Rezolucja 2023/1905 zawierająca uwagi stanowiące integralną część decyzji w sprawie absolutorium z wykonania budżetu ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) za rok budżetowy 2021

- uwzględniając swoją decyzję w sprawie absolutorium z wykonania budżetu ENISA (Agencji Unii Europejskiej ds. Cyber- bezpieczeństwa) za rok budżetowy 2021,

- uwzględniając art. 100 Regulaminu i załącznik V do Regulaminu,

- uwzględniając sprawozdanie Komisji Kontroli Budżetowej (A9-0115/2023),

A. mając na uwadze, że zgodnie z zestawieniem dochodów i wydatków 1  ostateczny budżet ENISA (zwanej dalej "Agencją") za rok budżetowy 2021 wyniósł 23 473 060 EUR (w tym wkład władz greckich w wysokości 640 000 EUR na wynajem budynku biurowego), co stanowi wzrost o 8,26 % w porównaniu z 2020 r.; mając na uwadze, że budżet Agencji pochodzi głównie z budżetu Unii;

B. mając na uwadze, że Trybunał Obrachunkowy (zwany dalej "Trybunałem") w sprawozdaniu dotyczącym rocznego sprawozdania finansowego Agencji za rok budżetowy 2021 (zwanym dalej "sprawozdaniem Trybunału") stwierdził, iż uzyskał wystarczającą pewność, że sprawozdanie finansowe Agencji jest wiarygodne oraz że transakcje leżące u jego podstaw są legalne i prawidłowe;

Zarządzanie budżetem i finansami

1. zauważa, że wysiłki związane z monitorowaniem budżetu w roku budżetowym 2021 doprowadziły do osiągnięcia wskaźnika wykonania w odniesieniu do środków na zobowiązania na bieżący rok w wysokości 99,51 %, co oznacza wzrost o 2,16 % w porównaniu z rokiem 2020; ponadto zwraca uwagę, że wskaźnik wykonania w odniesieniu do środków na płatności na bieżący rok wyniósł 77,40 % (tym samym nie udało się zrealizować zakładanego celu Agencji w wysokości 85 %), co oznacza wzrost o 8,77 % w porównaniu z rokiem 2020;

Wyniki działalności

2. zauważa, że Agencja wykorzystuje kluczowe wskaźniki skuteczności działania do oceny swoich działań i wyników w osiąganiu celów programu prac, takich jak wartość dodana dla instytucji, organów, urzędów i agencji oraz państw członkowskich Unii w zapewnianiu wsparcia na rzecz kształtowania i wdrażania polityki, a także zdolność do przyczyniania się do cyberodporności Unii poprzez dostarczanie terminowych i skutecznych informacji i wiedzy; docenia, że zrealizowano kluczowe wskaźniki skuteczności działania, oraz fakt, że Agencja zwróciła uwagę na środki, które mogą poprawić wydajność i skuteczność jej pracy; zaleca jednak Agencji zwrócenie uwagi na wskaźniki, których jeszcze nie osiągnęła lub których realizacja jest opóźniona;

3. zauważa, że Agencja badała możliwość wniesienia wkładu za pośrednictwem wspólnych usług we wdrażanie przyszłego rozporządzenia w sprawie cyberbezpieczeństwa dla instytucji, organów i agencji UE we współpracy z zespołem reagowania na incydenty komputerowe w instytucjach, organach i agencjach UE i siecią agencji UE; wzywa Agencję do poinformowania organu udzielającego absolutorium o poczynionych w związku z tym postępach;

Polityka kadrowa

4. zauważa, że na dzień 31 grudnia 2021 r. plan zatrudnienia zrealizowano w 90,79 %, zatrudniając na czas określony 69 z 76 pracowników zatwierdzonych w budżecie unijnym (dla porównania w 2020 r. zatwierdzono 69 stanowisk); odnotowuje, że w 2021 r. dla Agencji pracowało dodatkowo 27 pracowników kontraktowych i 10 oddelegowanych ekspertów krajowych;

5. ponownie wyraża zaniepokojenie brakiem równowagi płci wśród kadry kierowniczej wyższego szczebla Agencji, którą stanowi pięciu mężczyzn (71 %) i dwie kobiety (29 %); z zaniepokojeniem zauważa brak równowagi płci wśród członków zarządu Agencji, gdzie 24 stanowiska z 28 (86 %) zajmują mężczyźni; ponadto odnotowuje równowagę płci wśród całego personelu Agencji, gdzie 57 ze 106 pracowników (54 %) to mężczyźni; wzywa Agencję i państwa członkowskie do dbania o równowagę płci przy mianowaniu i powoływaniu członków kadry kierowniczej wyższego szczebla lub zarządu; zwraca się do Agencji o poinformowanie organu udzielającego absolutorium o konkretnych działaniach podejmowanych w celu zwiększenia równowagi płci;

6. zauważa, że Agencja stosuje politykę ochrony godności osoby ludzkiej i zapobiegania molestowaniu, obejmującą specjalną stronę intranetową, specjalne coroczne szkolenia, zaufanych doradców, a także wprowadziła protokół ustaleń w celu wymiany zaufanych doradców z Europejskim Centrum Rozwoju Kształcenia Zawodowego (Cedefop);

7. zauważa, że Agencja w dużym stopniu polegała na świadczeniu usług przez pracowników tymczasowych, którzy wspierali ją w realizacji codziennych obowiązków administracyjnych, przy czym zwiększone wsparcie było również potrzebne po reorganizacji i przygotowaniach do pracy w nowym budynku, co stanowiło dodatkowe obciążenie dla zespołu ds. finansów i zamówień publicznych; ponadto zauważa z uznaniem, że zmieniona polityka rekrutacyjna Agencji doprowadziła do zmniejszenia liczby pracowników tymczasowych; na podstawie sprawozdania Trybunału zauważa ponadto, że wzrost liczby pracowników w 2021 r. wynikał z pomyślnego obsadzenia przez Agencję kilku długoterminowych wakatów; jest świadomy, że sektor cyberbezpieczeństwa i sektor technologii informacyjno-komu- nikacyjnych to sektory wysoce konkurencyjne pod względem znalezienia wykwalifikowanej i zaangażowanej siły roboczej;

8. podkreśla znaczenie opracowania długoterminowej polityki kadrowej w odniesieniu do równowagi między życiem zawodowym a prywatnym, poradnictwa przez całe życie oraz oferowania konkretnych możliwości szkoleniowych w zakresie rozwoju kariery zawodowej, równowagi płci na wszystkich szczeblach personelu, telepracy, prawa do bycia offline, zwiększenia równowagi geograficznej, aby zadbać o odpowiednią reprezentację ze wszystkich państw członkowskich, oraz rekrutacji i integracji osób z niepełnosprawnościami, a także zapewnienia ich równego traktowania i powszechnego promowania ich szans; przypomina Agencji o dalszym rozwijaniu polityki kadrowej i kultury pracy w celu skuteczniejszego reagowania na informacje otrzymywane w ankietach od pracowników;

Zamówienia publiczne

9. zauważa, że w 2021 r. Agencja zakończyła łącznie 58 postępowań o udzielenie zamówienia publicznego, w tym dwa wspólnie z Cedefop;

10. na podstawie sprawozdania Trybunału zauważa z zaniepokojeniem, że Agencja systematycznie udziela zamówień o niskiej wartości bez odnośnej decyzji o udzieleniu zamówienia, zatwierdzonej i podpisanej przez urzędnika zatwierdzającego, co jest niezgodne z pkt 30.3-30.4 załącznika I do rozporządzenia Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 2 ; na podstawie odpowiedzi Agencji zauważa, że Agencja podjęła już niezbędne kroki w celu rozwiązania tego problemu; wzywa Agencję do poinformowania organu udzielającego absolutorium o poczynionych w związku z tym postępach;

11. na podstawie sprawozdania Trybunału zauważa, że aby podjąć decyzję o zleceniu danej usługi na zewnątrz lub świadczeniu jej wewnętrznie, Agencja opracowała i stosuje metodykę analizy kosztów i korzyści oraz że metodyka ta ma błędy koncepcyjne, które mogą wpływać na obiektywizm procesu decyzyjnego i narażać Agencję na ryzyko finansowe; na podstawie odpowiedzi Agencji zauważa, że Agencja podjęła już niezbędne kroki w celu rozwiązania tego problemu; wzywa Agencję do poinformowania organu udzielającego absolutorium o poczynionych w związku z tym postępach;

12. na podstawie sprawozdania Trybunału zauważa, że w dwóch postępowaniach o udzielenie zamówienia Agencja zastosowała jako kryterium udzielenia zamówienia zdolność techniczną przedsiębiorstwa, tymczasem kryterium to wyraźnie odnosi się do oceny oferenta, a nie oferty, oraz że takie pokrywanie się kryteriów wyboru i udzielenia zamówienia podważa pewność prawa i naraża Agencję na ryzyko utraty reputacji i ryzyko prawne; na podstawie odpowiedzi Agencji zauważa, że Agencja podjęła już niezbędne kroki w celu rozwiązania tego problemu; wzywa Agencję do poinformowania organu udzielającego absolutorium o poczynionych w związku z tym postępach;

13. przypomina, że w przypadku wszystkich postępowań o udzielenie zamówienia istotne jest zapewnienie uczciwej konkurencji między oferentami oraz umożliwianie zakupu towarów i usług po najlepszej cenie, z poszanowaniem zasad przejrzystości, proporcjonalności, równego traktowania i niedyskryminacji; zwraca się o wdrożenie opracowanych przez Komisję narzędzi informatycznych na potrzeby elektronicznych zamówień publicznych; apeluje o zaktualizowane wyjaśnienie procedur i szablonów w wytycznych dotyczących zamówień publicznych; z zaniepokojeniem odnotowuje uwagi Trybunału dotyczące uchybień w zamówieniach publicznych, które zwiększają się i pozostają największym źródłem nieprawidłowych płatności dla większości agencji;

Zapobieganie konfliktom interesów i zarządzanie nimi oraz przejrzystość

14. odnotowuje istniejące środki i obecne starania Agencji, by zapewnić przejrzystość, zapobiegać konfliktom interesów i zarządzać nimi, oraz zwraca uwagę, że życiorysy członków zarządu, ich deklaracje finansowe i deklaracje interesów są publikowane na stronie internetowej Agencji;

15. na podstawie sprawozdania Trybunału zauważa, że w latach 2019-2021 Agencja oceniła trzy przypadki potencjalnego konfliktu interesów w odniesieniu do pracownika wyższego szczebla podejmującego nową pracę w innym miejscu, a w jednym przypadku zbadanym przez Trybunał Agencja nie skonsultowała się ze wspólnym komitetem, co stanowi naruszenie art. 16 regulaminu pracowniczego; na podstawie odpowiedzi Agencji zauważa, że Agencja formalnie ustanowi wspólny komitet w celu zapewnienia zgodności z obowiązującymi ramami prawnymi; wzywa Agencję do poinformowania organu udzielającego absolutorium o poczynionych w związku z tym postępach;

16. podkreśla potrzebę wprowadzenia bardziej usystematyzowanych przepisów dotyczących przejrzystości, niezgodności, konfliktu interesów, nielegalnego lobbingu i efektu "drzwi obrotowych"; wzywa Agencję do wzmocnienia mechanizmów kontroli wewnętrznej, w tym do ustanowienia wewnętrznego mechanizmu antykorupcyjnego;

Mechanizmy kontroli wewnętrznej

17. zauważa, że w swoim sprawozdaniu na temat zarządzania zasobami ludzkimi i etyki zawodowej z 2019 r. Służba Audytu Wewnętrznego wydała trzy bardzo ważne i cztery ważne zalecenia; zauważa, że chociaż Służba Audytu Wewnętrznego zamknęła cztery zalecenia, na koniec 2021 r. otwarte pozostawały trzy ważne zalecenia, które nie zostały w pełni wdrożone w wyznaczonym terminie; wzywa Agencję do poinformowania organu udzielającego absolutorium o poczynionych w związku z tym postępach;

18. zauważa, że w 2021 r. Służba Audytu Wewnętrznego przeprowadziła audyt planowania strategicznego i zarządzania wynikami, a w kwietniu 2022 r. wydała końcowe sprawozdanie z audytu zawierające trzy ważne zalecenia; wzywa Agencję do poinformowania organu udzielającego absolutorium o poczynionych w związku z tym postępach;

19. zauważa, że w 2021 r. Agencja przyjęła strategię dotyczącą newralgicznych funkcji, która weszła w życie w maju 2022 r.;

20. zauważa, że ocena kontroli wewnętrznych w 2021 r. wykazała, iż kontrole wewnętrzne dają wystarczającą pewność, że strategie, procesy, zadania i zachowania Agencji, rozpatrywane łącznie, ułatwiają jej skuteczne i wydajne funkcjonowanie, pomagają zapewnić jakość sprawozdawczości wewnętrznej i zewnętrznej oraz pomagają zapewnić zgodność z jej przepisami, oraz że konieczne są jednak pewne ulepszenia niektórych zasad, w tym udoskonalenie wskaźników ram kontroli wewnętrznej Agencji, ustanowienie ram zarządzania ryzykiem przedsiębiorstwa, przegląd zarządzania IT oraz podstawowych ram polityki i procedur, przegląd polityki rekrutacyjnej Agencji, a także aktualizacja planu ciągłości działania Agencji; wzywa Agencję do poinformowania organu udzielającego absolutorium o poczynionych w związku z tym postępach;

21. zauważa, że w 2021 r. Agencja zaktualizowała swoją politykę w zakresie konfliktu interesów oraz przyjęła strategię zwalczania nadużyć finansowych;

22. przypomina, że trzeba wzmocnić systemy zarządzania i kontroli, aby zapewnić właściwe funkcjonowanie Agencji; zdecydowanie domaga się wprowadzenia wymogu posiadania skutecznych systemów zarządzania i kontroli, aby uniknąć potencjalnych przypadków wystąpienia konfliktu interesów, brakujących kontroli ex ante lub ex post, niewłaściwego zarządzania zobowiązaniami budżetowymi i prawnymi oraz nieodnotowywania wyjątków w rejestrze odstępstw;

Cyfryzacja i zielona transformacja

23. odnotowuje zadania powierzone Agencji w związku z aktem o cyberbezpieczeństwie, mające na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, w tym aktywne wspieranie państw członkowskich oraz instytucji, organów, urzędów i agencji Unii w poprawie cyberbezpieczeństwa; odnotowuje ponadto wsparcie Agencji dla opracowania nowych dossier politycznych, takich jak bezpieczeństwo sieci i informacji, operacyjna odporność cyfrowa, elektroniczne systemy identyfikacji, uwierzytelniania i usług zaufania, Europejski kodeks łączności elektronicznej, 5G, portfel cyfrowy, sztuczna inteligencja i kodeks sieci w zakresie cyberbezpieczeństwa; z zadowoleniem przyjmuje fakt, że zgodnie z proponowanym aktem w sprawie cyberodporności Agencja byłaby odpowiedzialna za ocenę, czy dany produkt stwarza znaczące ryzyko dla cyberbezpieczeństwa; podkreśla potrzebę zapewnienia odpowiedniego personelu, aby odzwierciedlić zwiększone zadania Agencji;

24. zauważa, że Agencja wdrożyła politykę cyberbezpieczeństwa, a w szczególności stosuje podejście "dogłębnej ochrony"; zauważa ponadto, że w 2021 r. Agencja rozpoczęła przegląd swojej polityki informatycznej i ram proceduralnych, w tym strategii bezpieczeństwa informacji; zauważa ponadto, że corocznie organizowane są dla wszystkich pracowników szkolenia w zakresie ochrony danych i kursy uświadamiające w zakresie cyberbezpieczeństwa;

25. przypomina, jak ważna jest poprawa cyfryzacji w Agencji pod względem wewnętrznego funkcjonowania i zarządzania, ale także w celu przyspieszenia cyfryzacji procedur; podkreśla, że Agencja musi nadal aktywnie działać w tym zakresie, aby uniknąć przepaści cyfrowej między agencjami; zwraca jednak uwagę na konieczność podejmowania wszystkich niezbędnych środków bezpieczeństwa, aby uniknąć wszelkiego ryzyka dla bezpieczeństwa informacji przetwarzanych online;

26. odnotowuje, że Agencja opracowuje system zarządzania środowiskowego, który ma doprowadzić do certyfikacji unijnego systemu ekozarządzania i audytu; zauważa ponadto, że władze greckie zawarły w imieniu Agencji umowę najmu jej siedziby głównej w Atenach, która jest w pełni operacyjna od 1 lipca 2021 r., i że umożliwi to Agencji ustanowienie szerszego zestawu środków ekologicznych, które należy wdrożyć;

Ciągłość działania w czasie kryzysu związanego z COVID-19

27. zauważa, że od początku pandemii COVID-19 i w 2021 r. Agencja wprowadziła i utrzymała możliwości stałej telepracy, przy jednoczesnym utrzymaniu i zwiększeniu motywacji pracowników, wydajności i rozwoju; w szczególności zauważa z uznaniem, że podczas pandemii codzienne wysyłano wszystkim pracownikom za pośrednictwem specjalnej funkcyjnej skrzynki pocztowej aktualne informacje na temat liczby zakażeń oraz najnowszych wydarzeń na świe- cie, tak aby pracownicy mieli dostęp do bieżących informacji; zachęca Agencję, aby wykorzystała doświadczenia związane z pracą zdalną i hybrydową, żeby lepiej organizować spotkania i zadania, które można w przyszłości skuteczniej przeprowadzać i realizować w trybie zdalnym niż przy udziale fizycznym;

Inne uwagi

28. zauważa, że w listopadzie 2021 r. Agencja przyjęła strategię międzynarodową, co umożliwiło jej współpracę z wybranymi państwami trzecimi i organizacjami międzynarodowymi, w szczególności podczas pracy nad porozumieniami o współpracy z Ukrainą, Stanami Zjednoczonymi Ameryki i Organizacją Traktatu Północnoatlantyckiego;

29. wzywa Agencję do dalszego rozwijania efektów synergii (np. w dziedzinie zasobów ludzkich, zarządzania budynkami, usług informatycznych i bezpieczeństwa), zacieśnienia współpracy, zintensyfikowania wymiany dobrych praktyk i pogłębienia dyskusji na temat obszarów będących przedmiotem wzajemnego zainteresowania z innymi agencjami Unii w celu poprawy wydajności;

30. w odniesieniu do innych uwag towarzyszących decyzji w sprawie absolutorium, które mają charakter przekrojowy, odsyła do swojej rezolucji z dnia 10 maja 2023 r. 3  w sprawie wyników, zarządzania finansami i kontroli agencji.