Регламент Європейського Парламенту і Ради (ЄС) 2019/881 від 17 квітня 2019 року про Агентство Європейського Союзу з питань мережевої та інформаційної безпеки (ENISA) та про сертифікацію кібербезпеки інформаційно-комунікаційних технологій, а також про скасування Регламенту (ЄС) № 526/2013 (Акт про кібербезпеку)

ENISA:

(a) підвищує рівень обізнаності громадськості про ризики, пов’язані з кібербезпекою, та дає настанови щодо належних практик для окремих користувачів, орієнтовані на громадян, організації та підприємства, у тому числі стосовно кібергігієни та кіберграмотності;

(b) у співпраці з державами-членами, установами, органами, офісами та агентствами Союзу й галузевими структурами регулярно організовує кампанії з підвищення обізнаності для покращення рівня кібербезпеки та всебічного висвітлення цього питання в Союзі, а також заохочує широке громадське обговорення;

(c) надає допомогу державам-членам у підвищенні рівня обізнаності щодо кібербезпеки та сприяє освіті в галузі кібербезпеки;

(d) підтримує тісну координацію та обмін найкращими практиками з питань обізнаності щодо кібербезпеки та освіти серед держав-членів.

Стосовно досліджень та інновацій ENISA:

(a) консультує установи, органи, офіси та агентства Союзу та держави-члени щодо потреб і пріоритетів досліджень у сфері, що дозаолить ефективно реагувати на поточні та нові ризики й кіберзагрози, у тому числі з урахуванням нових та новітніх інформаційно-комунікаційних технологій, та з метою ефективного застосування технологій запобігання ризикам;

(b) бере участь в імплементації програм фінансування досліджень та інновацій або як бенефіціар, якщо Комісія надала йому відповідні повноваження;

(c) сприяє проведенню стратегічних досліджень та реалізації інноваційних програм на рівні Союзу в сфері кібербезпеки.

ENISA допомагає в зусиллях Союзу щодо співпраці з третіми країнами та міжнародними організаціями, а також у рамках відповідної міжнародної співпраці, щоб посприяти співпраці в питаннях, пов’язаних із кібербезпекою, шляхом:

(a) участі у відповідних випадках у ролі спостерігача в організації, що проводить міжнародні навчання, та підготовки аналізу і надання звітів про результати таких навчань Правлінню;

(b) сприяння обміну найкращими практиками на запит Комісії;

(c) надання експертних знань на запит Комісії:

(d) консультування та підтримання Комісії в питаннях, що стосуються угод про взаємне визнання сертифікатів про рівень кібербезпеки з третіми країнами, у співпраці з ECCG, створеною відповідно до статті 62.

До адміністративно-управлінської структури ENISA належать:

(a) Правління;

(b) Виконавча рада;

(c) виконавчий директор;

(d) Консультативна група ENISA;

(e) Мережа національних зв’язкових офіцерів.

1. До складу Правління входять по одному члену, призначеному кожною державою-членом, та два члени, призначені Комісією. Усі члени мають право голосу.

2. Кожен член Правління має свого заступника. Такий заступник представляє члена в разі його або її відсутності.

3. Членів Правління та їхніх заступників призначають на основі їхніх знань у сфері кібербезпеки з урахуванням їхніх відповідних управлінських, адміністративних та бюджетних навичок. Комісія та держави-члени докладають зусиль для забезпечення того, щоб їхні представники у Правлінні змінювалися якомога рідше, для забезпечення безперервності роботи Правління. Комісія та держави-члени прагнуть досягти гендерного балансу в Правлінні.

4. Строк дії повноважень членів Правління та їхніх заступників становить чотири роки. Такий строк є поновлюваним.

1. Правління:

(a) встановлює основний напрям діяльності ENISA та забезпечує діяльність ENISA відповідно до правил та принципів, встановлених у цьому Регламенті; також забезпечує узгодження роботи ENISA та діяльності держав-членів, у тому числі й на рівні Союзу;

(b) ухвалює проєкт єдиного програмного документа ENISA, зазначеного у статті 24, перед поданням його на розгляд Комісії для отримання висновку;

(c) ухвалює єдиний програмний документ ENISA з урахуванням висновку Комісії;

(d) здійснює контроль за імплементацією багаторічних та річних програм, включених до єдиного програмного документа;

(e) ухвалює річний бюджет ENISA та виконує інші функції стосовно бюджету ENISA відповідно до глави IV;

(f) оцінює та ухвалює зведений річний звіт про діяльність ENISA, який містить фінансову звітність та опис того, як ENISA досягнуло своїх показників ефективності, подає річний звіт та його оцінку Європейському Парламенту, Раді, Комісії та Рахунковій палаті до 1 липня поточного року та оприлюднює річний звіт;

(g) ухвалює фінансові правила, які застосовують до ENISA відповідно до статті 32;

(h) ухвалює стратегію боротьби з шахрайством, пропорційну ризикам шахрайства, беручи до уваги аналіз витрат і вигід від заходів, які підлягають імплементації;

(i) увалює правила щодо запобігання та управління конфліктами інтересів між своїми членами;

(j) забезпечує належні подальші заходи на основі висновків та рекомендацій, отриманих у результаті розслідувань Європейського бюро боротьби із шахрайством (OLAF), а також із різних звітів про проведення внутрішнього або зовнішнього аудиту та оцінок;

(k) ухвалює свій внутрішній регламент, включно з правилами ухвалення попередніх рішень стосовно делегування специфічних завдань відповідно до статті 19(7);

(l) стосовно питань, пов'язаних із персоналом ENISA, виконує повноваження, які відповідно до Положення про персонал ("Положення про персонал") та Умов працевлаштування інших службовців Європейського Союзу ("Умови працевлаштування інших службовців"), встановлених у Регламенті Ради (ЄЕС, Євратом, ЄСВС) № 259/68 (- 24) покладено на орган, уповноважений призначати персонал, та на орган, уповноважений укладати трудові договори, ("повноваження органу, що уповноважений призначати персонал"), відповідно до параграфа 2 цієї статті;

(m) ухвалює правила імплементації Положень про персонал та Умов працевлаштування інших службовців відповідно до процедури, встановленої в статті 110 Положення про персонал;

(n) призначає виконавчого директора та, у відповідних випадках, подовжує строк його повноважень або звільняє його або її з посади відповідно до статті 36;

(o) призначає бухгалтера, який може бути бухгалтером Комісії та який є повністю незалежним у виконанні своїх обов’язків;

(p) ухвалює всі рішення щодо створення внутрішніх структур ENISA та, за необхідності, щодо зміни таких структур, беручи до уваги потреби діяльності ENISA та враховуючи розсудливе управління бюджетом;

(q) дає дозвіл на створення робочих механізмів відповідно до статті 7;

(r) дає дозвіл на створення та укладання робочих угод відповідно до статті 42.

2. Відповідно до статті 110 Положення про персонал Правління ухвалює рішення на основі статті 2(1) Положення про персонал та статті 6 Умов працевлаштування інших службовців із делегуванням відповідних повноважень органу, уповноваженому призначати персонал, виконавчому директорові та з визначенням умов, за яких таке делегування повноважень може бути призупинено. Виконавчий директор може субделегувати такі повноваження.

3. Якщо цього вимагають виняткові обставини. Правління може ухвалювати рішення призупинити делегування повноважень органу, уповноваженого призначати персонал, виконавчому директору, а також повноважень органу, уповноваженого призначати персонал, субделегованих виконавчим директором, та натомість виконувати їх самостійно або делегувати їх одному зі своїх членів або члену персоналу, іншому ніж виконавчий директор.

Правління обирає голову та заступника голови серед своїх членів більшістю у дві третини голосів членів. Строк перебування на посаді становить чотири роки і є поновлюваним один раз. Однак якщо їхнє членство у Правлінні закінчується у будь-який час протягом строку перебування на посаді, строк їх перебування на посаді закінчується автоматично у такий день. Заступник голови замінює на посаді голову ex officio, якщо голова не здатний виконувати свої обов’язки.

1. Засідання Правління скликає його голова.

2. Правління проводить щонайменше два чергові засідання на рік. Правління також проводить позачергові засідання на запит голови, на запит Комісії або на запит принаймні однієї третини його членів.

3. Виконавчий директор бере участь у засіданнях Правління, але без права голосу.

4. Члени Консультативної групи ENISA можуть брати участь у засіданнях Правління на запрошення голови, проте без права голосу.

5. Члени Правління та їхні заступники можуть отримувати допомогу консультантів або експертів під час засідань Правління відповідно до внутрішнього регламенту Правління.

6. ENISA створює секретаріат Правління.

1. Правління ухвалює рішення більшістю голосів своїх членів.

2. Більшість у дві третини голосів членів Правління вимагається для ухвалення єдиного програмного документа та річного бюджету, а також для призначення на посаду, подовження строку перебування на посаді або звільнення з посади виконавчого директора.

3. Кожний член має один голос. У разі відсутності одного з членів, його заступник уповноважений користуватися правом голосу такого члена.

4. Голова Правління бере участь у голосуванні.

5. Виконавчий директор не бере участі в голосуванні.

6. Внутрішній регламент Правління встановлює більш детальні процедури голосування, зокрема обставини, за яких певний член може діяти від імені іншого члена.

1. Виконавча рада надає допомогу Правлінню.

2. Виконавча рада:

(a) готує рішення, які ухвалює Правління;

(b) разом із Правлінням забезпечує належні подальші заходи на основі висновків та рекомендацій, отриманих у результаті розслідувань OLAF, а також з різних звітів про проведення внутрішнього або зовнішнього аудиту та оцінок;

(c) без обмеження обов’язків виконавчого директора, визначених у статті 20, надає допомогу та консультації виконавчому директору стосовно імплементації рішень Правління з адміністративних та бюджетних питань відповідно до статті 20.

3. До складу Виконавчої ради входять п’ять членів. Членів Виконавчої ради призначають з числа членів Правління. Одним із членів повинен бути голова Правління, який також може виконувати роль голови Виконавчої ради, та ще одним членом повинен бути один із представників Комісії. Під час призначення членів Виконавчої ради необхідно дотримуватися принципів забезпечення гендерного балансу у Виконавчій раді. Виконавчий директор бере участь у засіданнях Виконавчої ради, але без права голосу.

4. Строк дії повноважень членів Виконавчої ради становить чотири роки. Такий строк є поновлюваним.

5. Виконавча рада проводить засідання принаймні раз на три місяці. Голова Виконавчої ради скликає додаткові засідання на запит її членів.

6. Правління визначає внутрішній регламент Виконавчої ради.

7. За необхідності в надзвичайних ситуаціях Виконавча рада може ухвалювати певні попередні рішення від імені Правління, зокрема з адміністративно-управлінських питань, включаючи призупинення делегування повноважень органу, уповноваженого призначати персонал, та бюджетні питання. Правління повинне без невиправданої затримки отримувати повідомлення про будь-які такі тимчасові рішення. Правління потім вирішує, схвалити чи відхилити тимчасове рішення, не пізніше ніж через три місяці після ухвалення рішення. Виконавча рада не ухвалює рішень від імені Правління, які вимагають схвалення більшістю у дві третіх голосів членів Правління.

1. Агентством ENISA керує його виконавчий директор, який є незалежним у виконанні своїх обов’язків. Виконавчий директор є підзвітним перед Правлінням.

2. Виконавчий директор на запрошення звітує перед Європейським Парламентом про виконання своїх обов’язків. Рада може вимагати від виконавчого директора звітування про виконання його або її завдань.

3. Виконавчий директор відповідає за:

(a) щоденне управління ENISA;

(b) виконання рішень, ухвалених Правлінням;

(c) підготовку проєкту єдиного програмного документа і подання його Правлінню для схвалення перед поданням його Комісії;

(d) виконання єдиного програмного документа та звітування перед Правлінням про його виконання;

(e) підготовку зведеного річного звіту про діяльність ENISA, включно з виконанням річної робочої програми ENISA, та його подання Правлінню для оцінювання та затвердження;

(f) підготовку плану дій за результатами висновків ретроспективного оцінювання та звітування перед Комісією про прогрес двічі на рік;

(g) підготовку плану дій за результатами висновків звітів про проведення внутрішнього або зовнішнього аудиту, а також розслідувань OLAF, та звітування про прогрес двічі на рік перед Комісією та регулярно перед Правлінням;

(h) підготовку проєкту фінансових правил, застосовних до ENISA, як зазначено в статті 32;

(i) підготовку проєкту кошторису доходів і витрат ENISA та за виконання його бюджету;

(j) захист фінансових інтересів Союзу шляхом застосування запобіжних заходів проти шахрайства, корупції та будь-яких інших незаконних дій шляхом проведення дієвих перевірок та, у разі виявлення порушень, стягнення неправильно сплачених сум і, у відповідних випадках, накладення дієвих, пропорційних і стримувальних адміністративних і фінансових санкцій;

(k) підготовку стратегії боротьби з шахрайством для ENISA і представлення її Правлінню для затвердження;

(l) встановлення та підтримання контакту з бізнес-спільнотами та споживчими організаціями для забезпечення регулярного діалогу з відповідними стейкхолдерами;

(m) регулярний обмін ідеями та інформацією з установами, органами, офісами та агентствами Союзу щодо їхньої діяльності з питань кібербезпеки для забезпечення узгодженості в розробленні та імплементації політики Союзу;

(n) виконання інших завдань, покладених на виконавчого директора цим Регламентом.

4. У разі необхідності та в рамках цілей та завдань ENISA виконавчий директор може створювати спеціалізовані експертні робочі групи, включно із залученням експертів з компетентних органів держав-членів. Виконавчий директор заздалегідь інформує про них Правління. Процедури, зокрема щодо формування складу робочих груп, призначення експертів робочих груп виконавчим директором та діяльності робочих груп, повинні бути визначені у внутрішньому регламенті ENISA.

5. У разі необхідності, для ефективного та дієвого виконання завдань ENISA та на основі відповідного аналізу витрат і вигід виконавчий директор може ухвалити рішення про створення одного чи більше місцевих офісів в одній чи більше державах-членах. Перед ухваленням рішення про створення місцевого офісу виконавчий директор звертається за висновком до відповідних держав-членів, у тому числі до держави-члена, у якій розташований офіс ENISA, та отримує попередню згоду Комісії та Правління. У разі незгоди, що виникає в процесі консультування виконавчого директора та відповідних держав-членів, це питання виносять на розгляд Ради. Сукупна чисельність персоналу в усіх місцевих офісах повинна зводитися до мінімуму та не повинна перевищувати 40 % від загальної чисельності персоналу ENISA в державі-члені, де розташований офіс ENISA. Сукупна чисельність персоналу в кожному місцевому офісі не повинна перевищувати 10 % від загальної чисельності персоналу ENISA в державі-члені, де розташований офіс ENISA.

У рішенні про створення місцевого офісу зазначають обсяг діяльності, яку місцевий офіс повинен здійснювати таким чином, щоб уникати непотрібних витрат і дублювання адміністративних функцій ENISA.

1. Діючи за пропозицією виконавчого директора, Правління у прозорий спосіб створює Консультативну групу ENISA, до складу якої входять визнані експерти, які представляють відповідних стейкхолдерів, таких як сфера ІКТ, надавачі електронних комунікаційних мереж або послуг, доступних громадськості, малі та середні підприємства, оператори основних послуг, групи споживачів, наукові експерти у сфері кібербезпеки та представники компетентних органів, повідомлені відповідно до Директиви (ЄС) 2018/1972 , європейські організації зі стандартизації, а також правоохоронні органи та наглядові органи з питань захисту даних. Правління повинне прагнути до забезпечення належного гендерного та географічного балансу, а також балансу між різними групами стейкхолдерів.

2. Процедури для Консультативної групи ENISA, зокрема ті, що стосуються її складу, пропозицій виконавчого директора, зазначених у параграфі 1, кількості та призначення її членів та діяльності Консультативної групи ENISA, повинні бути визначені у внутрішньому регламенті ENISA та оприлюднені.

3. Консультативну групу ENISA очолює виконавчий директор або будь-яка особа, призначена виконавчим директором залежно від випадку.

4. Строк дії повноважень членів Консультативної групи ENISA становить два з половиною роки. Члени Правління не можуть бути членами Консультативної групи ENISA. Експерти з Комісії та держав-членів мають право бути присутніми на засіданнях Консультативної групи ENISA та брати участь у її роботі. Представників інших органів, які не є членами Консультативної групи ENISA, можуть запрошувати відвідувати засідання Консультативної групи ENISA та брати участь у її роботі, якщо виконавчий директор вважає таку участь доцільною.

5. Консультативна група ENISA надає консультації ENISA в питаннях, що стосуються виконання завдань ENISA, крім застосування положень розділу III цього Регламенту. Зокрема вона надає виконавчому директору консультації з питань підготовки пропозиції стосовно річної програми роботи ENISA та з питань забезпечення комунікації з відповідними стейкхолдерами щодо питань, пов’язаних із річною робочою програмою.

6. Консультативна група ENISA регулярно інформує Правління про свою діяльність.

1. Повинна бути створена Група стейкхолдерів з питань сертифікації кібербезпеки.

2. До складу Групи стейкхолдерів з питань сертифікації кібербезпеки повинні входити члени, обрані серед визнаних експертів, які представляють відповідних стейкхолдерів. Шляхом прозорого та відкритого конкурсу Комісія обирає, за пропозицією ENISA, членів Групи стейкхолдерів з питань сертифікації кібербезпеки із забезпеченням балансу між різними групами стейкхолдерів та належного гендерного та географічного балансу.

3. Група стейкхолдерів з питань сертифікації кібербезпеки:

(a) надає Комісії консультації зі стратегічних питань щодо європейських рамок сертифікації кібербезпеки;

(b) надає на запит консультації ENISA із загальних та стратегічних питань, що стосуються завдань ENISA, пов'язаних із ринком, сертифікацією кібербезпеки та стандартизацією;

(c) надає допомогу Комісії в підготовці послідовної робочої програми Союзу, зазначеної в статті 47;

(d) надає висновок щодо послідовної робочої програми Союзу відповідно до статті 47(4); та

(e) у невідкладних випадках надає консультації Комісії та ECCG щодо потреби в додаткових сертифікаційних схемах, не включених до послідовної робочої програми Союзу, як зазначено в статтях 47 і 48.

4. Групу стейкхолдерів з питань сертифікації кібербезпеки спільно очолюють представники Комісії та ENISA, і ENISA створює її секретаріат.

1. Діючи за пропозицією виконавчого директора, Правління створює Мережу національних зв’язкових офіцерів, до складу якої входять представники усіх держав-членів (національні зв'язкові офіцери). Кожна держава-член призначає одного представника до Мережі національних зв'язкових офіцерів. Засідання Мережі національних зв'язкових офіцерів можуть проводитися різними експертними складами.

2. Мережа національних зв'язкових офіцерів зокрема сприяє обміну інформацією між ENISA та державами-членами, а також надає підтримку ENISA в поширенні його діяльності, висновків та рекомендацій серед відповідних стейкхолдерів на території Союзу.

3. Національні зв'язкові офіцери діють як контактний пункт на національному рівні з метою сприяння співпраці між ENISA та національними експертами в контексті виконання річної робочої програми ENISA.

4. Тоді як національні зв'язкові офіцери тісно співпрацюють із представниками відповідних держав-членів у Правлінні, сама Мережа національних офіцерів зв’язку не дублює роботи Правління та інших форумів Союзу.

5. Функції та процедури Мережі національних офіцерів зв'язку визначають у внутрішньому регламенті ENISA та оприлюднюють.

1. ENISA веде діяльність відповідно до єдиного програмного документа, у якому визначені річні та багаторічні плани програми його діяльності та який включає всю його заплановану діяльність.

2. Щороку виконавчий директор готує проєкт єдиного програмного документа, що містить річні та багаторічні плани програми з відповідним плануванням фінансових та людських ресурсів, відповідно до статті 32 Делегованого регламенту (ЄС) № 1271/2013 (- 25) з урахуванням настанов, розроблених Комісією.

3. Не пізніше 30 листопада кожного року Правління ухвалює єдиний програмний документ, зазначений у параграфі 1, та передає його Європейському Парламенту, Раді та Комісії не пізніше 31 січня наступного року, а в подальшому також і будь-які оновлені версії згаданого документа.

4. Єдиний програмний документ стає остаточним після остаточного ухвалення загального бюджету Союзу і зазнає корегувань у разі необхідності.

5. Річна робоча програма містить детальні цілі та очікувані результати, у тому числі показники ефективності. Вона також містить опис заходів, які повинні отримати фінансування, та визначає фінансові й людські ресурси, розподілені для кожного заходу, відповідно до принципів бюджетування та управління кожного заходу. Річна робоча програма повинна узгоджуватися з багаторічною робочою програмою, зазначеною в параграфі 7. У ній повинні бути чітко вказані завдання, які були додані, змінені або вилучені порівняно з попереднім фінансовим роком.

6. Правління вносить зміни до ухваленої річної робочої програми, якщо на ENISA покладено нове завдання. Будь-які істотні зміни до річної робочої програми ухвалюють за тією самою процедурою, що й до початкової річної робочої програми. Правління може делегувати виконавчому директору повноваження вносити неістотні зміни до річної робочої програми.

7. Багаторічна робоча програма визначає загальний стратегічний план програми, включаючи цілі, очікувані результати та показники ефективності. Вона також визначає планування ресурсів, включаючи багаторічний бюджет і персонал.

8. Оновлення плану програми стосовно ресурсів відбувається щорічно. У відповідних випадках стратегічний план програми оновлюють, зокрема з метою врахування результатів оцінювання, зазначеного в статті 67.

1. Члени Правління, виконавчий директор та посадові особи, прикомандировані державами-членами на тимчасовій основі, роблять заяву про зобов’язання та заяву про присутність чи відсутність будь-яких прямих або непрямих інтересів, що можна розглядати як такі, що шкодять їхній незалежності. Такі заяви повинні бути точними та повними, їх необхідно робити в письмовій формі щороку та оновлювати за необхідності.

2. Члени Правління, виконавчий директор та зовнішні експерти, які є учасниками спеціалізованих робочих груп, не пізніше ніж на початку кожної зустрічі надають точні та повні заяви про будь-який інтерес, який можна вважати шкідливим для їхньої незалежності стосовно питань порядку денного, і утримуються від участі в обговоренні та голосуванні щодо таких питань.

3. ENISA встановлює у своєму внутрішньому регламенті практичні механізми, пов'язані з правилами надання заяв про інтереси, зазначені у параграфах 1 та 2.

1. ENISA виконує свою діяльність з дотриманням високого рівня прозорості та відповідно до статті 28.

2. ENISA забезпечує надання громадськості та будь-яким заінтересованим сторонам відповідної об’єктивної, достовірної і доступної інформації, зокрема про результати своєї роботи. ENISA також оприлюднює заяви про інтереси, зроблені відповідно до статті 25.

3. Правління на пропозицію виконавчого директора може дозволити заінтересованим сторонам брати участь у певних видах діяльності ENISA як спостерігачам.

4. ENISA встановлює у своєму внутрішньому регламенті практичні заходи для імплементації правил прозорості, вказаних у параграфах 1 та 2.

1. Без обмеження статті 28, ENISA не розголошує третім сторонам інформацію, яку воно опрацьовує або отримує та стосовно якої надійшов обґрунтований запит на конфіденційне використання.

2. Члени Правління, виконавчий директор, члени Консультативної групи ENISA, зовнішні експерти, які є учасниками спеціалізованих робочих груп, та члени персоналу ENISA, у тому числі посадові особи, прикомандировані державами-членами на тимчасовій основі, повинні дотримуватися вимог конфіденційності, передбачених статтею 339 ДФЄС, навіть після припинення виконання своїх обов'язків.

3. ENISA встановлює у своєму внутрішньому регламенті практичні механізми для імплементації правил конфіденційності, вказаних у параграфах 1 та 2.

4. Якщо цього вимагає виконання завдань ENISA, Правління ухвалює рішення дозволити ENISA працювати з секретною інформацією. У такому разі ENISA, за погодженням зі службами Комісії, ухвалює правила безпеки із застосуванням принципів безпеки, визначених у рішеннях Комісії (ЄС, Євратом) 2015/443 (- 26) та 2015/444 (- 27). Такі правила безпеки включають положення про обмін секретною інформацією, її опрацювання та зберігання.

1. Регламент (ЄС) № 1049/2001 застосовується до документів у розпорядженні ENISA.

2. Правління ухвалює механізми імплементації Регламенту (ЄС) № 1049/2001 до 28 грудня 2019 року.

3. Рішення, ухвалені агентством ENISA відповідно до статті 8 Регламенту (ЄС) № 1049/2001, можуть бути оскаржені через Європейського Омбудсмана відповідно до статті 228 ДФЄС або можуть бути предметом позову в Суді Європейського Союзу відповідно до статті 263 ДФЄС.

1. Кожного року виконавчий директор складає проєкт кошторису доходів і видатків ENISA на наступний фінансовий рік і передає його Правлінню разом із проєктом бюджету. Доходи та видатки повинні бути збалансовані.

2. Кожного року Правління на основі проєкту кошторису доходів і видатків складає кошторис доходів і видатків ENISA на наступний фінансовий рік.

3. До 31 січня кожного року Правління надсилає кошторис доходів і видатків, який є частиною проєкту єдиного програмного документу, Комісії та третім країнам, із якими Союз уклав угоди, як зазначено у статті 42(2).

4. На основі кошторису Комісія включає в проєкт загального бюджету Союзу суми, які вона вважає необхідними для штатного розпису, та розмір внеску, який підлягає стягненню до загального бюджету Союзу, який вона подає Європейському Парламенту і Раді згідно зі статтею 314 ДФЄС.

5. Європейський Парламент і Рада надають дозвіл на виділення асигнувань для внеску Союзу в ENISA.

6. Європейський Парламент і Рада ухвалюють штатний розпис ENISA.

7. Правління ухвалює бюджет ENISA разом із єдиним програмним документом. Бюджет ENISA стає остаточним після остаточного ухвалення загального бюджету Союзу. У разі необхідності Правління вносить корегування до бюджету ENISA та до єдиного програмного документу відповідно до загального бюджету Союзу.

1. Без обмеження інших ресурсів, дохід ENISA складається з:

(a) внеску із загального бюджету Союзу;

(b) доходу, призначеного на фінансування певних пунктів видатків відповідно до його фінансових правил, зазначених у статті 32;

(c) фінансування Союзу у формі угод про делегування або спеціалізованих цільових грантів згідно з фінансовими правилами, зазначеними в статті 32, та положеннями відповідних інструментів, що підтримують політику Союзу;

(d) внесків третіх країн, які беруть участь у роботі ENISA, як зазначено в статті 42;

(e) будь-яких добровільних внесків держав-членів у грошовій або натуральній формі.

Держави-члени, які надають добровільні внески, зазначені в пункті (e) першого підпараграфа, не повинні вимагати ніякого особливого права або послуги в результаті такого внеску.

2. Видатки ENISA включають оплату праці персоналу, видатки на адміністративну та технічну підтримку, інфраструктурні й оперативні видатки, а також видатки, що виникають унаслідок укладених із третіми сторонами контрактів.

1. Виконавчий директор відповідає за виконання бюджету ENISA.

2. Внутрішній аудитор Комісії виконує ті самі повноваження щодо ENISA, що й щодо інших департаментів Комісії.

3. Бухгалтер ENISA надсилає попередню фінансову звітність за фінансовий рік (рік N) бухгалтеру Комісії та Рахунковій палаті до 1 березня наступного фінансового року (рік N+1).

4. Отримавши застереження Рахункової палати до попередньої фінансової звітності ENISA відповідно до статті 246 Регламенту Європейського Парламенту і Ради (ЄС, Євратом) 2018/1046 (- 28), бухгалтер ENISA складає остаточну фінансову звітність ENISA під свою відповідальність і передає її Правлінню для отримання висновку.

5. Правління надає висновок щодо остаточної фінансової звітності ENISA.

6. До 31 березня року N+1 виконавчий директор передає звіт про бюджетне та фінансове управління Європейському Парламенту, Раді, Комісії та Рахунковій палаті.

7. До 1 липня року N+1 бухгалтер ENISA передає остаточну фінансову звітність ENISA Європейському Парламенту, Раді, бухгалтеру Комісії і Рахунковій палаті разом із висновком Правління.

8. У день передачі остаточної фінансової звітності ENISA бухгалтер ENISA також надсилає до Рахункової палати підсумковий лист стосовно такої остаточної фінансової звітності з копією для бухгалтера Комісії.

9. До 15 листопада року N+1 виконавчий директор оприлюднює остаточну фінансову звітність ENISA в Офіційному віснику Європейського Союзу.

10. До 30 вересня року N+1 виконавчий директор надсилає до Рахункової палати відповідь на її застереження, а також надсилає копію такої відповіді Правлінню та Комісії.

11. На запит Європейського Парламенту виконавчий директор надає йому будь-яку інформацію, необхідну для безперешкодного застосування процедури звільнення від відповідальності за виконання бюджету для відповідного фінансового року згідно зі статтею 261(3) Регламенту (ЄС, Євратом) 2018/1046.

12. За рекомендацією Ради Європейський Парламент звільняє виконавчого директора від відповідальності за виконання бюджету за рік N не пізніше 15 травня року N+2.

Фінансові правила, застосовні до ENISA, ухвалює Правління після консультацій із Комісією. Такі фінансові правила не повинні відхилятися від Делегованого регламенту (ЄС) № 1271/2013, крім випадків, якщо таке відхилення є спеціальною вимогою для діяльності ENISA і Комісія заздалегідь дала на нього згоду.

1. Для сприяння боротьбі з шахрайством, корупцією та іншою незаконною діяльністю відповідно до Регламенту Європейського Парламенту і Ради (ЄС, Євратом) № 883/2013 (- 29), ENISA повинне до 28 грудня 2019 року приєднатися до Міжінституційної угоди між Європейським Парламентом, Радою Європейського Союзу і Комісією Європейських Співтовариств від 25 травня 1999 року щодо внутрішніх розслідувань Європейського бюро боротьби із шахрайством (OLAF) (- 30). ENISA повинне ухвалити відповідні положення, застосовні до всіх працівників ENISA, із використанням зразка, визначеного в додатку до зазначеної Угоди.

2. Рахункова палата має повноваження проводити аудит, на підставі документів та виїзних інспектувань, усіх бенефіціарів грантів, підрядників і субпідрядників, які отримали кошти Союзу від ENISA.

3. Європейське бюро боротьби із шахрайством може проводити розслідування, у тому числі виїзні перевірки та інспектування, відповідно до положень і процедур, установлених у Регламенті (ЄС, Євратом) № 883/2013 та Регламенті Ради (Євратом, ЄС) № 2185/96 (- 31), з метою встановлення факту шахрайства, корупції або будь-якої іншої незаконної діяльності, що негативно впливає на фінансові інтереси Союзу, у зв'язку з грантом або договором, що фінансується ENISA.

4. Без обмеження параграфів 1, 2 і 3 угоди про співпрацю з третіми країнами або міжнародними організаціями, договори, грантові угоди та грантові рішення ENISA повинні містити положення, які прямо уповноважують Рахункову палату та Європейське бюро боротьби із шахрайством проводити такі аудити й розслідування відповідно до їхніх компетенцій.

До персоналу ENISA застосовуються Положення про персонал та Умови працевлаштування інших службовців, а також правила, ухвалені угодою між установами Союзу для реалізації Положення про персонал та Умов працевлаштування інших службовців.

До EN1SA та його персоналу застосовується Протокол № 7 про привілеї та імунітети Європейського Союзу, долучений до Договору про Європейський Союз та до Договору про функціонування Європейського Союзу (ДФЄС).

1. Виконавчого директора залучають як тимчасового агента ENISA відповідно до пункту (a) статті 2 Умов працевлаштування інших службовців.

2. Виконавчого директора призначає Правління зі списку кандидатів, запропонованих Комісією, на підставі відкритої та прозорої процедури відбору.

3. Для цілей укладення трудового договору з виконавчим директором, ENISA представлене головою Правління.

4. Перед призначенням обраного Правлінням кандидата запрошують зробити заяву перед відповідним комітетом Європейського Парламенту та відповісти на запитання його членів.

5. Строк перебування на посаді виконавчого директора становить п’ять років. По закінченню зазначеного строку Комісія проводить оцінювання діяльності виконавчого директора та майбутніх завдань і викликів ENISA.

6. Правління ухвалює рішення про призначення, подовження строку перебування на посаді або звільнення з посади виконавчого директора відповідно до статті 18(2).

7. Правління, діючи за пропозицією Комісії, яка враховує оцінювання, зазначене в параграфі 5, може одноразово подовжити строк дії повноважень виконавчого директора ще на п’ять років.

8. Правління інформує Європейський Парламент про свій намір подовжити строк дії повноважень виконавчого директора. За три місяці до такого подовження дії повноважень виконавчого директора можуть запросити зробити заяву перед відповідним комітетом Європейського Парламенту і дати відповіді на запитання його членів.

9. Виконавчий директор, строк дії повноважень якого було подовжено, не може брати участі в наступній процедурі відбору на таку саму посаду.

10. Виконавчого директора можуть звільнити з посади тільки за рішенням Правління, яке діє на підставі пропозиції Комісії.

1. ENISA може залучати прикомандированих національних експертів або інший персонал, який не працює в ENISA. Положення про персонал та Умови працевлаштування інших службовців до такого персоналу не застосовуються.

2. Правління ухвалює рішення, у якому встановлює правила прикомандирування національних експертів до ENISA.

1. ENISA є органом Союзу й має правосуб'єктність.

2. У кожній державі-члені ENISA користується найширшою правоздатністю, що надається юридичним особам відповідно до національного права. ENISA може, зокрема, набувати або розпоряджатися рухомим та нерухомим майном і виступати учасником судових проваджень.

3. Представництво ENISA здійснює його виконавчий директор.

1. Договірну відповідальність ENISA регулює право, застосовне до відповідного договору.

2. Суд Європейського Союзу має юрисдикцію ухвалювати рішення відповідно до будь-якого арбітражного застереження, що міститься в договорі, укладеному ENISA.

3. У разі недоговірної відповідальності ENISA відшкодовує будь-які збитки, завдані ним або його персоналом під час виконання ними своїх службових обов’язків, відповідно до загальних принципів, які є спільними для права держав-членів.

4. Суд Європейського Союзу має юрисдикцію щодо розгляду будь-якого спору, пов'язаного з відшкодуванням збитків, як зазначено в параграфі 3.

5. Особисту відповідальність персоналу ENISA перед ENISA визначають відповідні умови, що застосовуються до персоналу ENISA.

1. До ENISA застосовуються положення Регламенту Ради № 1 (- 32). Держави-члени та інші органи, призначені державами-членами, можуть звертатися до ENISA та отримувати відповідь офіційною мовою обраних ними устанOB Cоюзу.

2. Послуги з перекладу, необхідні для функціонування ENISA, надає Центр перекладу для органів Європейського Союзу.

1. Опрацювання персональних даних агентством ENISA підпадає під дію Регламенту (ЄС) 2018/1725.

2. Правління ухвалює імплементаційні правила, як зазначено в статті 45(3) Регламенту (ЄС) 2018/1725. Правління може ухвалювати додаткові заходи, необхідні для застосування ENISA Регламенту (ЄС) 2018/1725.

1. Наскільки це необхідно для досягнення цілей, визначених у цьому Регламенті, ENISA може співпрацювати з компетентними органами третіх країн та міжнародними організаціями. Для цього ENISA може укладати робочі угоди з органами третіх країн та міжнародними організаціями за умови попереднього схвалення Комісії. Такі робочі угоди не створюють юридичних зобов'язань для Союзу і його держав-членів.

2. ENISA відкрите для участі третіх країн, які уклали угоди з Союзом про таку участь. Згідно з відповідними положеннями таких угод відбувається укладання робочих угод, у яких, зокрема, визначаються характер, обсяг та спосіб участі таких третіх країн у роботі ENISA, і вони повинні включати положення, що стосуються участі в ініціативах ENISA, фінансових внесків та персоналу.

Стосовно персоналу, такі робочі угоди в будь-якому разі повинні відповідати Положенню про персонал та Умовам працевлаштування інших службовців.

3. Правління ухвалює стратегію щодо відносин із третіми країнами та міжнародними організаціями в питаннях, що належать до компетенції ENISA. Комісія забезпечує діяльність ENISA в межах свого мандата та наявних інституційних рамок шляхом укладення відповідних робочих угод з виконавчим директором.

Після консультацій з Комісією ENISA ухвалює правила безпеки, застосовуючи принципи безпеки, які містяться у правилах безпеки Комісії для захисту чутливої незасекреченої інформації та EUCI (секретної інформації Європейського Союзу), як визначено в рішеннях (ЄС, Євратом) 2015/443 та 2015/444. Правила безпеки ENISA включають положення про обмін такою інформацією, її опрацювання та зберігання.

1. Необхідні домовленості стосовно розміщення, передбаченого для ENISA в державі-члені ведення діяльності, та обладнання, яке буде надано такою державою-членом, разом зі спеціальними правилами, застосовними в державі-члені ведення діяльності до виконавчого директора, членів Правління, персоналу ENISA та членів їхніх родин, повинні бути встановлені в угоді про штаб-квартиру, укладеній між ENISA і державою-членом ведення діяльності після отримання схвалення Правління.

2. Держава-член ведення діяльності ENISA надає найкращі умови для забезпечення належної діяльності ENISA з урахуванням доступності розташування, наявності належних закладів освіти для дітей працівників персоналу, належного доступу до ринку праці, соціального захисту та медичного обслуговування для дітей та дружин/чоловіків працівників персоналу.

Європейський Омбудсман здійснює нагляд за діяльністю ENISA відповідно до статті 228 ДФЄС.

1. Європейські рамки сертифікації кібербезпеки створено для покращення умов функціонування внутрішнього ринку шляхом підвищення рівня кібербезпеки на території Союзу та впровадження гармонізованого підходу на рівні Союзу до європейських схем сертифікації кібербезпеки з метою створення єдиного цифрового ринку продуктів ІКТ, послуг ІКТ та процесів ІКТ.

2. Європейські рамки сертифікації кібербезпеки надають механізм для створення європейських схем сертифікації кібербезпеки та підтвердження того, що продукти ІКТ, послуги ІКТ та процеси ІКТ оцінили відповідно до схем, які відповідають зазначеним вимогам безпеки, з метою захисту доступності, автентичності, цілісності або конфіденційності даних, які зберігають, передають або опрацьовують, або функцій чи послуг, пропонованих такими продуктами, послугами або процесами або доступних з їхньою допомогою протягом їхнього життєвого циклу.

1. Комісія оприлюднює послідовну робочу програму Союзу для європейської сертифікації кібербезпеки ("послідовна робоча програма Союзу"), яка визначає стратегічні пріоритети для майбутніх європейських систем сертифікації кібербезпеки.

2. Послідовна робоча програма Союзу, зокрема, включає список продуктів ІКТ, послуг ІКТ та процесів ІКТ або їхніх категорій, які можуть отримати користь від включення в рамки європейської схеми сертифікації кібербезпеки.

3. Включення певних продуктів ІКТ, послуг ІКТ та процесів ІКТ або їхніх категорій до послідовної робочої програми Союзу обґрунтовують на основі однієї або більше таких підстав:

(a) доступність та розробка національних схем сертифікації кібербезпеки, які охоплюють певну категорію продуктів ІКТ, послуг ІКТ та процесів ІКТ, та зокрема тих, що стосуються ризику фрагментації;

(b) відповідні право або політика Союзу або держави-члена;

(c) ринковий попит;

(d) розробки у вивченні кіберзагроз;

(e) запит на підготовку конкретного проєкту схеми ECCG.

4. Комісія повинна належним чином враховувати висновки, надані ECCG та Групою стейкхолдерів з питань сертифікації стосовно проєкту послідовної робочої програми Союзу.

5. Перша послідовна робоча програма Союзу повинна бути оприлюднена до 28 червня 2020 року. Послідовну робочу програму Союзу належить оновлювати принаймні один раз на три роки або, якщо необхідно, частіше.

1. Комісія може подавати запит ENISA на підготовку проєкту схеми або на перегляд наявної європейської схеми сертифікації кібербезпеки на основі послідовної робочої програми Союзу.

2. У належним чином обґрунтованих випадках Комісія або ECCG може подавати запит ENISA на підготовку проєкту схеми або на перегляд наявної європейської схеми сертифікації кібербезпеки, не включеної до послідовної робочої програми Союзу. Послідовну робочу програму Союзу належить оновлювати відповідним чином.

1. На запит Комісії відповідно до статті 48 ENISA готує проєкт схеми, що відповідає вимогам, визначеним у статтях 51, 52 та 54.

2. На запит ECCG відповідно до статті 48(2) ENISA готує проєкт схеми, що відповідає вимогам, визначеним у статтях 51, 52 та 54. Якщо ENISA відхиляє такий запит, ENISA повинне обґрунтувати свою відмову. Будь-яке рішення про відхилення такого запиту ухвалює Правління.

3. Під час підготовки проєкту схеми ENISA консультується з усіма відповідними стейкхолдерами в рамках офіційного, відкритого, прозорого та інклюзивного консультаційного процесу.

4. ENISA створює спеціалізовану експерту робочу групу для кожного проєкту схеми відповідно до статті 20(4) для надання ENISA відповідних консультацій та експертних знань.

5. ENISA тісно співпрацює з ECCG. ECCG надає ENISA допомогу та експертні консультації стосовно підготовки проєкту схеми та ухвалює висновок щодо проєкту схеми.

6. ENISA максимально враховує висновок ECCG перед передачею Комісії проєкту схеми, підготованого відповідно до параграфів 3, 4 та 5. Висновок ECCG не має зобов’язального характеру, і відсутність такого висновку не повинна перешкодити ENISA передати проєкт схеми Комісії.

7. На основі підготованого ENISA проєкту схеми Комісія може ухвалювати імплементаційні акти, що встановлюють європейську схему сертифікації кібербезпеки для продуктів ІКТ, послуг ІКТ та процесів ІКТ, яка відповідає вимогам, визначеним у статтях 51, 52 та 54. Такі імплементаційні акти ухвалюють згідно з експертною процедурою, зазначеною в статті 66(2).

8. Принаймні кожні п’ять років ENISA повинне оцінювати кожну ухвалену європейську схему сертифікації кібербезпеки з урахуванням зворотного зв’язку від заінтересованих сторін. У разі необхідності Комісія або ECCG можуть подавати ENISA запит на початок процесу розробки переглянутого проєкту схеми відповідно до статті 48 та цієї статті.

1. ENISA повинне вести спеціальний вебсайт, на якому повинне надавати інформацію про та оприлюднювати європейські схеми сертифікації кібербезпеки. європейські сертифікати з кібербезпеки та декларації ЄС про відповідність, у тому числі інформацію, що стосується уже недійсних європейських схем сертифікації кібербезпеки, європейських сертифікатів з кібербезпеки та декларацій ЄС про відповідність, які були вилучені або які втратили чинність, та репозиторій покликань на інформацію стосовно кібербезпеки, надану відповідно до статті 55.

2. Якщо застосовно, на вебсайті, вказаному в параграфі 1, повинні вказуватися національні схеми сертифікації кібербезпеки, які замінено європейською схемою сертифікації кібербезпеки.

Європейська схема сертифікації кібербезпеки призначена досягати, у застосовних випадках, принаймні таких цілей безпеки:

(a) захищати дані, які зберігають, передають або по-іншому опрацьовують, від несанкціонованого зберігання, опрацювання, доступу або розкриття протягом усього життєвого циклу продукту ІКТ, послуги ІКТ або процесу ІКТ;