imputable sur le budget général de l'Union européenne. En outre, la Cour des comptes devrait contrôler les comptes de l'Agence afin de garantir la transparence et la responsabilité.
(52) Vu l'évolution constante de la nature de la menace et l'évolution de la politique de l'Union en matière de sécurité des réseaux et de l'information, et dans un souci d'alignement sur le cadre financier pluriannuel, il convient de fixer la durée du mandat de l'Agence à une période limitée de sept ans, avec possibilité de prolongation.
(53) Le fonctionnement de l'Agence devrait faire l'objet d'une évaluation indépendante. Cette évaluation devrait tenir compte de l'efficacité de l'Agence dans la réalisation de ses objectifs, de ses méthodes de travail et de la pertinence de ses tâches, afin de déterminer si les objectifs de l'Agence sont toujours valables ou pas et, de ce fait, si la durée de son mandat doit être prolongée, et sur quelle période.
(54) Si, vers la fin de la durée du mandat de l'Agence, la Commission n'a pas présenté de proposition pour la prolongation du mandat, l'Agence et la Commission devraient prendre les mesures nécessaires, concernant en particulier les questions relatives aux contrats avec le personnel et aux arrangements budgétaires.
(55) Étant donné que l'objectif du présent règlement, à savoir instituer une Agence de l'Union européenne pour la sécurité des réseaux et de l'information en vue de contribuer à un niveau élevé de sécurité des réseaux et de l'information dans l'Union, et en vue de sensibiliser la société et de favoriser l'émergence et promouvoir, dans la société, une culture de la sécurité des réseaux et de l'information, dans l'intérêt des citoyens, des consommateurs, des entreprises et des organismes du secteur public de l'Union, contribuant ainsi à l'établissement et au bon fonctionnement du marché intérieur, ne peut pas être atteint de manière suffisante par les États membres et peut donc être mieux atteint au niveau de l'Union, celle-ci peut prendre des mesures conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité énoncé au même article, le présent règlement n'excède pas ce qui est nécessaire pour atteindre cet objectif.
(56) Le règlement (CE) n° 460/2004 devrait être abrogé.
(57) Le Contrôleur européen de la protection des données a été consulté conformément à l'article 28, paragraphe 2, du règlement (CE) n° 45/2001 et a adopté son avis le 20 décembre 2010 (16),
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT :
Section 1
Champ d'application, objectifs et tâches
Article 1er
Objet et champ d'application
1. Le présent règlement institue une Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (ENISA, ci-après dénommée "Agence") afin d'exécuter les tâches qui lui sont assignées en vue de contribuer à un niveau élevé de sécurité des réseaux et de l'information au sein de l'Union et en vue de sensibiliser la société à la sécurité des réseaux et de l'information et de favoriser l'émergence et promouvoir une culture de la sécurité des réseaux et de l'information, dans l'intérêt des citoyens, des consommateurs, des entreprises et des organismes du secteur public de l'Union, contribuant ainsi à l'établissement et au bon fonctionnement du marché intérieur.
2. Les objectifs et les tâches de l'Agence s'entendent sans préjudice des compétences des États membres en ce qui concerne la sécurité des réseaux et de l'information et, en tout état de cause, des activités relatives à la sécurité publique, à la défense, à la sûreté de l'État (y compris à la prospérité économique de l'État lorsqu'il s'agit de questions touchant à la sûreté de l'État) et des activités de l'État dans les domaines du droit pénal.
3. Aux fins du présent règlement, on entend par "sécurité des réseaux et de l'information" la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité des données stockées ou transmises et des services connexes que ces réseaux et systèmes offrent ou qu'ils rendent accessibles.
Article 2
Objectifs
1. L'Agence acquiert et conserve un niveau élevé de compétences spécialisées.
2. L'Agence assiste les institutions, organes et organismes de l'Union dans l'élaboration des politiques de sécurité des réseaux et de l'information.
3. L'Agence assiste les institutions, organes et organismes de l'Union et les États membres dans la mise en uvre des politiques nécessaires pour satisfaire aux exigences légales et réglementaires requises au titre des actes juridiques existants et à venir de l'Union en matière de sécurité des réseaux et de l'information, contribuant ainsi au bon fonctionnement du marché intérieur.
4. L'Agence aide l'Union et les États membres à améliorer et à renforcer leurs moyens et leur préparation pour prévenir les problèmes et incidents de sécurité des réseaux et de l'information, les détecter et y faire face.
5. L'Agence met à profit ses compétences spécialisées pour encourager une large coopération entre les acteurs des secteurs public et privé.
Article 3
Tâches
1. Aux fins exposées à l'article 1er et pour atteindre les objectifs énoncés à l'article 2, dans le respect de l'article 1er, paragraphe 2, l'Agence accomplit les tâches suivantes :
a) soutenir l'élaboration de la politique et du droit de l'Union, en :
i) apportant son concours et ses conseils sur toutes les questions relatives à la politique et au droit de l'Union en matière de sécurité des réseaux et de l'information ;
ii) fournissant des travaux préparatoires, des conseils et des analyses concernant l'élaboration et l'actualisation de la politique et du droit de l'Union en matière de sécurité des réseaux et de l'information ;
iii) analysant les stratégies en matière de sécurité des réseaux et de l'information accessibles au public et en favorisant leur publication ;
b) aider au renforcement des capacités en :
i) soutenant les États membres, à leur demande, dans leurs efforts pour développer et améliorer la prévention, la détection et l'analyse des problèmes et incidents de sécurité des réseaux et de l'information et la capacité d'y faire face, et en leur fournissant les connaissances nécessaires ;
ii) promouvant et facilitant la coopération volontaire au sein des États membres, et entre les institutions, organes et organismes de l'Union et les États membres, dans leurs efforts pour prévenir et détecter les problèmes et les incidents de sécurité des réseaux et de l'information, et y faire face, lorsqu'ils ont une incidence transfrontière ;
iii) assistant les institutions, organes et organismes de l'Union dans leurs efforts pour développer la prévention, la détection et l'analyse des problèmes et incidents de sécurité des réseaux et de l'information et la capacité d'y faire face, en particulier en soutenant le fonctionnement d'une équipe d'intervention en cas d'urgence informatique (CERT) à leur intention ;
iv) soutenant le relèvement du niveau des capacités des CERT nationales, gouvernementales et de l'Union, y compris en favorisant le dialogue et l'échange d'informations, pour faire en sorte que, en ce qui concerne l'état de la technologie, chaque CERT satisfasse à un socle commun de capacités minimales et fonctionne selon les meilleures pratiques ;
v) soutenant l'organisation et la réalisation d'exercices de l'Union portant sur la sécurité des réseaux et de l'information et, à leur demande, en conseillant les États membres en ce qui concerne les exercices nationaux ;
vi) assistant les institutions, organes et organismes de l'Union et les États membres dans leurs efforts de collecte, d'analyse et, dans le respect des exigences des États membres en matière de sécurité, de diffusion des données sur la sécurité des réseaux et de l'information ; et sur la base des informations fournies par les institutions, organes et organismes de l'Union et les États membres conformément aux dispositions du droit de l'Union et aux dispositions nationales arrêtées dans le respect du droit de l'Union, en tenant les institutions, organes et organismes de l'Union ainsi que les États membres informés du dernier état de la sécurité des réseaux et de l'information dans l'Union dans leur intérêt ;
vii) aidant à la mise en place d'un mécanisme d'alerte rapide de l'Union qui soit complémentaire aux mécanismes des États membres ;
viii) offrant une formation à la sécurité des réseaux et de l'information aux organismes publics compétents, le cas échéant en coopération avec les parties prenantes ;
c) soutenir la coopération volontaire parmi les organismes publics compétents, et entre les parties prenantes, y compris les universités et les centres de recherche dans l'Union, ainsi que la sensibilisation, entre autres en :
i) favorisant la coopération entre les CERT nationales et gouvernementales ou les équipes de réaction aux incidents touchant la sécurité informatique (CSIRT), y compris la CERT pour les institutions, organes et organismes de l'Union ;
ii) favorisant le développement et le partage des meilleures pratiques en vue d'atteindre un niveau avancé de sécurité des réseaux et de l'information ;
iii) facilitant le dialogue et les efforts visant à développer et échanger les meilleures pratiques ;
iv) favorisant les meilleures pratiques en matière de partage de l'information et de sensibilisation ;
v) soutenant les institutions, organes et organismes de l'Union et, à leur demande, les États membres et leurs organismes concernés dans l'organisation d'activités de sensibilisation, y compris au niveau des utilisateurs individuels, et d'autres actions d'information pour accroître la sécurité des réseaux et de l'information et sa visibilité en définissant les meilleures pratiques et des lignes directrices ;
d) soutenir la recherche et le développement, et la normalisation, en :
i) facilitant l'établissement et l'adoption de normes européennes et internationales en matière de gestion des risques et de sécurité des produits, réseaux et services électroniques ;
ii) conseillant l'Union et les États membres sur les besoins en matière de recherche dans le domaine de la sécurité des réseaux et de l'information, en vue de pouvoir faire face efficacement aux risques et aux menaces actuels et émergents dans ce domaine, y compris en ce qui concerne les technologies de l'information et de la communication nouvelles et émergentes, et d'utiliser d'une manière efficace les technologies de prévention des risques ;
e) coopérer avec les institutions, organes et organismes de l'Union, y compris ceux qui traitent de la cybercriminalité et de la protection de la vie privée et des données à caractère personnel, pour aborder des questions d'intérêt commun, y compris en :
i) échangeant savoir-faire et meilleures pratiques ;
ii) fournissant des conseils sur des aspects pertinents liés à la sécurité des réseaux et de l'information de manière à développer des synergies ;
f) contribuer aux efforts de l'Union pour coopérer avec les pays tiers et les organisations internationales, afin de promouvoir une coopération internationale sur les problèmes de sécurité des réseaux et de l'information, y compris en :
i) s'impliquant en tant qu'observateur, le cas échéant, et en participant à l'organisation d'exercices internationaux, ainsi qu'en analysant et en rendant compte des résultats de ces exercices ;
ii) facilitant l'échange des meilleures pratiques des organisations concernées ;
iii) mettant des compétences spécialisées à la disposition des institutions de l'Union.
2. Les institutions, organes et organismes de l'Union et les organismes des États membres peuvent demander conseil à l'Agence en cas d'atteinte à la sécurité ou de perte d'intégrité ayant un impact significatif sur le fonctionnement des réseaux et des services.
3. L'Agence exécute les tâches qui lui sont assignées par des actes juridiques de l'Union.
4. L'Agence formule de manière indépendante ses propres conclusions, orientations et conseils sur des questions entrant dans le cadre du champ d'application et des objectifs du présent règlement.
Section 2
Organisation
Article 4
Composition de l'Agence
1. L'Agence comprend :
a) un conseil d'administration ;
b) un directeur exécutif et du personnel ; et
c) un groupe permanent des parties prenantes.
2. Pour contribuer au renforcement de l'efficacité et du rapport coût-efficacité du fonctionnement de l'Agence, le conseil d'administration institue un conseil exécutif.
Article 5
Conseil d'administration
1. Le conseil d'administration fixe l'orientation générale du fonctionnement de l'Agence et veille à ce que l'Agence travaille conformément aux règles et principes énoncés dans le présent règlement. Il assure aussi la cohérence des travaux de l'Agence avec les activités menées par les États membres ainsi qu'au niveau de l'Union.
2. Le conseil d'administration adopte le programme de travail annuel et le programme de travail pluriannuel de l'Agence.
3. Le conseil d'administration adopte un rapport annuel sur les activités de l'Agence et l'envoie, le 1er juillet au plus tard de l'année suivante, au Parlement européen, au Conseil, à la Commission et à la Cour des comptes. Le rapport annuel inclut les comptes et décrit la manière dont l'Agence atteint ses indicateurs de performance. Le rapport annuel est rendu public.
4. Le conseil d'administration adopte une stratégie antifraude qui est proportionnée aux risques de fraude compte tenu de l'analyse coût-bénéfice des mesures à mettre en uvre.
5. Le conseil d'administration assure le suivi approprié des conclusions et des recommandations découlant des enquêtes de l'Office européen de lutte antifraude (OLAF) et des divers rapports d'audit interne ou externe et des évaluations.
6. Le conseil d'administration adopte des règles en matière de prévention et de gestion des conflits d'intérêts.
7. Le conseil d'administration exerce, à l'égard du personnel de l'Agence, les pouvoirs qui sont dévolus par le statut des fonctionnaires de l'Union européenne et le régime applicable aux autres agents de l'Union européenne (ci-après dénommés "statut" et "régime applicable aux autres agents"), fixés par le règlement (CEE, Euratom CECA) n° 259/68 (17) à l'autorité investie du pouvoir de nomination et à l'autorité habilitée à conclure les contrats d'engagement, respectivement.
Le conseil d'administration adopte, conformément à la procédure prévue à l'article 110 du statut, une décision fondée sur l'article 2, paragraphe 1, du statut et sur l'article 6 du régime applicable aux autres agents, déléguant au directeur exécutif les pouvoirs correspondants dévolus à l'autorité investie du pouvoir de nomination. Le directeur exécutif peut sous-déléguer ces pouvoirs.
Lorsque des circonstances exceptionnelles l'exigent, le conseil d'administration peut révoquer la délégation des pouvoirs de l'autorité investie du pouvoir de nomination au directeur exécutif ainsi que de ceux sous-délégués par le directeur exécutif. Dans ce cas, le conseil d'administration peut les déléguer, pour une période limitée, à un de ses membres ou à un membre du personnel autre que le directeur exécutif.
8. Le conseil d'administration arrête les modalités d'application nécessaires du statut et du régime applicable aux autres agents conformément à la procédure prévue à l'article 110 du statut.
9. Le conseil d'administration nomme le directeur exécutif et peut prolonger son mandat ou le démettre de ses fonctions conformément à l'article 24 du présent règlement.
10. Le conseil d'administration adopte le règlement intérieur applicable à lui-même et au conseil exécutif après avoir consulté la Commission. Le règlement intérieur prévoit une prise de décision rapide par procédure écrite ou par conférence à distance.
11. Le conseil d'administration adopte les règles internes de fonctionnement de l'Agence après avoir consulté les services de la Commission. Ces règles sont rendues publiques.
12. Le conseil d'administration adopte les règles financières applicables à l'Agence. Elles ne peuvent s'écarter du règlement (CE, Euratom) n° 2343/2002 de la Commission du 19 novembre 2002 portant règlement financier-cadre des organismes visés à l'article 185 du règlement (CE, Euratom) n° 1605/2002 du Conseil portant règlement financier applicable au budget général des Communautés européennes (18) que si les exigences spécifiques du fonctionnement de l'Agence le nécessitent et si la Commission a préalablement donné son accord.
13. Le conseil d'administration adopte un plan pluriannuel en matière de politique du personnel après avoir consulté les services de la Commission et dûment informé le Parlement européen et le Conseil.
Article 6
Composition du conseil d'administration
1. Le conseil d'administration est composé d'un représentant de chaque État membre, et de deux représentants nommés par la Commission. Tous les représentants disposent du droit de vote.
2. Chaque membre du conseil d'administration dispose d'un suppléant, qui le représente en cas d'absence.
3. Les membres du conseil d'administration et leurs suppléants sont nommés sur la base de leur connaissance des tâches et des objectifs de l'Agence, en tenant compte des compétences nécessaires en matière de gestion et d'administration ainsi qu'en matière budgétaire pour s'acquitter des tâches énumérées à l'article 5. La Commission et les États membres devraient consentir des efforts pour limiter le roulement de leurs représentants au sein du conseil d'administration, afin de garantir la continuité des travaux de celui-ci. La Commission et les États membres visent à atteindre une représentation équilibrée entre hommes et femmes au sein du conseil d'administration.
4. Le mandat des membres du conseil d'administration et de leurs suppléants a une durée de quatre ans. Ce mandat est renouvelable.
Article 7
Présidence du conseil d'administration
1. Le conseil d'administration élit son président et un vice-président parmi ses membres, pour une durée de trois ans renouvelable. Le vice-président remplace d'office le président lorsque celui-ci n'est pas en mesure d'assumer ses fonctions.
2. Le président peut être invité à faire une déclaration devant la ou les commissions concernées du Parlement européen et à répondre aux questions des députés.
Article 8
Réunions
1. Les réunions du conseil d'administration sont convoquées par son président.
2. Le conseil d'administration tient une réunion ordinaire au moins une fois par an. Il tient aussi des réunions extraordinaires à l'initiative du président ou à la demande d'au moins un tiers de ses membres.
3. Le directeur exécutif participe sans droit de vote aux réunions du conseil d'administration.
Article 9
Vote
1. Les décisions du conseil d'administration sont prises à la majorité absolue de ses membres.
2. Une majorité des deux tiers de tous les membres du conseil d'administration est nécessaire pour adopter le règlement intérieur du conseil d'administration, les règles internes de fonctionnement de l'Agence, le budget et le programme de travail annuel et pluriannuel, pour nommer le directeur exécutif, prolonger son mandat ou le révoquer, ainsi que pour nommer le président du conseil d'administration.
Article 10
Conseil exécutif
1. Le conseil d'administration est assisté d'un conseil exécutif.
2. Le conseil exécutif prépare les décisions à adopter par le conseil d'administration dans les matières administratives et budgétaires uniquement.
Avec le conseil d'administration, il assure le suivi approprié des conclusions et des recommandations découlant des enquêtes de l'OLAF ainsi que des divers rapports d'audit interne ou externe et des évaluations.
Sans préjudice des responsabilités du directeur exécutif définies à l'article 11, le conseil exécutif assiste et conseille celui-ci dans la mise en uvre des décisions du conseil d'administration relatives à des questions administratives et budgétaires.
3. Le conseil exécutif est composé de cinq membres nommés parmi les membres du conseil d'administration, dont le président du conseil d'administration, qui peut également présider le conseil exécutif, et d'un des représentants de la Commission.
4. Le mandat des membres du conseil exécutif coïncide avec celui des membres du conseil d'administration énoncé à l'article 6, paragraphe 4.
5. Le conseil exécutif se réunit au moins une fois par trimestre. Le président du conseil exécutif convoque des réunions supplémentaires à la demande de ses membres.
Article 11
Tâches du directeur exécutif
1. L'Agence est gérée par son directeur exécutif, qui est indépendant dans l'exercice de ses fonctions.
2. Le directeur exécutif est chargé :
a) d'assurer l'administration courante de l'Agence ;
b) de mettre en uvre les décisions adoptées par le conseil d'administration ;
c) après avoir consulté le conseil d'administration, de préparer le programme de travail annuel et le programme de travail pluriannuel et de les soumettre au conseil d'administration après consultation de la Commission ;
d) de mettre en uvre le programme de travail annuel et le programme de travail pluriannuel et de faire rapport au conseil d'administration sur ceux-ci ;
e) de préparer le rapport annuel sur les activités de l'Agence et de le présenter au conseil d'administration pour approbation ;
f) de préparer un plan d'action faisant suite aux conclusions des évaluations rétrospectives et de faire rapport tous les deux ans à la Commission sur les progrès accomplis ;
g) de protéger les intérêts financiers de l'Union par l'application de mesures préventives contre la fraude, la corruption et d'autres activités illégales, par des contrôles efficaces et, si des irrégularités sont constatées, par le recouvrement des montants indûment payés et, le cas échéant, par des sanctions administratives et financières efficaces, proportionnées et dissuasives ;
h) de préparer une stratégie antifraude pour l'Agence et de la présenter au conseil d'administration pour approbation ;
i) de veiller à ce que l'Agence exerce ses activités conformément aux exigences de ceux qui font appel à ses services, notamment en termes d'adéquation des services rendus ;
j) d'établir et de maintenir le contact avec les institutions, organes et organismes de l'Union ;
k) d'établir et de maintenir le contact avec le secteur des entreprises et les organisations de consommateurs afin d'assurer un dialogue régulier avec les parties prenantes concernées ;
l) des autres tâches qui lui sont confiées par le présent règlement.
3. En tant que de besoin et dans le cadre des objectifs et des tâches de l'Agence, le directeur exécutif peut créer des groupes de travail ad hoc composés d'experts, y compris des experts des autorités compétentes des États membres. Le conseil d'administration en est préalablement informé. Les modalités concernant en particulier la composition des groupes de travail ad hoc, la nomination des experts par le directeur exécutif et le fonctionnement de ces groupes sont précisées dans les règles internes de fonctionnement de l'Agence.
4. Le directeur exécutif met du personnel administratif d'appui et d'autres ressources à la disposition du conseil d'administration et du conseil exécutif chaque fois que c'est nécessaire.
Article 12
Groupe permanent des parties prenantes
1. Le conseil d'administration crée, sur proposition du directeur exécutif, un groupe permanent des parties prenantes composé d'experts reconnus représentant les parties prenantes concernées, comme les entreprises du secteur des TIC, les fournisseurs de réseaux de communications électroniques ou de services accessibles au public, les organisations de consommateurs, les experts universitaires en matière de sécurité des réseaux et de l'information et les représentants des autorités réglementaires nationales notifiées au titre de la directive 2002/21/CE ainsi que les autorités chargées du respect de la loi et de la vie privée.
2. Les modalités relatives notamment au nombre de membres, à la composition du groupe permanent des parties prenantes, à la nomination des membres par le conseil d'administration, à la proposition du directeur exécutif et au fonctionnement du groupe sont précisées dans les règles internes de fonctionnement de l'Agence et sont rendues publiques.
3. Le groupe permanent des parties prenantes est présidé par le directeur exécutif ou par toute personne qu'il désigne à cet effet cas par cas.
4. La durée du mandat des membres du groupe permanent des parties prenantes est de deux ans et demi. Les membres du conseil d'administration ne peuvent pas être membres du groupe permanent des parties prenantes. Des experts de la Commission et des États membres sont autorisés à être présents aux réunions et à participer aux travaux du groupe permanent des parties prenantes. Des représentants d'autres organismes dont la présence est jugée utile par le directeur exécutif, qui ne sont pas membres du groupe permanent des parties prenantes, peuvent être invités à assister aux réunions du groupe permanent des parties prenantes et à prendre part à ses travaux.
5. Le groupe permanent des parties prenantes conseille l'Agence dans l'exercice de ses activités. Il conseille en particulier le directeur exécutif lors de l'élaboration d'une proposition de programme de travail pour l'Agence ainsi que pour la communication avec les parties prenantes concernées sur toutes les questions liées au programme de travail.
Section 3
Fonctionnement
Article 13
Programme de travail
1. L'Agence exécute ses tâches conformément au programme de travail annuel et pluriannuel qui contient l'ensemble de ses activités planifiées.
2. Le programme de travail comporte des indicateurs de performance adaptés qui permettent une évaluation efficace des résultats obtenus par rapport aux objectifs.
3. Le directeur exécutif est chargé d'établir le projet de programme de travail de l'Agence après consultation préalable des services de la Commission. Au plus tard le 15 mars de chaque année, le directeur exécutif soumet au conseil d'administration le projet de programme de travail pour l'année suivante.
4. Au plus tard le 30 novembre de chaque année, le conseil d'administration adopte le programme de travail de l'Agence pour l'année suivante, après avoir reçu l'avis de la Commission. Le programme de travail comprend un aperçu pluriannuel. Le conseil d'administration veille à assurer la cohérence du programme de travail avec les objectifs de l'Agence ainsi qu'avec les priorités législatives et politiques de l'Union en matière de sécurité des réseaux et de l'information.
5. Le programme de travail est structuré selon le principe de la gestion par activités. Il est conforme à l'état prévisionnel des recettes et des dépenses de l'Agence et au budget de l'Agence pour l'exercice correspondant.
6. Le directeur exécutif transmet le programme de travail, après adoption par le conseil d'administration, au Parlement européen, au Conseil, à la Commission et aux États membres et en assure la publication. À l'invitation de la commission compétente du Parlement européen, le directeur exécutif présente le programme de travail annuel adopté et procède à un échange de vues sur celui-ci.
Article 14
Demandes adressées à l'Agence
1. Les demandes de conseils et d'assistance qui entrent dans le cadre des objectifs et des tâches de l'Agence sont adressées au directeur exécutif et accompagnées d'informations générales expliquant la question devant être traitée. Le directeur exécutif informe le conseil d'administration et le conseil exécutif des demandes reçues, des incidences qui peuvent en découler sur le plan des ressources et, en temps utile, de la suite qui leur a été donnée. Si l'Agence rejette une demande, elle doit motiver son refus.
2. Les demandes visées au paragraphe 1 peuvent être introduites par :
a) le Parlement européen ;
b) le Conseil ;
c) la Commission ;
d) tout organisme compétent désigné par un État membre, tel qu'une autorité réglementaire nationale au sens de l'article 2 de la directive 2002/21/CE.
3. Les modalités pratiques d'application des paragraphes 1 et 2 en ce qui concerne notamment la présentation, la hiérarchisation et le suivi des demandes adressées à l'Agence ainsi que l'information du conseil d'administration et du conseil exécutif au sujet de ces demandes sont prévues par le conseil d'administration dans les règles internes de fonctionnement de l'Agence.
Article 15
Déclaration d'intérêt
1. Les membres du conseil d'administration, le directeur exécutif et les fonctionnaires détachés par les États membres à titre temporaire font chacun une déclaration d'engagements et une déclaration indiquant l'absence ou la présence de tout intérêt direct ou indirect qui pourrait être considéré comme préjudiciable à leur indépendance. Les déclarations sont exactes et complètes, faites par écrit sur une base annuelle et actualisées si nécessaire.
2. Les membres du conseil d'administration, le directeur exécutif et les experts externes participant aux groupes de travail ad hoc déclarent chacun de manière exacte et complète, au plus tard au début de chaque réunion, les intérêts qui pourraient être considérés comme préjudiciables à leur indépendance eu égard aux points inscrits à l'ordre du jour, et s'abstiennent de prendre part aux discussions et de voter sur ces points.
3. L'Agence fixe, dans ses règles internes de fonctionnement, les modalités pratiques concernant les règles relatives aux déclarations d'intérêt visées aux paragraphes 1 et 2.
Article 16
Transparence
1. L'Agence veille à exercer ses activités avec un niveau élevé de transparence et conformément aux dispositions des articles 17 et 18.
2. L'Agence veille à ce que le public et toute partie intéressée reçoivent une information appropriée, objective, fiable et facilement accessible, notamment en ce qui concerne le résultat de ses travaux. Elle rend également publiques les déclarations d'intérêt faites conformément à l'article 15.
3. Le conseil d'administration peut, sur proposition du directeur exécutif, autoriser des parties intéressées à participer en tant qu'observateurs à certaines activités de l'Agence.
4. L'Agence fixe, dans ses règles internes de fonctionnement, les modalités pratiques d'application des règles de transparence visées aux paragraphes 1 et 2.
Article 17
Confidentialité
1. Sans préjudice de l'article 18, l'Agence ne divulgue pas à des tiers les informations qu'elle traite ou qu'elle reçoit et pour lesquelles une demande motivée de traitement confidentiel, en tout ou en partie, a été faite.
2. Les membres du conseil d'administration, le directeur exécutif, les membres du groupe permanent des parties prenantes, les experts externes participant aux groupes de travail ad hoc et les membres du personnel de l'Agence, y compris les fonctionnaires détachés par les États membres à titre temporaire, respectent l'obligation de confidentialité visée à l'article 339 du traité sur le fonctionnement de l'Union européenne, même après la cessation de leurs fonctions.
3. L'Agence fixe, dans ses règles internes de fonctionnement, les modalités pratiques d'application des règles de confidentialité visées aux paragraphes 1 et 2.
4. Si l'exécution des tâches de l'Agence l'exige, le conseil d'administration décide d'autoriser l'Agence à traiter des informations classifiées. Dans ce cas, le conseil d'administration, en accord avec les services de la Commission, adopte des règles internes de fonctionnement respectant les principes de sécurité énoncés dans la décision 2001/844/CE, CECA, Euratom de la Commission du 29 novembre 2001 modifiant son règlement intérieur (19). Ces règles couvrent, entre autres, les dispositions relatives à l'échange, au traitement et à l'archivage des informations classifiées.
Article 18
Accès aux documents
1. Le règlement (CE) n° 1049/2001 s'applique aux documents détenus par l'Agence.
2. Le conseil d'administration adopte des dispositions pour la mise en uvre du règlement (CE) n° 1049/2001 dans les six mois suivant la création de l'Agence.
3. Les décisions prises par l'Agence en application de l'article 8 du règlement (CE) n° 1049/2001 peuvent faire l'objet d'une plainte auprès du Médiateur au titre de l'article 228 du traité sur le fonctionnement de l'Union européenne ou d'un recours devant la Cour de justice de l'Union européenne au titre de l'article 263 du traité sur le fonctionnement de l'Union européenne.
Section 4
Dispositions financières
Article 19
Adoption du budget
1. Les recettes de l'Agence se composent d'une contribution provenant du budget de l'Union, de contributions apportées par les pays tiers participant aux travaux de l'Agence conformément à l'article 30, et de contributions volontaires des États membres, en espèces ou en nature. Les États membres qui apportent une contribution volontaire ne peuvent prétendre à aucun droit ou service spécifique du fait de celle-ci.
2. Les dépenses de l'Agence comprennent la rémunération du personnel, l'assistance administrative et technique, les dépenses d'infrastructure et de fonctionnement et les dépenses résultant de contrats passés avec des tiers.
3. Au plus tard le 1er mars de chaque année, le directeur exécutif établit un projet d'état prévisionnel des recettes et des dépenses de l'Agence pour l'exercice budgétaire suivant et le transmet au conseil d'administration avec un projet de tableau des effectifs.
4. Les recettes et les dépenses sont équilibrées.
5. Le conseil d'administration établit chaque année, sur la base du projet d'état prévisionnel des recettes et des dépenses élaboré par le directeur exécutif, un état prévisionnel des recettes et des dépenses de l'Agence pour l'exercice budgétaire suivant.
6. Le conseil d'administration transmet, au plus tard le 31 mars de chaque année, cet état prévisionnel comprenant le projet de tableau des effectifs ainsi que le projet de programme de travail, à la Commission et aux pays tiers avec lesquels l'Union européenne a conclu des accords conformément à l'article 30.
7. L'état prévisionnel est transmis par la Commission au Parlement européen et au Conseil, avec le projet de budget général de l'Union.
8. Sur la base de cet état prévisionnel, la Commission inscrit dans le projet de budget général de l'Union les prévisions qu'elle estime nécessaires en ce qui concerne le tableau des effectifs et le montant de la subvention à la charge du budget général et le soumet au Parlement européen et au Conseil conformément à l'article 314 du traité sur le fonctionnement de l'Union européenne.
9. Le Parlement européen et le Conseil autorisent les crédits au titre de la subvention destinée à l'Agence.
10. Le Parlement européen et le Conseil adoptent le tableau des effectifs de l'Agence.
11. Le conseil d'administration adopte le budget de l'Agence en même temps que le programme de travail. Ce budget devient définitif après l'adoption définitive du budget général de l'Union. Le cas échéant, le conseil d'administration ajuste le budget de l'Agence et le programme de travail conformément au budget général de l'Union. Le conseil d'administration transmet le budget sans tarder au Parlement européen, au Conseil et à la Commission.
Article 20
Lutte contre la fraude
1. Afin de faciliter la lutte contre la fraude, la corruption et d'autres activités illégales au titre du règlement (CE) n° 1073/1999 (20), l'Agence, dans un délai de six mois à compter de son entrée en fonction, adhère à l'accord interinstitutionnel du 25 mai 1999 relatif aux enquêtes internes effectuées par l'Office européen de lutte antifraude (OLAF) (21) et adopte les dispositions appropriées applicables à tout le personnel de l'Agence, en utilisant le modèle figurant à l'annexe dudit accord.
2. La Cour des comptes dispose d'un pouvoir d'audit, sur pièces et sur place, à l'égard de tous les bénéficiaires de subventions, contractants et sous-traitants qui ont reçu des fonds de l'Union en provenance de l'Agence.
3. L'OLAF peut effectuer des enquêtes, y compris des contrôles et vérifications sur place, selon les dispositions et modalités prévues par le règlement (CE) n° 1073/1999 et le règlement (Euratom, CE) n° 2185/96 du Conseil du 11 novembre 1996 relatif aux contrôles et vérifications sur place effectués par la Commission pour la protection des intérêts financiers des Communautés européennes contre les fraudes et autres irrégularités (22), en vue d'établir l'existence éventuelle d'une fraude, d'un acte de corruption ou de toute autre activité illégale portant atteinte aux intérêts financiers de l'Union, dans le cadre d'une subvention ou d'un contrat financés par l'Agence.
4. Sans préjudice des paragraphes 1, 2 et 3, les accords de coopération conclus avec des pays tiers et des organisations internationales, les contrats, les conventions de subvention et les décisions de subvention de l'Agence contiennent des dispositions habilitant expressément la Cour des comptes et l'OLAF à procéder à ces audits et ces enquêtes, conformément à leurs compétences respectives.
Article 21
Exécution du budget
1. Le directeur exécutif est responsable de l'exécution du budget de l'Agence.
2. L'auditeur interne de la Commission exerce à l'égard de l'Agence les mêmes compétences que celles qui lui sont attribuées à l'égard des services de la Commission.
3. Au plus tard le 1er mars suivant l'achèvement de l'exercice (1er mars de l'année N + 1), le comptable de l'Agence transmet les comptes provisoires, accompagnés d'un rapport sur la gestion budgétaire et financière durant l'exercice, au comptable de la Commission. Le comptable de la Commission procède à la consolidation des comptes provisoires des institutions et des organismes décentralisés conformément à l'article 147 du règlement financier.
4. Au plus tard le 31 mars de l'année N + 1, le comptable de la Commission transmet les comptes provisoires de l'Agence, accompagnés d'un rapport sur la gestion budgétaire et financière durant l'exercice, à la Cour des comptes. Le rapport sur la gestion budgétaire et financière durant l'exercice est également transmis au Parlement européen et au Conseil.
5. À la réception des observations formulées par la Cour des comptes sur les comptes provisoires de l'Agence, en vertu de l'article 148 du règlement financier, le directeur exécutif établit les comptes définitifs de l'Agence sous sa propre responsabilité et les transmet pour avis au conseil d'administration.
6. Le conseil d'administration émet un avis sur les comptes définitifs de l'Agence.
7. Au plus tard le 1er juillet de l'année N + 1, le directeur exécutif transmet les comptes définitifs, y compris le rapport sur la gestion budgétaire et financière concernant l'exercice et les observations de la Cour des comptes, accompagnés de l'avis du conseil d'administration, au Parlement européen, au Conseil, à la Commission et à la Cour des comptes.
8. Le directeur exécutif publie les comptes définitifs.
9. Le directeur exécutif adresse à la Cour des comptes une réponse aux observations de celle-ci le 30 septembre de l'année N + 1 au plus tard et adresse également une copie de cette réponse au conseil d'administration.
10. Le directeur exécutif soumet au Parlement européen, à la demande de celui-ci, comme prévu à l'article 165, paragraphe 3, du règlement financier, toute information nécessaire au bon déroulement de la procédure de décharge pour l'exercice budgétaire en question.
11. Le Parlement européen, statuant sur recommandation du Conseil, donne avant le 15 mai de l'année N + 2, décharge au directeur exécutif sur l'exécution du budget de l'exercice N.
Section 5
Personnel
Article 22
Dispositions générales
Le statut et le régime applicable aux autres agents, ainsi que les réglementations arrêtées d'un commun accord des institutions de l'Union visant à exécuter le statut, s'appliquent au personnel de l'Agence.
Article 23
Privilèges et immunités
Le protocole n° 7 sur les privilèges et immunités de l'Union européenne annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne s'applique à l'Agence ainsi qu'à son personnel.
Article 24
Directeur exécutif
1. Le directeur exécutif est engagé en tant qu'agent temporaire de l'Agence conformément à l'article 2, point a), du régime applicable aux autres agents.
2. Le directeur exécutif est nommé par le conseil d'administration sur la base d'une liste de candidats proposés par la Commission, à la suite d'une procédure de sélection ouverte et transparente.
Aux fins de la conclusion du contrat du directeur exécutif, l'Agence est représentée par le président du conseil d'administration.
Avant d'être nommé, le candidat retenu par le conseil d'administration est invité à faire une déclaration devant la commission concernée du Parlement européen et à répondre aux questions des députés.
3. Le mandat du directeur exécutif est de cinq ans. Avant la fin de cette période, la Commission procède à une évaluation qui tient compte de l'évaluation du travail accompli par le directeur exécutif et des tâches et défis futurs de l'Agence.
4. Le conseil d'administration, statuant sur proposition de la Commission tenant compte de l'évaluation visée au paragraphe 3 et après avoir recueilli l'avis du Parlement européen, peut prolonger une fois le mandat du directeur exécutif, pour une durée n'excédant pas cinq ans.
5. Le conseil d'administration informe le Parlement européen de son intention de prolonger le mandat du directeur exécutif. Dans les trois mois précédant cette prolongation, le directeur exécutif fait, s'il y est invité, une déclaration devant la commission concernée du Parlement européen et répond aux questions des députés.
6. Un directeur exécutif dont le mandat a été prolongé ne peut pas participer à une nouvelle procédure de sélection pour le même poste.
7. Le directeur exécutif ne peut être démis de ses fonctions que sur décision du conseil d'administration.
Article 25
Experts nationaux détachés et autre personnel
1. L'Agence peut avoir recours à des experts nationaux détachés ou à d'autres personnes qu'elle n'emploie pas. Le statut et le régime applicable aux autres agents ne s'appliquent pas à ces personnes.
2. Le conseil d'administration adopte une décision établissant le régime applicable aux experts nationaux détachés auprès de l'Agence.
Section 6
Dispositions générales
Article 26
Statut juridique
1. L'Agence est un organisme de l'Union. Elle a la personnalité juridique.
2. Dans chaque État membre, l'Agence jouit de la capacité juridique la plus étendue accordée aux personnes morales en droit national. Elle peut notamment acquérir et aliéner des biens immobiliers et mobiliers et ester en justice.
3. L'Agence est représentée par son directeur exécutif.
4. Une antenne établie dans la zone métropolitaine d'Athènes est maintenue afin d'améliorer l'efficacité opérationnelle de l'Agence.
Article 27
Responsabilité
1. La responsabilité contractuelle de l'Agence est régie par la législation applicable au contrat en question.
La Cour de justice de l'Union européenne est compétente pour statuer en vertu de toute clause compromissoire contenue dans un contrat conclu par l'Agence.
2. En cas de responsabilité non contractuelle, l'Agence, conformément aux principes généraux communs aux droits des États membres, répare tout dommage causé par ses services ou par ses agents dans l'exercice de leurs fonctions.
La Cour de justice de l'Union européenne est compétente pour tout litige relatif à la réparation de tels dommages.
3. La responsabilité personnelle à l'égard de l'Agence de ses propres agents est régie par les dispositions pertinentes applicables au personnel de l'Agence.
Article 28
Régime linguistique
1. Le règlement n° 1 du 15 avril 1958 portant fixation du régime linguistique de la Communauté économique européenne (23) s'applique à l'Agence. Les États membres et les autres organismes désignés par ceux-ci peuvent s'adresser à l'Agence et en recevoir une réponse dans la langue officielle des institutions de l'Union de leur choix.
2. Les services de traduction nécessaires au fonctionnement de l'Agence sont effectués par le Centre de traduction des organes de l'Union européenne.
Article 29
Protection des données à caractère personnel
1. Lorsque l'Agence traite des données relatives aux individus, notamment lors de l'exécution de ses tâches, elle respecte les principes de la protection des données à caractère personnel figurant dans les dispositions du règlement (CE) n° 45/2001 et y est soumise.
2. Le conseil d'administration adopte les dispositions d'application visées à l'article 24, paragraphe 8, du règlement (CE) n° 45/2001. Le conseil d'administration peut adopter des mesures supplémentaires nécessaires pour l'application du règlement (CE) n° 45/2001 par l'Agence.
Article 30
Participation de pays tiers
1. L'Agence est ouverte à la participation de pays tiers qui ont conclu avec l'Union européenne des accords en vertu desquels ils ont adopté et appliquent les actes juridiques de l'Union dans le domaine couvert par le présent règlement.
2. Conformément aux dispositions pertinentes de ces accords, des arrangements sont élaborés pour préciser notamment la nature, l'étendue et les modalités de la participation de ces pays aux travaux de l'Agence. Ces arrangements comprennent notamment des dispositions relatives à la participation aux initiatives prises par l'Agence, aux contributions financières et au personnel.
Article 31
Règles de sécurité en matière de protection des informations classifiées
L'Agence applique les principes de sécurité énoncés dans les règles de sécurité de la Commission visant à protéger les informations classifiées de l'Union européenne et les informations sensibles non classifiées, énoncées dans l'annexe de la décision 2001/844/CE, CECA, Euratom. Ces principes couvrent, entre autres, les dispositions relatives à l'échange, au traitement et au stockage de telles informations.
Section 7
Dispositions finales
Article 32
Évaluation et révision
1. Au plus tard le 20 juin 2018, la Commission commande une évaluation portant, en particulier, sur l'impact, l'efficacité et l'efficience de l'action de l'Agence et de ses pratiques professionnelles. Cette évaluation examine également la nécessité éventuelle de modifier le mandat de l'Agence, ainsi que les conséquences financières d'une telle modification.
2. L'évaluation visée au paragraphe 1 tient compte de toute information communiquée en retour à l'Agence en réponse à ses activités.
3. La Commission transmet le rapport d'évaluation, accompagné de ses conclusions, au Parlement européen, au Conseil et au conseil d'administration. Les conclusions de l'évaluation sont rendues publiques.
4. Dans le cadre de l'évaluation, les résultats obtenus par l'Agence par rapport à ses objectifs, son mandat et ses tâches sont également examinés. Si la Commission estime que le maintien de l'Agence est justifié au regard des objectifs, du mandat et des tâches qui lui ont été assignés, elle peut proposer le prolongement de la durée du mandat de l'Agence énoncée à l'article 36.
Article 33
Coopération de l'État membre d'accueil
L'État membre d'accueil de l'Agence offre les meilleures conditions possibles pour assurer le bon fonctionnement de l'Agence, notamment l'accessibilité de l'emplacement, l'existence de services d'éducation appropriés pour les enfants des membres du personnel et un accès adéquat au marché du travail, à la sécurité sociale et aux soins médicaux pour les enfants et les conjoints.
Article 34
Contrôle administratif
Les activités de l'Agence sont soumises au contrôle du Médiateur, conformément à l'article 228 du traité sur le fonctionnement de l'Union européenne.
Article 35
Abrogation et succession
1. Le règlement (CE) n° 460/2004 est abrogé.
Les références au règlement (CE) n° 460/2004 et à l'ENISA s'entendent comme faites au présent règlement et à l'Agence.
2. L'Agence succède à l'Agence qui a été instituée par le règlement (CE) n° 460/2004 en ce qui concerne tous les droits de propriété, accords, obligations légales, contrats de travail, engagements financiers et responsabilités.
Article 36
Durée
L'Agence est instituée pour une période de sept ans à compter du 19 juin 2013.
Article 37
Entrée en vigueur
Le présent règlement entre en vigueur le jour suivant celui de sa publication au Journal officiel de l'Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Strasbourg, le 21 mai 2013.
Par le Parlement européen :
Le président, M. SCHULZ
Par le Conseil :
La présidente, L. CREIGHTON
(1) JO C 107 du 6.4.2011, p. 58.
(2) Position du Parlement européen du 16 avril 2013 (non encore paru au Journal officiel) et décision du Conseil du 13 mai 2013.
(3) Décision 2004/97/CE, Euratom prise d'un commun accord par les représentants des États membres réunis au niveau des chefs d'État ou de gouvernement du 13 décembre 2003 relative à la fixation des sièges de certains organismes de l'Union européenne (JO L 29 du 3.2.2004, p. 15).
(4) Règlement (CE) n° 460/2004 du Parlement européen et du Conseil du 10 mars 2004 instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information (JO L 77 du 13.3.2004, p. 1).
(5) Règlement (CE) n° 1007/2008 du Parlement européen et du Conseil du 24 septembre 2008 modifiant le règlement (CE) n° 460/2004 instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information en ce qui concerne sa durée (JO L 293 du 31.10.2008, p. 1).
(6) Règlement (UE) n° 580/2011 du Parlement européen et du Conseil du 8 juin 2011 modifiant le règlement (CE) n° 460/2004 instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information en ce qui concerne sa durée (JO L 165 du 24.6.2011, p. 3).
(7) JO L 108 du 24.4.2002, p. 33.
(8) JO L 201 du 31.7.2002, p. 37.
(9) JO L 281 du 23.11.1995, p. 31.
(10) JO L 108 du 24.4.2002, p. 51.
glement (CE) n° 1211/2009 du Parlement européen et du Conseil du 25 novembre 2009 instituant l'Organe des régulateurs européens des communications électroniques (ORECE) ainsi que l'Office (JO L 337 du 18.12.2009, p. 1).
(12) Directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information (JO L 204 du 21.7.1998, p. 37).
(13) Règlement (UE, Euratom) n° 966/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif aux règles financières applicables au budget général de l'Union et abrogeant le règlement (CE, Euratom) n° 1605/2002 du Conseil (JO L 298 du 26.10.2012, p. 1).
(14) Règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).
(15) JO L 8 du 12.1.2001, p. 1.
(16) JO C 101 du 1.4.2011, p. 20.
(17) JO L 56 du 4.3.1968, p. 1.
(18) JO L 357 du 31.12.2002, p. 72.
(19) JO L 317 du 3.12.2001, p. 1.
(20) Règlement (CE) n° 1073/1999 du Parlement européen et du Conseil du 25 mai 1999 concernant les enquêtes effectuées par l'Office européen de lutte antifraude (OLAF) (JO L 136 du 31.5.1999, p. 1).
(21) Accord interinstitutionnel du 25 mai 1999 entre le Parlement européen, le Conseil de l'Union européenne et la Commission des Communautés européennes relatif aux enquêtes internes effectuées par l'Office européen de lutte antifraude (OLAF) (JO L 136 du 31.5.1999, p. 15).
(22) JO L 292 du 15.11.1996, p. 2.
(23) JO 17 du 6.10.1958, p. 385/58.