PARLAMENT EUROPEJSKI,- uwzględniając swoją decyzję w sprawie absolutorium z wykonania budżetu ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) za rok budżetowy 2022,
- uwzględniając art. 100 Regulaminu i załącznik V do Regulaminu,
- uwzględniając sprawozdanie specjalne Trybunału Obrachunkowego nr 05/2022,
- uwzględniając sprawozdanie Komisji Kontroli Budżetowej (A9-0134/2024),
A. mając na uwadze, że zgodnie z zestawieniem dochodów i wydatków 1 ostateczny budżet Agencji Unii Europejskiej ds. Cyberbezpieczeństwa na rok budżetowy 2022 wyniósł 39 207 625 EUR, co stanowi wzrost o 67,03 % w porównaniu z rokiem 2021; mając na uwadze, że zwiększenie budżetu Agencji wynika głównie z dodatkowych zadań związanych z pilotażowym wdrożeniem programu dotyczącego działań wspierających w obszarze cyberbezpieczeństwa; mając na uwadze, że budżet Agencji pochodzi głównie z budżetu Unii;
B. mając na uwadze, że Trybunał Obrachunkowy (Trybunał) w sprawozdaniu dotyczącym rocznego sprawozdania finansowego Agencji za rok budżetowy 2022 (sprawozdanie Trybunału) stwierdził, iż uzyskał wystarczającą pewność, że roczne sprawozdanie finansowe Agencji jest wiarygodne oraz że transakcje leżące u jego podstaw są zgodne z prawem i prawidłowe;
Zarządzanie budżetem i finansami
1. zauważa z uznaniem, że wysiłki związane z monitorowaniem budżetu w roku budżetowym 2022 doprowadziły do osiągnięcia wskaźnika wykonania w odniesieniu do środków na zobowiązania na bieżący rok w wysokości 99,93 %, co oznacza wzrost o 0,42 % w porównaniu z rokiem 2021; zwraca ponadto uwagę, że wskaźnik wykonania środków na płatności wyniósł 52,02 %, czyli o 25,38 % mniej niż w roku 2021;
2. podkreśla, że kwota ostatecznego budżetu Agencji wynika ze zmiany w wysokości 15 000 000 EUR przyjętej przez zarząd 5 sierpnia 2022 r. w związku z wdrożeniem działania wspierającego w zakresie cyberbezpieczeństwa mającego wzmocnić reakcję Agencji na wspieranie państw członkowskich zgodnie z jej mandatem; zauważa, że większość zobowiązań w ramach działania wspierającego w zakresie cyberbezpieczeństwa podpisano pod koniec roku, co tłumaczy stosunkowo niski wskaźnik płatności (i związany z tym duży poziom przeniesienia);
Wyniki
3. pochwala fakt, że Agencja zrealizowała swój program prac na 2022 r. w 100 %; z zadowoleniem odnotowuje, że Agencja stosuje kluczowe wskaźniki skuteczności działania do oceny swoich działań i wyników w osiąganiu celów programu prac; zauważa, że niektórych celów nie udało się w pełni osiągnąć ze względu na zmianę priorytetów w zakresie zasobów, tak by zapewnić działania wspierające w zakresie cyberbezpieczeństwa w odpowiedzi na nielegalną i niesprowokowaną napaść Rosji na Ukrainę; zauważa, że niektóre cele bardziej ucierpiały ze względu na zmiany priorytetów, m.in. cel 4.2 "Opracowanie i udoskonalenie standardowych strategii operacyjnych, procedur, metod i narzędzi na wypadek kryzysu cybernetycznego" oraz 5.3 "Zainicjowanie rozwoju zaufanej sieci sprzedawców/dostawców";
4. zdaje sobie sprawę, że nielegalna i niesprowokowana rosyjska napaść na Ukrainę zdominowała program bezpieczeństwa Unii w 2022 r.; z zadowoleniem odnotowuje, że Agencja zintensyfikowała koordynację i zwiększyła gotowość oraz wniosła wkład do wspólnej orientacji sytuacyjnej Unii dzięki przedstawianiu regularnych sprawozdań sytuacyjnych dotyczących działalności w cyberprzestrzeni; podkreśla, że zintensyfikowano również koordynację i wymianę informacji z sieciami cyberbezpieczeństwa takimi jak europejska sieć organizacji łącznikowych ds. kryzysów cyberbezpieczeństwa (EU-CyCLONe), która składa się z krajowych organów zarządzania kryzysowego w dziedzinie cyberbezpieczeństwa, oraz liczne społeczności sektorowe wspierane przez Agencję; z zadowoleniem przyjmuje wysiłki Agencji, by zapewnić kanały komunikacji między szczeblem politycznym, operacyjnym i technicznym, a także wzmocnioną współpracę z siecią zespołów reagowania na incydenty bezpieczeństwa komputerowego;
5. z zadowoleniem odnotowuje, że w 2022 r. Agencja pilotowała unijną mapę cieplną, by zapewnić szybki przegląd cyberincydentów i zdarzeń cybernetycznych mających wpływ na sektory krytyczne Unii w wyniku cyberaktywności związanej z rosyjską wojną napastniczą przeciwko Ukrainie; zauważa, że sektory te przyczyniły się do opracowania sprawozdania ze zintegrowanej orientacji i analizy sytuacyjnej Komisji, zawierającego 52 aktualne informacje na temat obecnej sytuacji i incydentów związanych z rosyjską wojną napastniczą przeciwko Ukrainie, a to przyczyniło się do utworzenia unijnego mechanizmu zarządzania kryzysowego;
6. odnotowuje, że zgodnie ze sprawozdaniem specjalnym Trybunału nr 05/2022 "Cybersecurity of EU institutions, bodies and agencies" [Cyberbezpieczeństwo instytucji, organów i agencji UE] liczba cyberataków na organy Unii gwałtownie rośnie, a poziom ich gotowości do reagowania w obszarze bezpieczeństwa cybernetycznego jest zróżnicowany i ogólnie niewspółmierny do rosnących zagrożeń; zauważa, że ze względu na ścisłe powiązania między organami Unii luki w zabezpieczeniach w jednym z nich mogą zagrażać bezpieczeństwu pozostałych; podkreśla, że Trybunał zaleca, aby Agencja wraz z zespołem reagowania na incydenty komputerowe w Unii w większym stopniu koncentrowała się na tych organach Unii, które mają mniejsze doświadczenie w zarządzaniu cyberbezpieczeństwem, a to poprzez (a) określenie obszarów priorytetowych, w których instytucje, organy i agencje Unii potrzebują największego wsparcia, np. przez oceny dojrzałości w zakresie cyberbezpieczeństwa, oraz b) wdrażanie działań w zakresie budowania zdolności zgodnie z ich protokołem ustaleń; wzywa Agencję, by zajęła się kwestiami poruszonymi przez Trybunał i poinformowała organ udzielający absolutorium o działaniach podjętych w tej sprawie;
7. odnotowuje, że w 2022 r. Agencja prowadziła różne działania, aby wypełnić swoją rolę we wspieraniu Unii; zauważa, że chociaż Agencja była w stanie zaoferować wsparcie w kilku procedurach politycznych dotyczących m.in. bezpieczeństwa sieci i informacji, cyberodporności i operacyjnej odporności cyfrowej ograniczone zasoby uniemożliwiły jej aktywne udzielanie wsparcia w procedurach politycznych obejmujących przepisy dotyczące cyberbezpieczeństwa, takich jak procedura dotycząca europejskiej przestrzeni danych na temat zdrowia, oraz innych kluczowych procedurach, takich jak procedura dotycząca rynków cyfrowych i usług cyfrowych; zauważa, że inne działania polegały na informowaniu decydentów politycznych o skuteczności istniejących ram cyberbezpieczeństwa oraz udzielaniu wsparcia sektorom krytycznym; zauważa ponadto, że przyjęcie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 2 (dyrektywa NIS 2) służy sprostaniu wyzwaniom i harmonizacji polityki w całej Unii; rozumie, że brak harmonizacji we wdrażaniu dyrektywy NIS 1 doprowadził do fragmentarycznego krajobrazu politycznego, do którego odnosi się dyrektywa NIS 2; zdaje sobie sprawę, że zakres dyrektywy NIS 2 jest szerszy i wprowadza ona nowe zadania horyzontalne dla Agencji, np. unijny rejestr podmiotów cyfrowych; podkreśla, że Agencja dostosowała swoje usługi i zasoby do nowej strategii, by zaspokoić zmieniające się potrzeby w zakresie cyberbezpieczeństwa;
Wydajność i zyski
8. zauważa, że Agencja starała się zwiększyć wykorzystanie usług wspólnych z innymi agencjami lub Komisją, np. przez międzyagencyjne i międzyinstytucjonalne procedury udzielania zamówień oraz dzielenie się usługami z Europejskim Centrum Rozwoju Kształcenia Zawodowego (Cedefop) i Europejskim Centrum Kompetencji w dziedzinie Cyberbezpieczeństwa (ECCC); zauważa ponadto, że w 2022 r. Agencja podpisała umowę o gwarantowanym poziomie usług z nowo utworzonym Europejskim Centrum Kompetencji Przemysłowych, Technologicznych i Badawczych w dziedzinie Cyberbezpieczeństwa dotyczącą świadczenia na rzecz centrum usług inspektora ochrony danych i usług księgowych, która miała zostać wdrożona w 2023 r.;
9. odnotowuje kroki podjęte przez Agencję, by odejść od tradycyjnej metody obliczania liczby pracowników do strategicznego planowania siły roboczej w celu przewidywania i eliminowania luk kadrowych, co pozwoli zbudować elastyczną siłę roboczą i przeznaczyć zasoby na dziedziny priorytetowe;
10. z zadowoleniem przyjmuje wkład Agencji w promowanie wspólnych usług między agencjami za pośrednictwem kilku sieci w obszarach zamówień publicznych, zasobów ludzkich, technologii informacyjno-komunikacyjnych, zarządzania ryzykiem, zarządzania realizacją celów, ochrony danych, bezpieczeństwa informacji i rachunkowości; zwraca uwagę na korzyści horyzontalne płynące ze współpracy i dostosowania najlepszych praktyk oraz na to, że wspólne inicjatywy łączą różne perspektywy, ograniczają powielanie wysiłków, usprawniają proces nauki i wzmacniają relacje między uczestnikami; zachęca Agencję, aby wskazała procedury wewnętrzne, które można by usprawnić za pomocą nowych narzędzi informatycznych;
11. z zadowoleniem odnotowuje zaangażowanie Agencji w operację pilotażową sieci agencji Unii, której celem jest wspieranie agencji UE w zwiększaniu ich gotowości do przyszłego nowego rozporządzenia w sprawie cyberbezpieczeństwa;
12. przypomina, jak ważna jest poprawa cyfryzacji Agencji pod względem wewnętrznego funkcjonowania i zarządzania, lecz także w celu przyspieszenia cyfryzacji procedur; podkreśla, że Agencja musi nadal aktywnie działać w tym zakresie, aby uniknąć przepaści cyfrowej między agencjami;
Polityka kadrowa
13. zauważa, że na 31 grudnia 2022 r. plan zatrudnienia wdrożono w 89,02 % - na czas określony zatrudniono 73 z 82 pracowników, na których pozwalały środki z budżetu Unii (w porównaniu z 76 stanowiskami zatwierdzonymi w 2021 r.); zauważa ponadto, że w 2022 r. dla Agencji pracowało 27 pracowników kontraktowych, 10 oddelegowanych ekspertów krajowych, 10 pracowników tymczasowych i 16 wykonawców;
14. z zaniepokojeniem odnotowuje brak równowagi płci wśród kadry kierowniczej wyższego i średniego szczebla Agencji, gdzie 12 z 17 osób to mężczyźni (71 %); uważa, że należy poprawić równowagę płci wśród kadry kierowniczej wyższego i średniego szczebla Agencji; przypomina, jak ważne jest zapewnienie równowagi płci, i wzywa Agencję do uwzględnienia tego aspektu podczas przyszłych nominacji na stanowiska kadry kierowniczej wyższego i średniego szczebla; odnotowuje rozkład płci wśród członków zarządu Agencji i zwraca uwagę, że 41 z 55 osób (75 %) to mężczyźni; przyznaje, że skład zarządu zależy w dużej mierze od nominacji państw członkowskich; domaga się od Komisji i państw członkowskich, aby podczas mianowania kandydatów na członków zarządu Agencji uwzględniały znaczenie, jakie ma zapewnienie równowagi płci; odnotowuje zrównoważony podział stanowisk według płci wśród ogółu pracowników Agencji: 57 mężczyzn (52 %) i 53 kobiety (48 %); odnotowuje kroki podjęte przez Agencję, by rozwiązać problemy związane z równowagą płci, które to kroki obejmują przegląd jej polityki rekrutacyjnej w taki sposób, aby zachęcić do kandydowania kobiety; zauważa ponadto, że w swojej strategii korporacyjnej Agencja przewiduje, że do końca 2025 r. uzyska certyfikat doskonałości sieci agencji UE w zakresie różnorodności i inkluzywności;
15. zauważa, że Agencja prowadzi politykę ochrony godności osoby i zapobiegania nękaniu psychicznemu i molestowaniu seksualnemu, a wraz z innymi agencjami tworzy zespół zadaniowy złożony z zaufanych doradców; oczekuje na ich sprawozdanie i zalecenia; zauważa, że w 2022 r. nie zgłoszono żadnych przypadków molestowania ani nękania, i zachęca Agencję do kontynuowania i rozwijania prac mających na celu zapobieganie tym zjawiskom również w przyszłości;
16. wyraża zaniepokojenie brakiem równowagi geograficznej wśród kadry kierowniczej wyższego i średniego szczebla oraz wśród innych pracowników Agencji, w której 40,9 % zatrudnionych stanowią obywatele Grecji; nalega na wprowadzenie usprawnień; zwraca się do Agencji o przedstawienie organowi udzielającemu absolutorium sprawozdania na ten temat;
17. zauważa z zaniepokojeniem, że podczas opracowywania programu prac na 2023 r. Agencja zidentyfikowała niedobór zasobów w wysokości 734 000 EUR i dwa EPC w operacjach oraz 2,5 mln EUR w obsłudze administracyjnej; zauważa ponadto, że szczegółowa ocena potrzeb w zakresie zasobów ludzkich na lata 2023-2025 ujawniła znaczną lukę; zwłaszcza w zakresie krytycznych obszarów działań i bez dodatkowych stanowisk Agencja może być zmuszona do priorytetowego traktowania i dostosowania przyszłych programów prac, aby zrekompensować niedobór zasobów; zauważa, że zarząd Agencji wyraził również potrzebę, by zwiększyć liczbę stanowisk kadrowych, aby Agencja mogła w pełni wykonywać swój mandat w zrównoważony sposób;
18. z zadowoleniem przyjmuje wysiłki Agencji na rzecz integracji osób z niepełnosprawnościami przez zapewnienie dostępnej infrastruktury i usług wsparcia;
19. zauważa, że w 2022 r. Agencja kontynuowała wsparcie uzupełniające dla pracowników w postaci bonów, zwrotu kosztów internetu i programu fit@work oraz opracowała kodeks postępowania, w którym przedstawiła oczekiwania Agencji dotyczące zachowania i postępowania pracowników;
Zamówienia publiczne
20. zauważa z zaniepokojeniem, że Trybunał wykrył dwa przypadki, w których Agencja udzieliła zamówień o niskiej wartości (poniżej 15 000 EUR) i nie wydała sprawozdania z oceny ani decyzji o udzieleniu zamówienia należycie zatwierdzonej i podpisanej przez urzędnika zatwierdzającego, co narusza pkt 30.3 i 30.4 załącznika I do rozporządzenia finansowego; przypomina w związku z tym, że Trybunał przedstawił podobną uwagę w swoim sprawozdaniu za 2021 r., a w odpowiedzi Agencja stwierdziła, że podjęła już niezbędne kroki, by rozwiązać ten problem; podkreśla, jak ważne są procedury wykonawcze, by zapewnić pełną zgodność z rozporządzeniem finansowym; wzywa Agencję, by zajęła się kwestiami poruszonymi przez Trybunał i poinformowała organ udzielający absolutorium o rozwoju sytuacji w tym względzie;
21. zauważa, że według Trybunału w 2022 r. Agencja zaoferowała swoim kierownikom profesjonalną ocenę przeprowadzoną przez zewnętrznego dostawcę wyznaczonego przez Agencję; zauważa, że w trzech przypadkach Agencja zapłaciła dostawcy usług bezpośrednio za te usługi, natomiast w pozostałych 23 zwróciła koszty kierownikom, którzy sami opłacili usługę; zauważa, że łącznie za 26 przeprowadzonych ocen Agencja zapłaciła 120 276 EUR; ubolewa, że Agencja wybrała tego wykonawcę bez otwartej procedury przetargowej, w związku z czym Trybunał stwierdził, że płatności te były nieprawidłowe; wzywa Agencję, by zajęła się kwestiami poruszonymi przez Trybunał i poinformowała organ udzielający absolutorium o działaniach podjętych w tej sprawie;
22. nalega, by przepisy dotyczące zamówień publicznych umożliwiały instytucjom zamawiającym zakup koniecznych towarów i usług po najlepszej cenie, a jednocześnie zapewniały uczciwą konkurencję między oferentami i poszanowanie zasad przejrzystości, proporcjonalności, równego traktowania i niedyskryminacji; wzywa Agencję do dalszej poprawy procedur udzielania zamówień, tak aby zapewnić pełną zgodność z obowiązującymi przepisami i zagwarantować, że będą wybierane oferty o najlepszym stosunku wartości do ceny;
Zapobieganie konfliktom interesów i zarządzanie nimi oraz przejrzystość
23. odnotowuje istniejące środki i obecne starania Agencji, by zapewnić przejrzystość, zapobiegać konfliktom interesów i zarządzać nimi, oraz zwraca uwagę, że życiorysy członków zarządu, ich deklaracje finansowe i deklaracje o braku konfliktu interesów publikuje się na stronie internetowej Agencji, choć brakuje niektórych z nich;
24. zauważa, że w 2022 r. Agencja nie zgłosiła żadnych przypadków konfliktu interesów; odnotowuje ponadto, że Agencja przyjęła decyzję zarządu nr 15/2021 w sprawie zapobiegania konfliktom interesów oraz aktualizację wzorów oświadczeń; podkreśla, że należy wprowadzić procedury monitorowania zgodności z przepisami dotyczącymi efektu drzwi obrotowych oraz aktywnego monitorowania działalności zawodowej pracowników wyższego szczebla (m.in. tych, którzy opuścili agencję w ciągu ostatnich dwóch lat), aby móc wykrywać niezgłoszone przypadki efektu drzwi obrotowych;
25. odnotowuje, że kalendarz spotkań zarządu Agencji z zewnętrznymi zainteresowanymi stronami jest publicznie dostępny na jej stronie internetowej;
26. przypomina o znaczeniu, jakie dla poznania prac Agencji przez obywateli ma zwiększenie widoczności jej działań w mediach, internecie i mediach społecznościowych;
Kontrola wewnętrzna
27. zauważa, że w 2021 r. Służba Audytu Wewnętrznego przeprowadziła audyt programowania planowania strategicznego i zarządzania wynikami, a w kwietniu 2022 r. wydała końcowe sprawozdanie z audytu wraz z trzema ważnymi zaleceniami; odnotowuje ponadto, że Agencja zgodziła się z uwagami z audytu i podjęła niezbędne kroki, by rozwiązać te problemy;
28. zauważa, że zdaniem Trybunału Agencja nie stworzyła żadnej modelowej oceny (tj. wytycznych), która ułatwiłaby komisji oceniającej ocenę otrzymanych ofert; zwraca uwagę, że wiąże się to z ryzykiem, że oferty nie będą oceniane w sposób spójny przez poszczególnych członków komisji oceniającej; wzywa Agencję, by zajęła się tą kwestią poruszoną przez Trybunał i poinformowała o tym organ udzielający absolutorium;
29. zauważa, że w 2022 r. Agencja przeprowadziła kontrole ex post dotyczące transakcji finansowych przeprowadzonych w roku budżetowym 2021 zgodnie z art. 45 ust. 8 i 9 rozporządzenia delegowanego Komisji (UE) 2019/715 3 ; zwraca uwagę na fakt, że zidentyfikowano trzy niedociągnięcia, co doprowadziło do wydania trzech zaleceń dotyczących transakcji finansowych, z których żadnego nie uznano za krytyczne; zauważa, że aby zaradzić głównym niedociągnięciom, w 2022 r. wprowadzono cotygodniowe monitorowanie czasu oczekiwania na płatności, aby ostrzegać odpowiedni personel finansowy przed pilnymi transakcjami oczekującymi na przetworzenie i zapewnić zgodność z ramami prawnymi dotyczącymi terminów płatności;
30. zauważa, że w 2022 r. ocena skuteczności systemów kontroli wewnętrznej Agencji opierała się na wskaźnikach ram, a także na dodatkowych informacjach z konkretnych sprawozdań z oceny (ryzyka), ustaleń z audytu i innych istotnych źródeł; zauważa, że ocena kontroli wewnętrznych Agencji wskazuje na wystarczającą pewność co do ułatwienia skutecznych i wydajnych działań, zapewnienia wysokiej jakości sprawozdawczości i zgodności z przepisami, ale konieczne są pewne usprawnienia niektórych zasad, co zwiększy skuteczność i zapewni prawidłowe kontrole wewnętrzne; wzywa Agencję, by poinformowała organ udzielający absolutorium o działaniach następczych w związku z oceną tych usprawnień;
Inne uwagi
31. zauważa, że Agencja wdrożyła istotne środki mające zwiększyć ochronę cyberbezpieczeństwa takie jak bezpieczne rozwiązanie dotyczące poczty elektronicznej (SECEM2), ćwiczenia "red team" oraz dalsze usprawnienia, wzmacnianie i likwidacja dotychczasowych systemów, aktualizacja ram wewnętrznej polityki cyberbezpieczeństwa;
32. z zadowoleniem przyjmuje fakt, że zarząd Agencji dodał do jej jednolitego dokumentu programowego na lata 2022-2024 cel osiągnięcia przez Agencję neutralności klimatycznej we wszystkich jej działaniach do 2030 r.; zauważa, że wraz z przyjęciem strategii korporacyjnej Agencji certyfikacja EMAS i zielone zamówienia publiczne są kluczowymi celami Agencji; zauważa, że proces certyfikacji ma zakończyć się w 2024 r.;
33. w odniesieniu do innych uwag towarzyszących decyzji w sprawie absolutorium, które mają charakter przekrojowy, odsyła do swojej rezolucji z dnia 11 kwietnia 2024 r. 4 w sprawie wyników, zarządzania finansami i kontroli agencji.
