Toelichting bij COM(2003)63 - Europees Agentschap voor netwerk- en informatiebeveiliging - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2003)63 - Europees Agentschap voor netwerk- en informatiebeveiliging. |
|---|---|
| bron | COM(2003)63   |
| datum | 11-02-2003 |
Tegenwoordig beschikt meer dan 90% van de bedrijven in de Europese Unie over een internetverbinding. Het merendeel van deze bedrijven beheert een website. Een overweldigend aantal werknemers maakt gebruik van een mobiele telefoon, een laptop of gelijksoortige apparatuur om informatie voor het werk te verzenden of op te halen. Dergelijke informatie kan een aanzienlijke waarde vertegenwoordigen. Ze kan een zakelijke transactie beschrijven of technische kennis bevatten.
Computers en netwerken zijn niet alleen op het werk, maar ook in het dagelijks leven niet meer weg te denken. In 2002 beschikte ongeveer 40% van de huishoudens in de EU over een eigen internetverbinding en maakte meer dan 2/3 van de bevolking gebruik van een mobiele telefoon. Scholen en universiteiten beschikken over een internetaansluiting, en leren en studeren studie via het internet of met de computer is gemeengoed geworden. Het openbaar bestuur verandert met grote snelheid in een elektronische overheid. Computers en communicatienetwerken beheersen infrastructuren als elektriciteits- en watervoorzieningen en openbare vervoerssystemen. Sinds 11 september 2001 zijn deze aspecten ook een zaak geworden van nationale veiligheid.
Omdat er zoveel afhangt van netwerken en informatiesystemen, is het veilig functioneren daarvan uitgegroeid tot een belangrijk vraagstuk. Net zoals de natuurlijke verwachtingen die er bestaan met betrekking tot bijvoorbeeld de elektriciteits- of watervoorziening, verwachten mensen dat een telefoon werkt als deze wordt opgenomen. Ze verwachten dat een computer juist functioneert als ze hem nodig hebben. Ze willen toegang tot opgeslagen informatie zonder buitensporige vertragingen of onderbrekingen. Netwerkstoringen en computercrashes zijn niet langer een geïsoleerd probleem voor computerspecialisten. De uitval van netwerken en informatiesystemen is een zaak van iedereen: burgers, bedrijven en overheid.
Beveiliging is bij veel bedrijven uitgegroeid tot een essentieel aspect, vooral bij onlinebedrijven. Beveiliging heeft zich ontwikkeld tot een industrie op zich, met gespecialiseerde bedrijven die producten en diensten verkopen waarvoor commerciële overeenkomsten worden gesloten. Consumenten schaffen bijvoorbeeld antivirussoftware aan en installeren firewalls op hun computers. Bedrijven investeren in beveiliging, bouwen beveiligde intranetten en coderen e-mails of draadloze communicatie. Gevoelige gegevens worden gecodeerd verzonden. Sommige gebruikers lijken zich zeer bewust te zijn van de kwetsbaarheden en de middelen waarmee deze kunnen worden beheerd, anderen zijn minder goed geïnformeerd of maken zich minder zorgen.
Volgens het hedendaagse perspectief staat netwerk- en informatiebeveiliging voor het garanderen van de beschikbaarheid van diensten en gegevens, het voorkomen van verstoring en ongeautoriseerde onderschepping van communicatie, het bevestigen dat de verzonden, ontvangen of opgeslagen gegevens volledig en ongewijzigd zijn, het handhaven van de vertrouwelijkheid van gegevens, het beveiligen van informatiesystemen tegen ongeautoriseerde toegang en tegen aanvallen met kwaadaardige software, en het garanderen van betrouwbare authenticatie, dat wil zeggen het bevestigen van de vermeende identiteit van entiteiten of gebruikers.
In de nabije toekomst zullen beveiligingseisen snel veranderen, omdat netwerken en computers zich blijven ontwikkelen en computers steeds dieper in de samenleving doordringen. Dit betekent dat breedbandverbindingen mensen in staat zullen stellen om te allen tijde met het internet verbonden te zijn, dat nieuwe draadloze toepassingen de gebruikers in staat zullen stellen om overal toegang te krijgen tot het internet en dat de mogelijkheden om alles, van printers tot koelkasten, op het internet aan te sluiten zich verder zullen ontwikkelen en het gebruik van het internet zullen diversifiëren.
Het is gebleken dat beveiligingsbeheer een moeilijke en complexe taak is, omdat de gebruiker te maken krijgt met de beschikbaarheid, integriteit, authenticiteit en vertrouwelijkheid van gegevens en diensten. Omdat de technologie zo complex is, moeten talloze componenten en spelers met elkaar samenwerken. Het menselijk gedrag is uitgegroeid tot een cruciale factor.
Totale beveiliging zal waarschijnlijk nooit haalbaar zijn, tenminste niet voor een redelijke prijs. Er zal altijd sprake zijn van zwakke punten, aanvallen, incidenten en storingen die schade veroorzaken en het vertrouwen in systemen en diensten ondermijnen. Dit is niet anders bij andere technologieën en aspecten van het dagelijks leven. Zowel de maatschappij in haar geheel als individuen moeten leren om te gaan met de risico's van netwerk- en informatiesystemen.
Inhoudsopgave
- 2. REDEN VOOR ACTIE
- 3. HET VOORSTEL VOOR DE OPRICHTING VAN EEN AGENTSCHAP VOOR NETWERK- EN INFORMATIEBEVEILIGING
- 3.1. Voorgeschiedenis
- 3.2. De keuze van de rechtsgrondslag
- 3.3. Hoofdstuk 1 - Doelstellingen en taken
- 3.3.1. Doelstellingen
- 3.3.2. Taken
- 3.4. Hoofdstuk 2 - Organisatie
- 3.4.1. Bestuur
- 3.5. Hoofdstuk 3 - Werking
- 3.5.1. Werkprogramma
- 3.5.2. Adviezen
- 3.5.3. Werkgroepen
- 3.5.4. Onafhankelijkheid
- 3.5.5. Transparantie en vertrouwelijkheid
- 3.6. Hoofdstuk 4 - Financiële bepalingen
- 3.7. Hoofdstuk 5 - Algemene bepalingen
- 3.7.1. Rechtspersoonlijkheid en voorrechten
- 3.7.2. Aansprakelijkheid
- 3.7.3. Personeel
- 3.7.4. Bescherming van persoonsgegevens
- 3.7.5. Deelneming van derde landen
- 3.8. Hoofdstuk 6 - Slotbepalingen
- 3.8.1. Evaluatie
- 3.8.2. Vestigingsplaats
- 3.8.3. Looptijd
Beveiliging is uitgegroeid tot een belangrijk beleidsvraagstuk. Overheden zien dat er voor de maatschappij een steeds belangrijkere taak is weggelegd en doen zelf ook een steeds grotere inspanningen om de beveiliging op hun grondgebied te verbeteren. Ze willen beveiliging stimuleren, bijvoorbeeld door steun te bieden aan teams voor computercalamiteiten, onderzoek en bewustmakingscampagnes. Ze zorgt tevens voor de toerusting en training van de handhavingsautoriteiten om het hoofd te kunnen bieden aan computer- en internetcriminaliteit.
De huidige werkfase en de aandachtsgebieden variëren echter per lidstaat. Naast administratieve netwerken zoals TESTA is er geen sprake van systematische transnationale samenwerking op het gebied van netwerk- en informatiebeveiliging tussen lidstaten, ondanks het feit dat de beveiligingsproblematiek geen geïsoleerd probleem is dat slechts in één land voorkomt. Er bestaat geen mechanisme dat een effectieve respons op bedreigingen van de veiligheid garandeert. De tenuitvoerlegging van het wettelijke kader verschilt. Productcertificatie is nationaal, terwijl belangrijke normen door het internationale bedrijfsleven worden ontwikkeld, en beheerders en verkopers te maken hebben met verschillende opstellingen van overheden. Dit alles leidt tot een gebrek aan interoperabiliteit dat een juist gebruik van beveiligingsproducten en diensten belemmert.
De Europese Gemeenschap zou gebaat zijn bij een verder doorgevoerde samenwerking tussen de lidstaten, om zodoende in alle lidstaten een toereikend beveiligingsniveau te bereiken. Dit is de doelstelling van de mededeling van de Commissie voor netwerk- en informatiebeveiliging van juni 2001 i. Hierin is een aantal maatregelen voorgesteld, waaronder bewustmakingscampagnes, betere uitwisseling van informatiemechanismen en steun voor marktgeoriënteerde standaardisering en certificering.
In de mededeling werd tevens een voorstel gedaan voor het opzetten van een Europees waarschuwings- en informatiesysteem. De resolutie van de Raad van 28 januari 2002 inzake een gezamenlijke aanpak en specifieke acties op het gebied van netwerk- en informatiebeveiliging heeft dit concept verder ontwikkeld. Het is duidelijk geworden dat de huidige institutionele regelingen geen ruimte bieden voor het op gepaste wijze aan de orde stellen van netwerk- en informatiebeveiliging op Europees niveau.
De resolutie staat positief tegenover de intentie van de Commissie om voorstellen te doen inzake het opzetten van een taskforce voor computerbeveiliging, teneinde verder te bouwen op nationale inspanningen voor zowel de uitbreiding van netwerk- en informatiebeveiliging als het vergroten van het vermogen van de lidstaten om individueel en collectief op te treden bij grote problemen op het gebied van netwerk- en informatiebeveiliging.
Naar aanleiding van de suggesties van de Commissie heeft het Europees Parlement in een advies sterk aangedrongen op een Europees antwoord op het toenemende beveiligingsprobleem.
In juni 2002 nam de OESO richtsnoeren voor de beveiliging van informatiesystemen en netwerken aan: 'Naar een cultuur van veiligheid'. Deze richtsnoeren benadrukken het belang van de toepassing van bepaalde gezamenlijke beginselen voor informatiebeveiliging en onderbouwen het werk dat op Europees niveau wordt uitgevoerd.
Het Europees Parlement, de Raad en de Commissie pleiten voor een nauwere Europese samenwerking op het gebied van informatiebeveiliging. Het oprichten van een entiteit met rechtspersoonlijkheid zou de meest efficiënte manier zijn om deze doelstelling te bereiken. De voorgestelde verordening voorziet daarom conform de bepalingen van het 'Kader voor Europese regelgevende agentschappen' (mededeling COM(2002) 718 def. van de Commissie) in de oprichting van een Europees regelgevend agentschap. De naam van dit is Europees Agentschap voor netwerk- en informatiebeveiliging , maar zal in dit document worden aangeduid met 'het Agentschap'.
De regelgeving op het gebied van elektronische communicatie, met name de kaderrichtlijn voor elektronische communicatie, kent evenwel een belangrijke tol toe aan de nationale bevoegde instanties. Daarom zal het Agentschap niet alleen hulp bieden aan de Commissie, maar ook aan de nationale regelgevinginstanties.
Het voorstel gaat in op een aantal vragen die naar voren zijn gekomen tijdens het overleg met de lidstaten dat door de Commissie is gevoerd. Overeenkomstige vragen zijn tevens aan de orde gesteld in bijdragen van de particuliere sector. Samengevat kan worden gesteld dat er behoefte is aan flexibiliteit, betrouwbaarheid, competentie, efficiëntie en consistentie van het voorgestelde Agentschap. Er is met name nadruk gelegd op de volgende eisen:
a) Omdat netwerk- en informatiebeveiliging een branche is die zich snel ontwikkelt, kan zelfs de beste institutionele regeling met de tijd veranderen. Het Agentschap dient daarom voor een beperkte periode actief te zijn, waarna een evaluatieprocedure moet worden opgestart.
b) Het Agentschap moet het vertrouwen winnen van zowel publiekrechtelijke organen en instituten in de lidstaten als de particuliere sector.
c) Het Agentschap moet bestaan uit een expertisecentrum waarin bekwame mensen uit alle lidstaten bijeen worden gebracht.
d) Het Agentschap moet efficiënt en snel kunnen optreden. Er is daarom behoefte aan voldoende personele en financiële middelen om soepel en flexibel te kunnen werken. Toch dienen deze middelen beperkt te blijven tot een redelijke omvang.
e) De Commissie moet in staat kunnen zijn om leiding te geven aan het werk van het Agentschap.
Deze eisen hebben als leidraad gediend voor de voorgestelde verordening. Ze geven aan waarom de taken van het Agentschap duidelijk beschreven worden en tegelijkertijd ruimte bieden voor flexibiliteit. Ze bieden een motivatie voor de evaluatie van de activiteiten van het Agentschap na de eerste drie jaar. Ze maken duidelijk dat nauwe samenwerking met instellingen en instanties in de lidstaten, alsmede met Gemeenschapsinstellingen cruciaal is voor de goede werking van het Agentschap.
Het werk van het Agentschap zal profiteren van wetenschappelijke ondersteuning via onderzoeksactiviteiten die worden uitgevoerd door het Gemeenschappelijk Centrum voor Onderzoek en andere onderzoekprogramma's van de Gemeenschap.
Tegen deze achtergrond worden in dit voorstel twee nauw verbonden problemen van communautair belang aan de orde gesteld, namelijk de goede werking van de interne markt en de interoperabiliteit van elektronische Trans-Europese netwerken. In de eerste plaats zou de introductie van technisch complexe eisen voor beveiliging van netwerken en informatiesystemen op lidstaat- en Gemeenschapsniveau een belemmering kunnen vormen voor de volledige implementatie van de beginselen van de interne markt. In de tweede plaats is de goede werking van de interne markt tevens afhankelijk van de interoperabiliteit van beveiligingsfuncties in netwerken en informatiesystemen.
De volgende punten verwijzen naar de hoofdstukken 1-5 van het voorstel.
De brede doelstelling van het Agentschap is de totstandbrenging van gezamenlijke inzichten in Europa ten aanzien van problemen met betrekking tot informatiebeveiliging. Dit is noodzakelijk om de beschikbaarheid en veiligheid van netwerken en informatiesystemen in de Unie te kunnen garanderen. Om deze doelstelling te bereiken moet de definitie van netwerk- en informatiebeveiliging breed zijn en alle activiteiten omvatten die nadelige gevolgen kunnen hebben voor de veiligheid van netwerken en informatiesystemen.
Het Agentschap moet in staat zijn hulp te bieden bij de toepassing van communautaire maatregelen met betrekking tot netwerk- en informatiebeveiliging. De hulp die het Agentschap biedt zal de interoperabiliteit van informatiebeveiligingsfuncties in netwerken en informatiesystemen helpen waarborgen en zodoende een bijdrage leveren aan de werking van de interne markt. Het zal zowel de Gemeenschap als de lidstaten meer mogelijkheden bieden om te reageren op netwerk- en informatiebeveiligingsproblemen. Het Agentschap zal een sleutelrol spelen bij de beveiliging van Europese netwerken en informatiesystemen en de ontwikkeling van de informatiemaatschappij in het algemeen.
Het Agentschap krijgt adviserende en coördinerende functies, waarbij gegevens over informatiebeveiliging worden verzameld en geanalyseerd. Tegenwoordig verzamelen zowel openbare als particuliere instellingen met verschillende doelstellingen gegevens over IT-incidenten en andere gegevens die relevant zijn voor informatiebeveiliging. Er bestaat echter geen centrale entiteit op Europees niveau die alle gegevens kan verzamelen en analyseren, en advies kan geven ter ondersteuning van het beleidswerk van de Gemeenschap op het gebied van netwerk- en informatiebeveiliging. Het Agentschap zal dienen als een expertisecentrum waar zowel de lidstaten als de communautaire instellingen advies kunnen inwinnen over technische zaken met betrekking tot beveiliging.
Het Agentschap zal verder bijdragen tot een brede samenwerking tussen verschillende spelers in de wereld van informatiebeveiliging, bijvoorbeeld door te assisteren bij follow-upactiviteiten ter ondersteuning van veilige e-business. Een dergelijke samenwerking zal een vitale voorwaarde zijn voor de veilige werking van netwerken en informatiesystemen in Europa. De deelname en betrokkenheid van alle belanghebbenden is noodzakelijk.
Het Agentschap zal bijdragen tot een gecoördineerde benadering van informatiebeveiliging door ondersteuning te geven aan lidstaten, bijvoorbeeld bij de stimulering van activiteiten op het gebied van risicobeoordeling en bewustmaking. Om de interoperabiliteit van netwerken en informatiesystemen te garanderen, zal het Agentschap bij de toepassing van technische eisen die gevolgen hebben voor beveiliging tevens advies en ondersteuning geven voor geharmoniseerde processen en procedures in de lidstaten. Niet alleen wettelijke eisen, ook technische eisen kunnen in grote mate gevolgen hebben voor de interoperabiliteit en een beletsel vormen voor de goed werkende interne markt.
Het Agentschap zal verder een ondersteunende rol spelen bij het vaststellen van relevante behoeften aan standaardisering, de bevordering van beveiligingsnormen en certificatieschema's en de zo breed mogelijke toepassing daarvan door de Commissie en de lidstaten ter ondersteuning van de Europese wetgeving.
Omdat netwerk- en informatiebeveiligingsproblemen wereldwijd spelen, is er tevens behoefte aan internationale samenwerking op dit gebied. Het Agentschap zal ondersteuning bieden aan de relaties van de Gemeenschap met de desbetreffende partijen in derde landen.
Op het gebied van informatiesystemen en netwerken steken constant nieuwe kwetsbaarheden en bedreigingen de kop op. Het is noodzakelijk dat de Commissie in staat is om conform de bepalingen van het Kader voor Europese regelgevende agentschappen aanvullende taken aan het Agentschap toe te wijzen om met de huidige technologische en maatschappelijke ontwikkelingen in de pas te kunnen blijven lopen.
De organisatorische structuur dient ruimte te bieden voor de betrokkenheid van de diverse belanghebbenden van het Agentschap, onafhankelijkheid van externe druk, transparantie en verantwoording jegens democratische instellingen. Daarom wordt voorgesteld een raad van bestuur aan te stellen waarvan de leden door de Raad en de Commissie worden benoemd. Zo zal in de vertegenwoordiging van de Commissie een lid van het Directoraat Beveiliging zitting hebben. Voorts wordt voorgesteld dat er vertegenwoordigers komen van het bedrijfsleven en de consumenten, die door de Commissie worden voorgedragen en door de Raad worden aangesteld in de raad van bestuur. De vertegenwoordigers van het bedrijfsleven en de consumenten hebben geen stemrecht.
Het Agentschap zal worden geleid door een uitvoerend directeur met een hoge mate van onafhankelijkheid en flexibiliteit, die verantwoordelijk is voor het intern functioneren van het Agentschap. De uitvoerend directeur is tevens verantwoordelijk voor het opstellen en uitvoeren van de begroting en het werkprogramma van het Agentschap, en voor alle vraagstukken met betrekking tot het personeel. Voor de noodzakelijke legitimiteit dient de uitvoerend directeur te worden benoemd door de raad van bestuur op voorstel van de Commissie.
Als Gemeenschapsorgaan dient het Agentschap bij zijn missie een zo goed mogelijke inzet van expertise en middelen te waarborgen en tegelijkertijd de overkoepelende eis van onafhankelijkheid te respecteren. Daarom wordt voorgesteld het Agentschap een beperkte adviesraad te geven, met deskundigen die de samenwerking en informatie-uitwisseling tussen het Agentschap en de bevoegde instellingen en organen in de verschillende lidstaten moeten bevorderen, bv. een databeveiligingsexpert of een vertegenwoordiger van de onderzoekgemeenschap. De adviesraad krijgt raadgevende bevoegdheden en zal samen met de uitvoerend directeur verantwoordelijk zijn voor het opstellen van het jaarlijks werkprogramma van het Agentschap.
Het Agentschap moet flexibel genoeg zijn om zijn werkzaamheden af te stemmen op de snelle technologische vooruitgang, om zodoende het accent daarvan te verleggen. Daarom dient de raad van bestuur voor elk jaar een werkprogramma vast te stellen, dat op voorstel van de uitvoerend directeur door de Commissie wordt goedgekeurd. De resultaten van de activiteiten volgens het jaarlijks werkprogramma worden in het algemeen verslag gerapporteerd. Dit verslag wordt door de uitvoerend directeur opgesteld en door de raad van bestuur goedgekeurd.
Het gevaar bestaat dat het Agentschap wordt overstelpt met verzoeken om advies en hulp, zodat moet worden aangegeven wie dergelijke verzoeken kan indienen en hoe zij moeten worden verwerkt.
Hoewel het Agentschap over hooggekwalificeerd personeel zal beschikken, kan worden verwacht dat er zich problemen van meer gespecialiseerde aard zullen voordoen. Het Agentschap zal daarom tijdelijke werkgroepen kunnen oprichten met daarin deskundigen uit diverse vakgebieden. Overeenkomstig het transparantiebeleid hebben vertegenwoordigers van de Commissie het recht om aanwezig te zijn op vergaderingen van deze werkgroepen.
De acceptatie van de adviezen van het Agentschap door individuen, overheidsdiensten en bedrijven is afhankelijk van de totstandbrenging van een model van onafhankelijkheid. Daarom zijn de leden van de raad van bestuur en de adviesraad, de uitvoerend directeur en de externe deskundigen die aan werkgroepen deelnemen verplicht een verklaring af te geven waaruit blijkt dat zij geen belangen hebben op grond waarvan hun onafhankelijkheid in twijfel kan worden getrokken.
Het Agentschap stelt zijn regels inzake transparantie en toegang tot documenten vast in overeenstemming met de besluiten van het Europees Parlement en de Raad in het kader van Artikel 255 van het EG-Verdrag en met de veiligheidsvoorschriften van de Commissie i.
Hoewel ook een hoog niveau van transparantie noodzakelijk is voor de acceptatie van het werk van het Agentschap, net als ruime toegang tot de documenten die het uitgeeft, zal het Agentschap ook informatie verzamelen die vertrouwelijk dient te blijven.
Voor 2004-2008 dienen aan het Agentschap voldoende begrotingsmiddelen te worden toegewezen om op de hierboven beschreven wijze personeel aan te nemen en om dat personeel uit te rusten met de juiste technologische apparatuur om zijn taken te kunnen uitvoeren en soepel te kunnen functioneren. De begroting van het Agentschap is opgenomen in bijgaand financieel memorandum.
Deze begroting zal worden gefinancierd door een bijdrage van de Gemeenschap met eventuele bijdragen van derde landen die deelnemen aan de activiteiten van het Agentschap. De uitvoerend directeur is verantwoordelijk voor het opstellen van de voorlopige ramingen. De raad van bestuur zal de Commissie de ramingen van ontvangsten en uitgaven doen toekomen, die zullen worden verwerkt in overeenstemming met standaardbegrotingsprocedures.
De uitvoerend directeur is belast met de tenuitvoerlegging van de begroting. Het Europees Parlement verleent op aanbeveling van de Raad, de uitvoerend directeur van het Agentschap decharge met betrekking tot de uitvoering van de begroting. Financiële controle wordt verricht door de financieel controleur van de Commissie. De Rekenkamer onderzoekt de rekeningen van het Agentschap en publiceert elk jaar een verslag.
Het Agentschap heeft de breedste rechtspersoonlijkheid in elke lidstaat en profiteert van de voorrechten en immuniteiten zoals die zijn beschreven in het Protocol inzake de voorrechten en immuniteiten van de Europese Gemeenschappen.
Het stelsel van de contractuele en niet-contractuele aansprakelijkheid van het Agentschap wordt beheerst door het stelsel dat op de Gemeenschap van toepassing is overeenkomstig artikel 288 van het Verdrag.
Als expertisecentrum is het voor het Agentschap van vitaal belang om te beschikken over voldoende hooggekwalificeerd personeel. In Europa is er momenteel schaarste aan en veel vraag naar deskundigen met een geschikt profiel. Het Agentschap zal zijn medewerkers zowel uit de openbare als de particuliere sector aantrekken. Het statuut van de ambtenaren en andere functionarissen van de Europese Gemeenschappen is van toepassing op het personeel van het Agentschap. Ondanks de behoefte aan voldoende stabiel en gekwalificeerd personeel, zal het personeel worden aangenomen op basis van tijdelijke contracten met een maximale duur van vijf jaar.
Het Agentschap zal met betrekking tot zijn taken tevens persoonsgegevens verwerken en zal in dit opzicht als Gemeenschapsinstelling de geldende voorschriften voor dergelijke verwerking toepassen.
Het Agentschap staat open voor deelneming van derde landen die overeenkomsten met de Europese Gemeenschap hebben gesloten, waarbij zij op het onder deze verordening vallende gebied het Gemeenschapsrecht hebben overgenomen en toepassen.
Omdat netwerk- en informatiebeveiliging een zeer technologische branche is die zich snel ontwikkelt, kan zelfs de beste institutionele regeling met de tijd veranderen. Binnen drie jaar na de in artikel 26 vastgestelde begindatum, of eerder als de raad van bestuur dit nodig acht, zal er een evaluatieprocedure worden opgestart om na te gaan of de activiteiten na de initiële termijn van vijf jaar moeten worden voortgezet en om eventuele wijzigingen voor te stellen inzake toekomstige verantwoordelijkheden, doelstellingen en mandaat.
In deze evaluatie zal met name gekeken naar de mate waarin het ontbreken van handhavingsmaatregelen een negatieve invloed heeft gehad op de doelmatigheid en de efficiëntie van de activiteiten van het Agentschap. Mocht de evaluatie dergelijke nadelige gevolgen aantonen, dan zal de Commissie onderzoeken of een voorstel ter aanvulling van deze verordening op zijn plaats is.
De vestigingsplaats van het Agentschap moet:
- gemakkelijk toegankelijk zijn in termen van, vooral elektronische, communicatie, en goede en snelle vervoersverbindingen;
- het Agentschap in staat stellen om nauw en efficiënt samen te werken met institutionele diensten die zich bezighouden met netwerk- en informatiebeveiligingsproblemen;
- kosteneffectief zijn en het Agentschap in staat stellen om zijn werkzaamheden meteen te beginnen;
- de benodigde infrastructuur voor het personeel van het Agentschap bieden.
Er wordt voorgesteld om het Agentschap vanaf 1 januari 2004 operationeel te laten zijn en gedurende 5 jaar te laten functioneren. Het voortbestaan van het Agentschap is afhankelijk van de resultaten van de evaluatie die door de Commissie in samenwerking met de adviesraad zal worden uitgevoerd.