Agencia Estatal Boletín Oficial del Estado

LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Visto el Reglamento (CE) no 1258/1999 del Consejo, de 17 de mayo de 1999, sobre la financiación de la política agrícola común (1), y, en particular, su artículo 4, apartado 8,

Considerando lo siguiente:

(1) El Reglamento (CE) no 1663/95 de la Comisión (2) establece orientaciones generales para los criterios de autorización de los organismos pagadores de los Estados miembros, entre otras disposiciones.

(2) La responsabilidad principal de comprobar los gastos que se imputan a la sección de Garantía del Fondo Europeo de Orientación y de Garantía Agrícola (FEOGA) incumbe a los Estados miembros. En el desempeño de esta tarea, los Estados miembros deben asegurarse de que los sistemas de información de los organismos pagadores tienen un nivel de seguridad elevado. Para ello, es necesario que los procedimientos para garantizar la seguridad de los sistemas de información estén implantados cuando se autoriza un organismo pagador por primera vez y que lo sigan estando posteriormente.

(3) Durante el proceso de liquidación de cuentas, la Comisión únicamente puede determinar el gasto total que debe inscribirse en la cuenta general de la Sección de Garantía si tiene la certeza absoluta de que los controles nacionales son adecuados y transparentes, incluidos los controles relativos a la seguridad de los sistemas de información de los organismos pagadores. Por consiguiente, debe disponerse que los organismos de certificación expidan una declaración de seguridad en el contexto de la certificación anual de gastos, basada en normas de seguridad de la información internacionalmente reconocidas.

(4) Debe concederse a los Estados miembros un período de tiempo razonable para adaptar sus normas y procedimientos con miras a la expedición de una declaración de seguridad sobre los sistemas de información de los organismos pagadores.

(5) Deben establecerse disposiciones para que los organismos pagadores envíen a la Comisión la contabilidad y todos los documentos conexos en formato electrónico para facilitar el análisis ulterior de esa información.

(6) La práctica de delegar la gestión de los sistemas de información a terceros está cada vez más extendida y resulta conveniente permitir a los organismos pagadores que deleguen dicha función en las mismas condiciones en que pueden delegar la función de autorización o los servicios técnicos.

(7) Procede pues modificar convenientemente el Reglamento (CE) no 1663/95.

(8) Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité del Fondo.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

El Reglamento (CE) no 1663/95 se modificará como sigue:

1) El artículo 1 se modificará como sigue:

a) en la segunda frase del párrafo segundo del apartado 3, se sustituirán las palabras «la seguridad de los sistemas informáticos » por «la seguridad de los sistemas de información »;

b) en el párrafo primero del apartado 7, se añadirá el guión siguiente:

«— disposiciones relativas a la seguridad de los sistemas de información».

2) En el apartado 1 del artículo 3, se añadirán los párrafos siguientes:

«Del ejercicio 2008 en adelante, como muy tarde, el organismo de certificación deberá expedir, antes de la fecha indicada en el párrafo tercero, una declaración sobre las medidas de seguridad de los sistemas de información establecidas por el organismo pagador. Esa declaración estará basada en una versión aplicable en el ejercicio de que se trate de las normas de seguridad aceptadas internacionalmente a que se refiere el punto 6.vi) del anexo del presente Reglamento por las que se haya optado como referencia para las medidas de seguridad y deberá indicar si, en el ejercicio considerado, existían medidas de seguridad eficaces.

_______________________________

(1) DO L 160 de 26.6.1999, p. 103.

(2) DO L 158 de 8.7.1995, p. 6. Reglamento cuya última modificación la constituye el Reglamento (CE) no 2025/2001 (DO L 274 de 17.10.2001, p. 3).

En relación con los ejercicios financieros anteriores a aquél por el se efectúe la primera declaración sobre la seguridad de los sistemas de información del organismo pagador, el organismo de certificación incluirá comentarios y conclusiones provisionales en su informe de constataciones, siguiendo un mecanismo de puntuación, sobre las medidas de seguridad de los sistemas de información adoptadas por el organismo pagador. El informe se basará en una versión aplicable en el ejercicio de que se trate de las normas de seguridad aceptadas internacionalmente a que se refiere el punto 6.vi) del anexo del presente Reglamento por las que se haya optado como referencia para las medidas de seguridad y deberá indicar si existían medidas de seguridad eficaces en el ejercicio considerado.».

3) El apartado 2 del artículo 4 se sustituye por el texto siguiente:

«2. Los documentos y la información contable a que se refiere el apartado 1 se enviarán a la Comisión a más tardar el 10 de febrero del año siguiente a la finalización del ejercicio financiero al que se refieran. Los documentos indicados en el apartado 1, letras a) y b), se remitirán en un ejemplar, al que se adjuntará una copia electrónica.».

4) El anexo se modificará según lo indicado en el anexo del presente Reglamento.

Artículo 2

El presente Reglamento entrará en vigor el séptimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

Se aplicará por primera vez al ejercicio financiero que comenzó el 16 de octubre de 2004.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 22 de marzo de 2005.

Por la Comisión

Mariann FISCHER BOEL

Miembro de la Comisión

ANEXO

El anexo del Reglamento (CE) no 1663/95 se modificará como sigue:

1) El inciso iii) del punto 2 se sustituirá por el texto siguiente:

«iii) contabilidad de pago: el objetivo de esta función es el registro del pago en los libros de contabilidad del organismo referidos a los gastos del FEOGA, los cuales tendrán generalmente la forma de un sistema de información, y la preparación de las cuentas recapitulativas de gastos, particularmente las declaraciones mensual y anual a la Comisión. Los libros de contabilidad también registrarán los activos financiados por el Fondo, especialmente en lo relativo a las existencias de intervención, anticipos no liquidados y deudores.».

2) En la frase preliminar del punto 4, las palabras «y/o del servicio técnico» se sustituirán por las palabras «del servicio técnico y de la gestión de los sistemas de información».

3) El inciso vi) del punto 6 se sustituye por el texto siguiente:

«vi) La seguridad de los sistemas de información estará basada en los criterios fijados en una versión aplicable en el ejercicio considerado de una de las siguientes normas aceptadas internacionalmente:

— Organización Internacional de Normalización 17799/Norma británica 7799: Code of practice for Information Security Management (Código de prácticas para la gestión de la seguridad de la información) (BS ISO/IEC 17799).

— Bundesamt fuer Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch (Manual de protección informática de base) (BSI).

— Information Systems Audit and Control Foundation: Control Objectives for Information and related Technology (Objetivos de control para la información y tecnologías afines) (COBIT).

El organismo pagador elegirá una de las normas internacionales indicadas en el primer párrafo como referencia para las medidas de seguridad de sus sistemas de información.

Las medidas de seguridad deberán estar adaptadas a la estructura administrativa, al personal y al entorno tecnológico de cada organismo pagador. El esfuerzo financiero y tecnológico deberá ser proporcional a los riesgos reales.».