Präambel VO (EG) 2004/460

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel 95,

auf Vorschlag der Kommission,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses⁽¹⁾,

nach Anhörung des Ausschusses der Regionen,

gemäß dem Verfahren des Artikels 251 des Vertrags⁽²⁾,

in Erwägung nachstehender Gründe:

(1)

Kommunikationsnetze und Informationssysteme sind zu einem wesentlichen Faktor der wirtschaftlichen und gesellschaftlichen Entwicklung geworden. Computer und Kommunikationsnetze werden wie Elektrizitäts- und Wasserversorgung zu unentbehrlichen Einrichtungen des täglichen Lebens. Daher gewinnt die Sicherheit, vor allem aber die Verfügbarkeit von Kommunikationsnetzen und Informationssystemen, für die Gesellschaft mehr und mehr an Bedeutung; dies gilt nicht zuletzt deshalb, weil sich aufgrund der Systemkomplexität sowie aufgrund von Unfällen, Bedienungsfehlern und unbefugten Eingriffen bei wichtigen Informationssystemen Probleme ergeben könnten, die sich auf die technische Infrastruktur von Diensten, die für das Wohlergehen der EU-Bürger von maßgeblicher Bedeutung sind, auswirken können.

(2)

Die zunehmende Zahl von Sicherheitsverletzungen hat bereits erheblichen finanziellen Schaden verursacht, das Vertrauen der Nutzer untergraben und die Entwicklung des elektronischen Geschäftsverkehrs beeinträchtigt. Einzelne Nutzer, Behörden und Unternehmen haben darauf mit Sicherheitstechnologien und Verfahren für das Sicherheitsmanagement reagiert. Die Mitgliedstaaten haben verschiedene flankierende Maßnahmen in Form von Informationskampagnen und Forschungsprojekten getroffen, um die Netz- und Informationssicherheit in der Gesellschaft zu erhöhen.

(3)

Die technische Komplexität von Netzen und Informationssystemen, die Vielfalt der zusammengeschalteten Produkte und Dienste und die Vielzahl eigenverantwortlicher privater und öffentlicher Akteure könnten das reibungslose Funktionieren des Binnenmarktes gefährden.

(4)

Die Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (Rahmenrichtlinie)⁽³⁾ regelt die Aufgaben der nationalen Regulierungsbehörden; diese sollen unter anderem untereinander und mit der Kommission in transparenter Weise zusammenarbeiten, um die Entwicklung einer einheitlichen Regulierungspraxis sicherzustellen, zur Gewährleistung eines hohes Datenschutzniveaus beitragen und die Integrität und Sicherheit der öffentlichen Kommunikationsnetze gewährleisten.

(5)

Zu den derzeitigen Rechtsvorschriften der Gemeinschaft gehören ferner die Richtlinie 2002/20/EG⁽⁴⁾, die Richtlinie 2002/22/EG⁽⁵⁾, die Richtlinie 2002/19/EG⁽⁶⁾, die Richtlinie 2002/58/EG⁽⁷⁾, die Richtlinie 1999/93/EG⁽⁸⁾ sowie die Richtlinie 2000/31/EG⁽⁹⁾; zu nennen ist ferner die Entschließung des Rates vom 18. Februar 2003 über die Umsetzung des Aktionsplans eEurope 2005⁽¹⁰⁾.

(6)

Aufgrund der Richtlinie 2002/20/EG können die Mitgliedstaaten die Erteilung von Allgemeingenehmigungen mit Auflagen zum Schutz öffentlicher Netze gegen unbefugten Zugang gemäß der Richtlinie 97/66/EG⁽¹¹⁾ verknüpfen.

(7)

Aufgrund der Richtlinie 2002/22/EG müssen die Mitgliedstaaten die gebotenen Maßnahmen treffen, um die Integrität und Verfügbarkeit öffentlicher Telefonfestnetze sicherzustellen, und sie müssen dafür sorgen, dass Unternehmen, die öffentlich zugängliche Telefondienste an festen Standorten bereitstellen, alle angemessenen Maßnahmen zur Gewährleistung des ununterbrochenen Zugangs zu Notdiensten treffen.

(8)

Gemäß der Richtlinie 2002/58/EG müssen Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Dienste zu gewährleisten; ferner ist die Vertraulichkeit der Kommunikation und der damit verbundenen Verkehrsdaten sicherzustellen. Aufgrund der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr⁽¹²⁾ müssen die Mitgliedstaaten dafür sorgen, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführt, die für den Schutz gegen zufällige oder unrechtmäßige Zerstörung, zufälligen Verlust, unberechtigte Änderung, unberechtigte Weitergabe oder unberechtigten Zugang — insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden — und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind.

(9)

Die Richtlinie 2002/21/EG und die Richtlinie 1999/93/EG enthalten Bestimmungen über Normen, die im Amtsblatt der Europäischen Union zu veröffentlichen sind. Die Mitgliedstaaten verwenden ferner Normen internationaler Einrichtungen sowie von der Industrie weltweit entwickelte De-facto-Normen. Die Kommission und die Mitgliedstaaten müssen verfolgen können, welche Normen den Anforderungen des Gemeinschaftsrechts entsprechen.

(10)

Diese Binnenmarktmaßnahmen erfordern unterschiedliche Formen der technischen und organisatorischen Durchführung durch die Mitgliedstaaten und die Kommission. Dabei handelt es sich um technisch komplexe Aufgaben, für die es keine Patentlösungen gibt. Die heterogene Umsetzung dieser Anforderungen kann zu ineffizienten Lösungen und Hindernissen für den Binnenmarkt führen. Daher bedarf es eines Fachzentrums auf europäischer Ebene, das im Rahmen seiner Ziele Orientierungshilfen, Beratung und auf Anfrage Unterstützung anbietet und vom Europäischen Parlament und von der Kommission oder von den in den Mitgliedstaaten benannten zuständigen Stellen in Anspruch genommen werden kann. Die nationalen Regulierungsbehörden nach der Richtlinie 2002/21/EG können von einem Mitgliedstaat als zuständige Stelle benannt werden.

(11)

Die Errichtung einer Europäischen Agentur für Netz- und Informationssicherheit, nachstehend „Agentur” genannt, würde diesem Bedarf gerecht; sie würde als Bezugspunkt fungieren und dank ihrer Unabhängigkeit, der Qualität ihrer Beratungsleistungen und der verbreiteten Informationen, der Transparenz ihrer Verfahren und Arbeitsmethoden sowie der Sorgfalt, die sie bei der Ausführung der ihr übertragenen Aufgaben walten lässt, Vertrauen schaffen. Die Agentur sollte aufbauend auf einzelstaatlichen und gemeinschaftlichen Anstrengungen ihre Aufgaben in uneingeschränkter Zusammenarbeit mit den Mitgliedstaaten wahrnehmen und für Kontakte zur Industrie und zu anderen beteiligten Kreisen offen stehen. Da sich elektronische Netze weitgehend in privater Hand befinden, sollte sich die Agentur auf Beiträge und die Kooperation des Privatsektors stützen.

(12)

Bei der Wahrnehmung der Aufgaben der Agentur sollten die Zuständigkeiten der nachstehend genannten Einrichtungen nicht beeinträchtigt werden, und hinsichtlich der diesen Einrichtungen übertragenen einschlägigen Befugnisse und Aufgaben sollte es nicht zu Vorgriffen, Behinderungen oder Überschneidungen kommen:

(13)

Für ein besseres Verständnis der Herausforderungen an die Netz- und Informationssicherheit muss die Agentur die derzeitigen und absehbaren Risiken analysieren; die Agentur kann für diesen Zweck geeignete Informationen insbesondere anhand von Fragenkatalogen erheben, ohne dem Privatsektor oder den Mitgliedstaaten neue Verpflichtungen zur Datengenerierung aufzuerlegen. Unter absehbaren Risiken sollten alle Aspekte verstanden werden, die bereits als mögliche künftige Risiken für die Netz- und Informationssicherheit erkennbar sind.

(14)

Vertrauen in Netze und Informationssysteme setzt voraus, dass die einzelnen Nutzer, die Unternehmen und die Behörden in Fragen der Netz- und Informationssicherheit hinreichend informiert, unterwiesen und geschult sind. Es gehört zu den Aufgaben der Behörden, einen Beitrag zur Aufklärungsarbeit zu leisten, indem sie die breite Öffentlichkeit, kleine und mittlere Unternehmen und Unternehmensgesellschaften, öffentliche Verwaltungen, Schulen und Hochschulen entsprechend informieren. Diese Maßnahmen sind weiterzuentwickeln. Ein verstärkter Informationsaustausch zwischen den Mitgliedstaaten wird derartige Sensibilisierungsmaßnahmen erleichtern. Die Agentur sollte im Hinblick auf vorbildliche Konzepte und Verfahren bei Aufklärung, Schulung und Unterweisung beratend tätig werden.

(15)

Die Agentur sollte die Aufgabe haben, zu einer hohen Netz- und Informationssicherheit innerhalb der Gemeinschaft beizutragen und eine Kultur der Netz- und Informationssicherheit zum Nutzen der Bürger, der Verbraucher, der Wirtschaft und der Organisationen des öffentlichen Sektors in der Europäischen Union zu entwickeln und auf diese Weise zum reibungslosen Funktionieren des Binnenmarkts beizutragen.

(16)

Effiziente Sicherheitsmaßnahmen sollten sowohl im öffentlichen als auch im privaten Sektor auf sorgfältig entwickelten Risikobewertungsmethoden beruhen. Risikobewertungsmethoden und -verfahren werden auf verschiedenen Ebenen angewandt, ohne dass es ein einheitliches System gibt, das ihren effizienten Einsatz gewährleistet. Durch Förderung und Entwicklung empfehlenswerter Verfahren zur Risikobewertung und interoperabler Lösungen für das Risikomanagement innerhalb von Organisationen des öffentlichen und des privaten Sektors wird das Sicherheitsniveau von Netzen und Informationssystemen in Europa erhöht.

(17)

Die Agentur sollte die Ergebnisse laufender Forschungs-, Entwicklungs- und Technologiebewertungsarbeiten nutzen, insbesondere solche, die sich im Rahmen der verschiedenen Forschungsinitiativen der Gemeinschaft ergeben.

(18)

Die Agentur könnte, sofern dies im Hinblick auf ihre Zuständigkeiten, Ziele und Aufgaben zweckmäßig und nützlich ist, mit den nach den Rechtsvorschriften der Europäischen Union geschaffenen Einrichtungen und Agenturen, die sich mit Netz- und Informationssicherheit befassen, Erfahrungen und allgemeine Informationen austauschen.

(19)

Die Probleme der Netz- und Informationssicherheit stellen sich weltweit. Es bedarf einer engeren weltweiten Zusammenarbeit, um die Sicherheitsstandards und die Informationsvermittlung zu verbessern und ein gemeinsames Gesamtkonzept für Fragen der Netz- und Informationssicherheit zu fördern, wodurch zur Entwicklung einer Kultur der Netz- und Informationssicherheit beigetragen wird. Eine effiziente Zusammenarbeit mit Drittländern und mit der Weltgemeinschaft ist eine Aufgabe, die sich nun auch auf europäischer Ebene stellt. Daher sollte die Agentur einen Beitrag zu den Bemühungen der Gemeinschaft um eine Zusammenarbeit mit Drittländern und gegebenenfalls mit internationalen Organisationen leisten.

(20)

Die Agentur sollte bei ihrer Tätigkeit auf kleine und mittlere Unternehmen eingehen.

(21)

Um die Erfüllung der Aufgaben der Agentur effektiv sicherzustellen, sollten die Mitgliedstaaten und die Kommission in einem Verwaltungsrat vertreten sein, der über die erforderlichen Befugnisse verfügt, den Haushaltsplan zu erstellen und seine Ausführung zu überprüfen, entsprechende Finanzvorschriften und transparente Verfahren für die Entscheidungsfindung der Agentur festzulegen, das Arbeitsprogramm der Agentur anzunehmen, sich eine Geschäftsordnung zu geben, die internen Verfahrensvorschriften der Agentur festzulegen und den Direktor zu ernennen und des Amtes zu entheben. Der Verwaltungsrat sollte dafür sorgen, dass die Agentur ihre Aufgaben unter Bedingungen wahrnimmt, die es ihr ermöglichen, den Vorgaben dieser Verordnung gerecht zu werden.

(22)

Für einen regelmäßigen Dialog mit dem Privatsektor, den Verbraucherorganisationen und anderen interessierten Kreisen wäre eine Ständige Gruppe der Interessenvertreter hilfreich. Die Ständige Gruppe der Interessenvertreter, die vom Direktor eingesetzt wird und deren Vorsitz der Direktor führt, sollte hauptsächlich Fragen behandeln, die alle Beteiligten betreffen, und den Direktor damit befassen. Nach Maßgabe der Tagesordnung für die jeweilige Sitzung kann der Direktor gegebenenfalls Vertreter des Europäischen Parlaments und anderer einschlägiger Einrichtungen zu den Sitzungen der Gruppe einladen.

(23)

Damit die Agentur einwandfrei funktioniert, ist ihr Direktor aufgrund von Leistung und nachgewiesenen Verwaltungs- und Managementfähigkeiten zu ernennen; der Direktor muss über einschlägigen Sachverstand und Erfahrungen auf dem Gebiet der Netz- und Informationssicherheit verfügen und seine Aufgaben hinsichtlich der Organisation der internen Arbeitsweise der Agentur völlig unabhängig und flexibel wahrnehmen. Dazu sollte er nach Anhörung der Kommission und der Ständigen Gruppe der Interessenvertreter einen Vorschlag für das Arbeitsprogramm der Agentur ausarbeiten und alle erforderlichen Maßnahmen zur ordnungsgemäßen Durchführung des Arbeitsprogramms der Agentur ergreifen, jährlich einen Entwurf des Tätigkeitsberichts erstellen, der dem Verwaltungsrat vorzulegen ist, den Entwurf eines Voranschlags der Einnahmen und Ausgaben erstellen und den Haushaltsplan ausführen.

(24)

Der Direktor sollte die Möglichkeit haben, Ad-hoc-Arbeitsgruppen einzusetzen, die sich insbesondere mit wissenschaftlichen und technischen Fragen befassen sollen. Bei der Einsetzung dieser Arbeitsgruppen sollte sich der Direktor um eine Mitwirkung von Experten aus dem Privatsektor bemühen. Die Ad-hoc-Arbeitsgruppen sollten der Agentur den Zugang zu den neuesten verfügbaren Informationen ermöglichen, damit die Agentur auf die sicherheitsspezifischen Herausforderungen, die sich im Zuge der Entwicklung der Informationsgesellschaft stellen, reagieren kann. Die Agentur sollte dafür Sorge tragen, dass die von ihr gebildeten Ad-hoc-Arbeitsgruppen fachkundig und repräsentativ sind und dass in ihnen je nach fachlicher Zuständigkeit gegebenenfalls die öffentlichen Verwaltungen der Mitgliedstaaten, der Privatsektor einschließlich der Industrie, Nutzer und wissenschaftliche Sachverständige für Netz- und Informationssicherheit vertreten sind. Die Agentur kann bei Bedarf die Arbeitsgruppen um unabhängige Experten, die in dem betreffenden Bereich als sachkundig anerkannt sind, erweitern. Die Experten, die an den von der Agentur eingesetzten Ad-hoc-Arbeitsgruppen teilnehmen, sollten nicht zum Personal der Agentur gehören. Ihre Ausgaben sollten von der Agentur gemäß ihren internen Vorschriften und gemäß den geltenden Finanzvorschriften getragen werden.

(25)

Die Agentur sollte das einschlägige Gemeinschaftsrecht betreffend den Zugang der Öffentlichkeit zu Dokumenten gemäß der Verordnung (EG) Nr. 1049/2001⁽¹³⁾ und den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gemäß der Verordnung (EG) Nr. 45/2001⁽¹⁴⁾ anwenden.

(26)

Im Rahmen ihrer Zuständigkeiten und Ziele und bei der Wahrnehmung ihrer Aufgaben sollte die Agentur insbesondere die für den Umgang mit sensiblen Dokumenten für die Gemeinschaftsorgane geltenden Bestimmungen sowie die entsprechenden einzelstaatlichen Rechtsvorschriften befolgen.

(27)

Damit die volle Autonomie und Unabhängigkeit der Agentur gewährleistet ist, muss diese über einen eigenständigen Haushalt verfügen, der im Wesentlichen von der Gemeinschaft finanziert wird. Zuschüsse aus dem Gesamthaushaltsplan der Europäischen Union unterliegen dem Haushaltsverfahren der Gemeinschaft. Im Übrigen ist die Rechnungsprüfung vom Rechnungshof vorzunehmen.

(28)

Gegebenenfalls kann die Agentur auf der Grundlage zu schließender Vereinbarungen Dolmetscherdienstleistungen der Generaldirektion für Dolmetscherdienste der Kommission oder der Dolmetscherdienste anderer Gemeinschaftsorgane in Anspruch nehmen.

(29)

Die Agentur sollte zunächst für einen begrenzten Zeitraum errichtet werden; durch eine Bewertung ihrer Tätigkeit sollte festgestellt werden, ob sie fortbestehen soll —

HABEN FOLGENDE VERORDNUNG ERLASSEN: