Bijlagen bij SEC(2010)1127 - SUMMARY OF THE IMPACT ASSESSMENT Accompanying document to the Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND THE COUNCIL concerning the European Network and Information Security Agency (ENISA) - Hoofdinhoud

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

dossier	SEC(2010)1127 - SUMMARY OF THE IMPACT ASSESSMENT Accompanying document to the Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND THE ...
document	SEC(2010)1127
datum	30 september 2010

bijlage 4) worden een aantal mogelijke organisatievormen onderzocht om de bovenvermelde beleidsopties ten uitvoer te leggen, waaronder: (i) een agentschap, (ii) een min of meer formeel publiek-privaat partnerschap (PPP), (iii) een informeel contactnetwerk, (iv) een permanent netwerk van bevoegde organen, en (v) directe integratie in een dienst van de Commissie.

Uit een vergelijking van deze verschillende organisatievormen blijkt dat een agentschap het best geschikt is als beleidsinstrument omdat het voordelen biedt inzake: (1) de rechtszekerheid van de organisatiestructuur en de inhoud, (2) de geschiktheid voor de specifieke kenmerken van een gevoelige sector als netwerk- en informatiebeveiliging (externe deskundigheid, coördinatie van de relaties met belanghebbenden, betrokkenheid/engagement van lidstaten) en (3) de aanvaarding en goede reputatie van ENISA in de gemeenschap die zich bezighoudt met netwerk- en informatiebeveiliging.

Bij de gedetailleerde beoordeling van de volgende beleidsopties is dan ook uitgegaan van een agentschap als organisatievorm.

Beleidsoptie 1: geen beleid

Dit betekent dat het ENISA na maart 2012 ophoudt te bestaan en dat geen enkele andere EU-instelling haar taken of een deel ervan overneemt.

Het sluiten van het ENISA betekent dat alle investeringen die tot dusver zijn gedaan, bijvoorbeeld voor het opzetten van een organisatie die in staat is hooggespecialiseerde mensen aan te trekken, voor het opbouwen van ervaring, voor het tot stand brengen van netwerken met en tussen belanghebbenden en met internationale instellingen, stilvallen op een ogenblik dat het Agentschap op kruissnelheid is gekomen.

Het complexe karakter van netwerk- en informatiebeveiliging in heel Europa vergt een modernisering en versterking van het Agentschap, niet de sluiting ervan. Dit wordt bevestigd door de expliciete rol die aan het ENISA is toegekend, bijvoorbeeld in het hervormde regelgevingskader voor elektronische communicatie^¹⁰, en door het feit dat de belanghebbenden expliciet voorstander zijn van een prominentere rol voor een Europees Agentschap inzake netwerk- en informatiebeveiliging.

Beleidsoptie 2: ongewijzigde voortzetting van het huidige beleid

Dit is het 'business as usual'-scenario, d.w.z. een voortzetting van hetzelfde beleidsinstrument in een identieke vorm en met dezelfde middelen. Bij de belanghebbenden heerst een algemene consensus dat het ENISA is uitgegroeid tot een geloofwaardig referentiepunt voor kwesties met betrekking tot netwerk- en informatiebeveiliging en dat het zich heeft ontwikkeld tot een centrum van uitmuntendheid op zijn domein.

Gezien de huidige beperkingen inzake personeel en begroting kan het Agentschap slechts invloed uitoefenen op een zeer beperkt aantal kwesties met betrekking tot netwerk- en informatiebeveiliging. Dit ligt niet in de lijn van de algemene verwachtingen van de belanghebbenden. Als het Agentschap niet de mogelijkheid krijgt zich verder te ontwikkelen en tegemoet te komen aan de toenemende verwachtingen, kan dit uiteindelijk tot een geloofwaardigheidscrisis leiden.

Beleidsoptie 3: de huidige functies van het ENISA uitbreiden en ordehandhavings- en privacybeschermingsautoriteiten aan het ENISA toevoegen als volwaardige belanghebbenden

Dit betekent dat de rol van het Agentschap inzake netwerk- en informatiebeveiliging wordt uitgebreid tot:

- het tot stand brengen en in stand houden van een verbindingsnetwerk tussen belanghebbenden en een kennisnetwerk;

- dienst doen als ondersteuningscentrum voor netwerk- en informatiebeveiliging met het oog op de ontwikkeling en toepassing van het beleid (met name met betrekking tot e-privacy, e-sign, e-ID en aanbestedingsnormen voor netwerk- en informatiebeveiliging);

- het EU-beleid inzake de bescherming van kritieke informatie-infrastructuur en de veerkracht van die infrastructuur ondersteunen (bijv. oefeningen, EP3R^¹¹, Europees informatie-uitwisselings- en waarschuwingssysteem enz.);

- het opzetten van een EU-kader voor het verzamelen van gegevens met betrekking tot netwerk- en informatiebeveiliging, inclusief het ontwikkelen van methoden en praktijken voor wettelijke rapportering en uitwisseling;

- de economische aspecten van netwerk- en informatiebeveiliging bestuderen en er verslag over uitbrengen;

- het stimuleren van samenwerking met derde landen en internationale organisaties om een gemeenschappelijke mondiale benadering van netwerk- en informatiebeveiliging te bevorderen en om ervoor te zorgen dat internationale activiteiten op hoog niveau in Europa hun effect niet missen;

- het uitvoeren van niet-operationele taken met betrekking tot aspecten van netwerk- en informatiebeveiliging die verband houden met ordehandhaving en gerechtelijke samenwerking.

Het Agentschap moet kunnen beschikken over alle nodige middelen om zijn activiteiten zodanig uit te voeren dat ze werkelijk effect hebben. Als het ENISA over meer middelen beschikt, kan het een veel proactievere rol spelen en meer initiatieven nemen om de belanghebbenden aan te moedigen tot actieve participatie. Deze nieuwe situatie zou het ook mogelijk maken flexibeler en sneller te reageren op veranderingen in de voortdurend evoluerende omstandigheden op het gebied van netwerk- en informatiebeveiliging.

Beleidsoptie 4: extra taken toekennen op het gebied van de strijd tegen cybercriminaliteit en respons op cyberincidenten

Dit betekent dat het Agentschap, naast de activiteiten die onder optie 3 zijn vermeld, ook operationele taken op zich neemt, zoals het vervullen van een actievere rol in de bescherming van kritieke informatie-infrastructuur in de EU, bijvoorbeeld wat de preventie van en de respons op incidenten betreft, met name door op te treden als het EU- computercalamiteitenteam voor netwerk- en informatiebeveiliging en door de nationale computercalamiteitenteams te coördineren tot een EU-noodcentrum inzake netwerk- en informatiebeveiliging, inclusief dagelijks beheer en nooddiensten.

Deze optie vereist een aanzienlijke toename van de begroting en het personeelsbestand van het Agentschap, hetgeen bezorgdheid doet rijzen over het opnemingsvermogen van het Agentschap en het effectieve gebruik van de begroting in verhouding tot de te behalen voordelen.

Beleidsoptie 5: extra taken toekennen wat de ondersteuning van ordehandhavings- en gerechtelijke autoriteiten bij het bestrijden van cybercriminaliteit betreft

Dit betekent dat het Agentschap, naast de onder optie 4 vermelde activiteiten, ook de volgende taken op zich neemt:

- steun verlenen met betrekking tot procedurele wetgeving (cf. de conventie over cybercriminaliteit): bijv. het verzamelen van verkeersgegevens, het onderscheppen van inhoudgegevens, het volgen van gegevensstromen in het geval van "denial-of-service"-aanvallen;

- optreden als centrum van deskundigheid voor strafrechtelijke onderzoeken die betrekking hebben op aspecten van netwerk- en informatiebeveiliging.

Zoals bij optie 4 zou ook deze optie een aanzienlijke toename van de middelen van het Agentschap vergen en soortgelijke bezorgdheid doen rijzen over het opnemingsvermogen van het Agentschap en het effectieve gebruik van de begroting.
6.Vergelijking van de beleidsopties en beoordeling van de gevolgen

Uit de analyse van de mogelijke economische, sociale en milieueffecten blijkt dat optie 1 negatieve gevolgen zou hebben op al deze gebieden en zou leiden tot een verslechtering van de situatie.

Ook optie 2 blijkt suboptimaal te zijn omdat het Agentschap niet over de nodige middelen zou beschikken om op passende wijze het hoofd te bieden aan de uitdagingen van de voortdurend veranderende situatie inzake netwerk- en informatiebeveiliging, hetgeen de reputatie van het Agentschap kan aantasten en uiteindelijk tot een geloofwaardigheidscrisis kan leiden.

De in optie 3 voorgestelde modernisering van het Agentschap inzake netwerk- en informatiebeveiliging zou bijdragen tot:

een beperking van de versnippering van de nationale benaderingen (probleem 1), een verbetering van het kennis-/informatiegebaseerd beleid en van de beleidsvorming (probleem 3) en een verhoging van het algemene bewustzijn van en de aanpak van risico's en uitdagingen op het gebied van netwerk- en informatiebeveiliging (probleem 4) door bij te dragen tot:

- efficiëntere verzameling van relevante informatie over risico's, bedreigingen en kwetsbare punten door elke individuele lidstaat;

- grotere beschikbaarheid van informatie over huidige en toekomstige uitdagingen en risico's op het gebied van netwerk- en informatiebeveiliging;

- een verbetering van de kwaliteit van het beleid inzake netwerk- en informatiebeveiliging in de lidstaten;

een verbetering van de Europese capaciteit voor vroegtijdige waarschuwing en incidentenrespons (probleem 2), door:

- de Commissie en de lidstaten te helpen bij het opzetten van pan-Europese diensten, hetgeen schaalvoordelen oplevert bij het reageren op EU-wijde incidenten;

- de werking van EP3R te vergemakkelijken, wat uiteindelijk tot gevolg kan hebben dat gemeenschappelijke beleidsdoelstellingen en EU-wijde normen voor beveiliging en veerkracht leiden tot grotere investeringen;

het stimuleren van een gemeenschappelijke mondiale benadering van netwerk- en informatiebeveiliging (probleem 5), door:

- meer informatie en kennis uit te wisselen met niet-EU-landen;

efficiëntere en effectievere bestrijding van cybercriminaliteit (probleem 7), door:

- deel te nemen aan niet-operationele taken met betrekking tot aspecten van ordehandhaving en gerechtelijke samenwerking die verband houden met netwerk- en informatiebeveiliging, zoals de uitwisseling van informatie en opleidingen in twee richtingen (bijv. in samenwerking met de Europese Politieacademie CEPOL).

Optie 4 zou op operationeel niveau een groter effect hebben dan optie 3. Door op te treden als EU-computercalamiteitenteam inzake netwerk- en informatiebeveiliging en door de nationale computercalamiteitenteams te coördineren zou het Agentschap bijdragen tot grotere schaalvoordelen bij het reageren op EU-wijde incidenten en tot lagere operationele risico's voor het bedrijfsleven door het hogere niveau van beveiliging en veerkracht.

Optie 5 zou leiden tot grotere effectiviteit bij het bestrijden van cybercriminaliteit dan opties 3 en 4 omdat het Agentschap extra taken zou krijgen ter ondersteuning van de ordehandhavings- en gerechtelijke autoriteiten.

Hoewel zowel optie 4 als 5 een groter positief effect zou hebben dan optie 3, liggen deze twee opties politiek gevoelig voor een aantal lidstaten omdat ze er geen voorstander van zijn bevoegdheden inzake de bescherming van kritieke informatie-infrastructuur af te staan aan een centraal agentschap). Bovendien zou de in opties 4 en 5 onderzochte uitbreiding van het mandaat het Agentschap in een ambigue positie brengen. Ten slotte kan de toevoeging van deze nieuwe en volledig verschillende operationele taken aan het mandaat van het Agentschap op korte termijn een grote uitdaging vormen, met een reëel risico dat het Agentschap niet in staat zou zijn deze taken goed uit te voeren binnen een redelijke termijn. Ten slotte zijn de kosten van de tenuitvoerlegging van opties 4 en 5 veel te hoog - dit zou een vervier- of vervijfvoudiging van de huidige begroting van het ENISA vergen.

Bij het vergelijken van het effect van de vijf beleidsopties voor de organisatievorm van een gemoderniseerd Agentschap inzake netwerk- en informatiebeveiliging, moeten opties 1 en 2 worden afgewezen omdat geen van beide het mogelijk maakt deze complexe materie adequaat aan te pakken op EU-niveau. Opties 3, 4 en 5 zouden het daarentegen wel mogelijk maken de toekomstige opties van het beleid inzake netwerk- en informatiebeveiliging op passende wijze aan te pakken. Opties 4 en 5 lijken voorlopig te ambitieus, zowel wegens de politieke gevoeligheid van de meerderheid van de lidstaten als wegens de gevolgen voor de begroting. Daarom lijkt optie 3 de beste optie om de zeven vastgestelde problemen op het gebied van netwerk- en informatiebeveiliging zo efficiënt mogelijk aan te pakken.
7.Monitoring en evaluatie: hoe kunnen de werkelijke kosten en baten en de mate waarin de gewenste effecten zijn bereikt, worden gemeten?

Dit beleidsinitiatief voorziet in periodieke evaluaties die door de Commissie naar het Europees Parlement en de Raad worden gestuurd en openbaar worden gemaakt. In deze evaluaties wordt rekening gehouden met de standpunten van alle relevante belanghebbenden, op basis van het referentiekader dat met de raad van bestuur van het Agentschap is overeengekomen, en wordt beoordeeld of het Agentschap zijn doelstellingen effectief heeft bereikt, of het Agentschap nog steeds een effectief instrument is en of wijzigingen moeten worden aangebracht aan het mandaat van het Agentschap en/of aan andere punten van de oprichtingsverordening. Na afloop van een evaluatie verstrekt de raad van bestuur van het Agentschap aanbevelingen aan de Commissie over passende wijzigingen van de verordening. De raad van bestuur en de uitvoerend directeur van het Agentschap houden rekening met de resultaten van de evaluaties in de meerjarenplanning van het Agentschap.

De activiteiten van het Agentschap staan onder het toezicht van de Ombudsman, overeenkomstig artikel 228 van het Verdrag.

1Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging.

2Mededeling van de Commissie aan het Europees Parlement en de Raad inzake de evaluatie van het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) - COM(2007) 285 van 1.6.2007:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52007DC0285:NL:NOT.

3De raadpleging vond plaats van 13 juni tot 7 september 2007.

4Verordening (EG) nr. 1007/2008 van het Europees Parlement en de Raad van 24 september 2008 tot wijziging van Verordening (EG) nr. 460/2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging, ten aanzien van de looptijd van het Agentschap (PB L 293 van 31.10.2008).

5Van 7 november 2008 tot en met 9 januari 2009; het verslag kan worden geraadpleegd op:
http://ec.europa.eu/information_society/policy/nis/nis_public_consultation/index_en.htm .

6Mededeling aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's betreffende de bescherming van kritieke informatie-infrastructuur, COM(2009) 149 van 30.3.2009.

7Resolutie van de Raad van 18 december 2009 over een coöperatieve Europese aanpak met betrekking tot netwerk- en informatiebeveiliging (2009/C 321/01).

8COM(2010) 2020.

9IDC EMEA, 'The European Network and Information Security Market, Scenario, Trends and Challenges', april 2009, met verwijzing naar de Eurobarometerenquête over e-communicatie van april 2007.

10Zie http://eur-lex.europa.eu/JOHtml.do?uri=OJ:L:2009:337:SOM:NL:HTML .

11Europees publiekprivaat partnerschap voor veerkracht, zie COM(2009) 149.

NL NL