(1)

Tīklu un informācijas sistēmām un sakaru tīkliem un pakalpojumiem ir būtiska nozīme sabiedrības dzīvē, un tie ir kļuvuši par ekonomikas izaugsmes pamatu. Informācijas un komunikācijas tehnoloģijas (IKT) tiek izmantotas tādu kompleksu sistēmu pamatā, kuras ļauj mums ikdienā īstenot sabiedrisko darbību; tās uztur saimniecisko darbību tādās nozīmīgās nozarēs kā veselības aprūpe, enerģētika, finanses un transports un jo īpaši atbalsta iekšējā tirgus darbību.

(2)

Iedzīvotāji, organizācijas un uzņēmumi plaši izmanto tīklu un informācijas sistēmas visā Savienības teritorijā. Digitalizācija un savienojamība kļūst par galvenajiem elementiem aizvien plašākajā produktu un pakalpojumu klāstā, un, attīstoties lietu internetam, paredzams, ka tuvākajā desmitgadē visā Savienībā izmantos ārkārtīgi augstu skaitu satīkloto digitālo ierīču. Lai gan internetam pieslēgto ierīču kļūst aizvien vairāk, drošība un noturība nav pietiekami integrēta un līdz ar to arī kiberdrošības līmenis nav pietiekami augsts. Minētajos apstākļos, ja sertifikācijas izmantošana ir ierobežota, ne individuālie lietotāji, ne lietotāji organizācijās un uzņēmumos, nav pietiekami informēti par IKT produktu, pakalpojumu un IKT procesu kiberdrošības aspektiem, kas mazina uzticēšanos digitālajiem risinājumiem. Tīklu un informācijas sistēmas spēj atbalstīt visus mūsu dzīves aspektus un virzīt Savienības ekonomikas izaugsmi. Tās ir stūrakmens digitālā vienotā tirgus sasniegšanai.

(3)

Aizvien plašākā digitalizācija un satīklojamība palielina kiberdrošības riskus, tādējādi sabiedrību kopumā padarot mazāk aizsargātu pret kiberdraudiem un palielinot briesmas, ar ko saskaras iedzīvotāji, tostarp tādas neaizsargātas personas kā bērni. Lai mazinātu minētos riskus, ir jāveic visi vajadzīgie pasākumi, kuru mērķis ir uzlabot kiberdrošību Savienībā, lai tīklu un informācijas sistēmas, sakaru tīkli, digitālie produkti, pakalpojumi un ierīces, ko izmanto iedzīvotāji, organizācijas un uzņēmumi, sākot no maziem un vidējiem uzņēmumiem (MVU), kā definēts Komisijas Ieteikumā 2003/361/EK (4), līdz pat kritiskās infrastruktūras apsaimniekotājiem, būtu labāk aizsargāti pret kiberdraudiem.

(4)

Eiropas Savienības Tīklu un informācijas drošības aģentūra (ENISA), kas izveidota ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 526/2013 (5), sabiedrībai darot pieejamu attiecīgu informāciju, sekmē kiberdrošības nozares attīstību Savienībā, jo īpaši MVU un jaunuzņēmumu veidošanos. ENISA būtu jātiecas veidot ciešāku sadarbību ar augstākās izglītības iestādēm un pētniecības iestādēm, lai mazinātu atkarību no kiberdrošības produktiem un pakalpojumiem, kuru izcelsme ir ārpus Savienības, un stiprinātu piegādes ķēdes Savienības iekšienē.

(5)

Kiberuzbrukumi kļūst aizvien biežāki, tāpēc satīklotai ekonomikai un sabiedrībai, kas ir mazāk aizsargāta pret kiberdraudiem un uzbrukumiem, ir vajadzīga spēcīgāka aizsardzība. Tomēr, lai gan kiberuzbrukumi bieži notiek pāri robežām, kiberdrošības iestāžu un tiesībaizsardzības iestāžu kompetence un politiskā reakcija pārsvarā ir valstu piekritībā. Plašapmēra incidenti var pārtraukt būtisku pakalpojumu sniegšanu visā Savienībā. Tas rada vajadzību pēc efektīvas un koordinētas Savienības līmeņa atbildes un krīžu pārvarēšanas, kuras pamatā izmantota specifiska politika un plašāka mēroga instrumenti Eiropas solidaritātes un savstarpējā atbalsta nodrošināšanai. Turklāt politikas veidotājiem, nozarei un lietotājiem ir svarīgi, lai kiberdrošības un noturības stāvoklis Savienībā tiktu regulāri izvērtēts, pamatojoties uz ticamiem Savienības līmeņa datiem, kā arī lai sistemātiski tiktu prognozēta turpmākā attīstība, izaicinājumi un draudi Savienības un globālā līmenī.

(6)

Ņemot vērā pieaugošos kiberdrošības izaicinājumus, ar ko saskaras Savienība, ir jāizveido visaptverošs pasākumu kopums, kas papildinātu agrāko Savienības rīcību un palīdzētu sasniegt savstarpēji pastiprinošus mērķus. Minētie mērķi paredz vairāk uzlabot dalībvalstu un uzņēmumu spējas un sagatavotību, kā arī sekmēt sadarbību, informācijas apmaiņu un koordināciju starp dalībvalstīm un Savienības iestādēm, struktūrām, birojiem un aģentūrām. Turklāt, ņemot vērā kiberdraudu pārrobežu raksturu, ir jāpalielina spējas Savienības līmenī, kas varētu papildināt dalībvalstu rīcību, sevišķi plašapmēra pārrobežu incidentu un krīžu gadījumā, vienlaikus ņemot vērā to, cik svarīgi ir saglabāt un vēl vairāk uzlabot valstu spējas reaģēt uz jebkāda apjoma kiberdraudiem.

(7)

Vajadzīgi arī papildu centieni, kas uzlabotu iedzīvotāju, organizāciju un uzņēmumu izpratni kiberdrošības jautājumos. Turklāt, ņemot vērā to, ka incidenti mazina uzticēšanos digitālo pakalpojumu sniedzējiem un pašam digitālajam tirgum, jo īpaši patērētāju vidū, uzticēšanās būtu vēl vairāk jāstiprina, pārredzamā veidā sniedzot informāciju par IKT produktu, IKT pakalpojumu un IKT procesu drošības līmeni, kurā uzsvērts, ka pat augsts kiberdrošības sertifikācijas līmenis nevar garantēt IKT produkta, IKT pakalpojuma vai IKT procesa pilnīgu drošību. Lielāku uzticēšanos var veicināt Savienības mēroga sertifikācija, kuras ietvaros visos valstu tirgos un nozarēs tiktu nodrošinātas vienotas kiberdrošības prasības un izvērtēšanas kritēriji.

(8)

Kiberdrošība nav tikai jautājums par tehnoloģiju, vienlīdz svarīga ir arī cilvēku uzvedība. Tāpēc būtu pastiprināti jāveicina “kiberhigiēna”, proti, vienkārši ikdienā veicami pasākumi, kurus ieviešot un regulāri veicot iedzīvotāji, organizācijas un uzņēmumi samazina kiberdraudu radītos riskus.

(9)

Lai stiprinātu Savienības kiberdrošības struktūras, ir svarīgi uzturēt un attīstīt dalībvalstu spējas visaptveroši reaģēt uz kiberdraudiem, tostarp pārrobežu incidentiem.

(10)

Uzņēmumu un patērētāju rīcībā vajadzētu būt precīzai informācijai par to, kāda līmeņa drošības apliecinājumam sertificēti to IKT produkti, IKT pakalpojumi un IKT procesi. Tajā pašā laikā neviens IKT produkts vai IKT pakalpojums nav pilnībā kiberdrošs, un ir jāpopularizē un par prioritāti jāizvirza kiberhigiēnas pamatnoteikumi. Ņemot vērā to, ka arvien pieejamākas kļūst lietu interneta ierīces, ir pieejams plašs tādu brīvprātīgu pasākumu klāsts, kurus privātais sektors var veikt, lai pastiprinātu IKT produktu, IKT pakalpojumu un IKT procesu drošību.

(11)

Mūsdienīgos IKT produktos un sistēmās bieži ir integrēta viena vai vairākas trešo personu tehnoloģijas un komponenti, piemēram, programmatūras moduļi, krātuves vai lietojumprogrammu saskarnes, un minētie produkti un sistēmas ir atkarīgi no šīm tehnoloģijām un komponentiem. Šī “atkarība” varētu radīt papildu kiberdrošības riskus, jo trešo personu komponentos atrastās ievainojamības varētu ietekmēt arī IKT produktu, IKT pakalpojumu un IKT procesu drošību. Daudzos gadījumos šādas atkarības identificēšana un dokumentēšana dod iespēju IKT produktu, IKT pakalpojumu un IKT procesu galalietotājiem uzlabot savas kiberdrošības riska pārvaldības darbības, piemēram, uzlabojot lietotāju kiberdrošības ievainojamības pārvaldības un novēršanas procedūras.

(12)

Organizācijas, ražotāji vai pakalpojumu sniedzēji, kas iesaistīti IKT produktu, IKT pakalpojumu un IKT procesu projektēšanā un attīstībā, būtu jāmudina pēc iespējas agrīnā projektēšanas un attīstības stadijā iespējami visaugstākajā līmenī aizsargāt minēto produktu, procesu un pakalpojumu drošību, paredzot kiberuzbrukumu iespējamību un prognozējot un mazinot to ietekmi (integrētā drošība). Drošība būtu jānodrošina visā IKT produkta, IKT pakalpojuma vai IKT procesa dzīves cikla laikā, izmantojot projektēšanas un izstrādes procesus, kas pastāvīgi attīstās, lai samazinātu ļaunprātīgas izmantošanas kaitējuma risku.

(13)

Uzņēmumiem, organizācijām un publiskajam sektoram to projektētie IKT produkti, IKT pakalpojumi vai IKT procesi būtu jākonfigurē tā, ka tiek nodrošināta augstāka līmeņa drošība, kam vajadzētu dot iespēju pirmajam lietotājam saņemt standarta konfigurāciju ar visdrošākajiem iestatījumiem, kādi vien ir iespējami (drošība pēc noklusējuma), tādējādi lietotājiem samazinot slogu, kas rastos, ja viņiem pašiem būtu pienācīgi jākonfigurē IKT produkts, IKT pakalpojums vai IKT process. Drošībai pēc noklusējuma nevajadzētu būt tādai, kurai ir nepieciešama plaša konfigurēšana vai tādai, kuras lietotājam būtu specifiska tehniska izpratne vai arī tam jāveic rīcība, kas nav pašsaprotama, un pēc iestatīšanas tai vajadzētu darboties vienkārši un uzticami. Ja attiecīgā gadījumā riska un lietojamības analīze liek izdarīt secinājumu, ka šādi standarta iestatījumi nav iespējami, lietotāji būtu jāmudina izvēlēties visdrošākos iestatījumus.

(14)

Eiropas Parlamenta un Padomes Regula (EK) Nr. 460/2004 (6) izveidoja ENISA, lai tā sekmētu augsta un efektīva līmeņa tīklu un informācijas drošības mērķu sasniegšanu Savienībā un palīdzētu attīstīt tīklu un informācijas drošības kultūru, kas nāktu par labu iedzīvotājiem, patērētājiem, uzņēmumiem un valsts pārvaldes iestādēm. Ar Eiropas Parlamenta un Padomes Regulu (EK) Nr. 1007/2008 (7) pagarināja ENISA pilnvaru termiņu līdz 2012. gada martam. Savukārt ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 580/2011 (8) ENISA pilnvaru termiņu pagarināja līdz 2013. gada 13. septembrim. Ar Regulu (ES) Nr. 526/2013 ENISA pilnvaru termiņu pagarināja līdz 2020. gada 19. jūnijam.

(15)

Savienība jau ir veikusi būtiskus pasākumus, lai nodrošinātu kiberdrošību un palielinātu uzticēšanos digitālajām tehnoloģijām. 2013. gadā tika pieņemta Eiropas Savienības kiberdrošības stratēģija ar mērķi dot virzību Savienības politiskajai reakcijai uz kiberdraudiem un kiberriskiem. Cenšoties uzlabot iedzīvotāju aizsardzību tiešsaistē, 2016. gadā tika pieņemts pirmais Savienības tiesību akts kiberdrošības jomā, proti, Eiropas Parlamenta un Padomes Direktīva (ES) 2016/1148 (9). Direktīvā (ES) 2016/1148 ir ieviestas prasības attiecībā uz valstu spējām kiberdrošības jomā, izveidoti pirmie mehānismi dalībvalstu stratēģiskās un operatīvās sadarbības stiprināšanai un noteikti pienākumi attiecībā uz drošības pasākumiem un incidentu paziņošanu ekonomiski un sabiedriski nozīmīgās nozarēs, piemēram, enerģētikā, transporta, dzeramā ūdens piegādes un izplatīšanas, banku, finanšu tirgus infrastruktūru, veselības aprūpes un digitālās infrastruktūras nozarē, kā arī pienākumi galvenajiem digitālo pakalpojumu sniedzējiem (meklētājprogrammas, mākoņdatošanas pakalpojumi un tiešsaistes tirdzniecības vietas).

Lai atbalstītu minētās direktīvas īstenošanu, ENISA tika uzticēta būtiska loma. Turklāt efektīva cīņa pret kibernoziegumiem ir noteikta par svarīgu prioritāti Eiropas Drošības programmā, tādējādi palīdzot sasniegt vispārējo mērķi attiecībā uz augstu kiberdrošības līmeni. Augsta līmeņa kiberdrošību digitālajā vienotajā tirgū veicina arī citi tiesību akti, piemēram, Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (10) un Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (11) un (ES) 2018/1972 (12).

(16)

Kopš Eiropas Savienības kiberdrošības stratēģijas pieņemšanas 2013. gadā un ENISA pilnvaru pēdējās pārskatīšanas vispārējais politikas konteksts ir ievērojami mainījies, jo situācija pasaules mērogā ir kļuvusi aizvien neskaidrāka un nedrošāka. Šajā sakarībā un saistībā ar pozitīvo ENISA lomas attīstību, kura ir uzziņas punkts padomiem un lietpratībai un darbojas kā sadarbības un spēju veidošanas sekmētāja, kā arī jaunās Savienības kiberdrošības politikas satvarā ir jāpārskata ENISA pilnvaras, lai noteiktu tās uzdevumus mainītajā kiberdrošības ekosistēmā un nodrošinātu, ka tā dod efektīvu ieguldījumu Savienības reaģēšanā uz kiberdrošības izaicinājumiem, kas izriet no radikāli pārveidotās kiberdraudu ainas, attiecībā uz kuru, kā atzīts ENISA izvērtējumā, tagadējais pilnvaru tvērums nav pietiekami plašs.

(17)

Ar šo regulu izveidotajai ENISA būtu jāpārņem ar Regulu (ES) Nr. 526/2013 izveidotās ENISA darbs. ENISA būtu jāpilda pienākumi, kas tai uzticēti ar šo regulu un ar citiem Savienības tiesību aktiem kiberdrošības jomā, cita starpā dodot padomus un daloties lietpratībā, kā arī darbojoties kā Savienības informācijas un zināšanu centram. Tai būtu jāveicina paraugprakses apmaiņa dalībvalstu un privāto ieinteresēto personu starpā, Komisijai un dalībvalstīm jāizvirza politikas ierosinājumi, jādarbojas kā uzziņas punktam attiecībā uz Savienības nozaru politikas iniciatīvām kiberdrošības jautājumos un jāsekmē operatīvā sadarbība gan dalībvalstu starpā, gan dalībvalstu un Savienības iestāžu, struktūru, biroju un aģentūru starpā.

(18)

Saskaņā ar Lēmumu 2004/97/EK, Euratom, kas pieņemts, tiekoties dalībvalstu pārstāvjiem valstu un valdību vadītāju līmenī (13), dalībvalstu pārstāvji nolēma, ka ENISA atrašanās vieta būs kādā no Grieķijas pilsētām, kuru izvēlēsies Grieķijas valdība. ENISA mītnes dalībvalstij būtu jānodrošina pēc iespējas labāki apstākļi ENISA netraucētai un efektīvai darbībai. Lai tā varētu pienācīgi un efektīvi veikt savus uzdevumus, pieņemt darbā darbiniekus un noturēt tos un lai uzlabotu tīklošanas darbību efektivitāti, ENISA noteikti būtu jāatrodas piemērotā vietā, kurā cita starpā būtu nodrošināti pienācīgi transporta savienojumi un infrastruktūra darbinieku laulātajiem un bērniem. Nepieciešamie pasākumi būtu jāparedz ENISA un mītnes dalībvalsts nolīgumā, ko noslēgtu pēc ENISA Administratīvās padomes apstiprinājuma saņemšanas.

(19)

Ņemot vērā pieaugošos kiberdrošības riskus un izaicinājumus, ar ko saskaras Savienība, būtu jāpalielina ENISA piešķirtie finansiālie līdzekļi un cilvēkresursi, lai tie atbilstu tās paplašinātajai lomai un uzdevumiem, kā arī īpaši svarīgajai nozīmei, kas tai ir to organizāciju ekosistēmā, kuras aizsargā Savienības digitālo ekosistēmu, dodot ENISA iespēju efektīvi veikt tai ar šo regulu uzticētos uzdevumus.

(20)

ENISA būtu jāattīsta un jāsaglabā augsts lietpratības līmenis un jākļūst par uzziņas punktu, kas ar savu neatkarību, sniegto padomu kvalitāti, izplatītās informācijas kvalitāti, darba procedūru pārredzamību, darbības metožu pārredzamību un neatlaidību uzdevumu izpildē rada uzticēšanos vienotajam tirgum. ENISA būtu aktīvi jāatbalsta valstu centieni un būtu proaktīvi jāveicina Savienības centieni, pildot savus uzdevumus pilnīgā sadarbībā ar Savienības iestādēm, struktūrām, birojiem un aģentūrām un dalībvalstīm, izvairoties no darba dublēšanās un sekmējot sinerģiju. Turklāt ENISA būtu jāizmanto privātā sektora, kā arī citu attiecīgo ieinteresēto personu piedāvātais atbalsts un sadarbības iespējas. ENISA uzdevumu kopumam būtu jānosaka tās mērķu sasniegšanas veidi, vienlaikus ļaujot tai darboties elastīgi.

(21)

Lai spētu nodrošināt pietiekamu atbalstu operatīvajai sadarbībai starp dalībvalstīm, ENISA būtu vēl vairāk jāstiprina savas tehniskās un cilvēkresursu iespējas un prasmes. ENISA būtu jāpaplašina tās zinātība un spējas. ENISA un dalībvalstis brīvprātīgi var izstrādāt programmas valsts ekspertu norīkošanai uz ENISA, izveidojot ekspertu rezerves sarakstus un personāla apmaiņu.

(22)

ENISA būtu jāpalīdz Komisijai ar padomiem, atzinumiem un analīzi attiecībā uz visiem Savienības jautājumiem, kas ir saistīti ar politikas un tiesību aktu izstrādi, atjaunināšanu un pārskatīšanu kiberdrošības jomā un ar konkrētu nozaru kiberdrošības aspektiem, nolūkā palielināt Savienības politikas un tiesību aktu ar kiberdrošības dimensiju nozīmīgumu un panākt minētās politikas un tiesību aktu īstenošanas konsekvenci valstu līmenī. Saistībā ar konkrētu nozaru Savienības politikas un tiesību aktu iniciatīvām, kurās ietverti ar kiberdrošību saistīti jautājumi, ENISA būtu jādarbojas kā padomu un lietpratības uzziņas punktam. ENISA par savu darbību būtu regulāri jāinformē Eiropas Parlaments.

(23)

Atklātā interneta publiskais kodols, proti tā galvenie protokoli un infrastruktūra, kas ir globāls sabiedrisks labums, nodrošina interneta būtiskākās funkcijas kopumā un ir tā normālas darbības pamats. ENISA būtu jāatbalsta atklātā interneta publiskā kodola drošība un tā funkcionēšanas stabilitāte, tostarp – bet ne tikai – attiecībā uz galvenajiem protokoliem (jo īpaši DNS, BGP un IPv6), domēnu nosaukumu sistēmas darbību (piemēram, visu augstākā līmeņa domēnu darbība) un sakņu zonas darbību.

(24)

ENISA pamatuzdevums ir veicināt attiecīgā tiesiskā regulējuma konsekventu īstenošanu, jo īpaši Direktīvas (ES) 2016/1148 un citu attiecīgo tiesību instrumentu efektīvu īstenošanu, kuros ir ietverti kiberdrošības aspekti, kas ir būtiski svarīgi kibernoturības līmeņa paaugstināšanai. Ņemot vērā strauji mainīgo kiberdraudu ainu, ir skaidrs, ka dalībvalstis ir jāatbalsta ar visaptverošu daudznozaru pieeju kibernoturības veidošanā.

(25)

ENISA būtu jāatbalsta dalībvalstu un Savienības iestāžu, struktūru, biroju un aģentūru centieni veidot un uzlabot spējas un gatavību novērst un atklāt kiberdraudus un incidentus, un reaģēt uz tiem, kā arī attiecībā uz tīklu un informācijas sistēmu drošību. ENISA jo īpaši būtu jāatbalsta Direktīvā (ES) 2016/1148 paredzēto valstu un Savienības datordrošības incidentu reaģēšanas vienību (“CSIRT”) izveide un uzlabošana ar mērķi Savienībā tajās panākt vienādi augsta līmeņa gatavību. Darbībām, ko ENISA veic saistībā ar dalībvalstu operatīvajām spējām, būtu aktīvi jāpapildina dalībvalstu rīcība nolūkā pildīt to saistības saskaņā ar Direktīvu (ES) 2016/1148, un tādēļ ar tām nevajadzētu aizstāt dalībvalstu rīcību.

(26)

ENISA arī būtu jāpalīdz izstrādāt un atjaunināt Savienības un – pēc pieprasījuma – dalībvalstu tīklu un informācijas sistēmu drošības, jo īpaši kiberdrošības, stratēģijas, un būtu jāveicina to izplatīšana un jāseko to īstenošanas virzībai. ENISA būtu arī jāsekmē tas, ka tiek apmierināta vajadzība pēc apmācībām un mācību materiāliem, tostarp publisko struktūru vajadzības, un attiecīgā gadījumā lielā mērā vajadzība pēc “mācībspēku apmācīšanas”, pamatojoties uz iedzīvotāju digitālās kompetences satvaru nolūkā palīdzēt dalībvalstīm un Savienības iestādēm, struktūrām, birojiem un aģentūrām attīstīt pašām savas apmācības spējas.

(27)

ENISA dalībvalstis būtu jāatbalsta kiberdrošības izpratnes veicināšanas un izglītības jomā, sekmējot ciešāku koordināciju un paraugprakšu apmaiņu starp dalībvalstīm. Šāds atbalsts var izpausties kā valsts izglītības kontaktpunktu tīkla izveide un kiberdrošības apmācības platformas izveide. Valsts izglītības kontaktpunktu tīkls varētu darboties valsts sadarbības koordinatoru tīkla ietvaros un kļūt par turpmākas koordinācijas aizsākumu dalībvalstīs.

(28)

ENISA būtu jāpalīdz ar Direktīvu (ES) 2016/1148 izveidotajai Sadarbības grupai pildīt tās uzdevumus, jo īpaši daloties lietpratībā, sniedzot padomus un veicinot paraugprakses apmaiņu, cita starpā attiecībā uz pamatpakalpojumu sniedzēju identifikāciju, ko veic dalībvalstis, kā arī pievēršoties pārrobežu atkarībai saistībā ar riskiem un incidentiem.

(29)

Lai stimulētu sadarbību starp publisko un privāto sektoru un starp privātā sektora dalībniekiem, jo īpaši nolūkā atbalstīt kritiskās infrastruktūras aizsardzību, ENISA būtu jāatbalsta informācijas apmaiņa nozarēs un starp tām, jo īpaši nozarēs, kas uzskaitītas Direktīvas (ES) 2016/1148 II pielikumā, nodrošinot paraugpraksi un norādījumi par pieejamajiem rīkiem un procedūrām, kā arī sniedzot norādījumus, kā pievērsties regulatīviem problēmjautājumiem saistībā ar informācijas apmaiņu, piemēram, veicinot nozaru informācijas apmaiņas un analīzes centru izveidi.

(30)

Apstākļos, kad arvien palielinās potenciālā negatīvā ietekme, kas izriet no IKT produktu, IKT pakalpojumu un IKT procesu ievainojamībām, šādu ievainojamību atrašana un novēršana ir ārkārtīgi nozīmīga, lai samazinātu vispārējo kiberdrošības risku. Sadarbība starp organizācijām, tādiem ražotājiem vai pakalpojumu sniedzējiem, kuru IKT produktiem, IKT pakalpojumiem un IKT procesiem piemīt ievainojamības, un kiberdrošības pētniecības kopienu un valdībām, kas ievainojamības atklāj, ir parādījusi, ka tā būtiski palielina IKT produktu, IKT pakalpojumu un IKT procesu ievainojamību atklāšanu un novēršanu. Koordinēta ievainojamību atklāšana ir strukturēts sadarbības process, kurā par ievainojamībām tiek ziņots informācijas sistēmas īpašniekam, dodot attiecīgajai organizācijai iespēju diagnosticēt un novērst ievainojamību pirms detalizēta informācija par to tiek darīta zināma trešām pusēm vai sabiedrībai. Šis process arī paredz koordināciju starp ievainojamības atklājēju un attiecīgo organizāciju par minēto ievainojamību publiskošanu. Koordinētai ievainojamību atklāšanas politikai varētu būt ļoti svarīga nozīme dalībvalstu centienos pastiprināt kiberdrošību.

(31)

Lai informācijas apmaiņas vajadzībām sekmētu kopīgu procedūru, valodas lietojuma un terminoloģijas ieviešanu, Aģentūrai būtu jāapkopo un jāanalizē valstu brīvprātīgā kārtā sniegtie CSIRT ziņojumi un starpiestāžu datorapdraudējumu reaģēšanas vienības Savienības iestādēm, struktūrām un aģentūrām, kas izveidota ar Vienošanos starp Eiropas Parlamentu, Eiropadomi, Eiropas Savienības Padomi, Eiropas Komisiju, Eiropas Savienības Tiesu, Eiropas Centrālo banku, Eiropas Revīzijas palātu, Eiropas Ārējās darbības dienestu, Eiropas Ekonomikas un sociālo lietu komiteju, Eiropas Reģionu komiteju un Eiropas Investīciju banku par Savienības iestāžu, struktūru un aģentūru datorapdraudējumu reaģēšanas vienības (CERT-EU) organizāciju un darbību (14) ziņojumi. Šajā saistībā ENISA būtu jāiesaista privātais sektors saistībā ar Direktīvu (ES) 2016/1148, kurā izklāstīti iemesli brīvprātīgai tehniskās informācijas apmaiņai operatīvā līmenī datordrošības incidentu reaģēšanas vienību tīkla (“CSIRT tīkls”), kas izveidots ar minēto direktīvu, iekšienē.

(32)

ENISA būtu jāpalīdz nodrošināt Savienības līmeņa reaģēšanu uz plašapmēra pārrobežu incidentiem un krīzēm saistībā ar kiberdrošību. Minētais uzvedums būtu jāveic atbilstīgi ENISA pilnvarām saskaņā ar šo regulu un ar pieeju, par kuru dalībvalstīm jāvienojas saistībā ar Komisijas Ieteikumu (ES) 2017/1584 (15) un Padomes 2018. gada 26. jūnija secinājumiem par koordinētu ES reaģēšanu uz plašapmēra kiberdrošības incidentiem un krīzēm. Minētais uzdevums varētu ietvert attiecīgas informācijas vākšanu un starpniecības veicināšanu starp CSIRT tīklu un tehniskajiem speciālistiem, kā arī starp par krīžu pārvarēšanu atbildīgajiem lēmumu pieņēmējiem. Turklāt ENISA – ja to prasa viena vai vairākas dalībvalstis – tehniskā ziņā būtu jāatbalsta dalībvalstu operatīvā sadarbība incidentu risināšanā, sekmējot attiecīgo tehnisko risinājumu apmaiņu starp dalībvalstīm un sniedzot ieguldījumu informācijas publiskošanas jomā. ENISA būtu jāatbalsta operatīvā sadarbība, pārbaudot šādas sadarbības kārtību regulārās kiberdrošības mācībās.

(33)

Sniedzot atbalstu operatīvajai sadarbībai, ENISA būtu jāizmanto pieejamā CERT-EU tehniskā un operatīvā lietpratība, izmantojot strukturētu sadarbību. Šādas strukturētās sadarbības pamatā varētu būt ENISA lietpratība. Attiecīgā gadījumā starp abām vienībām būtu jāpanāk īpaša vienošanās par šādas sadarbības praktiskas īstenošanas kārtību un jāizvairās no darbību dublēšanās.

(34)

Īstenojot uzdevumu atbalstīt operatīvo sadarbību CSIRT tīkla iekšienē ENISA būtu jāspēj sniegt atbalstu dalībvalstīm pēc to pieprasījuma, piemēram, sniedzot padomus par to, kā uzlabot to spējas novērst un atklāt incidentus un reaģēt uz tiem, atvieglojot tādu incidentu tehnisku novēršanu, kuriem ir būtiska vai nozīmīga ietekme vai nodrošinot kiberdraudu un incidentu analīzi. ENISA būtu jāsekmē tādu incidentu tehniska novēršana, kuriem ir būtiska vai nozīmīga ietekme, jo īpaši atbalstot brīvprātīgu apmaiņu ar tehniskiem risinājumiem starp dalībvalstīm vai izstrādājot apvienotu tehnisko informāciju, piemēram, tehniskus risinājumus, ar kuriem dalībvalstis ir dalījušās brīvprātīgi. Ieteikumā (ES) 2017/1584 ieteikts dalībvalstīm godprātīgi sadarboties un bez liekas kavēšanās savā starpā un ar ENISA dalīties ar informāciju par plašapmēra incidentiem un krīzēm saistībā ar kiberdrošību. Šādai informācijai vēl vairāk palīdzētu ENISA pildīt operatīvās sadarbības atbalsta uzdevumu.

(35)

Lai regulāras tehniskās sadarbības ietvaros veicinātu situācijas apzināšanos Savienībā, ENISA ciešā sadarbībā ar dalībvalstīm būtu jāsagatavo regulārs padziļināts ES kiberdrošības tehniskās situācijas ziņojums par incidentiem un kiberdraudiem, kuri balstīti uz publiski pieejamu informāciju, Aģentūras veikto analīzi un ziņojumiem, ko tai snieguši dalībvalstu CSIRT vai Direktīvā (ES) 2016/1148 paredzētie valsts vienotie kontaktpunkti, kas atbild par tīklu un informācijas sistēmu drošību (“vienotie kontaktpunkti”) – abos gadījumos brīvprātīgi –, Eiropola Eiropas Kibernoziedzības apkarošanas centrs (EC3), CERT-EU un – attiecīgā gadījumā – Eiropas Ārējās darbības dienesta Eiropas Savienības Izlūkdatu analīzes centrs (EU INTCEN). Minētais ziņojums būtu jādara pieejams Padomei, Komisijai, Savienības Augstajam pārstāvim ārlietās un drošības politikas jautājumos un CSIRT tīklam.

(36)

ENISA atbalstā, ko tā pēc attiecīgo dalībvalstu pieprasījuma sniedz, lai veiktu ex post tehnisko izmeklēšanu par incidentiem, kam ir būtiska vai nozīmīga ietekme, būtu jāorientējas uz turpmāku incidentu novēršanu. Attiecīgajām dalībvalstīm būtu jārīkojas, sniedzot nepieciešamo informāciju un palīdzību, lai dotu ENISA iespēju efektīvi atbalstīt ex post tehnisko izmeklēšanu.

(37)

Dalībvalstis var aicināt uzņēmumus, kurus skāris incidents, sadarboties un sniegt ENISA nepieciešamo informāciju un palīdzību, neskarot to tiesības aizsargāt sensitīvu komercinformāciju un ar sabiedrisko drošību saistītu informāciju.

(38)

Lai labāk izprastu izaicinājumus kiberdrošības jomā un sniegtu stratēģiskus ilgtermiņa padomus dalībvalstīm un Savienības iestādēm, struktūrām, birojiem un aģentūrām, ENISA ir jāanalizē pašreizējie un turpmākie kiberdrošības riski. Šajā nolūkā ENISA sadarbībā ar dalībvalstīm un vajadzības gadījumā ar statistikas struktūrām un citām struktūrām būtu jāvāc attiecīga publiski pieejama vai brīvprātīgi sniegta informācija un jāanalizē jaunās tehnoloģijas, un jāveic novērtējumi par konkrētām tēmām saistībā ar tehnoloģiju inovāciju paredzamo sociālo, juridisko, ekonomisko un regulatīvo ietekmi tīklu un informācijas sistēmu drošības, jo īpaši kiberdrošības, jomā. Turklāt ENISA, analizējot kiberdraudus, ievainojamības un incidentus, būtu jāpalīdz dalībvalstīm un Savienības iestādēm, struktūrām, birojiem un aģentūrām noteikt jaunos kiberdrošības riskus un novērst kiberdrošības incidentus.

(39)

Lai palielinātu Savienības noturību, ENISA, sniedzot padomus, izdodot pamatnostādnes un apmainoties ar paraugpraksi, būtu jāattīsta lietpratība infrastruktūru kiberdrošības jomā, jo īpaši, lai atbalstītu Direktīvas (ES) 2016/1148 II pielikumā uzskaitītās nozares un tās, ko izmanto digitālo pakalpojumu sniedzēji, kas ir uzskaitīti minētās direktīvas III pielikumā. Lai nodrošinātu vienkāršāku piekļuvi labāk strukturētai informācijai par kiberdrošības riskiem un iespējamiem risinājumiem, ENISA būtu jāizveido un jāuztur Savienības “informācijas mezgls”, kas darbotos kā vienots kontaktpunkts – portāls, kurā plašāka sabiedrība varētu iepazīties ar Savienības un dalībvalstu iestāžu, struktūru, biroju un aģentūru sniegto informāciju par kiberdrošību. Atvieglota piekļuve labāk strukturētai informācijai par kiberdrošības riskiem un iespējamiem risinājumiem varētu arī palīdzēt dalībvalstīm uzlabot to spējas un saskaņot praksi, tādējādi palielinot to vispārējo noturību pret kiberuzbrukumiem.

(40)

ENISA būtu jāpalīdz uzlabot sabiedrības izpratni par kiberdrošības riskiem, tostarp izvēršot ES mēroga izpratnes veicināšanas kampaņu un veicinot izglītošanos šajos jautājumos, un būtu jāsniedz iedzīvotājiem, organizācijām un uzņēmumiem adresēti norādījumi par labu praksi individuāliem lietotājiem. ENISA iedzīvotāju, organizāciju un uzņēmumu līmenī arī būtu jāpalīdz veicināt paraugpraksi un risinājumus, tostarp attiecībā uz kiberhigiēnu un kiberpratību, apkopojot un analizējot publiski pieejamu informāciju par būtiskiem incidentiem un apkopojot un publicējot ziņojumus un norādījumus iedzīvotājiem, organizācijām un uzņēmumiem vispārējās sagatavotības līmeņa un noturības uzlabošanai. ENISA arī būtu jācenšas sniegt patērētājiem attiecīgu informāciju par piemērojamām sertifikācijas shēmām, piemēram, sniedzot pamatnostādnes un ieteikumus. Turklāt ENISA atbilstīgi Digitālās izglītības rīcības plānam, kas paredzēts Komisijas 2018. gada 17. janvāra paziņojumā, un sadarbībā ar dalībvalstīm un Savienības iestādēm, struktūrām, birojiem un aģentūrām būtu jāorganizē uz galalietotājiem vērstas regulāras informatīvās un sabiedrības izglītošanas kampaņas, lai veicinātu indivīdu tiešsaistes uzvedības drošākus paradumus un digitālo pratību, palielinātu izpratni par potenciālajiem kiberdraudiem, tostarp par tādiem kriminālpārkāpumiem tiešsaistē kā pikšķerēšanas uzbrukumi, robottīkli, krāpšana finanšu un banku darījumos, datu krāpšanas incidenti, kā arī veicināt pamatieteikumus attiecībā uz daudzfaktoru autentifikāciju, nepilnību lāpīšanu, šifrēšanu, anonimizāciju un datu aizsardzību.

(41)

ENISA būtu jāuzņemas nozīmīga loma, straujāk uzlabojot galalietotāju izpratni par ierīču drošību un pakalpojumu drošu izmantošanu un Savienības līmenī būtu jāsekmē integrētā drošība un integrētā privātuma aizsardzība. Tiecoties uz minēto mērķi, ENISA būtu jāizmanto pieejamā paraugprakse un pieredze, jo īpaši akadēmisko iestāžu un IT drošības pētnieku paraugprakse un pieredze.

(42)

Lai atbalstītu kiberdrošības nozares uzņēmumus, kā arī lietotājus, kas izmanto kiberdrošības risinājumus, ENISA, regulāri analizējot kiberdrošības tirgus tendences gan no pieprasījuma, gan piedāvājuma viedokļa un izplatot šādu informāciju, būtu jāizveido un jāuztur “tirgus novērošanas centrs”.

(43)

ENISA kiberdrošības jomā būtu jāsekmē Savienības centieni sadarboties ar starptautiskām organizācijām, kā arī attiecīgajos starptautiskās sadarbības satvaros. Jo īpaši ENISA attiecīgā gadījumā būtu jāsekmē sadarbība ar tādām organizācijām kā OECD, EDSO un NATO. Šāda sadarbība varētu ietvert kopīgas kiberdrošības mācības un kopīgas reaģēšanas koordinēšanu incidentu gadījumā. Minētās darbības jāveic, pilnībā respektējot iekļautības, savstarpības un Savienības lēmumu pieņemšanas autonomijas principus, neskarot dalībvalstu drošības un aizsardzības politikas specifiskās iezīmes.

(44)

Lai nodrošinātu savu mērķu pilnīgu sasniegšanu, ENISA būtu jāsadarbojas ar attiecīgām Savienības uzraudzības iestādēm un citām kompetentajām iestādēm Savienībā, Savienības iestādēm, struktūrām, birojiem un aģentūrām, tostarp CERT-EU, EC3, Eiropas Aizsardzības aģentūru (EAA), Eiropas Globālās navigācijas satelītu sistēmas aģentūru (Eiropas GNSS aģentūru), Eiropas Elektronisko komunikāciju regulatoru iestādi (BEREC), Eiropas Aģentūru lielapjoma IT sistēmu darbības pārvaldībai brīvības, drošības un tiesiskuma telpā (eu-LISA), Eiropas Centrālo banku (ECB), Eiropas Banku iestādi (EBI), Eiropas Datu aizsardzības kolēģiju, Energoregulatoru sadarbības aģentūru (ACER) Eiropas Savienības Aviācijas drošības aģentūru (EASA) un visām citām Savienības aģentūrām, kas iesaistītas kiberdrošības jautājumu risināšanā. ENISA būtu jāsadarbojas arī ar iestādēm, kas nodarbojas ar datu aizsardzību, lai apmainītos ar zinātību un paraugpraksi, un būtu jāsniedz padomi par kiberdrošības aspektiem, kas varētu ietekmēt to darbu. Valstu un Savienības tiesībaizsardzības un datu aizsardzības iestāžu pārstāvjiem vajadzētu būt tiesībām piedalīties ENISA Padomdevēju grupā. Sadarbojoties ar tiesībaizsardzības iestādēm attiecībā uz tīklu un informācijas drošības aspektiem, kas varētu ietekmēt viņu darbu, ENISA būtu jāņem vērā pastāvošie informācijas kanāli un izveidotie tīkli.

(45)

Varētu veidot partnerības ar akadēmiskām iestādēm, kuras īsteno pētniecības iniciatīvas attiecīgajās jomās, un vajadzētu būt atbilstīgiem kanāliem patērētāju un citu organizāciju ieguldījumam, kas būtu jāpieņem zināšanai.

(46)

ENISA, pildot CSIRT tīkla sekretariāta pienākumus, būtu jāatbalsta dalībvalstu CSIRT un CERT-EU operatīvā sadarbība saistībā ar attiecīgajiem CSIRT tīkla uzdevumiem, kā minēts Direktīvā (ES) 2016/1148. Turklāt ENISA, pienācīgi ņemot vērā CSIRT tīkla darbības standartprocedūras, būtu jāveicina un jāatbalsta sadarbība starp attiecīgām CSIRT vienībām, ja CSIRT pārvaldītu vai aizsargātu tīklu vai infrastruktūru ir skāris incidents, uzbrukums vai traucējumi, kas attiecas vai varētu attiekties vismaz uz divām CSIRT.

(47)

Lai uzlabotu Savienības gatavību saistībā ar reaģēšanu uz incidentiem, ENISA būtu regulāri jāorganizē kiberdrošības mācības Savienības līmenī un pēc to pieprasījuma jāsniedz atbalsts šādu mācību organizēšanā dalībvalstīm un Savienības iestādēm, struktūrām, birojiem un aģentūrām. Reizi divos gados būtu jāorganizē liela mēroga visaptverošas mācības, kuras aptver tehniskus, operatīvus vai stratēģiskus elementus. Turklāt ENISA vajadzētu būt iespējai regulāri organizēt mācības, kas nav tik visaptverošas, bet ar tādu pašu mērķi, proti, – uzlabot Savienības gatavību reaģēt uz incidentiem.

(48)

ENISA būtu vēl vairāk jāattīsta un jāsaglabā sava lietpratība kiberdrošības sertifikācijas jautājumos, lai tā spētu atbalstīt Savienības politiku minētajā jomā. ENISA būtu jāizmanto pastāvošā paraugprakse un jāveicina kiberdrošības sertifikācijas ieviešana Savienībā, tostarp Savienības līmenī palīdzot izveidot un uzturēt kiberdrošības sertifikācijas satvaru (Eiropas kiberdrošības sertifikācijas satvars), lai uzlabotu IKT produktu, IKT pakalpojumu un IKT procesu kiberdrošības apliecinājuma pārredzamību, tādējādi stiprinot uzticēšanos digitālajam iekšējam tirgum un tā konkurētspēju.

(49)

Efektīvas kiberdrošības politikas pamatā gan publiskajā, gan privātajā sektorā vajadzētu būt labi izstrādātām riska izvērtēšanas metodēm. Riska izvērtēšanas metodes izmanto dažādos līmeņos, un nav vienotas prakses attiecībā uz to efektīvu piemērošanu. Publiskā sektora un privātā sektora organizācijās veicinot un attīstot riska izvērtēšanas un sadarbspējīgu riska pārvaldības risinājumu paraugpraksi, tiks paaugstināts kiberdrošības līmenis Savienībā. Tādēļ ENISA būtu jāatbalsta ieinteresēto personu sadarbība Savienības līmenī un jāpalīdz tām izveidot un pārņemt Eiropas un starptautiskos standartus, ko izmanto, lai pārvaldītu riskus un izmērītu drošību attiecībā uz elektroniskiem produktiem, sistēmām, tīkliem un pakalpojumiem, kas kopā ar programmatūru veido tīkla un informācijas sistēmas.

(50)

ENISA būtu jāmudina dalībvalstis, IKT produktu, IKT pakalpojumu vai IKT procesu ražotāji vai sniedzēji paaugstināt savus vispārīgos drošības standartus tā, lai visi interneta lietotāji varētu veikt nepieciešamos pasākumus paši savas kiberdrošības panākšanai un būtu jānodrošina stimuls to darīt. Jo īpaši, IKT produktu, IKT pakalpojumu vai IKT procesu ražotājiem vai sniedzējiem būtu jānodrošina visi nepieciešamie atjauninājumi un būtu jāatsauc, jāizņem no tirgus vai jāpārstrādā kiberdrošības standartiem neatbilstoši IKT produkti, IKT pakalpojumi un IKT procesi, savukārt importētājiem un izplatītājiem būtu jāpārliecinās, ka IKT produkti, IKT pakalpojumi un IKT procesi, ko tie laiž Savienības tirgū, atbilst piemērojamajām prasībām un nerada risku Savienības patērētājiem.

(51)

Sadarbībā ar kompetentajām iestādēm ENISA vajadzētu būt iespējai izplatīt informāciju par iekšējā tirgū piedāvāto IKT produktu, IKT pakalpojumu un IKT procesu kiberdrošības līmeni un būtu jāizdod IKT produktu, IKT pakalpojumu vai IKT procesu ražotājiem vai sniedzējiem brīdinājumi un jāprasa tiem uzlabot savu IKT produktu, IKT pakalpojumu un IKT procesu drošību, tostarp kiberdrošību.

(52)

ENISA būtu pilnībā jāņem vērā aktuālie pētniecības, izstrādes un tehnoloģiju izvērtēšanas pasākumi, jo īpašie tie, kas notiek saskaņā ar dažādām Savienības pētniecības iniciatīvām, lai Savienības iestādēm, struktūrām, birojiem un aģentūrām, kā arī attiecīgos gadījumos pēc to pieprasījuma dalībvalstīm sniegtu padomus par pētījumu vajadzībām un prioritātēm kiberdrošības jomā. Nolūkā apzināt pētniecības vajadzības un prioritātes ENISA būtu jāapspriežas arī ar attiecīgajām lietotāju grupām. Konkrētāk, varētu iedibināt sadarbību ar Eiropas Pētniecības padomi, Eiropas Inovāciju un tehnoloģiju institūtu un ar Eiropas Savienības Drošības izpētes institūtu.

(53)

ENISA, gatavojot Eiropas kiberdrošības sertifikācijas shēmas, būtu regulāri jāapspriežas ar standartizācijas organizācijām, jo īpaši Eiropas standartizācijas organizācijām.

(54)

Kiberdraudi ir pasaules mēroga problēma. Lai uzlabotu kiberdrošības standartus, ir nepieciešams ciešāk sadarboties starptautiskā līmenī, tostarp ir nepieciešams noteikt kopīgas uzvedības normas, pieņemt rīcības kodeksus, lietot starptautiskos standartus un veikt informācijas apmaiņu, kas veicinātu raitāku starptautisko sadarbību, reaģējot uz tīklu un informācijas drošības problēmām, un sekmētu vienotu globālu pieeju šādām problēmām. Tādēļ ENISA būtu jāatbalsta plašāka Savienības iesaistīšanās un sadarbība ar trešām valstīm un starptautiskām organizācijām, vajadzības gadījumā attiecīgām Savienības iestādēm, struktūrām, birojiem un aģentūrām sniedzot nepieciešamos lietpratības atzinumus un veicot analīzi.

(55)

ENISA būtu jāspēj reaģēt uz dalībvalstu un Savienības iestāžu, struktūru, biroju un aģentūru ad hoc pieprasījumiem pēc padomiem un palīdzības jautājumos, kas atbilst ENISA pilnvarām.

(56)

Ir lietderīgi un ieteicams ENISA pārvaldībā ieviest noteiktus principus, lai panāktu atbilstību kopīgajam paziņojumam un kopīgajai pieejai, par ko 2012. gada jūlijā vienojās starpiestāžu darba grupa ES decentralizēto aģentūru jautājumos, kuras mērķis ir racionalizēt decentralizēto aģentūru darbību un uzlabot to sniegumu. Ieteikumi, kas doti kopīgajā paziņojumā un kopīgajā pieejā, attiecīgā gadījumā būtu jāatspoguļo arī ENISA darba programmās, ENISA izvērtējumos un ENISA pārskatu sniegšanas un administratīvajā praksē.

(57)

Administratīvajai padomei, ko veido dalībvalstu un Komisijas pārstāvji, būtu jānosaka ENISA darbības vispārīgais virziens un jāgādā, lai tā pildītu savus pienākumus saskaņā ar šo regulu. Administratīvā padome būtu jāpilnvaro izstrādāt budžetu, pārbaudīt budžeta izpildi, pieņemt atbilstošus finansiālos noteikumus, noteikt pārredzamas darba procedūras ENISA lēmumu pieņemšanai, apstiprināt ENISA vienoto programmdokumentu, pieņemt savu reglamentu, iecelt izpilddirektoru un lemt par izpilddirektora pilnvaru termiņa pagarināšanu un izbeigšanu.

(58)

Lai ENISA darbotos pienācīgi un rezultatīvi, Komisijai un dalībvalstīm būtu jānodrošina, ka personām, kuras tiek ieceltas Administratīvajā padomē, ir atbilstoša profesionālā lietpratība un pieredze. Lai nodrošinātu Administratīvās padomes darba nepārtrauktību, Komisijai un dalībvalstīm būtu arī jācenšas ierobežot savu attiecīgo pārstāvju mainību Administratīvajā padomē.

(59)

Lai ENISA darbība būtu sekmīga, tās izpilddirektors jāieceļ, ņemot vērā nopelnus un ar dokumentiem apliecinātas administratīvā un pārvaldības darba iemaņas, kā arī kompetenci un pieredzi kiberdrošības jomā. Izpilddirektora pienākumi būtu jāpilda pilnīgi neatkarīgi. Izpilddirektoram būtu jāsagatavo priekšlikums ENISA gada darba programmai, iepriekš apspriežoties ar Komisiju, un būtu jāveic visi vajadzīgie pasākumi, lai nodrošinātu minētās darba programmas pienācīgu īstenošanu. Izpilddirektoram būtu jāsagatavo gada darbības pārskata projekts, kas jāiesniedz Administratīvajai padomei un kurš aptver ENISA gada darba programmas īstenošanu, jāizstrādā ENISA ieņēmumu un izdevumu tāmes projekts un jāizpilda budžets. Turklāt izpilddirektoram vajadzētu būt iespējai veidot ad hoc darba grupas, lai risinātu specifiskus jautājumus, jo īpaši zinātniskus, tehniskus, juridiskus vai sociālekonomiskus jautājumus. Jo īpaši, ad hoc darba grupas izveide tiek uzskatīta par nepieciešamu attiecībā uz specifiskas Eiropas kiberdrošības sertifikācijas kandidātshēmas (“kandidātshēma”) sagatavošanu. Izpilddirektoram būtu jāgādā, lai ad hoc darba grupu locekļi tiktu izraudzīti saskaņā ar augstākajiem lietpratības standartiem, lai dalībvalstu administrāciju, Savienības iestāžu, struktūru, biroju un aģentūru un privātā sektora, tostarp nozares, lietotāju un tīklu un informācijas drošības jomas akadēmisko ekspertu vidū nodrošinātu dzimumu līdzsvaru un pienācīgu līdzsvaru atbilstoši konkrētiem risināmajiem jautājumiem.

(60)

Valdei būtu jāpalīdz nodrošināt efektīvu Administratīvās padomes darbību. Veicot savu sagatavošanās darbu saistībā ar Administratīvās padomes lēmumiem, Valdei būtu detalizēti jāizvērtē attiecīgā informācija, jāapzina pieejamās iespējas un jāsniedz padomi un risinājumi Administratīvās padomes lēmumu sagatavošanai.

(61)

Lai uzturētu regulāru dialogu ar privāto sektoru, patērētāju organizācijām un citām attiecīgajām ieinteresētajām personām, ENISA vajadzētu izveidot ENISA Padomdevēju grupu, kas būtu padomdevēja struktūra. ENISA Padomdevēju grupai, ko pēc izpilddirektora priekšlikuma izveido Administratīvā padome, galvenokārt būtu jārisina ieinteresētajām personām svarīgi jautājumi un par tiem jāinformē ENISA. Ar ENISA Padomdevēju grupu būtu jāapspriežas, jo īpaši attiecībā uz ENISA gada darba programmas projektu. ENISA Padomdevēju grupas sastāvam un tai uzdotajiem uzdevumiem būtu jānodrošina pietiekami liela ieinteresēto personu pārstāvība ENISA darbā.

(62)

Būtu jāizveido Ieinteresēto personu kiberdrošības sertifikācijas grupa, kas palīdzētu ENISA un Komisijai atvieglināt konsultācijas ar attiecīgajām ieinteresētajām personām. Ieinteresēto personu kiberdrošības sertifikācijas grupa būtu jāveido no locekļiem, kas līdzvērtīgās proporcijās pārstāv nozari, gan IKT produktu un IKT pakalpojumu pieprasījuma pusē, gan piedāvājuma pusē, jo īpaši iekļaujot MVU, digitālo pakalpojumu sniedzējus, Eiropas un starptautiskās standartizācijas organizācijas, valsts akreditācijas struktūras, datu aizsardzības pārraudzības iestādes un atbilstības novērtējuma struktūras saskaņā ar Eiropas Parlamenta un Padomes Regulu (EK) Nr. 765/2008 (16), un akadēmisko aprindu pārstāvjus, kā arī patērētāju organizācijas.

(63)

ENISA vajadzētu būt ieviestiem noteikumiem par to, kā novērst un risināt interešu konfliktus. ENISA būtu arī jāievēro atbilstīgi Savienības noteikumi par publisku piekļuvi dokumentiem, kā noteikts Eiropas Parlamenta un Padomes Regulā (EK) Nr. 1049/2001 (17). Personas datu apstrādei ENISA būtu jānotiek saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2018/1725 (18). ENISA būtu jāievēro Savienības iestādēm, struktūrām, birojiem un aģentūrām piemērojamie noteikumi un valstu tiesību akti, kas attiecas uz rīkošanos ar informāciju, jo īpaši sensitīvu, bet neklasificētu informāciju un Eiropas Savienības klasificētu informāciju (ESKI).

(64)

Lai garantētu ENISA pilnīgu autonomiju un neatkarību un ļautu tai veikt papildu uzdevumus, tostarp neparedzētus ārkārtas uzdevumus, būtu jāpiešķir ENISA pietiekams un atsevišķs budžets, kura ieņēmumus būtu galvenokārt jāveido Savienības un ENISA darbā iesaistīto trešo valstu iemaksām. Atbilstīgs budžets ir būtiski svarīgs, lai nodrošinātu, ka ENISA ir pietiekamas spējas pildīt visus tās uzdevumus, kuri kļūst arvien plašāki, un sasniegt tās mērķus. Lielākajai daļai ENISA darbinieku vajadzētu būt tieši iesaistītai to darbību īstenošanā, kas saistītas ar ENISA pilnvarām. Mītnes dalībvalstij un jebkurai citai dalībvalstij vajadzētu būt iespējai veikt brīvprātīgas iemaksas ENISA budžetā. Savienības budžeta procedūru būtu jāturpina piemērot attiecībā uz visām subsīdijām, ko piešķir no Savienības vispārējā budžeta. Turklāt Revīzijas palātai būtu jāveic ENISA finanšu pārskatu revīzija, lai nodrošinātu pārredzamību un pārskatatbildību.

(65)

Kiberdrošības sertifikācija ir būtiska, lai vairotu uzticēšanos IKT produktiem, IKT pakalpojumiem un IKT procesiem un lai stiprinātu to drošību. Digitālais vienotais tirgus, un jo īpaši datu ekonomika un lietu internets, var attīstīties vienīgi tad, ja plašai sabiedrībai ir pārliecība par to, ka šādiem produktiem, pakalpojumiem un procesiem ir noteikta līmeņa kiberdrošība. Satīklotās un automatizētās automašīnas, elektroniskās medicīniskās ierīces, ražošanas automatizācijas vadības sistēmas un viedtīkli – tie ir tikai daži to nozaru piemēri, kurās jau tagad plaši izmanto sertifikāciju vai kurās to varētu izmantot tuvākajā nākotnē. Arī Direktīvas (ES) 2016/1148 reglamentētajās nozarēs kiberdrošības sertifikācijai ir izšķiroša nozīme.

(66)

2016. gada paziņojumā “Kā nostiprināt Eiropas Kiberizturētspējas sistēmu un sekmēt konkurētspējīgu un inovatīvu kiberdrošības nozari” Komisija uzsvēra nepieciešamību pēc augstas kvalitātes, cenas ziņā pieejamiem un sadarbspējīgiem kiberdrošības produktiem un risinājumiem. IKT produktu, IKT pakalpojumu un IKT procesu piedāvājums vienotajā tirgū ģeogrāfiskajā ziņā joprojām ir ļoti sadrumstalots. Tas ir tādēļ, ka kiberdrošības nozare Eiropā lielā mērā ir veidojusies, pamatojoties uz valsts valdību pieprasījumu. Turklāt kiberdrošības jomā vienotajā tirgū ir arī citas nepilnības, piemēram, trūkst sadarbspējīgu risinājumu (tehniskie standarti) un sertifikācijas prakses un Savienības mēroga mehānismu. Tas Eiropas uzņēmumiem apgrūtina konkurēšanu valsts, Savienības un pasaules mērogā. Tā tiek arī samazināts privātpersonām un uzņēmumiem pieejamo derīgo un izmantojamo kiberdrošības tehnoloģiju klāsts. Līdzīgi, 2017. gada Paziņojumā par digitālā vienotā tirgus stratēģijas īstenošanas vidusposma pārskatā “Satīklots digitālais vienotais tirgus visiem” Komisija ir uzsvērusi vajadzību pēc drošiem satīklotiem produktiem un sistēmām un norādījusi, ka tāda Eiropas IKT drošības satvara izveide, kas paredz noteikumus par IKT drošības sertifikācijas organizēšanu Savienībā, varētu gan saglabāt uzticēšanos internetam, gan atrisināt pašreizējo iekšējā tirgus sadrumstalotības problēmu.

(67)

Pašlaik IKT produktu, IKT pakalpojumu un IKT procesu kiberdrošības sertifikācija tiek izmantota visai ierobežoti. Ja arī tā ir ieviesta, galvenokārt tā tiek izmantota dalībvalstu līmenī vai konkrētu nozaru shēmās. Šādos apstākļos sertifikātu, ko izdevusi vienas valsts kiberdrošības sertifikācijas iestāde, citas dalībvalstis principā neatzīst. Tāpēc uzņēmumiem var nākties sertificēt savus IKT produktus, IKT pakalpojumus un IKT procesus vairākās dalībvalstīs, kurās tie darbojas, piemēram, ja tie vēlas piedalīties valsts iepirkuma procedūrās, kas tādējādi palielina to izmaksas. Turklāt, lai gan tiek veidotas jaunas shēmas, šķiet, attiecībā uz horizontāliem kiberdrošības jautājumiem, piemēram, lietu interneta jomā, nav saskaņotas un visaptverošas pieejas. Esošajām shēmām ir ievērojami trūkumi un atšķirības tādos aspektos kā produktu klāsts, apliecinājuma līmeņi, būtiskie kritēriji un faktiskais izmantojums, un tas Savienībā kavē savstarpējas atzīšanas mehānismus.

(68)

Ir bijuši zināmi centieni Savienībā nodrošināt sertifikātu savstarpēju atzīšanu. Tomēr tie bijuši tikai daļēji sekmīgi. Vissvarīgākais piemērs šajā ziņā ir Augstāko amatpersonu grupa informācijas sistēmu drošības (SOG-IS) savstarpējās atzīšanas nolīguma (SAN) jautājumos. SOG-IS ir visnozīmīgākais sadarbības un savstarpējās atzīšanas modelis drošības sertifikācijas jomā, tomēr tajā ir iekļauta tikai daļa Savienības dalībvalstu. Ņemot vērā iekšējā tirgus aspektu, minētais fakts ir ierobežojis SOG-IS SAN efektivitāti.

(69)

Tāpēc ir jāpieņem kopēja pieeja un jāizveido Eiropas kiberdrošības sertifikācijas satvars, kas nosaka galvenās horizontālās prasības izstrādājamajām Eiropas kiberdrošības sertifikācijas shēmām un atļauj IKT produktu, IKT pakalpojumu vai IKT procesu Eiropas kiberdrošības sertifikātu un ES atbilstības apliecinājumu atzīšanu un izmantošanu visās dalībvalstīs. Šādi rīkojoties, ir ļoti svarīgi pamatoties uz pašreizējām valstu un starptautiskajām shēmām, kā arī uz savstarpējās atzīšanas sistēmām, jo īpaši SOG-IS, un nodrošināt vienmērīgu pāreju no pašreizējām šādu sistēmu shēmām uz jaunā Eiropas kiberdrošības sertifikācijas satvara shēmām. Eiropas kiberdrošības sertifikācijas satvars būtu jāveido atbilstīgi divējādam mērķim. Pirmkārt, tam būtu jāsekmē lielāka uzticēšanās atbilstīgi Eiropas kiberdrošības sertifikācijas shēmām sertificētiem IKT produktiem, IKT pakalpojumiem un IKT procesiem. Otrkārt, tam būtu jāpalīdz izvairīties no valsts kiberdrošības sertifikācijas shēmu aizvien izplatītākā pretrunīguma vai pārklāšanās un tādējādi samazināt to uzņēmumu izmaksas, kuri darbojas digitālajā vienotajā tirgū. Eiropas kiberdrošības sertifikācijas shēmām vajadzētu būt nediskriminējošām un balstītām uz Eiropas vai starptautiskiem standartiem, taču tas neattiektos uz standartiem, kas ir neefektīvi vai nepietiekami atbilstoši, lai īstenotu Savienības leģitīmos mērķus šajā jomā.

(70)

Eiropas kiberdrošības sertifikācijas satvars būtu saskaņoti jāizveido visās dalībvalstīs, lai novērstu izdevīgākās sertifikācijas izvēlēšanās praksi, ko izraisa prasību stingrības līmeņa atšķirības dažādās dalībvalstīs.

(71)

Eiropas kiberdrošības sertifikācijas shēmas pamatā vajadzētu būt iestrādēm, kas jau pastāv valstu un starptautiskā līmenī, un vajadzības gadījumā forumu un konsorciju tehniskām specifikācijām, ņemot vērā pašreizējās stiprās puses un izvērtējot un novēršot vājās vietas.

(72)

Ir nepieciešami elastīgi kiberdrošības risinājumi, lai nozare būtu sagatavota kiberdraudiem, tāpēc ikviena sertifikācijas shēma būtu jāizstrādā tā, lai novērstu risku, ka tā ātri zaudētu aktualitāti.

(73)

Komisijai vajadzētu būt pilnvarotai pieņemt Eiropas kiberdrošības sertifikācijas shēmas attiecībā uz konkrētām IKT produktu, IKT pakalpojumu un IKT procesu grupām. Minētās shēmas būtu jāīsteno un jāpārrauga valstu kiberdrošības sertifikācijas iestādēm, un saskaņā ar minētajām shēmām izsniegtajiem sertifikātiem vajadzētu būt derīgiem un atzītiem visā Savienībā. Nozarē vai citās privātās organizācijās izmantotajām sertifikācijas shēmām nebūtu jāietilpst šīs regulas darbības jomā. Tomēr struktūrām, kas izmanto šādas shēmas, vajadzētu būt iespējai ierosināt, lai Komisija apsvērtu iespēju tās izmantot par pamatu, lai tās apstiprinātu kā Eiropas kiberdrošības sertifikācijas shēmu.

(74)

Šīs regulas noteikumiem nebūtu jāskar Savienības tiesību akti, kuros izklāstīti īpaši noteikumi par IKT produktu, IKT pakalpojumu un IKT procesu sertifikāciju. Jo īpaši, Regulā (ES) 2016/679 ir izklāstīti noteikumi par sertifikācijas mehānismu ieviešanu un datu aizsardzības zīmogiem un marķējumu, kam uzskatāmi jāparāda datu pārziņu un apstrādātāju veikto apstrādes darbību atbilstība minētajai regulai. Ar šādiem sertifikācijas mehānismiem un datu aizsardzības zīmogiem un marķējumiem vajadzētu būt nodrošinātai iespējai datu subjektam ātri novērtēt attiecīgo IKT produktu, IKT pakalpojumu un IKT procesu datu aizsardzības līmeni. Šī regula neskar datu apstrādes darbību sertifikāciju saskaņā ar Regulu (ES) 2016/679, arī tad, kad šādas darbības ir iestrādātas IKT produktos, IKT pakalpojumos un IKT procesos.

(75)

Eiropas kiberdrošības sertifikācijas shēmas būtu jāveido ar mērķi nodrošināt, ka saskaņā ar šādu shēmu sertificēti IKT produkti, IKT pakalpojumi un IKT procesi atbilst noteiktajām prasībām, kuru mērķis ir aizsargāt tādu glabāto, pārsūtīto vai apstrādāto datu vai saistīto funkciju, vai pakalpojumu pieejamību, autentiskumu, integritāti un konfidencialitāti, ko visā to dzīves ciklā piedāvā izmantot minētie produkti, pakalpojumi un procesi, pakalpojumi un sistēmas, vai kam, tos izmantojot, var piekļūt. Šajā regulā nav iespējams detalizēti izklāstīt visiem IKT produktiem, IKT pakalpojumiem un IKT procesiem piemērojamās kiberdrošības prasības. IKT produkti, IKT pakalpojumi un IKT procesi un ar tiem visiem saistītās kiberdrošības vajadzības ir tik daudzveidīgas, ka ir ļoti grūti izstrādāt vispārīgas kiberdrošības prasības, kas piemērojamas visos apstākļos. Tādēļ sertifikācijas vajadzībām ir nepieciešams pieņemt plašu un vispārēju kiberdrošības jēdzienu, kuru būtu jāpapildina ar konkrētu kiberdrošības mērķu kopumu, kas jāņem vērā Eiropas kiberdrošības sertifikācijas shēmu izstrādē. Pēc tam saistībā ar katru Komisijas pieņemto sertifikācijas shēmu, piemēram, atsaucoties uz standartiem vai, ja piemēroti standarti nav pieejami, – tehniskajām specifikācijām, būtu jāprecizē kārtība, kādā šādi mērķi ir jāsasniedz attiecībā uz konkrētiem IKT produktiem, IKT pakalpojumiem un IKT procesiem.

(76)

Tehniskās specifikācijas, kas jāizmanto Eiropas kiberdrošības sertifikācijas shēmās, būtu jāatbilst Eiropas Parlamenta un Padomes Regulas (ES) Nr. 1025/2012 (19) II pielikumā izklāstītajām prasībām. Tomēr dažas novirzes no minētajām prasībām varētu uzskatīt par nepieciešamām pienācīgi pamatotos gadījumos, ja minētās tehniskās specifikācijas paredzēts izmantot Eiropas kiberdrošības sertifikācijas shēmā, kurā ir norāde uz apliecinājuma līmeni “augsts”. Iemesli šādām novirzēm būtu jādara publiski pieejami.

(77)

Atbilstības novērtējums ir procedūra, lai novērtētu, vai noteiktās prasības attiecībā uz IKT produktu, IKT pakalpojumu vai IKT procesu ir izpildītas. Minēto procedūru veic neatkarīga trešā persona, kas nav to IKT produktu, IKT pakalpojumu vai IKT procesu ražotājs vai sniedzējs, kurus novērtē. Eiropas kiberdrošības sertifikāts būtu jāizdod pēc veiksmīgas IKT produkta, IKT pakalpojuma vai IKT procesa izvērtēšanas. Eiropas kiberdrošības sertifikāts būtu uzskatāms par apstiprinājumu, ka izvērtējums ir veikts pienācīgi. Atkarībā no apliecinājuma līmeņa Eiropas kiberdrošības sertifikācijas shēmai būtu jānorāda, vai Eiropas kiberdrošības sertifikātu izdod privāta vai publiska struktūra. Atbilstības novērtējums vai sertifikācija paši par sevi nevar garantēt, ka sertificēti IKT produkti, IKT pakalpojumi un IKT procesi ir kiberdroši. Tās drīzāk ir procedūras un tehniskās metodikas, lai apliecinātu, ka IKT produkti, IKT pakalpojumi un IKT procesi ir testēti un ka tie atbilst konkrētām kiberdrošības prasībām, kuras noteiktas citur, piemēram, tehniskajos standartos.

(78)

Eiropas kiberdrošības sertifikātu lietotāju izvēlei attiecībā uz piemērotu sertifikāciju un ar to saistītajām drošības prasībām būtu jāpamatojas uz analīzi par riskiem saistībā ar attiecīgā IKT produkta, IKT pakalpojuma vai IKT procesa lietojumu. Attiecīgi apliecinājuma līmenim tātad būtu jāatbilst riska līmenim, kas saistīts ar IKT produkta, IKT pakalpojuma vai IKT procesa paredzamo lietojumu.

(79)

Eiropas kiberdrošības sertifikācijas shēmās varētu paredzēt atbilstības novērtējumu, kura veikšana ir tikai IKT produktu, IKT pakalpojumu vai IKT procesu ražotāja vai sniedzēja atbildībā (“atbilstības pašnovērtējums”). Šādos gadījumos vajadzētu būt pietiekami, ja IKT produktu, IKT pakalpojumu vai IKT procesu ražotājs vai sniedzējs pats veic visas pārbaudes, lai nodrošinātu, ka IKT produkts, IKT pakalpojums vai IKT process atbilst Eiropas kiberdrošības sertifikācijas shēmai. Atbilstības pašnovērtējums būtu uzskatāms par piemērotu IKT produktiem, IKT pakalpojumiem vai IKT procesiem ar zemu sarežģītības pakāpi, kas rada zemu risku sabiedrības interesēm, piemēram, vienkārša konstrukcija un ražošanas mehānismi. Turklāt atbilstības pašnovērtējumu IKT produktiem, IKT pakalpojumiem vai IKT procesiem būtu jāļauj veikt tikai tad, ja tie atbilst apliecinājuma līmenim “pamata”.

(80)

Eiropas kiberdrošības sertifikācijas shēmās varētu paredzēt gan IKT produktu, IKT pakalpojumu vai IKT procesu atbilstības pašnovērtējumu, gan to sertifikāciju. Šādā gadījumā shēmā būtu jāparedz skaidri un saprotami līdzekļi, ar kuriem patērētāji vai citi lietotāji varētu atšķirt IKT produktus, IKT pakalpojumus vai IKT procesus, par kuru novērtējumu atbild IKT produktu, IKT pakalpojumu vai IKT procesu ražotājs vai sniedzējs, un IKT produktus, IKT pakalpojumus vai IKT procesus, kurus sertificējusi trešā persona.

(81)

Atbilstības novērtēšanas procedūras ietvaros IKT produktu, IKT pakalpojumu vai IKT procesu ražotājam vai sniedzējam, kas veic atbilstības pašnovērtējumu, būtu jāspēj izdot un parakstīt ES atbilstības apliecinājumu. ES atbilstības apliecinājums ir dokuments, kurā apliecināts, ka konkrēts IKT produkts, IKT pakalpojums vai IKT pakalpojums atbilst Eiropas kiberdrošības sertifikācijas shēmas prasībām. Izdodot un parakstot ES atbilstības apliecinājumu, IKT produktu, IKT pakalpojumu vai IKT procesu ražotājs vai sniedzējs uzņemas atbildību par IKT produkta, IKT pakalpojuma vai IKT procesa atbilstību Eiropas kiberdrošības sertifikācijas shēmas juridiskajām prasībām. ES atbilstības apliecinājuma kopija būtu jāiesniedz valsts kiberdrošības sertifikācijas iestādei un ENISA.

(82)

IKT produktu, IKT pakalpojumu vai IKT procesu ražotājiem vai sniedzējiem ES atbilstības apliecinājums, tehniskā dokumentācija un visa cita attiecīgā informācija, kas saistīta ar IKT produktu, IKT pakalpojumu vai IKT procesu atbilstību Eiropas kiberdrošības sertifikācijas shēmai, būtu jādara pieejama kompetentajai valsts kiberdrošības sertifikācijas iestādei uz laiku, kas paredzēts attiecīgajā Eiropas kiberdrošības sertifikācijas shēmā. Tehniskajā dokumentācijā būtu jānorāda saskaņā ar shēmu piemērojamās prasības un, ciktāl tas ir nepieciešams atbilstības pašnovērtēšanai, būtu jāaptver IKT produkta, IKT pakalpojuma vai IKT procesa projektēšana, ražošana un ekspluatācija. Tehniskā dokumentācija būtu jāapkopo tā, lai būtu iespējams novērtēt, vai IKT produkts vai IKT pakalpojums atbilst prasībām, kas piemērojamas saskaņā ar minēto shēmu.

(83)

Eiropas kiberdrošības sertifikācijas satvara pārvaldībā ņem vērā dalībvalstu iesaisti, kā arī ieinteresēto personu pienācīgu iesaisti un nosaka Komisijas lomu Eiropas kiberdrošības sertifikācijas shēmu plānošanas un ierosināšanas, pieprasīšanas, sagatavošanas, pieņemšanas un pārskatīšanas procesā.

(84)

Komisijai – ar Eiropas Kiberdrošības sertifikācijas grupas (ECCG) un Ieinteresēto personu kiberdrošības sertifikācijas grupas atbalstu un pēc atklātas un plašas apspriešanās – būtu jāsagatavo Savienības mainīgā darba programma Eiropas kiberdrošības sertificēšanai, kura būtu jāpublicē kā nesaistošs instruments. Savienības mainīgajai darba programmai vajadzētu būt stratēģiskam dokumentam, kas nozarei, valsts iestādēm un standartizācijas struktūrām ļauj jo īpaši iepriekš sagatavoties nākotnē gaidāmajām Eiropas kiberdrošības sertifikācijas shēmām. Savienības mainīgajā darba programmā vajadzētu būt iekļautam daudzgadu pārskatam par kandidātshēmu pieprasījumiem, ko Komisija plāno iesniegt ENISA, balstoties uz konkrētiem iemesliem. Komisijai būtu jāņem vērā Savienības mainīgā darba programma, sagatavojot savu IKT standartizācijas mainīgo plānu un standartizācijas pieprasījumus Eiropas Standartizācijas organizācijām. Ņemot vērā to, ka strauji tiek ieviestas jaunas tehnoloģijas un ka tās sāk izmantot, un to, ka parādās iepriekš nezināmi kiberdrošības riski un notiek leģislatīvas izmaiņas un izmaiņas tirgū, Komisijai vai ECCG vajadzētu būt tiesībām pieprasīt ENISA sagatavot kandidātshēmas, kuras nebija iekļautas Savienības mainīgajā darba programmā. Šādos gadījumos Komisijai un ECCG būtu arī jāizvērtē šāda pieprasījuma nepieciešamība, ņemot vērā šīs regulas vispārējos mērķus un uzdevumus un vajadzību nodrošināt ENISA plānošanas un resursu izmantojuma nepārtrauktību.

Pēc šāda pieprasījuma saņemšanas ENISA bez liekas kavēšanās būtu jāsagatavo kandidātshēmas konkrētiem IKT produktiem, IKT pakalpojumiem vai IKT procesiem. Komisijai būtu jānovērtē sava pieprasījuma pozitīvā un negatīvā ietekme uz konkrēto tirgu, jo īpaši tā ietekme uz MVU, inovāciju, šķēršļiem ienākšanai minētajā tirgū un izmaksām galalietotājiem. Pamatojoties uz ENISA sagatavoto kandidātshēmu, Komisijai vajadzētu būt pilnvarotai ar īstenošanas aktiem pieņemt Eiropas kiberdrošības sertifikācijas shēmu. Ņemot vērā šajā regulā noteikto vispārējo mērķi un drošības mērķus, Komisijas pieņemtās Eiropas kiberdrošības sertifikācijas shēmās būtu jānosaka minimālais elementu kopums, kas izmantojams attiecībā uz katras shēmu priekšmetu, tvērumu un darbību. Cita starpā minētajiem elementiem būtu jāietver kiberdrošības sertifikācijas tvērums un priekšmets, tostarp IKT produktu, IKT pakalpojumu un IKT procesu kategorijas, detalizēti noteiktas kiberdrošības prasības, piemēram, atsaucoties uz standartiem vai tehniskajām specifikācijām, specifiskie izvērtēšanas kritēriji un metodes, kā arī plānotais apliecinājuma līmenis (“pamata”, “būtisks” vai “augsts”) un attiecīgā gadījumā – izvērtējuma līmeņi. ENISA vajadzētu būt iespējai noraidīt ECCG pieprasījumu. Šādus lēmumus būtu jāpieņem Administratīvajai padomei, un tiem vajadzētu būt pienācīgi pamatotiem.

(85)

ENISA būtu jāuztur tīmekļa vietne, kurā sniedz informāciju un publicitāti par Eiropas kiberdrošības sertifikācijas shēmām un kurā cita starpā būtu jāiekļauj pieprasījumi par kandidātshēmas sagatavošanu, kā arī atsauksmes, kas saņemtas ENISA veiktajā apspriešanās procesā sagatavošanās posmā. Tīmekļa vietnē būtu jāsniedz arī informācija par Eiropas kiberdrošības sertifikātiem un ES atbilstības apliecinājumiem, kas izdoti saskaņā ar šo regulu, tostarp par šādu Eiropas kiberdrošības sertifikātu un ES atbilstības apliecinājumu atsaukšanu un termiņa beigām. Tīmekļa vietnē būtu arī jānorāda tās valsts kiberdrošības sertifikācijas shēmas, kuras ir aizstātas ar Eiropas kiberdrošības sertifikācijas shēmu.

(86)

Eiropas sertifikācijas shēmas apliecinājuma līmenis ir pamats pārliecībai, ka IKT produkts, IKT pakalpojums vai IKT process atbilst konkrētas Eiropas kiberdrošības sertifikācijas shēmas drošības prasībām. Lai nodrošinātu Eiropas kiberdrošības sertifikācijas satvara konsekvenci, Eiropas kiberdrošības sertifikācijas shēmā būtu jāvar noteikt apliecinājuma līmeņus Eiropas kiberdrošības sertifikātiem un ES atbilstības apliecinājumiem, ko izdod saskaņā ar minēto shēmu. Katrā Eiropas kiberdrošības sertifikātā varētu norādīt vienu no apliecinājuma līmeņiem, proti, “pamata”, “būtisks” vai “augsts”, savukārt ES atbilstības apliecinājumā varētu norādīt tikai apliecinājuma līmeni “pamata”. Apliecinājuma līmeņi paredzētu atbilstošas stingrības un dziļuma IKT produkta, IKT pakalpojuma un IKT procesa izvērtēšanu, un tos raksturotu atsauce uz to saistītām tehniskajām specifikācijām, standartiem un procedūrām, tostarp tehniskām kontrolēm, kuru mērķis ir mazināt vai novērst incidentus. Katram apliecinājuma līmenim vajadzētu būt konsekventam dažādās nozaru jomās, kur sertifikācija tiek piemērota.

(87)

Eiropas kiberdrošības sertifikācijas shēmā varētu noteikt vairākus izvērtējuma līmeņus atkarībā no izmantotās izvērtēšanas metodikas stingrības un dziļuma. Izvērtējuma līmeņiem būtu jāatbilst vienam no apliecinājuma līmeņiem un vajadzētu būt saistītam ar apliecinājuma komponentu piemērotu kombināciju. Visos apliecinājuma līmeņos IKT produktam, IKT pakalpojumam vai IKT procesam būtu jāietver virkne drošu funkciju, kā precizēts shēmā, un tās cita starpā var būt: droša iepriekš iestatīta konfigurācija, parakstīts kods, drošas atjaunināšanas un ļaunprātīgas izmantošanas mazināšanas iespējas un pilnvērtīga steka vai kaudzes atmiņas aizsardzība. Minētām funkcijām vajadzētu būt izstrādātām un tās būtu jāuztur, izmantojot uz drošību orientētas izstrādes pieejas un ar tām saistītus rīkus, lai nodrošinātu, ka uzticami ir iestrādāti efektīvi programmatūras un aparatūras mehānismi.

(88)

Attiecībā uz apliecinājuma līmeni “pamata” izvērtējumā būtu jāvadās pēc vismaz šādiem apliecinājuma komponentiem: izvērtējumā būtu jāietver vismaz IKT produkta, IKT pakalpojuma vai IKT procesa tehniskās dokumentācijas pārskats, ko veic atbilstības novērtēšanas struktūra. Ja sertifikācija aptver IKT procesus, tehniskajā pārskatīšanā būtu jāizvērtē arī process, kas izmantots IKT produkta vai IKT pakalpojuma projektēšanā, izstrādē un uzturēšanā. Ja Eiropas kiberdrošības sertifikācijas shēmā paredzēts atbilstības pašnovērtējums, vajadzētu pietikt ar to, ka IKT produktu, IKT pakalpojumu vai IKT procesu ražotājs vai sniedzējs ir veicis pašnovērtējumu par IKT produkta, IKT pakalpojuma vai IKT procesa atbilstību sertifikācijas shēmai.

(89)

Attiecībā uz apliecinājuma līmeni “būtisks” izvērtējumā papildus prasībām apliecinājuma līmenim “pamata” būtu jāorientējas uz to, lai tiktu pārbaudīta vismaz IKT produkta, IKT pakalpojuma vai IKT procesa drošības funkciju atbilstība tā tehniskajai dokumentācijai.

(90)

Attiecībā uz apliecinājuma līmeni “augsts” izvērtējumā papildus prasībām apliecinājuma līmenim “būtisks” būtu jāorientējas uz to, lai tiktu veikta vismaz efektivitātes testēšana, kurā novērtē IKT produkta, IKT pakalpojums vai IKT procesa drošības funkciju noturību pret sarežģītiem kiberuzbrukumiem, ko veic personas ar nozīmīgām prasmēm un resursiem.

(91)

Eiropas kiberdrošības sertifikācijas un ES atbilstības apliecinājumu izmantošanai būtu jāpaliek fakultatīvai, ja vien Savienības tiesību aktos vai dalībvalstu tiesību aktos, kas pieņemti saskaņā ar Savienības tiesību aktiem, nav noteikts citādi. Ja saskaņotu Savienības tiesību aktu nav, dalībvalstis var pieņemt valsts tehniskos noteikumus atbilstīgi Eiropas Parlamenta un Padomes Direktīvai (ES) 2015/1535 (20), kurā paredzēta obligāta sertifikācija saskaņā ar Eiropas kiberdrošības sertifikācijas shēmu. Dalībvalstis var izmantot arī Eiropas kiberdrošības sertifikāciju saistībā ar publisko iepirkumu un Eiropas Parlamenta un Padomes Direktīvu 2014/24/ES (21).

(92)

Dažās jomās varētu būt nepieciešams turpmāk noteikt īpašas kiberdrošības prasības un paredzēt obligātu sertifikāciju attiecībā uz konkrētiem IKT produktiem, IKT pakalpojumiem vai IKT procesiem nolūkā uzlabot kiberdrošības līmeni Savienībā. Komisijai būtu regulāri jāpārrauga, kā pieņemtās Eiropas kiberdrošības sertifikācijas shēmas ietekmē drošu IKT produktu, IKT pakalpojumu vai IKT procesu pieejamību iekšējā tirgū, un būtu regulāri jānovērtē, cik plaši IKT produktu, IKT pakalpojumu vai IKT procesu ražotāji vai sniedzēji Savienībā izmanto sertifikācijas shēmas. Eiropas kiberdrošības sertifikācijas shēmu efektivitāte un tas, vai konkrētas shēmas būtu jāpadara par obligātām, būtu jāvērtē, ņemot vērā Savienības tiesību aktus kiberdrošības jomā, jo īpaši Direktīvu (ES) 2016/1148, un pamatpakalpojumu sniedzēju izmantoto tīklu un informācijas sistēmu drošību.

(93)

Eiropas kiberdrošības sertifikātiem un ES atbilstības apliecinājumiem būtu jāpalīdz galalietotājiem izdarīt uz informāciju pamatotu izvēli. Tāpēc IKT produktiem, IKT pakalpojumiem un IKT procesiem, kuri ir sertificēti vai par kuriem ir izdots ES atbilstības apliecinājums, vajadzētu būt pievienotai strukturētai informācijai, kas pielāgota paredzētā galalietotāja sagaidāmajam tehniskās izpratnes līmenim. Visai šādai informācijai vajadzētu būt pieejamai tiešsaistē, un attiecīgā gadījumā – fiziskā veidā. Galalietotājam vajadzētu būt pieejamai informācijai par sertifikācijas shēmas atsauces numuru, apliecinājuma līmeni, aprakstu par kiberdrošības riskiem saistībā ar IKT produktu, IKT pakalpojumu vai IKT procesu un izdevēju iestādi vai struktūru, vai vajadzētu būt iespējai saņemt Eiropas kiberdrošības sertifikāta kopiju. Turklāt galalietotājam vajadzētu būt informētam par IKT produktu, IKT pakalpojumu vai IKT procesu ražotāja vai sniedzēja kiberdrošības atbalsta politiku, proti, cik ilgi galalietotājs varētu saņemt ar kiberdrošību saistītus atjauninājumus vai labojumus. Attiecīgā gadījumā būtu jāsniedz norādījumi par darbībām vai iestatījumiem, ko galalietotājs var veikt, lai saglabātu vai palielinātu IKT produkta vai IKT pakalpojuma kiberdrošību, un vienota kontaktpunkta kontaktinformāciju, kuram ziņot par kiberuzbrukumiem un no kura saņemt atbalstu kiberuzbrukumu gadījumā (papildus automātiskajai ziņošanai). Minētajai informācijai vajadzētu būt regulāri atjauninātai un darītai pieejamai tīmekļa vietnē, kur sniedz informāciju par Eiropas kiberdrošības sertifikācijas shēmām.

(94)

Lai sasniegtu šīs regulas mērķus un izvairītos no iekšējā tirgus sadrumstalotības, valsts kiberdrošības sertifikācijas shēmām vai procedūrām, kas piemērojamas kādā Eiropas kiberdrošības sertifikācijas shēmā ietvertajiem IKT produktiem, IKT pakalpojumiem vai IKT procesiem, no Komisijas īstenošanas aktos noteiktas dienas vairs nevajadzētu būt spēkā. Turklāt dalībvalstīm vairs nebūtu jāievieš jaunas valsts kiberdrošības sertifikācijas shēmas IKT produktiem, IKT pakalpojumiem vai IKT procesiem, uz kuriem jau attiecas spēkā esoša Eiropas kiberdrošības sertifikācijas shēma. Tomēr dalībvalstīm nevajadzētu aizliegt pieņemt vai saglabāt valsts kiberdrošības sertifikācijas shēmas nacionālās drošības vajadzībām. Dalībvalstīm būtu Komisija un ECCG jāinformē par jebkuru savu nolūku izstrādāt jaunas valsts kiberdrošības sertifikācijas shēmas. Komisijai un ECCG būtu jāizvērtē jauno valsts kiberdrošības sertifikācijas shēmu ietekme uz iekšējā tirgus pienācīgu darbību un, ņemot vērā stratēģiskās intereses, jāapsver iespēja tās vietā pieprasīt Eiropas kiberdrošības sertifikācijas shēmu.

(95)

Eiropas kiberdrošības sertifikācijas shēmu mērķis ir palīdzēt saskaņot kiberdrošības praksi Savienībā. Tām jādod ieguldījums kiberdrošības līmeņa paaugstināšanā Savienībā. Eiropas kiberdrošības sertifikācijas shēmu izstrādē būtu jāņem vērā arī inovācijas kiberdrošības jomā un jādod iespēja attīstīt tās.

(96)

Eiropas kiberdrošības sertifikācijas shēmās būtu jāņem vērā pašreizējās programmatūras un aparatūras izstrādes metodes un jo īpaši – biežu programmatūras un aparātprogrammatūras atjauninājumu ietekme uz atsevišķiem Eiropas kiberdrošības sertifikātiem. Eiropas kiberdrošības sertifikācijas shēmās būtu jāparedz nosacījumi, saskaņā ar kuriem atjauninājuma rezultātā var būt nepieciešama IKT produkta, IKT pakalpojuma vai IKT procesa atkārtota sertifikācija vai konkrēta Eiropas kiberdrošības sertifikāta tvēruma samazināšana, ņemot vērā atjauninājuma iespējamu nelabvēlīgu ietekmi uz atbilstību minētā sertifikāta drošības prasībām.

(97)

Pēc Eiropas kiberdrošības sertifikācijas shēmas pieņemšanas IKT produktu, IKT pakalpojumu vai IKT procesu ražotājiem vai sniedzējiem vajadzētu būt iespējai savus IKT produktu vai IKT pakalpojumu sertifikācijas pieteikumus iesniegt pašu izvēlētai atbilstības novērtēšanas struktūrai jebkur Savienībā. Atbilstības novērtēšanas struktūras būtu jāakreditē valsts akreditācijas struktūrai, ja tās atbilst dažām konkrētām šajā regulā izklāstītām prasībām. Akreditācija būtu jāpiešķir uz laikposmu, kas nav ilgāks par pieciem gadiem, un to būtu jāatjauno ar tādiem pašiem nosacījumiem, ja atbilstības novērtēšanas struktūra joprojām ievēro prasības. Valstu akreditācijas struktūrām atbilstības novērtēšanas struktūras akreditācija būtu jāierobežo, jāaptur vai jāatsauc, ja akreditācijas nosacījumi nav vai vairs netiek izpildīti vai ja atbilstības novērtēšanas struktūra pārkāpj šo regulu.

(98)

Valstu tiesību aktos iekļautās atsauces uz valsts standartiem, kas vairs nav spēkā sakarā ar Eiropas kiberdrošības sertifikācijas shēmas stāšanos spēkā, var radīt neskaidrību. Tāpēc dalībvalstīm būtu jāapsver Eiropas kiberdrošības sertifikācijas shēmas pieņemšana savos tiesību aktos.

(99)

Lai visā Savienībā panāktu līdzvērtīgus standartus, veicinātu savstarpēju atzīšanu un sekmētu Eiropas kiberdrošības sertifikātu un ES atbilstības apliecinājumu vispārējo atzīšanu, ir jāievieš salīdzinošas izvērtēšanas sistēma starp valstu kiberdrošības sertifikācijas iestādēm. Salīdzinošajā izvērtēšanā būtu jāietilpst procedūrām attiecībā uz IKT produktu, IKT pakalpojumu vai IKT procesu ar Eiropas kiberdrošības sertifikātiem atbilstības uzraudzīšanu, uz IKT produktu, IKT pakalpojumu vai IKT procesu ražotāju vai sniedzēju pienākumu pārraudzīšanu, kuri veic atbilstības pašnovērtējumu, uz atbilstības novērtēšanas struktūru pārraudzīšanu, kā arī uz to struktūru darbinieku lietpratības piemērotību, kuras izdod sertifikātus par apliecinājuma līmeni “augsts”. Komisijai ar īstenošanas aktu vajadzētu būt iespējai izstrādāt vismaz piecu gadu plānu salīdzinošajai izvērtēšanai, kā arī noteikt salīdzinošās izvērtēšanas sistēmas darbības kritērijus un metodes.

(100)

Neskarot vispārējo salīdzinošās izvērtēšanas sistēmu, ko paredzēts ieviest visās valsts kiberdrošības sertifikācijas iestādēs Eiropas kiberdrošības sertifikācijas satvarā, konkrētās Eiropas kiberdrošības sertifikācijas shēmās var būt iekļauts salīdzinošās izvērtēšanas mehānisms struktūrām, kuras IKT produktiem, IKT pakalpojumiem un IKT procesiem izdod Eiropas kiberdrošības sertifikātus par apliecinājuma līmeni “augsts” saskaņā ar šādām shēmām. ECCG būtu jāatbalsta šādu salīdzinošās izvērtēšanas mehānismu īstenošana. Salīdzinošajā izvērtēšanā jo īpaši būtu jāizvērtē, vai attiecīgās struktūras savus uzdevumus veic saskaņoti, un tā varētu ietvert pārsūdzības mehānismus. Salīdzinošās izvērtēšanas rezultāti būtu jādara publiski pieejami. Attiecīgās struktūras var pieņemt piemērotus pasākumus, lai attiecīgi pielāgotu savu praksi un lietpratību.

(101)

Dalībvalstīm būtu jāizraugās viena vai vairākas valsts kiberdrošības sertifikācijas iestādes, lai uzraudzītu atbilstību no šīs regulas izrietošajiem pienākumiem. Valsts kiberdrošības sertifikācijas iestāde var būt pastāvoša vai jauna iestāde. Dalībvalstij arī vajadzētu būt iespējai, vienojoties ar citu dalībvalsti, izraudzīties vienu vai vairākas valsts kiberdrošības sertifikācijas iestādes minētās citas dalībvalsts teritorijā.

(102)

Valstu kiberdrošības sertifikācijas iestādēm jo īpaši būtu jāpārrauga IKT produktu, IKT pakalpojumu vai IKT procesu ražotāju vai sniedzēju, kas veic uzņēmējdarbību iestādes attiecīgajā teritorijā, pienākumi, kas saistīti ar ES atbilstības apliecinājumu, un jānodrošina šo pienākumu izpilde, būtu jāpalīdz valsts akreditācijas struktūrām atbilstības novērtēšanas struktūru darbību pārraudzīšanā un uzraudzīšanā, nodrošinot tām lietpratību un attiecīgu informāciju, būtu jāpilnvaro atbilstības novērtēšanas struktūras veikt to uzdevumus, ja tās ir izpildījušas Eiropas kiberdrošības sertifikācijas shēmā izklāstītās papildu prasības, un būtu jāpārrauga nozīmīgas norises kiberdrošības sertifikācijas jomā. Valstu kiberdrošības sertifikācijas iestādēm būtu arī jāizskata sūdzības, ko fiziskas vai juridiskas personas iesniegušas saistībā ar minēto iestāžu izdotiem Eiropas kiberdrošības sertifikācijas sertifikātiem vai atbilstības novērtēšanas struktūru izdotiem Eiropas kiberdrošības sertifikātiem, ja tajos norādītais apliecinājuma līmenis ir “augsts”, pienācīgā mērā būtu jāizmeklē sūdzības priekšmeti un samērīgā laikposmā jāinformē sūdzības iesniedzējs par lietas virzību un izskatīšanas rezultātiem. Turklāt valstu kiberdrošības sertifikācijas iestādēm būtu jāsadarbojas ar citām valsts kiberdrošības sertifikācijas iestādēm vai citām publiskām iestādēm, tostarp, apmainoties ar informāciju par IKT produktu, IKT pakalpojumu vai IKT procesu iespējamu neatbilstību šīs regulas prasībām vai konkrētām Eiropas kiberdrošības sertifikācijas shēmām. Komisijai būtu jāveicina minētā informācijas apmaiņa, darot pieejamu vispārēju elektronisku informācijas atbalsta sistēmu, piemēram, tirgus uzraudzības informācijas un saziņas sistēmu (ICSMS) un ātrās brīdināšanas sistēmu bīstamu nepārtikas preču jomā (RAPEX), ko tirgus uzraudzības iestādes jau izmanto, ievērojot Regulu (EK) Nr. 765/2008.

(103)

Lai nodrošinātu Eiropas kiberdrošības sertifikācijas satvara konsekventu piemērošanu, būtu jāizveido ECCG, kas sastāv no valstu kiberdrošības sertifikācijas iestāžu vai citu attiecīgu valstu iestāžu pārstāvjiem. ECCG galvenais uzdevums būtu dot padomus un palīdzēt Komisijai tās darbā, lai nodrošinātu Eiropas kiberdrošības sertifikācijas satvara konsekventu īstenošanu un piemērošanu, palīdzēt ENISA un ar to cieši sadarboties kiberdrošības sertifikācijas kandidātshēmu izveidē, pienācīgi pamatotos gadījumos lūgt ENISA izveidot kandidātshēmu, pieņemt ENISA adresētus atzinumus par kandidātshēmām un Komisijai adresētus atzinumus par esošo Eiropas kiberdrošības sertifikācijas shēmu uzturēšanu un pārskatīšanu. ECCG būtu jāveicina labas prakses un lietpratības apmaiņa starp dažādām valstu kiberdrošības sertifikācijas iestādēm, kas atbild par atļauju izsniegšanu atbilstības novērtēšanas struktūrām un par Eiropas kiberdrošības sertifikātu izdošanu.

(104)

Lai uzlabotu izpratni par topošajām Eiropas kiberdrošības sertifikācijas shēmām un sekmētu to atzīšanu, Komisija var izdot tādas vispārīgas vai konkrētai nozarei paredzētas kiberdrošības pamatnostādnes, piemēram, par labu kiberdrošības praksi vai atbildīgu rīcību kiberdrošības jomā, kuras akcentētu sertificētu IKT produktu, IKT pakalpojumu un IKT procesu izmantošanas labvēlīgo ietekmi.

(105)

Lai vēl vairāk veicinātu tirdzniecību un, atzīstot, ka IKT piegādes ķēdes ir globālas, Savienība saskaņā ar Līguma par Eiropas Savienības darbību (LESD) 218. pantu var slēgt savstarpējās atzīšanas nolīgumus par Eiropas kiberdrošības sertifikātiem. Komisija, ņemot vērā ENISA un ECCG padomus, var ieteikt attiecīgu sarunu sākšanu. Katrā Eiropas kiberdrošības sertifikācijas shēmā būtu jāparedz konkrēti nosacījumi attiecībā uz šādiem savstarpējās atzīšanas nolīgumiem ar trešām valstīm.

(106)

Lai nodrošinātu vienādus nosacījumus šīs regulas īstenošanai, būtu jāpiešķir Komisijai īstenošanas pilnvaras gadījumiem. Minētās pilnvaras būtu jāīsteno saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 182/2011 (22).

(107)

Pārbaudes procedūra būtu jāizmanto, lai pieņemtu īstenošanas aktus par Eiropas kiberdrošības sertifikācijas shēmām, kas izmantojamas attiecībā uz IKT produktiem, IKT pakalpojumiem vai IKT procesiem; par kārtību, kādā ENISA veic izmeklēšanu; par valsts kiberdrošības sertifikācijas iestāžu salīdzinošās izvērtēšanas plānu, kā arī par tādu atbilstības novērtēšanas struktūru paziņojumu sniegšanas apstākļiem, veidu un kārtību, kurus Komisijai sniedz valsts kiberdrošības sertifikācijas iestādes.

(108)

ENISA darbība būtu jānovērtē regulāri un neatkarīgi. Minētajā novērtējumā būtu jāņem vērā ENISA mērķi, tās darba prakse un uzdevumu, jo īpaši to uzdevumu, kas saistīti ar operatīvo sadarbību Savienības līmenī, būtiskums. Minētajā novērtējumā būtu arī jānovērtē Eiropas kiberdrošības sertifikācijas satvara ietekme, lietderība un efektivitāte. Pārskatīšanas gadījumā Komisijai būtu jānovērtē, kā var stiprināt ENISA kā padomu un lietpratības uzziņas punkta lomu, kā arī novērtēt iespējamu ENISA lomu attiecībā uz atbalstu tādu trešo valstu IKT produktu, IKT pakalpojumu un IKT procesu izvērtēšanai, kuri neatbilst Savienības noteikumiem, ja šādi produkti, pakalpojumi vai procesi ienāk Savienībā.

(109)

Ņemot vērā to, ka šīs regulas mērķus nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, bet to mēroga un ietekmes dēļ minētos mērķus var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienību (LES) 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā regulā paredz vienīgi tos pasākumus, kas ir vajadzīgi minēto mērķu sasniegšanai.

(110)

Regula (ES) Nr. 526/2013 būtu jāatceļ,