02019R0881-20250204

Dieses Dokument ist ein Auszug aus dem EUR-Lex-Portal.

EUROPA
EUR-Lex-Startseite
EUR-Lex - 02019R0881-20250204 - DE

Hilfe

Suchtipps

Brauchen Sie weitere Suchoptionen? Nutzen Sie die Erweiterte Suche

Dokument 02019R0881-20250204

Hilfe

Konsolidierter Text: Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (Text von Bedeutung für den EWR)

Zum ursprünglichen Rechtsakt

(

Rechtlicher Status des Dokuments In Kraft

)

04/02/2025

ELI: http://data.europa.eu/eli/reg/2019/881/2025-02-04

HTML

PDF

02019R0881 — DE — 04.02.2025 — 001.001

Dieser Text dient lediglich zu Informationszwecken und hat keine Rechtswirkung. Die EU-Organe übernehmen keine Haftung für seinen Inhalt. Verbindliche Fassungen der betreffenden Rechtsakte einschließlich ihrer Präambeln sind nur die im Amtsblatt der Europäischen Union veröffentlichten und auf EUR-Lex verfügbaren Texte. Diese amtlichen Texte sind über die Links in diesem Dokument unmittelbar zugänglich

►B

VERORDNUNG (EU) 2019/881 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 17. April 2019

über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit)

(Text von Bedeutung für den EWR)

(ABl. L 151 vom 7.6.2019, S. 15)

Geändert durch:

		Amtsblatt
		Nr.	Seite	Datum
►M1	VERORDNUNG (EU) 2025/37 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 19. Dezember 2024	L 37	1	15.1.2025

▼B

VERORDNUNG (EU) 2019/881 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 17. April 2019

(Text von Bedeutung für den EWR)

TITEL I

ALLGEMEINE BESTIMMUNGEN

Artikel 1

Gegenstand und Geltungsbereich

(1)

Um das ordnungsgemäße Funktionieren des Binnenmarkts zu gewährleisten und um gleichzeitig in der Union ein hohes Niveau in der Cybersicherheit, bei der Fähigkeit zur Abwehr gegen Cyberangriffe und beim Vertrauen in die Cybersicherheit zu erreichen, wird in dieser Verordnung Folgendes festgelegt:

die Ziele, Aufgaben und organisatorischen Aspekte der ENISA (Agentur der Europäischen Union für Cybersicherheit) und

▼M1

ein Rahmen für die Festlegung europäischer Schemata für die Cybersicherheitszertifizierung, mit dem Ziel, für IKT-Produkte, -Dienste und -Prozesse und für verwaltete Sicherheitsdienste in der Union ein angemessenes Maß an Cybersicherheit zu gewährleisten, und mit dem Ziel, eine Fragmentierung des Binnenmarkts für Schemata für die Cybersicherheitszertifizierung in der Union zu verhindern.

▼B

Der Rahmen nach Unterabsatz 1 Buchstabe b gilt unbeschadet der in anderen Rechtsakten der Union festgelegten Bestimmungen in Bezug auf eine freiwillige oder verbindliche Zertifizierung.

(2)

Von dieser Verordnung unberührt bleiben die Zuständigkeiten der Mitgliedstaaten für Tätigkeiten in Bezug auf die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das staatliche Handeln im strafrechtlichen Bereich.

Artikel 2

Begriffsbestimmungen

Für die Zwecke dieser Verordnung gelten folgende Begriffsbestimmungen:

„Cybersicherheit“ bezeichnet alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen;

„Netz- und Informationssystem“ bezeichnet ein Netz- und Informationssystem im Sinne des Artikels 4 Nummer 1 der Richtlinie (EU) 2016/1148;

„nationale Strategie für die Sicherheit von Netz- und Informationssystemen“ bezeichnet eine nationale Strategie für die Sicherheit von Netz- und Informationssystemen im Sinne des Artikels 4 Nummer 3 der Richtlinie (EU) 2016/1148;

„Betreiber wesentlicher Dienste“ bezeichnet einen Betreiber wesentlicher Dienste im Sinne des Artikels 4 Nummer 4 der Richtlinie (EU) 2016/1148;

„Anbieter digitaler Dienste“ bezeichnet einen Anbieter digitaler Dienste im Sinne des Artikels 4 Nummer 6 der Richtlinie (EU) 2016/1148;

„Sicherheitsvorfall“ bezeichnet einen Sicherheitsvorfall im Sinne des Artikels 4 Nummer 7 der Richtlinie (EU) 2016/1148;

„Bewältigung von Sicherheitsvorfällen“ bezeichnet die Bewältigung von Sicherheitsvorfällen im Sinne des Artikels 4 Nummer 8 der Richtlinie (EU) 2016/1148;

„Cyberbedrohung“ bezeichnet einen möglichen Umstand, ein mögliches Ereignis oder eine mögliche Handlung, der/das/die Netz- und Informationssysteme, die Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträchtigen könnte;

▼M1

„europäisches Schema für die Cybersicherheitszertifizierung“ bezeichnet ein umfassendes Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren, die auf Unionsebene festgelegt werden und für die Zertifizierung oder Konformitätsbewertung von bestimmten IKT-Produkten, -Diensten und -Prozessen und verwalteten Sicherheitsdiensten gelten;

10.

„nationales Schema für die Cybersicherheitszertifizierung“ bezeichnet ein umfassendes, von einer nationalen Behörde ausgearbeitetes und erlassenes Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren, die für die Zertifizierung oder Konformitätsbewertung von IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten gelten, die von diesem Schema erfasst werden;

11.

„europäisches Cybersicherheitszertifikat“ bezeichnet ein von einer maßgeblichen Stelle ausgestelltes Dokument, in dem bescheinigt wird, dass ein bestimmtes IKT-Produkt, ein bestimmter IKT-Dienst, ein bestimmter IKT-Prozess oder ein bestimmter verwalteter Sicherheitsdienst im Hinblick auf die Erfüllung besonderer Sicherheitsanforderungen, die in einem europäischen Schema für die Cybersicherheitszertifizierung festgelegt sind, bewertet wurde;

▼B

12.

„IKT-Produkt“ bezeichnet ein Element oder eine Gruppe von Elementen eines Netz- oder Informationssystems;

13.

„IKT-Dienst“ bezeichnet einen Dienst, der vollständig oder überwiegend aus der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht;

14.

„IKT-Prozess“ bezeichnet jegliche Tätigkeiten, mit denen ein ITK-Produkt oder -Dienst konzipiert, entwickelt, bereitgestellt oder gepflegt werden soll;

▼M1

14a.

„verwalteter Sicherheitsdienst“ bezeichnet einen für einen Dritten erbrachten Dienst, der in der Durchführung oder Unterstützung von Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement besteht, wie beispielsweise die Bewältigung von Sicherheitsvorfällen, Penetrationstests, Sicherheitsaudits und Beratung — auch von Sachverständigen — zur technischen Unterstützung;

▼B

15.

„Akkreditierung“ bezeichnet die Akkreditierung im Sinne des Artikels 2 Nummer 10 der Verordnung (EG) Nr. 765/2008;

16.

„nationale Akkreditierungsstelle“ bezeichnet eine nationale Akkreditierungsstelle im Sinne des Artikels 2 Nummer 11 der Verordnung (EG) Nr. 765/2008;

17.

„Konformitätsbewertung“ bezeichnet eine Konformitätsbewertung im Sinne des Artikels 2 Nummer 12 der Verordnung (EG) Nr. 765/2008;

18.

„Konformitätsbewertungsstelle“ bezeichnet eine Konformitätsbewertungsstelle im Sinne des Artikels 2 Nummer 13 der Verordnung (EG) Nr. 765/2008;

19.

„Norm“ bezeichnet eine Norm im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012;

▼M1

20.

„technische Spezifikation“ bezeichnet ein Dokument, das die technischen Anforderungen, denen ein IKT-Produkt, -Dienst, -Prozess oder ein verwalteter Sicherheitsdienst genügen muss, oder ein diesbezügliches Konformitätsbewertungsverfahren vorschreibt;

21.

„Vertrauenswürdigkeitsstufe“ bezeichnet die Grundlage für das Vertrauen darin, dass ein IKT-Produkt, -Dienst oder -Prozess oder ein verwalteter Sicherheitsdienst den Sicherheitsanforderungen eines spezifischen europäischen Schemas für die Cybersicherheitszertifizierung genügt, und gibt an, auf welchem Niveau das IKT-Produkt, der IKT-Dienst, der IKT-Prozess oder der verwaltete Sicherheitsdienst bei der Bewertung eingestuft wurde, ist jedoch als solche kein Maß für die Sicherheit des jeweiligen IKT-Produkts, -Dienstes, -Prozesses oder verwalteten Sicherheitsdienstes;

22.

„Selbstbewertung der Konformität“ bezeichnet eine Maßnahme eines Herstellers oder Anbieters von IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten zur Bewertung, ob diese IKT-Produkte, -Dienste oder -Prozesse oder verwalteten Sicherheitsdienste die Anforderungen, die in einem bestimmten europäischen Schema für die Cybersicherheitszertifizierung festgelegt sind, erfüllen.

▼B

TITEL II

ENISA (AGENTUR DER EUROPÄISCHEN UNION FÜR CYBERSICHERHEIT)

KAPITEL I

Mandat und Ziele

Artikel 3

Mandat

(1)

Die ENISA nimmt die ihr mit dieser Verordnung zugewiesenen Aufgaben mit dem Ziel wahr, ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union zu erreichen, unter anderem indem sie die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union bei der Verbesserung der Cybersicherheit unterstützt. Die ENISA dient den Organen, Einrichtungen und sonstigen Stellen der Union sowie anderen maßgeblichen Interessenträgern der Union als Bezugspunkt für Beratung und Sachkenntnis im Bereich Cybersicherheit.

Die ENISA trägt durch die Wahrnehmung der ihr mit dieser Verordnung zugewiesenen Aufgaben zur Verringerung der Fragmentierung im Binnenmarkt bei.

(2)

Die ENISA nimmt die ihr durch Rechtsakte der Union zugewiesenen Aufgaben wahr, mit denen die Rechts- und Verwaltungsvorschriften der Mitgliedstaaten auf dem Gebiet der Cybersicherheit angeglichen werden sollen.

(3)

Die ENISA handelt bei der Wahrnehmung ihrer Aufgaben unabhängig, vermeidet Überschneidungen mit den Tätigkeiten der Mitgliedstaaten und berücksichtigt die bereits vorhandene Sachkenntnis der Mitgliedstaaten.

(4)

Die ENISA entwickelt ihre eigenen Ressourcen, einschließlich technischer und menschlicher Fähigkeiten und Fertigkeiten, die erforderlich sind, um die ihr mit dieser Verordnung zugewiesenen Aufgaben wahrzunehmen.

Artikel 4

Ziele

(1)

Die ENISA dient aufgrund ihrer Unabhängigkeit, der wissenschaftlichen und technischen Qualität der von ihr geleisteten Beratung und Unterstützung, der von ihr bereitgestellten Informationen, ihrer operativen Verfahren, ihrer Arbeitsmethoden sowie der Sorgfalt bei der Wahrnehmung ihrer Aufgaben als Kompetenzzentrum in Fragen der Cybersicherheit.

(2)

Die ENISA unterstützt die Organe, Einrichtungen und sonstigen Stellen der Union sowie die Mitgliedstaaten bei der Ausarbeitung und Umsetzung von Strategien der Union im Zusammenhang mit der Cybersicherheit, wozu auch sektorbezogene Strategien zur Cybersicherheit gehören.

(3)

Die ENISA fördert unionsweit den Kapazitätsaufbau und die Abwehrbereitschaft, indem sie die Organe, Einrichtungen und sonstigen Stellen der Union, die Mitgliedstaaten sowie öffentliche und private Interessenträger dabei unterstützt, den Schutz ihrer Netz- und Informationssysteme zu verbessern, Fähigkeiten zur Abwehr von Cyberangriffen und Reaktionskapazitäten aufzubauen und zu verbessern und Fähigkeiten und Kompetenzen auf dem Gebiet der Cybersicherheit aufzubauen.

(4)

Die ENISA fördert auf Unionsebene die Zusammenarbeit einschließlich des Informationsaustauschs und die Koordinierung zwischen den Mitgliedstaaten, den Organen, Einrichtungen und sonstigen Stellen der Union sowie den einschlägigen privaten und öffentlichen Interessenträgern in Fragen, die im Zusammenhang mit der Cybersicherheit stehen.

(5)

Die ENISA trägt zum Ausbau der Cybersicherheitskapazitäten auf Unionsebene bei, um — insbesondere bei grenzüberschreitenden Sicherheitsvorfällen — die Maßnahmen zu unterstützen, die die Mitgliedstaaten zur Vermeidung von Cyberbedrohungen oder als Reaktion darauf ergreifen.

▼M1

(6)

Die ENISA fördert die Nutzung der europäischen Cybersicherheitszertifizierung, um der Fragmentierung des Binnenmarkts vorzubeugen. Die ENISA trägt zum Aufbau und zur Pflege eines europäischen Zertifizierungsrahmens für die Cybersicherheit im Sinne des Titels III dieser Verordnung bei, um die Transparenz der Cybersicherheit von IKT-Produkten, -Diensten und -Prozessen und verwalteten Sicherheitsdiensten zu erhöhen und damit das Vertrauen in den digitalen Binnenmarkt sowie dessen Wettbewerbsfähigkeit zu stärken.

▼B

(7)

Die ENISA fördert ein hohes Maß der Sensibilisierung für die Cybersicherheit, einschließlich der Cyberhygiene und der Cyberkompetenz von Bürgern, Organisationen und Unternehmen.

KAPITEL II

Aufgaben

Artikel 5

Entwicklung und Umsetzung der Unionspolitik und des Unionsrechts

Die ENISA trägt zur Entwicklung und Umsetzung der Unionspolitik und des Unionsrechts bei, indem sie

insbesondere durch unabhängige Stellungnahmen und Analysen sowie durch vorbereitende Arbeiten zur Ausarbeitung und Überprüfung der Unionspolitik und des Unionsrechts auf dem Gebiet der Cybersicherheit Beratung und Unterstützung gewährt und indem sie sektorspezifische Strategien und Rechtsetzungsinitiativen im Bereich der Cybersicherheit vorlegt;

die Mitgliedstaaten darin unterstützt, die Unionspolitik und das Unionsrecht auf dem Gebiet der Cybersicherheit, vor allem im Zusammenhang mit der Richtlinie (EU) 2016/1148, kohärent umzusetzen, auch durch die Abgabe von Stellungnahmen, Herausgabe von Leitlinien, Anbieten von Beratung und bewährten Verfahren zu Themen wie Risikomanagement, Meldung von Sicherheitsvorfällen und Informationsaustausch, und indem sie den Austausch bewährter Verfahren in diesem Bereich zwischen den zuständigen Behörden erleichtert;

die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union bei der Entwicklung und Förderung von Strategien im Zusammenhang mit der Cybersicherheit unterstützt, die die allgemeine Verfügbarkeit oder Integrität des öffentlichen Kerns des offenen Internets bewahren;

ihre Sachkenntnis und Unterstützung in die Arbeit der nach Artikel 11 der Richtlinie (EU) 2016/1148 eingesetzten Kooperationsgruppe einbringt;

Folgendes unterstützt:

die Entwicklung und Umsetzung der Unionspolitik im Bereich der elektronischen Identität und Vertrauensdienste, vor allem durch Beratung und die Herausgabe technische Leitlinien sowie durch die Erleichterung des Austauschs bewährter Verfahren zwischen den zuständigen Behörden;

die Förderung eines höheren Sicherheitsniveaus in der elektronischen Kommunikation, auch indem sie Beratung und Sachkenntnis anbietet und den Austausch bewährter Verfahren zwischen den zuständigen Behörden erleichtert;

die Mitgliedstaaten bei der Umsetzung bestimmter auf die Cybersicherheit bezogener Aspekte der Politik und des Rechts der Union im Bereich des Datenschutzes und des Schutzes der Privatsphäre, was — auf dessen Ersuchen die Beratung des Europäischen Datenschutzausschusses einschließt;

die regelmäßige Überprüfung der Unionspolitik unterstützt und dazu einen Jahresbericht über den Stand der Umsetzung des jeweiligen Rechtsrahmens in Bezug auf Folgendes erstellt:

Informationen über Meldungen von Sicherheitsvorfällen durch die Mitgliedstaaten über die zentrale Anlaufstelle der Kooperationsgruppe nach Artikel 10 Absatz 3 der Richtlinie (EU) 2016/1148;

Zusammenfassungen von Meldungen von Sicherheitsverletzungen oder Integritätsverlusten von Vertrauensdiensteanbietern, die der ENISA auf der Grundlage des Artikels 19 Absatz 3 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates ( 1 ) von den Aufsichtsstellen übermittelt werden;

die Meldungen von Sicherheitsvorfällen durch Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugängliche elektronische Kommunikationsdienste, die der ENISA von den zuständigen Behörden auf der Grundlage des Artikels 40 der Richtlinie (EU) 2018/1972 übermittelt werden.

Artikel 6

Kapazitätsaufbau

(1)

Die ENISA unterstützt

die Mitgliedstaaten bei ihren Bemühungen zur Verhütung, Erkennung und Analyse und zur Stärkung ihrer Fähigkeiten bei der Bewältigung von Cyberbedrohungen und Cybersicherheitsvorfällen, indem sie ihnen Wissen und Sachkenntnisse zur Verfügung stellt;

die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union bei der Aufstellung und Umsetzung von Strategien für eine Offenlegung von Sicherheitslücken auf freiwilliger Basis;

die Organe, Einrichtungen und sonstigen Stellen der Union bei ihren Bemühungen zur Verhütung, Erkennung und Analyse von Cyberbedrohungen und Cybersicherheitsvorfällen und zur Verbesserung ihrer Fähigkeiten bei der Bewältigung derartiger Cyberbedrohungen und Cybersicherheitsvorfällen, indem sie insbesondere das CERT-EU angemessen unterstützt;

die Mitgliedstaaten auf deren Ersuchen beim Aufbau nationaler CSIRTs nach Artikel 9 Absatz 5 der Richtlinie (EU) 2016/1148;

die Mitgliedstaaten auf Ersuchen bei der Ausarbeitung nationaler Strategien für die Sicherheit von Netz- und Informationssystemen nach Artikel 7 Absatz 2 der Richtlinie (EU) 2016/1148 und fördert die unionsweite Verbreitung dieser Strategien und stellt die Fortschritte bei deren Umsetzung fest, um bewährte Verfahren bekannt zu machen;

die Organe der Union bei der Ausarbeitung und Überprüfung von Unionsstrategien zur Cybersicherheit, fördert deren Verbreitung und verfolgt die Fortschritte bei deren Umsetzung;

die CSIRTs der Mitgliedstaaten und der Union bei der Anhebung des Niveaus ihrer Fähigkeiten, auch durch die Förderung des Dialogs und Informationsaustauschs, damit jedes CSIRT entsprechend dem Stand der Technik einen gemeinsamen Bestand an Minimalfähigkeiten hat und entsprechend der bewährten Praxis arbeitet;

die Mitgliedstaaten durch die regelmäßige Veranstaltung der mindestens alle zwei Jahre stattfindenden Cybersicherheitsübungen auf Unionsebene nach Artikel 7 Absatz 5 und durch die Abgabe von Empfehlungen, die sie aus der Auswertung der Übungen und der bei diesen gemachten Erfahrungen ableitet;

einschlägige öffentliche Stellen, indem sie diesen, gegebenenfalls in Zusammenarbeit mit Interessenträgern, Fortbildungen zur Cybersicherheit anbietet;

die Kooperationsgruppe beim Austausch bewährter Verfahren, vor allem zur Ermittlung der Betreiber wesentlicher Dienste durch die Mitgliedstaaten nach Artikel 11 Absatz 3 Buchstabe l der Richtlinie (EU) 2016/1148, auch im Zusammenhang mit grenzüberschreitenden Abhängigkeiten, im Hinblick auf Risiken und Sicherheitsvorfälle.

(2)

Die ENISA unterstützt den Informationsaustausch in und zwischen den Sektoren, vor allem in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren, indem sie bewährte Verfahren und Leitlinien zu den verfügbaren Instrumenten und Verfahren sowie zur Bewältigung rechtlicher Fragen im Zusammenhang mit dem Informationsaustausch bereitstellt.

Artikel 7

Operative Zusammenarbeit auf Unionsebene

(1)

Die ENISA unterstützt die operative Zusammenarbeit zwischen den Mitgliedstaaten und Organen, Einrichtungen und sonstigen Stellen der Union untereinander und zwischen den Interessenträgern.

(2)

Die ENISA arbeitet auf operativer Ebene mit den Organen, Einrichtungen und sonstigen Stellen der Union zusammen und entwickelt Synergien mit diesen Stellen, zu denen auch das CERT-EU sowie die für Cyberkriminalität und die Aufsicht über den Datenschutz zuständigen Stellen zählen, um Fragen von gemeinsamem Interesse anzugehen, unter anderem durch

den Austausch von Know-how und bewährten Verfahren;

die Bereitstellung von Beratung und die Veröffentlichung von Leitlinien zu einschlägigen Fragen im Zusammenhang mit der Cybersicherheit;

die Festlegung praktischer Modalitäten für die Wahrnehmung besonderer Aufgaben nach Konsultation der Kommission.

(3)

Die ENISA führt die Sekretariatsgeschäfte des CSIRTs-Netzes nach Artikel 12 Absatz 2 der Richtlinie (EU) 2016/1148 und unterstützt in dieser Eigenschaft aktiv den Informationsaustausch und die Zusammenarbeit zwischen den Mitgliedern des CSIRTs-Netzes.

(4)

Die ENISA unterstützt die Mitgliedstaaten bei der operativen Zusammenarbeit innerhalb des CSIRTs-Netzes, indem sie

diese berät, wie sie ihre Fähigkeiten zur Verhütung, Erkennung und Bewältigung von Sicherheitsvorfällen verbessern können, und auf Ersuchen eines oder mehrerer Mitgliedstaaten Beratung in Bezug auf eine spezifische Cyberbedrohung leistet;

auf Ersuchen eines oder mehrerer Mitgliedstaaten bei der Bewertung von Sicherheitsvorfällen mit beträchtlichen oder erheblichen Auswirkungen Hilfe leistet, indem sie Sachkenntnisse bereitstellt und die technische Bewältigung solcher Vorfälle erleichtert, insbesondere auch durch die Unterstützung der freiwilligen Weitergabe maßgeblicher Informationen und technischer Lösungen zwischen den Mitgliedstaaten;

Sicherheitslücken und Sicherheitsvorfälle auf der Grundlage von öffentlich verfügbaren Informationen oder freiwillig von den Mitgliedstaaten zu diesem Zweck bereitgestellten Informationen analysiert und

auf Ersuchen eines oder mehrerer Mitgliedstaaten die nachträglichen technischen Untersuchungen von Sicherheitsvorfällen mit beträchtlichen oder erheblichen Auswirkungen im Sinne der Richtlinie (EU) 2016/1148 unterstützt.

Bei der Wahrnehmung dieser Aufgaben arbeiten die ENISA und das CERT-EU in strukturierter Weise zusammen, um Synergien nutzen zu können und Doppelarbeit zu vermeiden.

(5)

Die ENISA veranstaltet auf Unionsebene regelmäßig Cybersicherheitsübungen und unterstützt die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union auf deren Ersuchen hin bei der Organisation solcher Cybersicherheitsübungen. Diese Cybersicherheitsübungen auf Unionsebene können technische, operative oder strategische Elemente umfassen. Alle zwei Jahre veranstaltet die ENISA eine umfassende Großübung.

Die ENISA unterstützt gemeinsam mit den betreffenden Organisationen gegebenenfalls auch die Organisation sektorspezifischer Cybersicherheitsübungen, zu denen sie beiträgt, wobei diese Organisationen an den Cybersicherheitsübungen auf Unionsebene teilnehmen können.

(6)

Die ENISA erstellt in enger Zusammenarbeit mit den Mitgliedstaaten regelmäßig einen eingehenden technischen EU-Cybersicherheitslagebericht über Sicherheitsvorfälle und Bedrohungen auf der Grundlage von öffentlich zugänglichen Informationen, eigenen Analysen und Berichten, die ihr unter anderem von den CSIRTs der Mitgliedstaaten () oder den zentralen Anlaufstellen im Sinne der Richtlinie (EU) 2016/1148 (in beiden Fällen auf freiwilliger Basis) sowie dem EC3 und dem CERT-EU übermittelt werden.

(7)

Die ENISA trägt zur Entwicklung gemeinsamer Maßnahmen bei, mit denen auf Ebene der Union und der Mitgliedstaaten auf massive, grenzüberschreitende Cybersicherheitsvorfälle oder Cyberkrisen reagiert werden kann, indem sie insbesondere:

öffentlich verfügbare oder auf freiwilliger Grundlage bereitgestellte Berichte aus nationalen Quellen als Beitrag zu einer gemeinsamen Lageerfassung zusammenstellt und analysiert;

für einen effizienten Informationsfluss und Mechanismen sorgt, die zwischen dem CSIRTs-Netz und den fachlichen und politischen Entscheidungsträgern auf EU-Ebene eine abgestufte Vorgehensweise ermöglichen;

auf Ersuchen die technische Bewältigung dieser Sicherheitsvorfälle oder Krisen erleichtert, insbesondere auch durch die Unterstützung der freiwilligen Weitergabe technischer Lösungen zwischen den Mitgliedstaaten;

die Organe, Einrichtungen und sonstigen Stellen der Union und auf deren Ersuchen die Mitgliedstaaten bei der öffentlichen Kommunikation im Umfeld solcher Sicherheitsvorfälle oder der Krisen unterstützt;

die Kooperationspläne für die Reaktion auf solche Sicherheitsvorfälle oder Krisen auf Ebene der Union testet und auf deren Ersuchen die Mitgliedstaaten bei der Erprobung solcher Pläne auf nationaler Ebene unterstützt.

Artikel 8

Markt, Cybersicherheitszertifizierung und Normung

▼M1

(1)

Die ENISA unterstützt und fördert die Entwicklung und Umsetzung der Unionspolitik auf dem Gebiet der Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen und verwalteten Sicherheitsdiensten, wie in Titel III dieser Verordnung festgelegt, indem sie

▼B

die Entwicklungen in damit zusammenhängenden Normungsbereichen fortlaufend überwacht und in Fällen, in denen keine Normen zur Verfügung stehen, geeignete technische Spezifikationen für die Entwicklung europäischer Schemata für die Cybersicherheitszertifizierung nach Artikel 54 Absatz 1 Buchstabe c empfiehlt;

▼M1

mögliche europäische Schemata für die Cybersicherheitszertifizierung (im Folgenden „mögliche Schemata“) von IKT-Produkten, -Diensten und -Prozessen und verwalteten Sicherheitsdiensten nach Artikel 49 ausarbeitet;

▼B

angenommene europäische Schemata für die Cybersicherheitszertifizierung nach Artikel 49 Absatz 8 evaluiert;

sich an gegenseitigen Begutachtungen nach Artikel 59 Absatz 4 beteiligt;

die Kommission bei der Wahrnehmung der Sekretariatsgeschäfte der nach Artikel 62 Absatz 5 eingesetzten Europäischen Gruppe für die Cybersicherheitszertifizierung unterstützt.

(2)

Die ENISA nimmt die Sekretariatsgeschäfte der nach Artikel 22 Absatz 4 eingesetzten Gruppe der Interessenträger für die Cybersicherheitszertifizierung wahr.

▼M1

(3)

Die ENISA stellt in Zusammenarbeit mit den nationalen Behörden für die Cybersicherheitszertifizierung und der Branche auf formelle, strukturierte und transparente Art und Weise Leitlinien zu den Anforderungen an die Cybersicherheit von IKT-Produkten, -Diensten und -Prozessen und verwalteten Sicherheitsdiensten zusammen, veröffentlicht diese und entwickelt bewährte Verfahren hierzu.

▼B

(4)

Die ENISA trägt zu einem hinreichenden Kapazitätsaufbau im Zusammenhang mit den Bewertungs- und Zertifizierungsverfahren bei, indem sie Leitlinien erstellt und veröffentlicht und die Mitgliedstaaten auf deren Ersuchen hin unterstützt.

▼M1

(5)

Die ENISA erleichtert die Ausarbeitung und Übernahme europäischer und internationaler Normen für das Risikomanagement und für die Sicherheit von IKT-Produkten, -Diensten und -Prozessen und verwalteten Sicherheitsdiensten.

▼B

(6)

Die ENISA bietet nach Artikel 19 Absatz 2 der Richtlinie (EU) 2016/1148 in Zusammenarbeit mit den Mitgliedstaaten und der Branche Beratung an und erstellt Leitlinien für die technischen Bereiche, die sich auf die Sicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste beziehen, sowie für bereits vorhandene Normen, auch nationale Normen der Mitgliedstaaten.

(7)

Die ENISA führt regelmäßig Analysen der wichtigsten Angebots- und Nachfragetrends auf dem Cybersicherheitsmarkt durch, um den Cybersicherheitsmarkt in der Union zu fördern.

Artikel 9

Wissen und Informationen

Die ENISA

führt Analysen neu entstehender Technik durch und bietet themenspezifische Bewertungen der von den technischen Innovationen zu erwartenden gesellschaftlichen, rechtlichen, wirtschaftlichen und regulatorischen Auswirkungen auf die Cybersicherheit;

führt langfristige strategische Analysen der Cyberbedrohungen und Sicherheitsvorfälle durch, um neu auftretende Trends erkennen und dazu beitragen zu können, Sicherheitsvorfälle zu vermeiden;

stellt in Zusammenarbeit mit den Sachverständigen der Behörden der Mitgliedstaaten und den maßgeblichen Interessenträgern Beratung, Leitlinien und bewährte Verfahren für die Sicherheit der Netz- und Informationssysteme zur Verfügung, vor allem für die Sicherheit der Infrastrukturen, die die in Anhang II der Richtlinie (EU) 2016/1148 aufgeführten Sektoren unterstützen, und der Infrastrukturen, die von den Anbietern der in Anhang III der genannten Richtlinie aufgeführten digitaler Dienste genutzt werden;

bündelt die von den Organen, Einrichtungen und sonstigen Stellen der Union bereitgestellten Informationen zur Cybersicherheit und die auf freiwilliger Grundlage von den Mitgliedstaaten und privaten und öffentlichen Interessenträgern bereitgestellten Informationen zur Cybersicherheit, ordnet diese Informationen und stellt sie über ein eigenes Portal der Öffentlichkeit zur Verfügung;

erhebt und analysiert öffentlich verfügbare Informationen über signifikante Sicherheitsvorfälle und stellt Berichte mit dem Ziel zusammen, den Bürgern, Organisationen und Unternehmen unionsweite Leitlinien bereitzustellen.

Artikel 10

Sensibilisierung und Ausbildung

Die ENISA

sensibilisiert die Öffentlichkeit für Cybersicherheitsrisiken und stellt Leitlinien für bewährte Verfahren für einzelne Nutzer zur Verfügung, die sich an Bürger, Organisationen und Unternehmen richten und auch Cyberhygiene und Cyberkompetenz umfassen;

organisiert in Zusammenarbeit mit den Mitgliedstaaten, den Organen, Einrichtungen und sonstigen Stellen der Union und der Branche regelmäßige Aufklärungskampagnen, um die Cybersicherheit und ihre Sichtbarkeit in der Union zu erhöhen und eine umfassende öffentliche Debatte anzuregen;

unterstützt die Mitgliedstaaten bei ihren Anstrengungen zur Sensibilisierung in Bezug auf Cybersicherheit und zur Förderung der Ausbildung im Bereich Cybersicherheit;

unterstützt die engere Koordinierung und den Austausch bewährter Verfahren zwischen den Mitgliedstaaten in Bezug auf Sensibilisierung und Ausbildung im Bereich Cybersicherheit.

Artikel 11

Forschung und Innovation

Die ENISA, in Zusammenhang mit der Forschung und Innovation,

berät die Organe, Einrichtungen und sonstigen Stellen der Union und die Mitgliedstaaten zum Forschungsbedarf und zu den Forschungsprioritäten im Bereich Cybersicherheit, damit die Voraussetzung für wirksame Reaktionen auf die gegenwärtigen oder sich abzeichnenden Risiken und Cyberbedrohungen, auch in Bezug auf neue und aufkommende Informations- und Kommunikationstechnologien (IKT), geschaffen und die Techniken zur Risikovermeidung genutzt werden können;

beteiligt sich dort, wo die Kommission ihr die einschlägigen Befugnisse übertragen hat, an der Durchführungsphase von Förderprogrammen für Forschung und Innovation oder als Begünstige;

trägt im Bereich der Cybersicherheit zur strategischen Forschungs- und Innovationsagenda auf Unionsebene bei.

Artikel 12

Internationale Zusammenarbeit

Die ENISA unterstützt die Bemühungen der Union um Zusammenarbeit mit Drittländern und internationalen Organisationen sowie innerhalb der einschlägigen Rahmen für internationale Zusammenarbeit, um die internationale Zusammenarbeit in Angelegenheiten der Cybersicherheit zu fördern, indem sie

soweit zweckmäßig — bei der Organisation von internationalen Übungen als Beobachterin mitwirkt, die Ergebnisse solcher Übungen analysiert und sie dem Verwaltungsrat vorlegt;

auf Ersuchen der Kommission den Austausch bewährter Verfahren erleichtert;

der Kommission auf deren Ersuchen mit Sachkenntnis zur Seite steht;

die Kommission in Zusammenarbeit mit der nach Artikel 62 eingesetzten Europäischen Gruppe für die Cybersicherheitszertifizierung bei Fragen zu Abkommen über die gegenseitige Anerkennung von Cybersicherheitszertifikaten mit Drittländern berät und unterstützt.

KAPITEL III

Organisation der ENISA

Artikel 13

Struktur der ENISA

Die Verwaltungs- und Leitungsstruktur der ENISA besteht aus

einem Verwaltungsrat;

einem Exekutivrat;

einem Exekutivdirektor;

einer EINSA-Beratungsgruppe; und

einem Netz der nationalen Verbindungsbeamten.

Abschnitt 1

Verwaltungsrat

Artikel 14

Zusammensetzung des Verwaltungsrats

(1)

Dem Verwaltungsrat gehören je ein von jedem Mitgliedstaat ernanntes Mitglied und zwei von der Kommission ernannte Mitglieder an. Alle Mitglieder haben Stimmrecht.

(2)

Jedes Mitglied des Verwaltungsrats hat einen Stellvertreter. Dieser Stellvertreter vertritt das Mitglied im Fall seiner Abwesenheit.

(3)

Die Mitglieder des Verwaltungsrats und ihre Stellvertreter werden aufgrund ihrer Kenntnisse auf dem Gebiet der Cybersicherheit ernannt, wobei ihren einschlägigen Management-, Verwaltungs- und Haushaltsführungskompetenzen Rechnung zu tragen ist. Die Kommission und die Mitgliedstaaten bemühen sich, die Fluktuation bei ihren Vertretern im Verwaltungsrat gering zu halten, um die Kontinuität der Arbeit des Verwaltungsrats sicherzustellen. Die Kommission und die Mitgliedstaaten setzen sich für ein ausgewogenes Geschlechterverhältnis im Verwaltungsrat ein.

(4)

Die Amtszeit der Mitglieder des Verwaltungsrats und ihrer Stellvertreter beträgt vier Jahre. Sie kann verlängert werden.

Artikel 15

Aufgaben des Verwaltungsrats

(1)

Der Verwaltungsrat

legt die allgemeine Ausrichtung der Tätigkeit der ENISA fest und sorgt auch dafür, dass die ENISA ihre Geschäfte gemäß der in dieser Verordnung festgelegten Vorschriften und Grundsätze führt. Er sorgt zudem für die Abstimmung der Arbeit der ENISA mit den Tätigkeiten, die von den Mitgliedstaaten und auf Unionsebene durchgeführt werden;

nimmt den Entwurf des in Artikel 24 genannten einheitlichen Programmplanungsdokuments der ENISA an, bevor dieser der Kommission zur Stellungnahme vorgelegt wird;

nimmt — unter Berücksichtigung der Stellungnahme der Kommission — das einheitliche Programmplanungsdokument der ENISA an;

überwacht die Umsetzung der im einheitlichen Programmplanungsdokument enthaltenen mehrjährigen und jährlichen Programmplanung;

stellt den jährlichen Haushaltsplan der Agentur fest und übt andere Funktionen in Bezug auf den Haushalt der ENISA gemäß Kapitel IV aus;

bewertet und genehmigt den konsolidierten Jahresbericht über die Tätigkeiten der ENISA einschließlich des Jahresabschlusses und der Ausführungen darüber, inwiefern die ENISA die vorgegebenen Leistungsindikatoren erfüllt hat, und übermittelt den Bericht zusammen mit seiner Bewertung bis zum 1. Juli des folgenden Jahres dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof, und macht ihn der Öffentlichkeit zugänglich;

erlässt nach Artikel 32 die für die ENISA geltende Finanzregelung;

nimmt eine Betrugsbekämpfungsstrategie an, die den diesbezüglichen Risiken entspricht und an einer Kosten-Nutzen-Analyse der durchzuführenden Maßnahmen orientiert ist;

erlässt Vorschriften zur Unterbindung und Bewältigung von Interessenkonflikten bei seinen Mitgliedern;

sorgt ausgehend von den Erkenntnissen und Empfehlungen, die sich aus den Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) und den verschiedenen internen und externen Prüfberichten und Bewertungen ergeben haben, für angemessene Folgemaßnahmen;

gibt sich eine Geschäftsordnung einschließlich Regelungen zu den vorläufigen Beschlüssen zur Übertragung bestimmter Aufgaben gemäß Artikel 19 Absatz 7;

nimmt gemäß Absatz 2 des vorliegenden Artikels in Bezug auf das Personal der ENISA die Befugnisse wahr, die der Anstellungsbehörde durch das Statut der Beamten der Europäischen Union (im Folgenden „Statut der Beamten“) bzw. der Stelle, die zum Abschluss der Dienstverträge ermächtigt ist, durch die Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union (im Folgenden „Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union“) nach der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates ( 2 ) übertragen wurden (im Folgenden „Befugnisse der Anstellungsbehörde“);

erlässt gemäß dem Verfahren des Artikels 110 des Statuts der Beamten Durchführungsbestimmungen zum Statut der Beamten und zu den Beschäftigungsbedingungen für die sonstigen Bediensteten;

ernennt den Exekutivdirektor und verlängert gegebenenfalls dessen Amtszeit oder enthebt ihn nach Artikel 36 seines Amtes;

ernennt einen Rechnungsführer, bei dem es sich um den Rechnungsführer der Kommission handeln kann, der in der Wahrnehmung seiner Aufgaben völlig unabhängig ist;

fasst unter Berücksichtigung der Tätigkeitserfordernisse der ENISA und unter Beachtung der Grundsätze einer wirtschaftlichen Haushaltsführung alle Beschlüsse über die Schaffung und, falls notwendig, Änderung der Organisationsstruktur der Agentur;

genehmigt das Treffen von Arbeitsvereinbarungen bezüglich Artikel 7;

genehmigt das Treffen oder den Abschluss von Arbeitsvereinbarungen nach Artikel 42.

(2)

Der Verwaltungsrat fasst gemäß nach Artikel 110 des Statuts der Beamten, einen Beschluss auf der Grundlage von Artikel 2 Absatz 1 des Statuts der Beamten und von Artikel 6 der Beschäftigungsbedingungen für die sonstigen Bediensteten, mit dem er die einschlägigen Befugnisse der Anstellungsbehörde dem Exekutivdirektor überträgt und die Bedingungen festlegt, unter denen die Befugnisübertragung ausgesetzt werden kann. Der Exekutivdirektor kann diese Befugnisse einer nachgeordneten Ebene übertragen.

(3)

Wenn außergewöhnliche Umstände dies erfordern, kann der Verwaltungsrat durch Beschluss die Übertragung der Befugnisse der Anstellungsbehörde auf den Exekutivdirektor sowie jegliche von diesem vorgenommene Weiterübertragung von Befugnissen der Anstellungsbehörde vorübergehend aussetzen und die Befugnisse selbst ausüben oder sie stattdessen einem seiner Mitglieder oder einem anderen Bediensteten als dem Exekutivdirektor übertragen.

Artikel 16

Vorsitz des Verwaltungsrats

Der Verwaltungsrat wählt aus dem Kreis seiner Mitglieder mit der Zweidrittelmehrheit seiner Mitglieder einen Vorsitzenden und einen stellvertretenden Vorsitzenden. Ihre Amtszeit beträgt vier Jahre, wobei eine einmalige Wiederwahl zulässig ist. Endet jedoch ihre Mitgliedschaft im Verwaltungsrat während ihrer Amtszeit, so endet auch ihre Amtszeit automatisch am selben Tag. Der stellvertretende Vorsitzende tritt im Fall der Verhinderung des Vorsitzenden von Amts wegen an dessen Stelle.

Artikel 17

Sitzungen des Verwaltungsrats

(1)

Der Verwaltungsrat wird von seinem Vorsitzenden einberufen.

(2)

Der Verwaltungsrat tritt mindestens zweimal jährlich zu einer ordentlichen Sitzung zusammen. Auf Antrag des Vorsitzenden, der Kommission oder mindestens eines Drittels seiner Mitglieder tritt er darüber hinaus zu außerordentlichen Sitzungen zusammen.

(3)

Der Exekutivdirektor nimmt an den Sitzungen des Verwaltungsrats teil, hat jedoch kein Stimmrecht.

(4)

Die Mitglieder der ENISA-Beratungsgruppe können auf Einladung des Vorsitzes an den Sitzungen des Verwaltungsrats teilnehmen, haben jedoch kein Stimmrecht.

(5)

Die Mitglieder des Verwaltungsrats und ihre Stellvertreter können sich nach Maßgabe der Geschäftsordnung des Verwaltungsrats von Beratern oder Sachverständigen bei den Sitzungen des Verwaltungsrats unterstützen lassen.

(6)

Die Sekretariatsgeschäfte des Verwaltungsrats werden von der ENISA wahrgenommen.

Artikel 18

Vorschriften für die Abstimmung im Verwaltungsrat

(1)

Der Verwaltungsrat fasst seine Beschlüsse mit der Mehrheit seiner Mitglieder.

(2)

Für die Annahme des einheitlichen Programmplanungsdokuments und des jährlichen Haushaltsplans sowie für die Ernennung, die Verlängerung der Amtszeit oder die Abberufung des Exekutivdirektors ist eine Mehrheit von zwei Dritteln der Mitglieder des Verwaltungsrats erforderlich.

(3)

Jedes Mitglied hat eine Stimme. In Abwesenheit eines Mitglieds kann sein Stellvertreter das Stimmrecht des Mitglieds ausüben.

(4)

Der Vorsitzende des Verwaltungsrats nimmt an den Abstimmungen teil.

(5)

Der Exekutivdirektor nimmt nicht an den Abstimmungen teil.

(6)

Die näheren Einzelheiten der Abstimmungsregeln, insbesondere die Voraussetzungen, unter denen ein Mitglied im Namen eines anderen Mitglieds handeln kann, werden in der Geschäftsordnung des Verwaltungsrats festgelegt.

Abschnitt 2

Exekutivrat

Artikel 19

Exekutivrat

(1)

Der Verwaltungsrat wird von einem Exekutivrat unterstützt.

(2)

Der Exekutivrat

bereitet die Beschlussvorlagen für den Verwaltungsrat vor;

stellt zusammen mit dem Verwaltungsrat sicher, dass ausgehend von den Ergebnissen und Empfehlungen im Rahmen der Untersuchungen des OLAF und der externen oder internen Prüfberichte und Bewertungen angemessene Folgemaßnahmen getroffen werden;

unterstützt und berät unbeschadet der Aufgaben des Exekutivdirektors nach Artikel 20 den Exekutivdirektor bei der Umsetzung der verwaltungs- und haushaltsbezogenen Beschlüsse des Verwaltungsrats nach Artikel 20.

(3)

Der Exekutivrat besteht aus fünf Mitgliedern. Die Mitglieder des Exekutivrats werden aus den Reihen der Mitglieder des Verwaltungsrats ernannt. Eines der Mitglieder ist der Vorsitzende des Verwaltungsrats, der zugleich auch Vorsitzender des Exekutivrats sein kann, und ein weiteres ist einer der Vertreter der Kommission. Bei den Ernennungen der Mitglieder des Exekutivrats wird die Sicherstellung eines ausgewogenen Geschlechterverhältnisses im Exekutivrat angestrebt. Der Exekutivdirektor nimmt an den Sitzungen des Exekutivrats, hat jedoch kein Stimmrecht.

(4)

Die Amtszeit der Mitglieder des Exekutivrats beträgt vier Jahre. Sie kann verlängert werden.

(5)

Der Exekutivrat tritt mindestens einmal alle drei Monate zusammen. Der Vorsitzende des Exekutivrats beruft auf Antrag der Mitglieder zusätzliche Sitzungen ein.

(6)

Der Verwaltungsrat legt die Geschäftsordnung des Exekutivrats fest.

(7)

Ist dies aufgrund der Dringlichkeit notwendig, so kann der Exekutivrat im Namen des Verwaltungsrats bestimmte vorläufige Beschlüsse fassen, vor allem in Verwaltungsangelegenheiten, einschließlich der Aussetzung der Übertragung der Befugnisse der Anstellungsbehörde, und in Haushaltsangelegenheiten. über Diese vorläufigen Beschlüsse werden dem Verwaltungsrat unverzüglich mitgeteilt. Der Verwaltungsrat entscheidet sodann spätestens drei Monate, nachdem der Beschluss gefasst wurde, ob er den vorläufigen Beschluss genehmigt oder ob er ihn nicht genehmigt. Der Exekutivrat fasst keine Beschlüsse im Namen des Verwaltungsrats, die mit einer Mehrheit von zwei Dritteln der Mitglieder des Verwaltungsrats angenommen werden müssen.

Abschnitt 3

Exekutivdirektor

Artikel 20

Pflichten des Exekutivdirektors

(1)

Die ENISA wird von ihrem Exekutivdirektor geleitet, der bei der Wahrnehmung seiner Aufgaben unabhängig ist. Der Exekutivdirektor ist gegenüber dem Verwaltungsrat rechenschaftspflichtig.

(2)

Der Exekutivdirektor erstattet dem Europäischen Parlament über die Erfüllung seiner Aufgaben Bericht, wenn er dazu aufgefordert wird. Der Rat kann den Exekutivdirektor auffordern, über die Erfüllung seiner Aufgaben Bericht zu erstatten.

(3)

Der Exekutivdirektor ist dafür verantwortlich,

die laufenden Geschäfte der ENISA zu führen;

die vom Verwaltungsrat gefassten Beschlüsse umzusetzen;

den Entwurf des einheitlichen Programmplanungsdokuments auszuarbeiten und dem Verwaltungsrat vor der Übermittlung an die Kommission vorzulegen;

das einheitliche Programmplanungsdokument umzusetzen und dem Verwaltungsrat hierüber Bericht zu erstatten;

den konsolidierten Jahresbericht über die Tätigkeit der ENISA, einschließlich der Umsetzung des jährlichen Arbeitsprogramms der ENISA, auszuarbeiten und dem Verwaltungsrat zur Bewertung und Annahme vorzulegen;

einen Aktionsplan mit Folgemaßnahmen zu den Schlussfolgerungen der nachträglichen Bewertungen auszuarbeiten und alle zwei Jahre der Kommission über die erzielten Fortschritte Bericht zu erstatten;

einen Aktionsplan mit Folgemaßnahmen zu den Schlussfolgerungen interner oder externer Prüfberichte sowie der Untersuchungen des OLAF auszuarbeiten und der Kommission zweimal jährlich und dem Verwaltungsrat regelmäßig über die erzielten Fortschritte Bericht zu erstatten;

den Entwurf der für die ENISA geltenden Finanzregelung nach Artikel 32 auszuarbeiten;

den Entwurf des Voranschlags der Einnahmen und Ausgaben der ENISA auszuarbeiten und ihren Haushaltsplan auszuführen;

die finanziellen Interessen der Union durch vorbeugende Maßnahmen gegen Betrug, Korruption und sonstige rechtswidrige Handlungen, durch wirksame Kontrollen und, falls Unregelmäßigkeiten festgestellt werden, durch Einziehung zu Unrecht gezahlter Beträge sowie gegebenenfalls durch Verhängung wirksamer, verhältnismäßiger und abschreckender verwaltungsrechtlicher und finanzieller Sanktionen zu schützen;

eine Betrugsbekämpfungsstrategie für die ENISA auszuarbeiten und dem Verwaltungsrat zur Genehmigung vorzulegen;

Kontakte zur Wirtschaft und zu Verbraucherorganisationen im Hinblick auf einen regelmäßigen Dialog mit den einschlägigen Interessenträgern aufzubauen und zu pflegen;

einen regelmäßigen Gedanken- und Informationsaustausch mit den Organen, Einrichtungen und sonstigen Stellen der Union über deren Tätigkeiten im Bereich Cybersicherheit zu führen, um die Kohärenz bei der Weiterentwicklung und Umsetzung der Unionspolitik sicherzustellen;

sonstige dem Exekutivdirektor durch diese Verordnung übertragene Aufgaben wahrzunehmen.

(4)

Soweit erforderlich sowie entsprechend den Zielen und Aufgaben der ENISA kann der Exekutivdirektor der ENISA Ad-hoc-Arbeitsgruppen aus Sachverständigen — auch von den zuständigen Behörden der Mitgliedstaaten — einsetzen. Der Exekutivdirektor unterrichtet den Verwaltungsrat hiervon vorab. Die Verfahren, die insbesondere die Zusammensetzung dieser Arbeitsgruppen, die Bestellung der Sachverständigen der Arbeitsgruppen durch den Exekutivdirektor und die Arbeitsweise der Arbeitsgruppen betreffen, werden in den internen Verfahrensvorschriften der ENISA festgelegt.

(5)

Der Exekutivdirektor kann auf der Grundlage einer angemessenen Kosten-Nutzen-Analyse erforderlichenfalls beschließen, eine oder mehrere Außenstellen in einem oder mehreren Mitgliedstaaten einzurichten, damit die ENISA ihre Aufgaben effizient und wirksam wahrnehmen kann. Bevor er über die Einrichtung einer Außenstelle beschließt, ersucht der Exekutivdirektor den/die betreffenden Mitgliedstaat(en), einschließlich des Mitgliedstaats, in dem die ENISA ihren Sitz hat, um eine Stellungnahme, und er holt die vorherige Zustimmung der Kommission und des Verwaltungsrats ein. Im Falle von Meinungsverschiedenheiten bei der Konsultation zwischen dem Exekutivdirektor und den betreffenden Mitgliedstaaten werden die strittigen Fragen dem Rat zur Erörterung vorgelegt. Die Gesamtzahl der Mitarbeiter in allen Außenstellen ist möglichst gering zu halten und darf insgesamt nicht 40 % der Gesamtzahl der Mitarbeiter der ENISA ii dem Mitgliedstaat, in dem die ENISA ihren Sitz hat, überschreiten. Die Anzahl der Mitarbeiter in jeder Außenstelle darf nicht 10 % der Gesamtzahl der Mitarbeiter der Agentur im Mitgliedstaat, in dem die ENISA ihren Sitz hat, überschreiten.

In dem Beschluss zur Einrichtung einer Außenstelle wird der Umfang der in der Außenstelle auszuübenden Tätigkeiten so festgelegt, dass unnötige Kosten und eine Überschneidung der Verwaltungsfunktionen mit denen der ENISA vermieden werden.

Abschnitt 4

ENISA-Beratungsgruppe, Gruppe der Interessenträger für die Cybersicherheitszertifizierung und Netz der nationalen Verbindungsbeamten

Artikel 21

ENISA-Beratungsgruppe

(1)

Der Verwaltungsrat setzt auf Vorschlag des Exekutivdirektors auf transparente Art und Weise eine ENISA-Beratungsgruppe ein, die sich aus anerkannten Sachverständigen als Vertreter der einschlägigen Interessenträger zusammensetzt, darunter die IKT-Branche, Anbieter öffentlich zugänglicher elektronischer Kommunikationsnetze oder -dienste, KMU, Betreiber wesentlicher Dienste, Verbrauchergruppen, wissenschaftliche Sachverständige aus dem Bereich der Cybersicherheit sowie Vertreter der zuständigen Behörden, die nach der Richtlinie (EU) 2018/1972 notifiziert wurden, europäische Normungsorganisationen sowie Strafverfolgungsbehörden und Datenschutz-Aufsichtsbehörden. Der Verwaltungsrat strebt ein angemessenes Gleichgewicht zwischen den Geschlechtern, ein angemessenes geographisches Gleichgewicht und ein angemessenes Gleichgewicht zwischen den verschiedenen Interessengruppen an.

(2)

Die Verfahren für die ENISA-Beratungsgruppe, die insbesondere ihre Zusammensetzung, den Vorschlag des in Absatz 1 genannten Exekutivdirektors, die Anzahl und die Ernennung der Mitglieder und die Arbeitsweise der ENISA-Beratungsgruppe betreffen, werden in den internen Verfahrensvorschriften der ENISA festgelegt und öffentlich bekannt gemacht.

(3)

Den Vorsitz der ENISA-Beratungsgruppe führt der Exekutivdirektor oder eine jeweils vom Exekutivdirektor ernannte Person.

(4)

Die Amtszeit der Mitglieder der ENISA-Beratungsgruppe beträgt zweieinhalb Jahre. Mitglieder des Verwaltungsrats dürfen nicht Mitglieder der ENISA-Beratungsgruppe sein. Sachverständige der Kommission und aus den Mitgliedstaaten können an den Sitzungen der ENISA-Beratungsgruppe teilnehmen und an ihrer Arbeit mitwirken. Vertreter anderer Stellen, die vom Exekutivdirektor für relevant erachtet werden und die der ENISA-Beratungsgruppe nicht angehören, können zur Teilnahme an den Sitzungen der ENISA-Beratungsgruppe und zur Mitarbeit an ihrer Arbeit eingeladen werden.

(5)

Die ENISA-Beratungsgruppe berät die ENISA bei der Durchführung ihrer Aufgaben, ausgenommen der Anwendung der Bestimmungen des Titels III dieser Verordnung. Sie berät insbesondere den Exekutivdirektor bei der Ausarbeitung eines Vorschlags für das Jahresarbeitsprogramms der ENISA und bei der Sicherstellung der Kommunikation mit den einschlägigen Interessenträgern bezüglich Fragen im Zusammenhang mit dem Jahresarbeitsprogramm.

(6)

Die ENISA-Beratungsgruppe unterrichtet den Verwaltungsrat regelmäßig über ihre Tätigkeiten.

Artikel 22

Gruppe der Interessenträger für die Cybersicherheitszertifizierung

(1)

Es wird eine Gruppe der Interessenträger für die Cybersicherheitszertifizierung eingesetzt.

(2)

Die Mitglieder der Gruppe der Interessenträger für die Cybersicherheitszertifizierung werden unter anerkannten Sachverständigen als Vertreter der einschlägigen Interessenträger ausgewählt. Die Kommission wählt die Mitglieder der Gruppe der Interessenträger für die Cybersicherheitszertifizierung auf Vorschlag der ENISA im Wege eines transparenten und offenen Auswahlverfahrens aus, durch das ein Gleichgewicht zwischen den verschiedenen Interessengruppen sowie ein angemessenes Gleichgewicht zwischen den Geschlechtern und ein angemessenes geographisches Gleichgewicht sichergestellt wird.

(3)

Die Gruppe der Interessenträger für die Cybersicherheitszertifizierung:

berät die Kommission in strategischen Fragen im Zusammenhang mit dem europäischen Rahmen für die Cybersicherheitszertifizierung;

berät auf Ersuchen die ENISA in allgemeinen und strategischen Fragen im Zusammenhang mit den Aufgaben der ENISA in Bezug auf den Markt, die Cybersicherheitszertifizierung und die Normung;

unterstützt die Kommission bei der Ausarbeitung des in Artikel 47 genannten fortlaufenden Arbeitsprogramms der Union;

nimmt zum fortlaufenden Arbeitsprogramm der Union gemäß Artikel 47 Absatz 4 Stellung und

berät in dringenden Fällen die Kommission und die Europäische Gruppe für die Cybersicherheitszertifizierung in Bezug auf die Notwendigkeit zusätzlicher Zertifizierungsschemata, die nicht Teil des fortlaufenden Arbeitsprogramms der Union sind, wie in Artikel 47 und 48 beschrieben.

(4)

Den Vorsitz der Gruppe der Interessenträger für die Cybersicherheitszertifizierung führen die Vertreter der Kommission und der ENISA gemeinsam, und die Sekretariatsgeschäfte werden von der ENISA wahrgenommen.

Artikel 23

Netz der nationalen Verbindungsbeamten

(1)

Der Verwaltungsrat richtet auf Vorschlag des Exekutivdirektors ein Netz der nationalen Verbindungsbeamten ein, das sich aus Vertretern der Mitgliedstaaten zusammensetzt (im Folgenden „nationale Verbindungsbeamten“). Jeder Mitgliedstaat ernennt einen Vertreter im Netz der nationalen Verbindungsbeamten. Die Sitzungen des Netzes der nationalen Verbindungsbeamten können in verschiedenen Sachverständigenzusammensetzungen abgehalten werden.

(2)

Das Netz der nationalen Verbindungsbeamten erleichtert vor allem den Informationsaustausch zwischen der ENISA und den Mitgliedstaaten und unterstützt die ENISA dabei, ihre Tätigkeiten, Erkenntnisse und Empfehlungen bei den einschlägigen Interessenträgern in der gesamten Union bekannt zu machen.

(3)

Die nationalen Verbindungsbeamten dienen als Kontaktstelle auf nationaler Ebene, um die Zusammenarbeit zwischen der ENISA und den nationalen Sachverständigen im Rahmen der Durchführung des Jahresarbeitsprogramms der ENISA zu erleichtern.

(4)

Während die nationalen Verbindungsbeamten eng mit den Vertretern ihres jeweiligen Mitgliedstaats im Verwaltungsrat zusammenarbeiten, darf das Netz der nationalen Verbindungsbeamten selbst nicht dieselbe Arbeit leisten wie der Verwaltungsrat oder andere Gremien der Union.

(5)

Die Funktionen und Verfahren des Netzes der nationalen Verbindungsbeamten werden in den internen Verfahrensvorschriften der ENISA festgelegt und der Öffentlichkeit zugänglich gemacht.

Abschnitt 5

Arbeitsweise

Artikel 24

Einheitliches Programmplanungsdokument

(1)

Die ENISA führt ihre Geschäfte in Übereinstimmung mit einem einheitlichen Programmplanungsdokument, das ihre jährliche und mehrjährige Programmplanung mit allen ihren geplanten Tätigkeiten enthält.

(2)

Jedes Jahr erstellt der Exekutivdirektor einen Entwurf des einheitlichen Programmplanungsdokuments mit der jährlichen und mehrjährigen Programmplanung und der entsprechenden Finanz- und Personalplanung nach Artikel 32 der Delegierten Verordnung (EU) Nr. 1271/2013 der Kommission ( 3 ) und unter Berücksichtigung der von der Kommission festgelegten Leitlinien.

(3)

Bis zum 30. November eines jeden Jahres nimmt der Verwaltungsrat das in Absatz 1 genannte einheitliche Programmplanungsdokument an und übermittelt es bis zum 31. Januar des Folgejahres dem Europäischen Parlament, dem Rat und der Kommission, sowie jede spätere Aktualisierung dieses Dokuments.

(4)

Das einheitliche Programmplanungsdokument wird nach der endgültigen Feststellung des Gesamthaushaltsplans der Union endgültig und ist erforderlichenfalls entsprechend anzupassen.

(5)

Das Jahresarbeitsprogramm enthält detaillierte Ziele und Angaben zu den erwarteten Ergebnissen, einschließlich Erfolgsindikatoren. Es enthält zudem eine Beschreibung der zu finanzierenden Maßnahmen sowie Angaben zur Höhe der für die einzelnen Maßnahmen vorgesehenen finanziellen und personellen Ressourcen gemäß den Grundsätzen der maßnahmenbezogenen Aufstellung des Haushaltsplans und des maßnahmenbezogenen Managements. Das Jahresarbeitsprogramm muss mit dem mehrjährigen Arbeitsprogramm nach Absatz 7 im Einklang stehen. Es ist klar darin anzugeben, welche Aufgaben im Vergleich zum vorangegangenen Haushaltsjahr hinzugefügt, verändert oder gestrichen wurden.

(6)

Der Verwaltungsrat ändert das angenommene Jahresarbeitsprogramm, wenn der ENISA eine neue Aufgabe übertragen wird. Wesentliche Änderungen des jährlichen Arbeitsprogramms werden nach demselben Verfahren angenommen wie das ursprüngliche jährliche Arbeitsprogramm. Der Verwaltungsrat kann dem Exekutivdirektor die Befugnis übertragen, nicht wesentliche Änderungen am Jahresarbeitsprogramm vorzunehmen.

(7)

Im mehrjährigen Arbeitsprogramm der Agentur wird die strategische Gesamtplanung einschließlich der Ziele, erwarteten Ergebnisse und Leistungsindikatoren festgelegt. Es umfasst auch die Ressourcenplanung mit einem mehrjährigen Finanz- und Personalplan.

(8)

Die Ressourcenplanung wird jährlich aktualisiert. Die strategische Programmplanung ist zu aktualisieren, wann immer dies geboten erscheint und insbesondere, wenn dies notwendig ist, um dem Ergebnis der in Artikel 67 genannten Bewertung Rechnung zu tragen.

Artikel 25

Interessenerklärung

(1)

Die Mitglieder des Verwaltungsrats, der Exekutivdirektor und die von den Mitgliedstaaten auf Zeit abgeordneten Beamten geben eine Verpflichtungserklärung und eine Interessenerklärung ab, aus der hervorgeht, ob direkte oder indirekte Interessen bestehen, die ihre Unabhängigkeit beeinträchtigen könnten. Die Erklärungen müssen der Wahrheit entsprechen und vollständig sein; sie werden jedes Jahr schriftlich abgegeben und, wann immer erforderlich, aktualisiert.

(2)

Die Mitglieder des Verwaltungsrats, der Exekutivdirektor und externe Sachverständige, die in den Ad-hoc-Arbeitsgruppen mitwirken, geben spätestens zu Beginn jeder Sitzung eine wahrheitsgetreue und vollständige Erklärung über alle Interessen ab, die ihre Unabhängigkeit in Bezug auf die Tagesordnungspunkte beeinträchtigen könnten, und beteiligen sich nicht an den Diskussionen und den Abstimmungen über solche Punkte.

(3)

Die ENISA legt in ihren internen Verfahrensvorschriften die praktischen Einzelheiten der Vorschriften über Interessenerklärungen nach den Absätzen 1 und 2 fest.

Artikel 26

Transparenz

(1)

Die ENISA übt ihre Tätigkeiten mit einem hohen Maß an Transparenz und im Einklang mit Artikel 28 aus.

(2)

Die ENISA stellt sicher, dass die Öffentlichkeit sowie interessierte Kreise angemessene, objektive, zuverlässige und leicht zugängliche Informationen, insbesondere zu ihren eigenen Arbeitsergebnissen, erhalten. Ferner veröffentlicht sie die nach Artikel 25 abgegebenen Interessenerklärungen.

(3)

Der Verwaltungsrat kann auf Vorschlag des Exekutivdirektors gestatten, dass interessierte Kreise als Beobachter an bestimmten Tätigkeiten der ENISA teilnehmen.

(4)

Die ENISA legt in ihren internen Verfahrensvorschriften die praktischen Einzelheiten für die Anwendung der in den Absätzen 1 und 2 genannten Transparenzregelungen fest.

Artikel 27

Vertraulichkeit

(1)

Unbeschadet des Artikels 28 gibt die Agentur Informationen, die bei ihr eingehen oder von ihr verarbeitet werden und die auf begründetes Ersuchen vertraulich behandelt werden sollen, nicht an Dritte weiter.

(2)

Die Mitglieder des Verwaltungsrats, der Exekutivdirektor, die Mitglieder der ENISA-Beratungsgruppe, die externen Sachverständigen der Ad-hoc-Arbeitsgruppen sowie das Personal der ENISA, einschließlich der von den Mitgliedstaaten auf Zeit abgeordneten Beamten, unterliegen auch nach Beendigung ihrer Tätigkeit den Vertraulichkeitsbestimmungen des Artikels 339 AEUV.

(3)

Die ENISA legt in ihren internen Verfahrensvorschriften die praktischen Einzelheiten für die Anwendung der in den Absätzen 1 und 2 genannten Vertraulichkeitsregelungen fest.

(4)

Soweit es zur Erfüllung der Aufgaben der ENISA erforderlich ist, beschließt der Verwaltungsrat, die ENISA zum Umgang mit Verschlusssachen zu ermächtigen. In diesem Fall nimmt die ENISA im Einvernehmen mit den Dienststellen der Kommission Sicherheitsvorschriften zur Anwendung der Sicherheitsgrundsätze an, die in den Beschlüssen (EU, Euratom) 2015/443 ( 4 ) und (EU, Euratom) 2015/444 ( 5 ) der Kommission festgelegt sind. Diese Sicherheitsvorschriften betreffen unter anderem die Bestimmungen über den Austausch, die Verarbeitung und die Speicherung von Verschlusssachen.

Artikel 28

Zugang zu Dokumenten

(1)

Die Verordnung (EG) Nr. 1049/2001 findet Anwendung auf die Dokumente der ENISA.

(2)

Der Verwaltungsrat legt bis zum 28. Dezember 2019 Maßnahmen zur Durchführung der Verordnung (EG) Nr. 1049/2001 fest.

(3)

Gegen Entscheidungen der ENISA gemäß Artikel 8 der Verordnung (EG) Nr. 1049/2001 kann nach Maßgabe des Artikels 228 AEUV bzw. 263 AEUV Beschwerde beim Europäischen Bürgerbeauftragten eingelegt oder Klage beim Gerichtshof der Europäischen Union erhoben werden.

KAPITEL IV

Aufstellung und Gliederung des Haushaltsplans der ENISA

Artikel 29

Aufstellung des Haushaltsplans der ENISA

(1)

Der Exekutivdirektor erstellt jedes Jahr den Entwurf des Voranschlags der Einnahmen und Ausgaben der ENISA für das folgende Haushaltsjahr und übermittelt ihn dem Verwaltungsrat zusammen mit dem Entwurf des Stellenplans vor. Einnahmen und Ausgaben müssen ausgeglichen sein.

(2)

Der Verwaltungsrat erstellt jedes Jahr auf der Grundlage des Entwurfs des Voranschlags einen Voranschlag der Einnahmen und Ausgaben der ENISA für das folgende Haushaltsjahr.

(3)

Der Verwaltungsrat übermittelt jedes Jahr bis zum 31. Januar der Kommission und den Drittländern, mit denen die Union Abkommen nach Artikel 42 Absatz 2 geschlossen hat, den Voranschlag, der Teil des Entwurfs des einheitlichen Programmplanungsdokuments ist.

(4)

Die Kommission setzt aufgrund dieses Voranschlags die von ihr für erforderlich erachteten Mittelansätze für den Stellenplan und den Betrag des Zuschusses aus dem Gesamthaushaltsplan der Union in den Haushaltsplanentwurf der Union ein, den sie nach Artikel 314 AEUV dem Europäischen Parlament und dem Rat vorlegt.

(5)

Das Europäische Parlament und der Rat bewilligen die Mittel für den Beitrag der Union für die ENISA.

(6)

Das Europäische Parlament und der Rat legen den Stellenplan der ENISA fest.

(7)

Der Haushaltsplan der ENISA wird zusammen mit dem einheitlichen Programmplanungsdokument vom Verwaltungsrat angenommen. Der Haushaltsplan der ENISA wird endgültig, sobald der Gesamthaushaltsplan der Union endgültig festgestellt ist. Erforderlichenfalls nimmt der Verwaltungsrat eine Anpassung des Haushaltsplans der ENISA und des einheitlichen Programmplanungsdokuments entsprechend dem Gesamthaushaltsplan der Union vor.

Artikel 30

Gliederung des Haushaltsplans der ENISA

(1)

Unbeschadet sonstiger Ressourcen gliedern sich die Einnahmen der ENISA wie folgt:

ein Beitrag aus dem Gesamthaushalt der Union;

Einnahmen, die konkreten Ausgabenpositionen im Einklang mit der in Artikel 32 genannten Finanzregelung zugewiesen werden;

Unionsmittel in Form von Übertragungsvereinbarungen oder Ad-hoc-Finanzhilfen im Einklang mit der in Artikel 32 genannten Finanzregelung der Agentur und den Bestimmungen der einschlägigen Instrumente zur Unterstützung der Unionspolitik;

Beiträge von Drittländern, die sich nach Artikel 42 an der Arbeit der ENISA beteiligen;

freiwillige Zahlungen oder Sachleistungen von Mitgliedstaaten.

Mitgliedstaaten, die einen freiwilligen Beitrag nach Unterabsatz 1 Buchstabe e leisten, können aufgrund dessen keine bestimmten Rechte oder Dienstleistungen beanspruchen.

(2)

Die Ausgaben der ENISA umfassen Aufwendungen für Personal, Verwaltung, technische Unterstützung, Infrastruktur, Betriebskosten und Ausgaben, die sich aus Verträgen mit Dritten ergeben.

Artikel 31

Ausführung des Haushaltsplans der ENISA

(1)

Der Exekutivdirektor trägt die Verantwortung für die Ausführung des Haushaltsplans der ENISA.

(2)

Der interne Rechnungsprüfer der Kommission übt gegenüber der ENISA dieselben Befugnisse wie gegenüber den Kommissionsdienststellen aus.

(3)

Bis zum 1. März des jeweils folgenden Haushaltsjahres (1. März des Jahres n+1) übermittelt der Rechnungsführer der Agentur dem Rechnungsführer der Kommission und dem Rechnungshof den vorläufigen Jahresabschluss für das Haushaltsjahr (Jahr n).

(4)

Nach Eingang der Bemerkungen des Rechnungshofes zum vorläufigen Jahresabschluss der ENISA gemäß Artikel 246 der Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates ( 6 ), erstellt der Rechnungsführer in eigener Verantwortung den endgültigen Jahresabschluss der ENISA und legt ihn dem Verwaltungsrat zur Stellungnahme vor.

(5)

Der Verwaltungsrat gibt eine Stellungnahme zu den endgültigen Jahresabschlüssen der ENISA ab.

(6)

Bis zum 31. März des Jahres n+1 übermittelt der Exekutivdirektor den Bericht über die Haushaltsführung und das Finanzmanagement dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof.

(7)

Bis zum 1. Juli des Jahres n+1 übermittelt der Rechnungsführer der ENISA den endgültigen Jahresabschluss zusammen mit der Stellungnahme des Verwaltungsrats dem Europäischen Parlament, dem Rat, dem Rechnungsführer der Kommission und dem Rechnungshof.

(8)

Gleichzeitig mit der Übermittlung des endgültigen Jahresabschlusses der ENISA leitet der Rechnungsführer der ENISA auch dem Rechnungshof eine Erklärung über die Vollständigkeit dieses endgültigen Jahresabschlusses mit Kopie an den Rechnungsführer der Kommission zu.

(9)

Bis zum 15. November des Jahres n+1 veröffentlicht der Exekutivdirektor den endgültigen Jahresabschluss im Amtsblatt der Europäischen Union.

(10)

Bis zum 30. September des Jahres n+1 übermittelt der Exekutivdirektor dem Rechnungshof eine Antwort auf dessen Bemerkungen und leitet eine Kopie dieser Antwort auch dem Verwaltungsrat und der Kommission zu.

(11)

Der Exekutivdirektor unterbreitet dem Europäischen Parlament auf dessen Ersuchen nach Artikel 261 Absatz 3 der Verordnung (EU, Euratom) 2018/1046 alle für ein reibungsloses Entlastungsverfahren für das betreffende Haushaltsjahr notwendigen Informationen.

(12)

Auf Empfehlung des Rates erteilt das Europäische Parlament dem Direktor vor dem 15. Mai des Jahres n+2 Entlastung zur Ausführung des Haushaltsplans für das Jahr n.

Artikel 32

Finanzregelung

Der Verwaltungsrat erlässt nach Konsultation der Kommission die für die ENISA geltende Finanzregelung. Die Finanzregelung darf von der Delegierten Verordnung (EU) Nr. 1271/2013 nur abweichen, wenn dies für den Betrieb der ENISA eigens erforderlich ist und die Kommission vorher ihre Zustimmung erteilt hat.

Artikel 33

Betrugsbekämpfung

(1)

Zur Erleichterung der Bekämpfung von Betrug, Korruption und sonstigen rechtswidrigen Handlungen gemäß der Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates ( 7 ) tritt die ENISA bis zum 28. Dezember 2019 der Interinstitutionellen Vereinbarung vom 25. Mai 1999 zwischen dem Europäischen Parlament, dem Rat der Europäischen Union und der Kommission der Europäischen Gemeinschaften über die internen Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) ( 8 ) bei. Die ENISA erlässt die einschlägigen Vorschriften, die für sämtliche Mitarbeiter der ENISA gelten, nach dem Muster im Anhang der genannten Vereinbarung.

(2)

Der Rechnungshof ist befugt, bei allen Empfängern von Finanzhilfen sowie bei Auftragnehmern und Unterauftragnehmern, die Unionsmittel von der ENISA erhalten haben, Rechnungsprüfungen anhand von Belegkontrollen und Kontrollen vor Ort durchzuführen.

(3)

Das OLAF kann gemäß den Bestimmungen und Verfahren der Verordnung (EU, Euratom) Nr. 883/2013 und der Verordnung (Euratom, EG) Nr. 2185/96 des Rates ( 9 ) Untersuchungen, einschließlich Kontrollen und Überprüfungen vor Ort, durchführen, um festzustellen, ob im Zusammenhang mit von der ENISA gewährten Finanzhilfen oder von ihr finanzierten Aufträgen ein Betrugs- oder Korruptionsdelikt oder eine sonstige rechtswidrige Handlung zum Nachteil der finanziellen Interessen der Union vorliegt.

(4)

Unbeschadet der Absätze 1, 2 und 3 müssen Kooperationsvereinbarungen mit Drittländern oder internationalen Organisationen, Verträge, Finanzhilfevereinbarungen und Finanzhilfebeschlüsse der ENISA Bestimmungen enthalten, die den Rechnungshof und das OLAF ausdrücklich ermächtigen, derartige Rechnungsprüfungen und Untersuchungen im Rahmen ihrer jeweiligen Zuständigkeiten durchzuführen.

KAPITEL V

Personal

Artikel 34

Allgemeine Bestimmungen

Für das Personal der ENISA gelten das Statut der Beamten, die Beschäftigungsbedingungen für die sonstigen Bediensteten sowie die im gegenseitigen Einvernehmen der Organe der Union erlassenen Regelungen zur Durchführung der Bestimmungen des Statuts der Beamten und der Beschäftigungsbedingungen für die sonstigen Bediensteten.

Artikel 35

Vorrechte und Befreiungen

Das dem EUV und dem AEUV beigefügte Protokoll Nr. 7 über die Vorrechte und Befreiungen der Europäischen Union findet auf die ENISA und ihr Personal Anwendung.

Artikel 36

Exekutivdirektor

(1)

Der Exekutivdirektor wird als Zeitbediensteter der ENISA nach Artikel 2 Buchstabe a der Beschäftigungsbedingungen für die sonstigen Bediensteten eingestellt.

(2)

Der Exekutivdirektor wird vom Verwaltungsrat aus einer Liste von Kandidaten, die die Kommission im Anschluss an ein offenes und transparentes Auswahlverfahren vorgeschlagen hat, ernannt.

(3)

Beim Abschluss des Arbeitsvertrags des Exekutivdirektors wird die ENISA durch den Vorsitzenden des Verwaltungsrats vertreten.

(4)

Vor der Ernennung wird der vom Verwaltungsrat ausgewählte Kandidat aufgefordert, eine Erklärung vor dem zuständigen Ausschuss des Europäischen Parlaments abzugeben und Fragen der Mitglieder zu beantworten.

(5)

Die Amtszeit des Exekutivdirektors beträgt fünf Jahre. Zum Ende dieses Zeitraums nimmt die Kommission eine Bewertung der Leistung des Exekutivdirektors und der künftigen Aufgaben und Herausforderungen der ENISA vor.

(6)

Der Verwaltungsrat beschließt über die Ernennung, die Verlängerung der Amtszeit oder die Abberufung des Exekutivdirektors gemäß Artikel 18 Absatz 2.

(7)

Der Verwaltungsrat kann auf Vorschlag der Kommission unter Berücksichtigung der Bewertung nach Absatz 5 die Amtszeit des Exekutivdirektors einmal um fünf Jahre verlängern.

(8)

Der Verwaltungsrat unterrichtet das Europäische Parlament über seine Absicht, die Amtszeit des Exekutivdirektors zu verlängern. Innerhalb von drei Monaten vor der Verlängerung der Amtszeit gibt der Exekutivdirektor, sofern er dazu aufgefordert wird, vor dem zuständigen Ausschuss des Europäischen Parlaments eine Erklärung ab und beantwortet Fragen der Mitglieder.

(9)

Ein Exekutivdirektor, dessen Amtszeit verlängert wurde, nimmt nicht an einem anderen Auswahlverfahren für dieselbe Stelle teil.

(10)

Der Exekutivdirektor kann nur durch einen Beschluss des Verwaltungsrats auf Vorschlag der Kommission seines Amtes enthoben werden.

Artikel 37

Abgeordnete nationale Sachverständige und sonstiges Personal

(1)

Die ENISA kann auf abgeordnete nationale Sachverständige oder sonstiges Personal zurückgreifen, das nicht von der ENISA selbst beschäftigt wird. Für dieses Personal gelten das Statut der Beamten und die Beschäftigungsbedingungen für die sonstigen Bediensteten nicht.

(2)

Der Verwaltungsrat beschließt eine Regelung über zur ENISA abgeordnete nationale Sachverständige.

KAPITEL VI

Allgemeine Bestimmungen für die ENISA

Artikel 38

Rechtsform der ENISA

(1)

Die ENISA ist eine Einrichtung der Union und besitzt Rechtspersönlichkeit.

(2)

Die ENISA besitzt in jedem Mitgliedstaat die weitestgehende Rechts- und Geschäftsfähigkeit, die juristischen Personen nach nationalem Recht zuerkannt ist. Sie kann insbesondere bewegliches und unbewegliches Vermögen erwerben oder veräußern und ist vor Gericht parteifähig.

(3)

Die ENISA wird vom Exekutivdirektor vertreten.

Artikel 39

Haftung der ENISA

(1)

Die vertragliche Haftung der ENISA bestimmt sich nach dem für den betreffenden Vertrag geltenden Recht.

(2)

Für Entscheidungen aufgrund einer Schiedsklausel in einem von der ENISA geschlossenen Vertrag ist der Gerichtshof der Europäischen Union zuständig.

(3)

Im Bereich der außervertraglichen Haftung ersetzt die ENISA den durch sie selbst oder ihre Bediensteten in Ausübung ihrer Tätigkeit verursachten Schaden nach den allgemeinen Grundsätzen, die den Rechten der Mitgliedstaaten gemeinsam sind.

(4)

In Streitsachen über den Schadensersatz gemäß Absatz 3 ist der Gerichtshof der Europäischen Union zuständig.

(5)

Die persönliche Haftung der Bediensteten der ENISA gegenüber der ENISA bestimmt sich nach den für die Bediensteten der ENISA geltenden Beschäftigungsbedingungen.

Artikel 40

Sprachenregelung

(1)

Für die ENISA gilt die Verordnung Nr. 1 des Rates ( 10 ). Die Mitgliedstaaten und die anderen von den Mitgliedstaaten benannten Einrichtungen können sich in einer der Amtssprachen der Organe der Union ihrer Wahl an die ENISA wenden und erhalten eine Antwort in dieser Sprache.

(2)

Die für die Arbeit der ENISA erforderlichen Übersetzungsdienste werden vom Übersetzungszentrum für die Einrichtungen der Europäischen Union erbracht.

Artikel 41

Schutz personenbezogener Daten

(1)

Die Verarbeitung personenbezogener Daten durch die ENISA unterliegt der Verordnung (EU) 2018/1725.

(2)

Der Verwaltungsrat beschließt die Durchführungsvorschriften gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2018/1725. Der Verwaltungsrat kann zusätzliche Maßnahmen, die für die Anwendung der Verordnung (EU) 2018/1725 durch die ENISA erforderlich sind, festlegen.

Artikel 42

Zusammenarbeit mit Drittländern und internationalen Organisationen

(1)

Die ENISA kann mit den zuständigen Behörden von Drittländern und mit internationalen Organisationen zusammenarbeiten, soweit dies zur Verwirklichung der Ziele dieser Verordnung erforderlich ist. Zu diesem Zweck kann die ENISA, nach vorheriger Genehmigung durch die Kommission, Arbeitsvereinbarungen mit den Behörden von Drittländern und internationalen Organisationen treffen. Diese Arbeitsvereinbarungen begründen keine rechtlichen Verpflichtungen für die Union und ihre Mitgliedstaaten.

(2)

Die ENISA steht der Beteiligung von Drittländern offen, die entsprechende Übereinkünfte mit der Europäischen Union geschlossen haben. Gemäß den einschlägigen Bestimmungen dieser Übereinkünfte werden Arbeitsvereinbarungen getroffen, die insbesondere Art, Umfang und Form einer Beteiligung dieser Drittländer an der Tätigkeit der ENISA festlegen; hierzu zählen auch Bestimmungen über die Beteiligung an den von der ENISA durchgeführten Initiativen, finanzielle Beiträge und Personal. In Personalfragen müssen derartige Arbeitsvereinbarungen in jedem Fall mit dem Statut der Beamten und den Beschäftigungsbedingungen für die sonstigen Bediensteten vereinbar sein.

(3)

Der Verwaltungsrat verabschiedet eine Strategie für die Beziehungen zu Drittländern und internationalen Organisationen in Bezug auf Angelegenheiten, für die die ENISA zuständig ist. Die Kommission stellt durch den Abschluss einer entsprechenden Arbeitsvereinbarung mit dem Exekutivdirektor sicher, dass die ENISA im Rahmen ihres Mandats und des bestehenden institutionellen Rahmens handelt.

Artikel 43

Sicherheitsvorschriften für den Schutz von vertraulichen Informationen, die nicht zu den Verschlusssachen zählen und von Verschlusssachen

Nach Konsultation der Kommission legt die ENISA die Sicherheitsvorschriften fest, mit denen die in den Sicherheitsvorschriften der Kommission für den Schutz von vertraulichen Informationen, die nicht zu den Verschlusssachen zählen und von Verschlusssachen der Europäischen Union enthaltenen Sicherheitsgrundsätze angewandt werden, die in den Beschlüssen (EU, Euratom) 2015/443 und 2015/444 festgelegt sind. Die Sicherheitsvorschriften der ENISA enthalten Bestimmungen über den Austausch, die Verarbeitung und die Speicherung derartiger Informationen.

Artikel 44

Sitzabkommen und Arbeitsbedingungen

(1)

Die notwendigen Regelungen über die Unterbringung der ENISA in dem Mitgliedstaat, in dem sie ihren Sitz hat, und über die Einrichtungen, die von diesem Mitgliedstaat zur Verfügung zu stellen sind, sowie die besonderen Vorschriften, die im Sitzmitgliedstaat der ENISA für den Exekutivdirektor, die Mitglieder des Verwaltungsrats, das Personal der ENISA und für Familienangehörige dieser Personen gelten, werden in einem Sitzabkommen festgelegt, das nach Billigung durch den Verwaltungsrat zwischen der ENISA und dem Sitzmitgliedstaat geschlossen wird.

(2)

Der Sitzmitgliedstaat der ENISA gewährleistet die bestmöglichen Voraussetzungen für das reibungslose Funktionieren der ENISA, unter Berücksichtigung der Erreichbarkeit des Standortes, des Vorhandenseins adäquater Bildungseinrichtungen für die Kinder der Mitglieder des Personals und eines angemessenen Zugangs zu Arbeitsmarkt, Sozialversicherung und medizinischer Versorgung für Kinder und Ehegatten der Mitglieder des Personals.

Artikel 45

Verwaltungskontrolle

Die Tätigkeit der ENISA unterliegt der Aufsicht des Europäischen Bürgerbeauftragten nach Artikel 228 AEUV.

TITEL III

ZERTIFIZIERUNGSRAHMEN FÜR DIE CYBERSICHERHEIT

▼M1

Artikel 46

Europäischer Zertifizierungsrahmen für die Cybersicherheit

(1)

Der europäische Zertifizierungsrahmen für die Cybersicherheit wird geschaffen, um die Voraussetzungen für einen funktionierenden Binnenmarkt zu verbessern, indem die Cybersicherheit in der Union erhöht wird und indem im Hinblick auf die Schaffung eines digitalen Binnenmarkts für IKT-Produkte, -Dienste und -Prozesse und verwaltete Sicherheitsdienste ein harmonisierter Ansatz auf Unionsebene für europäische Schemata für die Cybersicherheitszertifizierung ermöglicht wird.

(2)

Im europäischen Zertifizierungsrahmen für die Cybersicherheit ist ein Mechanismus festgelegt, mit dem europäische Schemata für die Cybersicherheitszertifizierung geschaffen werden und mit dem bescheinigt wird, dass die nach einem solchen Schema bewerteten IKT-Produkte, -Dienste und -Prozesse den festgelegten Sicherheitsanforderungen genügen, um die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten oder der Funktionen oder Dienste, die von diesen Produkten, Diensten und Prozessen angeboten oder über diese zugänglich gemacht werden, während deren gesamten Lebenszyklus zu schützen. Außerdem wird damit bescheinigt, dass verwaltete Sicherheitsdienste, die nach solchen Schemata bewertet wurden, den festgelegten Sicherheitsanforderungen zum Schutz der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten entsprechen, auf die im Zusammenhang mit der Erbringung dieser Dienste zugegriffen wird bzw. die in diesem Zusammenhang verarbeitet, gespeichert oder übermittelt werden, und dass diese Dienste kontinuierlich mit der erforderlichen Kompetenz, Sachkenntnis und Erfahrung von Personal mit einem hinreichenden und angemessenen Maß an einschlägigen Fachkenntnissen und beruflicher Integrität erbracht werden.

▼B

Artikel 47

Das fortlaufende Arbeitsprogramm der Union für die europäische Cybersicherheitszertifizierung

(1)

Die Kommission veröffentlicht ein fortlaufendes Arbeitsprogramm der Union für die europäische Cybersicherheitszertifizierung (im Folgenden „fortlaufendes Arbeitsprogramm der Union“), in dessen Rahmen die strategischen Prioritäten für künftige europäische Schemata für die Cybersicherheitszertifizierung festgelegt werden sollen.

▼M1

(2)

Das fortlaufende Arbeitsprogramm der Union umfasst insbesondere eine Liste der IKT-Produkte, -Dienste und -Prozesse und der verwalteten Sicherheitsdienste, oder bestimmter Kategorien davon, die von der Aufnahme in ein europäisches Schema für die Cybersicherheitszertifizierung profitieren könnten.

(3)

Die Aufnahme bestimmter IKT-Produkte, -Dienste oder -Prozesse, oder verwalteter Sicherheitsdienste, oder bestimmter Kategorien davon, in das fortlaufende Arbeitsprogramm der Union muss aus einem oder mehreren der folgenden Gründe gerechtfertigt sein:

Verfügbarkeit und Entwicklung nationaler Schemata für die Cybersicherheitszertifizierung für bestimmte Kategorien von IKT-Produkten, -Diensten oder -Prozessen oder verwalteter Sicherheitsdienste, insbesondere im Hinblick auf das Risiko der Fragmentierung;

▼B

einschlägige Politik oder einschlägiges Recht der Union oder der Mitgliedstaaten;

Nachfrage auf dem Markt;

▼M1

ca)

technologische Entwicklungen sowie Verfügbarkeit und Entwicklung internationaler Schemata für die Cybersicherheitszertifizierung und internationaler und von der Industrie verwendete Normen;

▼B

Entwicklungen in der Cyberbedrohungslandschaft;

Beauftragung mit der Ausarbeitung eines bestimmten möglichen Schemas durch die Europäische Gruppe für die Cybersicherheitszertifizierung.

(4)

Die Kommission trägt den Stellungnahmen der Europäischen Gruppe für die Cybersicherheitszertifizierung und der Gruppe der Interessenträger für die Cybersicherheitszertifizierung zum Entwurf des fortlaufenden Arbeitsprogramm der Union gebührend Rechnung.

(5)

Das erste fortlaufende Arbeitsprogramm der Union wird spätestens am 28. Juni 2020 vorgelegt. Das fortlaufende Arbeitsprogramm der Union mindestens alle drei Jahre, und bei Bedarf öfter aktualisiert.

Artikel 48

Auftrag für ein europäisches Schema für die Cybersicherheitszertifizierung

(1)

Die Kommission kann die ENISA damit beauftragen, ein mögliches Schema auszuarbeiten oder ein bestehendes europäisches Schema für die Cybersicherheitszertifizierung auf der Grundlage des fortlaufenden Arbeitsprogramm der Union zu überarbeiten.

(2)

In entsprechend begründeten Fällen kann die Kommission oder die Europäische Gruppe für die Cybersicherheitszertifizierung die ENISA damit beauftragen, ein mögliches Schema auszuarbeiten oder ein bestehendes europäisches Schema für die Cybersicherheitszertifizierung, das nicht im fortlaufenden Arbeitsprogramm der Union enthalten ist, zu überarbeiten. Das fortlaufende Arbeitsprogramm der Union wird entsprechend aktualisiert.

Artikel 49

Ausarbeitung, Annahme und Überarbeitung der europäischen Schemata für die Cybersicherheitszertifizierung

▼M1

(1)

Auf Auftrag der Kommission gemäß Artikel 48 arbeitet die ENISA ein mögliches Schema aus, das den in den Artikeln 51, 51a, 52 und 54 festgelegten Anforderungen genügt.

(2)

Auf Auftrag der Europäischen Gruppe für die Cybersicherheitszertifizierung gemäß Artikel 48 Absatz 2 kann die ENISA ein mögliches Schema ausarbeiten, das den in den Artikeln 51, 51a, 52 und 54 festgelegten Anforderungen genügt. Lehnt die ENISA einen solchen Auftrag ab, so muss sie dies begründen. Jede Entscheidung, einen solchen Auftrag abzulehnen, wird vom Verwaltungsrat getroffen.

(3)

Bei der Ausarbeitung eines möglichen Schemas konsultiert die ENISA zeitnah alle infrage kommenden Interessenträger im Wege eines förmlichen, offenen, transparenten und inklusiven Konsultationsprozesses. Wenn die ENISA der Kommission das mögliche Schema gemäß Absatz 6 vorlegt, stellt sie Informationen darüber bereit, wie sie dem vorliegenden Absatz nachgekommen ist.

(4)

Für jedes mögliche Schema setzt die ENISA eine Ad-hoc-Arbeitsgruppe nach Artikel 20 Absatz 4 ein, damit sie der ENISA spezifische Beratung und Sachkenntnis bereitstellt. Diesen Ad-hoc-Arbeitsgruppen gehören gegebenenfalls und unbeschadet der Verfahren und des Ermessensspielraums gemäß Artikel 20 Absatz 4 Sachverständige der öffentlichen Verwaltungsbehörden der Mitgliedstaaten, der Organe, Einrichtungen und sonstigen Stellen der Union und der Privatwirtschaft an.

▼B

(5)

Die ENISA arbeitet eng mit der Europäischen Gruppe für die Cybersicherheitszertifizierung zusammen. Die Europäische Gruppe für die Cybersicherheitszertifizierung leistet der ENISA Unterstützung und fachliche Beratung bei der Ausarbeitung des möglichen Schemas und gibt eine Stellungnahme zu dem möglichen Schema ab.

(6)

Die ENISA berücksichtigt die Stellungnahme der Europäischen Gruppe für die Cybersicherheitszertifizierung weitestgehend, bevor sie der Kommission das nach den Absätzen 3, 4 und 5 ausgearbeitete mögliche Schema vorlegt. Diese Stellungnahme der Europäischen Gruppe für die Cybersicherheitszertifizierung ist weder bindend, noch hindert das Fehlen einer solchen Stellungnahme die ENISA daran, das mögliche Schema der Kommission vorzulegen.

▼M1

(7)

Auf der Grundlage des von der ENISA ausgearbeiteten möglichen Schemas kann die Kommission Durchführungsrechtsakte erlassen, in denen für IKT-Produkte, -Dienste und -Prozesse und verwaltete Sicherheitsdienste, die die einschlägigen Anforderungen der Artikel 51, 51a, 52 und 54 erfüllen, ein europäisches Schema für die Cybersicherheitszertifizierung festgelegt wird. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 66 Absatz 2 genannten Prüfverfahren erlassen.

▼B

(8)

Die ENISA bewertet mindestens alle fünf Jahre jedes angenommene europäische Schema für die Cybersicherheitszertifizierung, wobei sie die Rückmeldungen seitens der Interessenträger berücksichtigt. Erforderlichenfalls kann die Kommission oder die Europäische Gruppe für die Cybersicherheitszertifizierung die ENISA damit beauftragen, den Prozess der Ausarbeitung eines überarbeiteten möglichen Schemas nach Artikel 48 und nach dem vorliegenden Artikel einzuleiten.

▼M1

Artikel 49a

Informationen und Konsultationen über die europäischen Schemata für die Cybersicherheitszertifizierung

(1)

Die Kommission veröffentlicht Informationen darüber, dass sie die ENISA damit beauftragt hat, ein mögliches Schema auszuarbeiten oder ein bestehendes europäisches Schema für die Cybersicherheitszertifizierung nach Artikel 48 zu überarbeiten.

(2)

Während der Ausarbeitung eines möglichen Schemas durch die ENISA gemäß Artikel 49 können das Europäische Parlament, der Rat oder beide die Kommission in ihrer Eigenschaft als Vorsitzende der ECCG und die ENISA ersuchen, vierteljährlich einschlägige Informationen über den Entwurf eines möglichen Schemas vorzulegen. Auf Ersuchen des Europäischen Parlaments oder des Rates kann die ENISA im Einvernehmen mit der Kommission und unbeschadet des Artikels 27 dem Europäischen Parlament und dem Rat relevante Teile des Entwurfs eines möglichen Schemas in einer dem erforderlichen Vertraulichkeitsniveau angemessenen Weise und gegebenenfalls in eingeschränkter Form zur Verfügung stellen.

(3)

Um den Dialog zwischen den Unionsorganen zu fördern und zu einem formellen, offenen, transparenten und inklusiven Konsultationsprozess beizutragen, können das Europäische Parlament, der Rat oder beide die Kommission und die ENISA ersuchen, Angelegenheiten zu erörtern, die das Funktionieren der europäischen Schemata für die Cybersicherheitszertifizierung von IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten betreffen.

(4)

Bei der Bewertung dieser Verordnung gemäß Artikel 67 berücksichtigt die Kommission gegebenenfalls Elemente, die sich aus den Standpunkten des Europäischen Parlaments und des Rates zu den in Absatz 3 des vorliegenden Artikels genannten Angelegenheiten ergeben.

▼B

Artikel 50

Website zu europäischen Schemata für die Cybersicherheitszertifizierung

(1)

Die ENISA unterhält eine eigene Website, auf der sie über die europäischen Schemata für die Cybersicherheitszertifizierung, die europäischen Cybersicherheitszertifikate und EU-Konformitätserklärungen — was Information in Bezug auf nicht mehr gültige Schemata für die Cybersicherheitszertifizierung und widerrufene und abgelaufene europäische Cybersicherheitszertifikate und EU-Konformitätserklärungen einschließt — und die Ablage für Links zu den Informationen zur Cybersicherheit gemäß Artikel 55 informiert und für diese wirbt.

(2)

Gegebenenfalls sollten auf der Website gemäß Absatz 1 auch die nationalen Cybersicherheitszertifizierungsschemata angegeben werden, die durch ein europäisches Schema für die Cybersicherheitszertifizierung ersetzt wurden.

Artikel 51

▼M1

Sicherheitsziele der europäischen Schemata für die Cybersicherheitszertifizierung für IKT-Produkte, -Dienste und -Prozesse

Es wird ein europäisches Schema für die Cybersicherheitszertifizierung für IKT-Produkte, -Dienste und -Prozesse konzipiert, um — soweit zutreffend — mindestens die folgenden Sicherheitsziele zu verwirklichen:

▼B

Gespeicherte, übermittelte oder anderweitig verarbeitete Daten werden während des gesamten Lebenszyklus des IKT-Produkts, -Dienstes oder -Prozesses gegen eine zufällige oder unbefugte Speicherung, Verarbeitung oder Preisgabe sowie gegen einen zufälligen oder unbefugten Zugriff geschützt.

Gespeicherte, übermittelte oder anderweitig verarbeitete Daten werden während des gesamten Lebenszyklus des IKT-Produkts, -Dienstes oder -Prozesses vor Zerstörung, Verlust, Änderung oder Nichtverfügbarkeit — gleich, ob sie zufällig oder unbefugt erfolgt sind — geschützt.

Befugte Personen, Programme oder Maschinen haben nur Zugriff auf die Daten, Dienste oder Funktionen, zu denen sie zugangsberechtigt sind.

Bekannte Abhängigkeiten und Sicherheitslücken werden ermittelt und dokumentiert.

Es wird protokolliert, auf welche Daten, Dienste oder Funktionen zu welchem Zeitpunkt von wem zugegriffen wurde und welche Daten, Funktionen oder Dienste zu welchem Zeitpunkt von wem genutzt oder anderweitig verarbeitet worden sind.

Es kann überprüft werden, auf welche Daten, Dienste oder Funktionen zu welchem Zeitpunkt und von wem zugegriffen wurde oder wer zu welchem Zeitpunkt Daten, Dienste oder Funktionen genutzt oder anderweitig verarbeitet hat.

Es wird nachgeprüft, dass IKT-Produkte, -Dienste und -Prozesse keine bekannten Sicherheitslücken aufweisen.

Bei einem physischen oder technischen Sicherheitsvorfall werden die Daten, Dienste und Funktionen zeitnah wieder verfügbar gemacht und der Zugang zu ihnen zeitnah wieder hergestellt.

Es wird nachgeprüft, dass IKT-Produkte, -Dienste und -Prozesse sind durch Voreinstellungen und Technikgestaltung sicher sind.

IKT-Produkte, -Dienste und -Prozesse werden mit aktueller Software und Hardware, die keine allgemein bekannten Sicherheitslücken aufweisen, bereitgestellt und mit Mechanismen für sichere Updates ausgestattet.

▼M1

Artikel 51a

Sicherheitsziele der europäischen Schemata für die Cybersicherheitszertifizierung für verwaltete Sicherheitsdienste

Es wird ein europäisches Schema für die Cybersicherheitszertifizierung für verwaltete Sicherheitsdienste konzipiert, um — soweit zutreffend — mindestens die folgenden Sicherheitsziele zu verwirklichen:

die verwalteten Sicherheitsdienste werden mit der erforderlichen Kompetenz, Sachkenntnis und Erfahrung erbracht, wozu auch gehört, dass das mit der Erbringung dieser Dienste betraute Personal über ein ausreichendes und angemessenes Maß an Fachkenntnissen und Kompetenzen in dem betreffenden Bereich, ausreichende und angemessene Erfahrung und ein Höchstmaß an beruflicher Integrität verfügt;

der Anbieter verfügt über geeignete interne Verfahren, um sicherzustellen, dass die verwalteten Sicherheitsdienste jederzeit in ausreichender und angemessener Qualität erbracht werden;

Daten, auf die bei der Erbringung verwalteter Sicherheitsdienste zugegriffen wird bzw. dabei gespeicherte, übermittelte oder anderweitig verarbeitete Daten werden vor unbeabsichtigtem oder unbefugtem Zugriff und vor unbeabsichtigter oder unbefugter Speicherung, Preisgabe, Vernichtung und sonstiger Verarbeitung sowie vor Verlust, Änderung oder Nichtverfügbarkeit geschützt;

bei einem physischen oder technischen Sicherheitsvorfall werden die Daten, Dienste und Funktionen zeitnah wieder verfügbar gemacht und der Zugang zu ihnen zeitnah wieder hergestellt;

befugte Personen, Programme oder Maschinen haben nur Zugriff auf die Daten, Dienste oder Funktionen, zu denen sie zugangsberechtigt sind;

es wird protokolliert und kann abgerufen werden, auf welche Daten, Dienste oder Funktionen zu welchem Zeitpunkt von wem zugegriffen wurde und welche Daten, Funktionen oder Dienste zu welchem Zeitpunkt von wem genutzt oder anderweitig verarbeitet wurden;

die IKT-Produkte, -Dienste und -Prozesse, die zur Erbringung der verwalteten Sicherheitsdienste eingesetzt werden, sind durch Technikgestaltung und Voreinstellungen sicher, und enthalten gegebenenfalls die neuesten Sicherheitsaktualisierungen und weisen keine öffentlich bekannten Sicherheitslücken auf.

▼B

Artikel 52

Vertrauenswürdigkeitsstufen der europäischen Schemata für die Cybersicherheitszertifizierung

▼M1

(1)

Ein europäisches Schema für die Cybersicherheitszertifizierung kann für IKT-Produkte, -Dienste und -Prozesse und verwaltete Sicherheitsdienste eine oder mehrere der Vertrauenswürdigkeitsstufen „niedrig“, „mittel“ oder „hoch“ angeben. Die Vertrauenswürdigkeitsstufe muss in einem angemessenen Verhältnis zu dem mit der beabsichtigten Verwendung eines IKT-Produkts, -Dienstes oder -Prozesses oder verwalteten Sicherheitsdienstes verbundenen Risiko im Hinblick auf die Wahrscheinlichkeit und die Auswirkungen eines Sicherheitsvorfalls stehen.

▼B

(2)

Europäische Cybersicherheitszertifikate und EU-Konformitätserklärungen beziehen sich auf die jeweilige Vertrauenswürdigkeitsstufe, die im europäischen Schema für die Cybersicherheitszertifizierung angegeben ist, nach dem das europäische Cybersicherheitszertifikat oder die EU-Konformitätserklärung ausgestellt wurde.

▼M1

(3)

Die den einzelnen Vertrauenswürdigkeitsstufen entsprechenden Sicherheitsanforderungen, einschließlich der entsprechenden Sicherheitsfunktionen und der entsprechenden Strenge und Gründlichkeit der Bewertung, die das IKT-Produkt, der IKT-Dienst, der IKT-Prozess oder der verwaltete Sicherheitsdienst durchlaufen muss, werden in dem jeweiligen europäischen Schema für die Cybersicherheitszertifizierung festgelegt.

▼B

(4)

Das Zertifikat oder die EU-Konformitätserklärung nimmt Bezug auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Prüfungen, deren Zweck in der Minderung oder Prävention der Gefahr von Cybersicherheitsvorfällen besteht.

▼M1

(5)

Ein europäisches Cybersicherheitszertifikat oder eine EU-Konformitätserklärung für die Vertrauenswürdigkeitsstufe „niedrig“ bietet die Gewissheit, dass die IKT-Produkte, -Dienste oder -Prozesse oder verwalteten Sicherheitsdienste, für welche dieses Zertifikat oder diese EU-Konformitätserklärung ausgestellt wird, die entsprechenden Sicherheitsanforderungen einschließlich der Sicherheitsfunktionen erfüllen und einer Bewertung unterzogen wurden, die darauf ausgerichtet ist, die bekannten Grundrisiken für Sicherheitsvorfälle und Cyberangriffe möglichst gering zu halten. Die durchzuführenden Bewertungstätigkeiten beinhalten mindestens eine Überprüfung der technischen Dokumentation. Ist eine solche Überprüfung nicht geeignet, werden alternative Bewertungstätigkeiten mit gleicher Wirkung durchgeführt.

(6)

Ein europäisches Cybersicherheitszertifikat für die Vertrauenswürdigkeitsstufe „mittel“ bietet die Gewissheit, dass die IKT-Produkte, -Dienste oder -Prozesse oder verwalteten Sicherheitsdienste, für welche dieses Zertifikat ausgestellt wird, die entsprechenden Sicherheitsanforderungen einschließlich der Sicherheitsfunktionen erfüllen und einer Bewertung unterzogen wurden, die darauf ausgerichtet ist, bekannte Cybersicherheitsrisiken und das Risiko von Cybersicherheitsvorfällen und Cyberangriffen seitens Akteuren mit begrenzten Fähigkeiten und Ressourcen möglichst gering zu halten. Die durchzuführenden Bewertungstätigkeiten beinhalten mindestens Folgendes: eine Überprüfung, die zeigt, dass keine allgemein bekannten Sicherheitslücken vorliegen, und eine Prüfung, die zeigt, dass die IKT-Produkte, -Dienste oder -Prozesse oder verwalteten Sicherheitsdienste die erforderlichen Sicherheitsfunktionen korrekt durchführen. Falls diese Bewertungstätigkeiten nicht geeignet sind, werden alternative Bewertungstätigkeiten mit gleicher Wirkung durchgeführt.

(7)

Ein europäisches Cybersicherheitszertifikat für die Vertrauenswürdigkeitsstufe „hoch“ bietet die Gewissheit, dass die IKT-Produkte, -Dienste oder -Prozesse oder verwalteten Sicherheitsdienste, für welche dieses Zertifikat ausgestellt wird, die entsprechenden Sicherheitsanforderungen einschließlich der Sicherheitsfunktionen erfüllen und einer Bewertung unterzogen wurden, die darauf ausgerichtet ist, das Risiko von dem neuesten Stand der Technik entsprechenden Cyberangriffen durch Akteure mit umfangreichen Fähigkeiten und Ressourcen möglichst gering zu halten. Die durchzuführenden Bewertungstätigkeiten beinhalten mindestens Folgendes: eine Überprüfung, die zeigt, dass keine allgemein bekannten Sicherheitslücken vorliegen; eine Prüfung, die zeigt, dass die IKT-Produkte, -Dienste, -Prozesse oder verwalteten Sicherheitsdienste die erforderlichen Sicherheitsfunktionen entsprechend dem neuesten Stand der Technik ordnungsgemäß durchführen; und eine Beurteilung ihrer Widerstandsfähigkeit gegen kompetente Angreifer mittels Penetrationstests. Falls diese Bewertungstätigkeiten nicht geeignet sind, werden alternative Bewertungstätigkeiten mit gleicher Wirkung durchgeführt.

▼B

(8)

In einem europäischen Schema für die Cybersicherheitszertifizierung können je nach Strenge und Gründlichkeit der verwendeten Evaluierungsmethode mehrere Bewertungsniveaus angegeben werden. Jedes Bewertungsniveau entspricht einer der Vertrauenswürdigkeitsstufen und wird durch eine entsprechende Kombination von Vertrauenswürdigkeitskomponenten definiert.

Artikel 53

Selbstbewertung der Konformität

▼M1

(1)

Ein europäisches Schema für die Cybersicherheitszertifizierung kann die Durchführung einer Selbstbewertung der Konformität unter der alleinigen Verantwortung des Herstellers oder Anbieters von IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten zulassen. Die Selbstbewertung der Konformität ist nur für IKT-Produkte, -Dienste oder -Prozesse oder verwaltete Sicherheitsdienste mit niedrigem Risiko erlaubt, die der Vertrauenswürdigkeitsstufe „niedrig“ entsprechen.

(2)

Der Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten kann eine EU-Konformitätserklärung ausstellen, die bestätigt, dass die Erfüllung der im Schema festgelegten Anforderungen nachgewiesen wurde. Durch die Ausstellung einer solchen Erklärung übernimmt der Hersteller oder Anbieter der IKT-Produkte, -Dienste oder -Prozesse oder verwalteten Sicherheitsdienste die Verantwortung dafür, dass das IKT-Produkt, der IKT-Dienst, der IKT-Prozess oder der verwaltete Sicherheitsdienst den in diesem Schema festgelegten Anforderungen entspricht.

(3)

Der Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten hält die EU-Konformitätserklärung, die technische Dokumentation und alle weiteren einschlägigen Informationen in Bezug auf die Konformität der IKT-Produkte, -Dienste oder -Prozesse oder verwalteten Sicherheitsdienste mit dem Schema während des Zeitraums, der in dem entsprechenden europäischen Schema für die Cybersicherheitszertifizierung festgelegt ist, für die gemäß Artikel 58 benannte nationale Behörde für die Cybersicherheitszertifizierung bereit. Eine Kopie der EU-Konformitätserklärung ist der nationalen Behörde für die Cybersicherheitszertifizierung und der ENISA vorzulegen.

▼B

(4)

Sofern im Unionsrecht oder im Recht der Mitgliedstaaten nicht anders bestimmt, ist die Ausstellung einer EU-Konformitätserklärung freiwillig.

(5)

Die ausgestellte EU-Konformitätserklärung wird in allen Mitgliedstaaten anerkannt.

Artikel 54

Elemente der europäischen Schemata für die Cybersicherheitszertifizierung

(1)

Ein europäisches Schema für die Cybersicherheitszertifizierung muss mindestens folgende Elemente enthalten:

▼M1

den Gegenstand und Umfang des Zertifizierungsschemas, einschließlich der Art oder Kategorie der erfassten IKT-Produkte, -Dienste oder -Prozesse oder verwalteten Sicherheitsdienste;

▼B

eine eindeutige Beschreibung des Zwecks des Schemas und der Art und Weise, wie die ausgewählten Normen, Bewertungsmethoden und Vertrauenswürdigkeitsstufen mit den Erfordernissen der vorgesehenen Nutzer des Schemas in Einklang gebracht wurden;

eine Bezugnahme auf die für die Bewertung maßgeblichen internationalen, europäischen oder nationalen Normen oder, wenn keine solchen Normen verfügbar oder geeignet sind, auf technische Spezifikationen, die die Auflagen des Anhangs II der Verordnung (EU) Nr. 1025/2012 erfüllen, oder — wenn solche Spezifikationen nicht verfügbar sind — auf die im europäischen Schema für die Cybersicherheitszertifizierung festgelegten technischen Spezifikationen oder Cybersicherheitsanforderungen;

gegebenenfalls eine oder mehrere Vertrauenswürdigkeitsstufen;

die Angabe, ob eine Selbstbewertung der Konformität im Rahmen des Schemas zulässig ist;

falls anwendbar, spezielle oder zusätzliche Anforderungen an die Konformitätsbewertungsstellen, um deren technische Kompetenz für die Evaluierung der Cybersicherheitsanforderungen zu gewährleisten;

▼M1

besondere Bewertungskriterien und -methoden — wie auch Bewertungsarten — für den Nachweis, dass die in den Artikeln 51 und 51a festgelegten anwendbaren Sicherheitsziele eingehalten werden;

▼B

falls anwendbar, für die Zertifizierung erforderliche Informationen, die ein Antragsteller der Konformitätsbewertungsstelle vorzulegen oder auf andere Weise zur Verfügung zu stellen hat;

Bedingungen für die Verwendung von Siegeln oder Kennzeichen, sofern das Schema solche vorsieht;

▼M1

Vorschriften für die Überwachung der Einhaltung der mit dem europäischen Cybersicherheitszertifikat oder der EU-Konformitätserklärung verbundenen Anforderungen an IKT-Produkte, -Dienste oder -Prozesse oder verwaltete Sicherheitsdienste, einschließlich der Mechanismen für den Nachweis der beständigen Einhaltung der festgelegten Cybersicherheitsanforderungen;

▼B

falls anwendbar, Bedingungen für die Ausstellung, Aufrechterhaltung, Fortführung und Verlängerung eines europäischen Cybersicherheitszertifikats sowie Bedingungen für die Ausweitung oder Verringerung des Zertifizierungsumfangs;

▼M1

Vorschriften, wie mit IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten zu verfahren ist, die zertifiziert wurden oder für die eine EU-Konformitätserklärung ausgestellt wurde, die aber den Anforderungen des Schemas nicht genügen;

▼B

Vorschriften für die Meldung und Behandlung bislang nicht erkannter Cybersicherheitslücken von IKT-Produkten und -Diensten und -Prozessen;

falls anwendbar, Vorschriften für die Konformitätsbewertungsstellen über die Aufbewahrung von Aufzeichnungen;

▼M1

Angabe nationaler oder internationaler Schemata für die Cybersicherheitszertifizierung für dieselbe Art oder Kategorie von IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten, Sicherheitsanforderungen, Evaluierungskriterien und -methoden und Vertrauenswürdigkeitsstufen;

▼B

Inhalt und Format des europäischen Cybersicherheitszertifikats oder der EU-Konformitätserklärungen, die auszustellen sind;

▼M1

die Dauer der Verfügbarkeit der EU-Konformitätserklärung, der technischen Dokumentation und aller weiteren bereitzuhaltenden Informationen des Herstellers oder Anbieters von IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten;

▼B

die maximale Gültigkeitsdauer der nach diesem Schema ausgestellten europäischen Cybersicherheitszertifikate;

eine Offenlegungspolitik für nach diesem Schema ausgestellte, geänderte oder entzogene europäische Cybersicherheitszertifikate;

Bedingungen für die auf Gegenseitigkeit beruhende Anerkennung von Zertifizierungsschemata von Drittländern;

falls anwendbar, Regeln für etwaige im Schema vorgesehene Verfahren zur gegenseitigen Begutachtung für die Behörden oder Stellen, die im Einklang mit Artikel 56 Absatz 6 europäische Cybersicherheitszertifikate für die Vertrauenswürdigkeitsstufe „hoch“ ausstellen. Diese Verfahren gelten unbeschadet der gegenseitigen Begutachtung gemäß Artikel 59;

Format und Verfahren, die von den Herstellern oder Anbietern von IKT-Produkten, -Diensten und -Prozessen bei der Bereitstellung und Aktualisierung der ergänzenden Informationen zur Cybersicherheit gemäß Artikel 55 zu befolgen sind.

(2)

Die für das europäische Schema für die Cybersicherheitszertifizierung festgelegten Anforderungen stehen in Einklang mit allen geltenden rechtlichen Anforderungen, vor allem jenen, die sich aus dem harmonisierten Unionsrecht ergeben.

(3)

Soweit dies in einem bestimmten Rechtsakt der Union so festgelegt ist, kann eine Zertifizierung oder eine EU-Konformitätserklärung, die auf der Grundlage eines europäischen Schemas für die Cybersicherheitszertifizierung ausgestellt wurde, dafür verwendet werden kann, die Vermutung zu begründen, dass eine Übereinstimmung mit den Anforderungen jenes Rechtsakts gegeben ist.

(4)

Fehlt harmonisiertes Unionsrecht, so kann das Recht der Mitgliedstaaten auch festlegen, dass ein europäisches Schema für die Cybersicherheitszertifizierung dafür verwendet werden kann, die Vermutung zu begründen, dass eine Übereinstimmung mit den gesetzlichen Anforderungen gegeben ist.

Artikel 55

Ergänzende Informationen über die Cybersicherheit von zertifizierten IKT-Produkten, -Diensten und -Prozessen

(1)

Hersteller oder Anbieter von zertifizierten IKT-Produkten, -Diensten oder -Prozessen oder von IKT-Produkten, -Diensten und -Prozessen, für die eine EU-Konformitätserklärung ausgestellt wurde, machen folgende ergänzende Cybersicherheitsangaben der Öffentlichkeit zugänglich:

Leitlinien und Empfehlungen zur Unterstützung der Endnutzer bei der sicheren Konfiguration, der Installation, der Bereitstellung, dem Betrieb und der Wartung der IKT-Produkte oder -Dienste;

Zeitraum, während dessen den Endnutzern eine Sicherheitsunterstützung angeboten wird, insbesondere in Bezug auf die Verfügbarkeit von cybersicherheitsbezogenen Aktualisierungen;

Kontaktangaben des Herstellers oder Anbieters und zulässige Verfahren für den Erhalt von Informationen über Sicherheitslücken von Endnutzern und im Bereich der IT-Sicherheit tätigen Wissenschaftlern;

Verweis auf Online-Register mit öffentlich offengelegten Sicherheitslücken in Bezug auf das IKT-Produkt, den IKT-Dienst oder den IKT-Prozess und gegebenenfalls relevante Cybersicherheitsratgeber.

(2)

Die in Absatz 1 aufgeführten Angaben werden in elektronischer Form bereitgestellt und bleiben mindestens bis zum Ablauf des jeweiligen EU-Cybersicherheitszertifikats oder der EU-Konformitätserklärung verfügbar und werden bei Bedarf aktualisiert.

Artikel 56

Cybersicherheitszertifizierung

▼M1

(1)

Für IKT-Produkte, -Dienste und -Prozesse und verwaltete Sicherheitsdienste, die auf der Grundlage eines nach Artikel 49 angenommenen europäischen Schemas für die Cybersicherheitszertifizierung zertifiziert wurden, gilt die Vermutung der Einhaltung der Anforderungen dieses Schemas.

▼B

(2)

Sofern im Unionsrecht oder im Recht der Mitgliedstaaten nicht anders bestimmt, ist die Cybersicherheitszertifizierung freiwillig.

(3)

►M1 Die Kommission bewertet regelmäßig die Effizienz und Nutzung der angenommenen europäischen Schemata für die Cybersicherheitszertifizierung sowie die Frage, ob ein bestimmtes europäisches Schema für die Cybersicherheitszertifizierung durch das einschlägige Unionsrecht verbindlich vorgeschrieben werden soll, um ein angemessenes Maß an Cybersicherheit von IKT-Produkten, -Diensten und -Prozessen und, ab dem 4. Februar 2025, von verwalteten Sicherheitsdiensten in der Union sicherzustellen und das Funktionieren des Binnenmarktes zu verbessern. Die erste Bewertung findet bis zum 31. Dezember 2023 statt und danach nachfolgende Bewertungen finden mindestens alle zwei Jahre statt. Die Kommission stellt auf der Grundlage der Ergebnisse der Bewertungen fest, welche IKT-Produkte, -Dienste und -Prozesse und verwalteten Sicherheitsdienste, die unter ein bestehendes Zertifizierungsschema fallen, unter ein verpflichtendes Zertifizierungsschema fallen müssen. ◄

Die Kommission konzentriert sich dabei vorrangig auf die Sektoren, die in Anhang II der Richtlinie (EU) 2016/1148 aufgeführt sind und die spätestens zwei Jahre nach der Annahme des ersten europäischen Cybersicherheitszertifizierungsschemas bewertet werden.

Bei der Vorbereitung der Bewertung verfährt die Kommission wie folgt:

▼M1

Sie berücksichtigt die Auswirkungen der Maßnahmen auf die Hersteller oder Anbieter solcher IKT-Produkte, -Dienste oder -Prozesse oder verwalteten Sicherheitsdienste und auf die Nutzer hinsichtlich der Kosten dieser Maßnahmen und des gesellschaftlichen oder wirtschaftlichen Nutzens, der sich aus dem erwarteten höheren Maß an Sicherheit für die betreffenden IKT-Produkte, -Dienste oder -Prozesse oder verwalteten Sicherheitsdienste ergibt;

▼B

sie berücksichtigt das Bestehen und die Umsetzung von Rechtsvorschriften der Mitgliedstaaten und von Drittländern;

sie führt eine offene, transparente und inklusive Konsultation mit allen relevanten Interessenträgern und mit den Mitgliedstaaten durch;

▼M1

sie berücksichtigt die Umsetzungsfristen sowie die Übergangsmaßnahmen oder -zeiträume, insbesondere im Hinblick auf die möglichen Auswirkungen der Maßnahme auf die Anbieter oder Hersteller von IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten, einschließlich der besonderen Interessen und Bedürfnisse von KMU, einschließlich Kleinstunternehmen;

▼B

sie schlägt die schnellste und effizienteste Art und Weise für die Durchführung des Übergangs von freiwilligen zu obligatorischen Zertifizierungsschemata vor.

(4)

Die in Artikel 60 genannten Konformitätsbewertungsstellen stellen ein europäisches Cybersicherheitszertifikat nach diesem Artikel mit der Vertrauenswürdigkeitsstufe „niedrig“ oder „mittel“ auf der Grundlage der Kriterien des nach Artikel 49 durch die Kommission angenommenen europäischen Schemas für die Cybersicherheitszertifizierung aus.

(5)

Abweichend von Absatz 4 kann in hinreichend begründeten Fällen ein europäisches Schema für die Cybersicherheitszertifizierung vorsehen, dass ein im Rahmen dieses Schemas erteiltes europäisches Cybersicherheitszertifikat nur von einer öffentlichen Stelle auszustellen ist. Bei einer solchen Stelle muss es sich um eine der folgenden Stellen handeln:

eine nationale Behörde für die Cybersicherheitszertifizierung nach Artikel 58 Absatz 1;

eine als Konformitätsbewertungsstelle akkreditierte öffentliche Stelle nach Artikel 60 Absatz 1.

(6)

Ist im Rahmen eines europäischen Schemas für die Cybersicherheitszertifizierung nach Artikel 49 die Vertrauenswürdigkeitsstufe „hoch“ erforderlich, so kann das europäische Cybersicherheitszertifikat nach diesem Schema nur von einer nationalen Behörde für die Cybersicherheitszertifizierung oder in den folgenden Fällen von einer Konformitätsbewertungsstelle ausgestellt werden:

wenn die nationale Behörde für die Cybersicherheitszertifizierung zuvor für jedes einzelne, von einer Konformitätsbewertungsstelle ausgestellte europäische Cybersicherheitszertifikat ihre Zustimmung erteilt hat oder

wenn die nationale Behörde für die Cybersicherheitszertifizierung die Aufgabe der Ausstellung solcher europäischen Cybersicherheitszertifikate zuvor allgemein einer Konformitätsbewertungsstelle übertragen hat.

▼M1

(7)

Die natürliche oder juristische Person, die ihre IKT-Produkte, -Dienste oder -Prozesse oder verwalteten Sicherheitsdienste zur Zertifizierung einreicht, hat der gemäß Artikel 58 benannten nationalen Behörde für die Cybersicherheitszertifizierung — sofern diese Behörde die Stelle ist, die das europäische Cybersicherheitszertifikat erteilt — oder der in Artikel 60 genannten Konformitätsbewertungsstelle alle für das Zertifizierungsverfahren notwendigen Informationen vorzulegen.

(8)

Der Inhaber eines europäischen Cybersicherheitszertifikats informiert die in Absatz 7 genannte Behörde oder Stelle über etwaige später festgestellte Sicherheitslücken oder Unregelmäßigkeiten hinsichtlich der Sicherheit des zertifizierten IKT-Produkts, -Dienstes oder -Prozesses oder verwalteten Sicherheitsdienstes, die sich auf die mit der Zertifizierung verbundenen Anforderungen auswirken könnten. Die Behörde oder Stelle leitet diese Informationen unverzüglich an die betreffende nationale Behörde für die Cybersicherheitszertifizierung weiter.

▼B

(9)

Ein europäisches Cybersicherheitszertifikat wird für die im jeweiligen europäischen Zertifizierungsschema für Cybersicherheit festgelegte Dauer erteilt und kann verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt sind.

(10)

Ein nach diesem Artikel ausgestelltes europäisches Cybersicherheitszertifikat wird in allen Mitgliedstaaten anerkannt.

Artikel 57

Nationale Cybersicherheitszertifizierungsschemata und Cybersicherheitszertifikate

▼M1

(1)

Unbeschadet des Absatzes 3 des vorliegenden Artikels werden nationale Schemata für die Cybersicherheitszertifizierung und die zugehörigen Verfahren für die IKT-Produkte, -Dienste und -Prozesse und verwalteten Sicherheitsdienste, die unter ein europäisches Schema für die Cybersicherheitszertifizierung fallen, ab dem Zeitpunkt unwirksam, der in dem nach Artikel 49 Absatz 7 erlassenen Durchführungsrechtsakt festgelegt ist. Nationale Schemata für die Cybersicherheitszertifizierung und die zugehörigen Verfahren für die IKT-Produkte, -Dienste und -Prozesse und verwalteten Sicherheitsdienste, die nicht unter ein europäisches Schema für die Cybersicherheitszertifizierung fallen, bleiben bestehen.

(2)

Die Mitgliedstaaten führen keine neuen nationalen Schemata für die Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen und verwalteten Sicherheitsdiensten ein, die unter ein geltendes europäisches Schema für die Cybersicherheitszertifizierung fallen.

▼B

(3)

Vorhandene Zertifikate, die auf der Grundlage nationaler Schemata für die Cybersicherheitszertifizierung ausgestellt wurden und unter ein europäisches Schema für die Cybersicherheitszertifizierung fallen, bleiben bis zum Ende ihrer Geltungsdauer gültig.

(4)

Um die Fragmentierung des Binnenmarkts zu vermeiden, unterrichten die Mitgliedstaaten die Kommission und die Europäische Gruppe für die Cybersicherheitszertifizierung über die Absicht zur Ausarbeitung neuer nationaler Schemata für die Cybersicherheitszertifizierung.

Artikel 58

Nationale Behörden für die Cybersicherheitszertifizierung

(1)

Jeder Mitgliedstaat benennt eine oder mehrere nationale Behörden für die Cybersicherheitszertifizierung in seinem Hoheitsgebiet oder im Einverständnis mit einem anderen Mitgliedstaat eine oder mehrere nationale Behörden für die Cybersicherheitszertifizierung mit Sitz in diesem anderen Mitgliedstaat, als für die Aufsichtsaufgaben im benennenden Mitgliedstaat zuständig.

(2)

Jeder Mitgliedstaat teilt der Kommission den Namen der benannten nationalen Behörden für Cybersicherheitszertifizierung mit. Sofern ein Mitgliedstaat mehr als eine Behörde benennt, teilt er der Kommission auch die Aufgaben mit, die diesen Behörden jeweils zugewiesen wurden.

(3)

Unbeschadet des Artikels 56 Absatz 5 Buchstabe a und Absatz 6 ist jede nationale Behörde für die Cybersicherheitszertifizierung im Hinblick auf ihre Organisation, Finanzierungsentscheidungen, Rechtsform und Entscheidungsfindung unabhängig von den Stellen, die sie beaufsichtigt.

(4)

Die Mitgliedstaaten stellen sicher, dass die Tätigkeiten der nationalen Behörden für die europäische Cybersicherheitszertifizierung im Zusammenhang mit der Ausstellung von Zertifikaten nach Artikel 56 Absatz 5 Buchstabe a und Absatz 6 von den Aufsichtstätigkeiten nach diesem Artikel streng getrennt sind und dass diese Tätigkeiten unabhängig voneinander durchgeführt werden.

(5)

Die Mitgliedstaaten stellen sicher, dass die nationalen Behörden für die Cybersicherheitszertifizierung eine angemessene Ausstattung zur Ausübung ihrer Befugnisse und zur wirksamen und effizienten Wahrnehmung ihrer Aufgaben besitzen.

(6)

Im Hinblick auf eine wirksame Durchführung dieser Verordnung ist es angemessen, dass die nationalen Behörden für die Cybersicherheitszertifizierung in der Europäischen Gruppe für die Cybersicherheitszertifizierung in aktiver, wirksamer, effizienter und sicherer Weise mitarbeiten.

(7)

Die nationalen Behörden für die Cybersicherheitszertifizierung haben folgende Aufgaben:

▼M1

Überwachung und Durchsetzung der Vorschriften im Rahmen der europäischen Schemata für die Cybersicherheitszertifizierung gemäß Artikel 54 Absatz 1 Buchstabe j im Hinblick auf die Überwachung der Übereinstimmung der IKT-Produkte, -Dienste und -Prozesse und verwalteten Sicherheitsdienste mit den Anforderungen der in ihrem jeweiligen Hoheitsgebiet ausgestellten europäischen Cybersicherheitszertifikate in Zusammenarbeit mit anderen zuständigen Marktüberwachungsbehörden;

Überwachung und Durchsetzung der Verpflichtungen der in ihrem jeweiligen Hoheitsgebiet niedergelassenen Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten, die eine Selbstbewertung der Konformität durchführen, insbesondere Überwachung und Durchsetzung der Verpflichtungen dieser Hersteller oder Anbieter nach Artikel 53 Absätze 2 und 3 und nach dem entsprechenden europäischen Schema für die Cybersicherheitszertifizierung;

▼B

unbeschadet des Artikels 60 Absatz 3 aktive Unterstützung der nationalen Akkreditierungsstellen bei der Überwachung und Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen für die Zwecke dieser Verordnung;

Überwachung und Beaufsichtigung der Tätigkeiten der in Artikel 56 Absatz 5 genannten öffentlichen Stellen;

gegebenenfalls Ermächtigung der Konformitätsbewertungsstellen nach Artikel 60 Absatz 3 und Beschränkung, Aussetzung oder Widerruf bestehender Ermächtigungen, wenn die Konformitätsbewertungsstellen gegen die Anforderungen dieser Verordnung verstoßen;

Bearbeitung von Beschwerden, die von natürlichen oder juristischen Personen in Bezug auf europäische Cybersicherheitszertifikate, die von der nationalen Behörde für die Cybersicherheitszertifizierung ausgestellt wurden, oder in Bezug auf europäische Cybersicherheitszertifikate, die nach Artikel 56 Absatz 6 von Konformitätsbewertungsstellen ausgestellt wurden, oder in Bezug auf EU-Konformitätserklärungen nach Artikel 53 eingereicht werden, und Untersuchung des Beschwerdegegenstands in angemessenem Umfang, und Unterrichtung des Beschwerdeführers über die Fortschritte und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist;

Vorlage eines zusammenfassenden Jahresberichts über die ausgeführten Tätigkeiten gemäß den Buchstaben b, c und d dieses Absatzes oder gemäß Absatz 8 an die ENISA und die Europäische Gruppe für die Cybersicherheitszertifizierung;

▼M1

Zusammenarbeit mit anderen nationalen Behörden für die Cybersicherheitszertifizierung und anderen öffentlichen Stellen; dies beinhaltet auch den Informationsaustausch über die etwaige Nichtkonformität von IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten mit den Anforderungen dieser Verordnung oder mit den Anforderungen bestimmter europäischer Schemata für die Cybersicherheitszertifizierung; und

▼B

Verfolgung einschlägiger Entwicklungen auf dem Gebiet der Cybersicherheitszertifizierung.

(8)

Jede nationale Behörde für die Cybersicherheitszertifizierung hat mindestens die folgenden Befugnisse:

Sie kann die Konformitätsbewertungsstellen, die Inhaber europäischer Cybersicherheitszertifikate und die Aussteller von EU-Konformitätserklärungen auffordern, ihr sämtliche Auskünfte zu erteilen, die sie für die Erfüllung ihrer Aufgaben benötigt;

sie kann Untersuchungen in Form von Rechnungsprüfungen bei den Konformitätsbewertungsstellen, den Inhabern europäischer Cybersicherheitszertifikate und den Ausstellern von EU-Konformitätserklärungen durchführen, um deren Einhaltung der Bestimmungen dieses Titels zu überprüfen;

sie kann im Einklang mit dem nationalen Recht geeignete Maßnahmen ergreifen, um sicherzustellen, dass die Konformitätsbewertungsstellen, die Inhaber von europäischen Cybersicherheitszertifikaten und die Aussteller von EU-Konformitätserklärungen den Anforderungen dieser Verordnung oder eines europäischen Schemas für die Cybersicherheitszertifizierung genügen;

sie erhält Zugang zu den Räumlichkeiten von Konformitätsbewertungsstellen und von Inhabern europäischer Cybersicherheitszertifikate zum Zweck der Durchführung von Untersuchungen im Einklang mit den Verfahrensvorschriften der Union oder des Mitgliedstaats;

sie kann im Einklang mit dem nationalen Recht europäische Cybersicherheitszertifikate widerrufen, die von den nationalen Behörden für die Cybersicherheitszertifizierung oder europäische Cybersicherheitszertifikate, die nach Artikel 56 Absatz 6 von den Konformitätsbewertungsstellen ausgestellt wurden, wenn diese Zertifikate den Anforderungen dieser Verordnung oder eines europäischen Schemas für die Cybersicherheitszertifizierung nicht genügen;

sie kann im Einklang mit dem nationalen Recht Sanktionen nach Artikel 65 verhängen und die unverzügliche Beendigung von Verstößen gegen die in dieser Verordnung festgelegten Verpflichtungen anordnen.

▼M1

(9)

Die nationalen Behörden für die Cybersicherheitszertifizierung arbeiten untereinander und mit der Kommission zusammen, indem sie insbesondere Informationen, Erfahrungen und bewährte Verfahren im Zusammenhang mit der Cybersicherheitszertifizierung und technischen Fragen in Bezug auf die Cybersicherheit von IKT-Produkten, -Diensten und -Prozessen und verwalteten Sicherheitsdiensten austauschen.

▼B

Artikel 59

Gegenseitige Begutachtung

(1)

Um in der gesamten Union gleichwertige Standards in Bezug auf die europäischen Cybersicherheitszertifikate und EU-Konformitätserklärungen zu erreichen, unterliegen die nationalen Behörden für die Cybersicherheitszertifizierung einer gegenseitigen Begutachtung.

(2)

Die gegenseitige Begutachtung erfolgt auf der Grundlage fundierter und transparenter Bewertungskriterien und -verfahren und erstreckt sich insbesondere auf die Strukturen, Personalressourcen und Verfahren betreffenden Anforderungen sowie auf Vertraulichkeit und Beschwerden.

(3)

Die gegenseitige Begutachtung umfasst die Bewertung folgender Aspekte:

gegebenenfalls die Frage, ob bei den Tätigkeiten der nationalen Behörden für die europäische Cybersicherheitszertifizierung im Zusammenhang mit der Ausstellung von Zertifikaten nach Artikel 56 Absatz 5 Buchstabe a und Absatz 6 eine strenge Trennung der Aufgaben und Zuständigkeiten von den Aufsichtstätigkeiten nach Artikel 58 gewahrt wird und beide Tätigkeiten unabhängig voneinander durchgeführt werden;

▼M1

die Verfahren für die Beaufsichtigung und Durchsetzung der Vorschriften für die Überwachung der Übereinstimmung von IKT-Produkten, -Diensten, -Prozessen und verwalteten Sicherheitsdiensten mit den europäischen Cybersicherheitszertifikaten nach Artikel 58 Absatz 7 Buchstabe a;

die Verfahren für die Überwachung und Durchsetzung der Verpflichtungen der Hersteller oder Anbieter von IKT-Produkten, -Diensten, -Prozessen oder verwalteten Sicherheitsdiensten nach Artikel 58 Absatz 7 Buchstabe b;

▼B

die Verfahren für die Überwachung, Genehmigung und Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen;

gegebenenfalls die Frage, ob das Personal von Behörden oder Stellen, die gemäß Artikel 56 Absatz 6 Zertifikate für die Vertrauenswürdigkeitsstufe „hoch“ ausstellen, über die erforderlichen Sachkenntnisse verfügt.

(4)

Die gegenseitige Begutachtung erfolgt durch mindestens zwei nationale Behörden für die Cybersicherheitszertifizierung anderer Mitgliedstaaten und die Kommission, und sie wird mindestens einmal alle fünf Jahre durchgeführt. Die ENISA kann sich an der gegenseitigen Begutachtung beteiligen.

(5)

Die Kommission kann Durchführungsrechtsakte erlassen, um einen Plan für die gegenseitige Begutachtung festzulegen, der sich auf einen Zeitraum von mindestens fünf Jahren erstreckt, und darin die Kriterien für die Zusammensetzung des die gegenseitige Begutachtung durchführenden Teams, die Methode für die gegenseitige Begutachtung und den Zeitplan, die Häufigkeit und die übrigen damit verbundenen Aufgaben vorzugeben. Beim Erlass dieser Durchführungsrechtsakte trägt die Kommission den Erwägungen der Europäischen Gruppe für die Cybersicherheitszertifizierung angemessen Rechnung. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 66 Absatz 2 genannten Prüfverfahren erlassen.

(6)

Die Europäische Gruppe für die Cybersicherheitszertifizierung prüft die Ergebnisse der gegenseitigen Begutachtung, erstellt eine Zusammenfassung, die der Öffentlichkeit zugänglich gemacht werden kann, und erlässt erforderlichenfalls Leitlinien oder Empfehlungen zu den von den betreffenden Stellen zu ergreifenden Maßnahmen.

Artikel 60

Konformitätsbewertungsstellen

(1)

Die Konformitätsbewertungsstellen werden von den nach der Verordnung (EG) Nr. 765/2008 benannten nationalen Akkreditierungsstellen akkreditiert. Diese Akkreditierung wird nur ausgestellt, wenn die Konformitätsbewertungsstelle die im Anhang der vorliegenden Verordnung aufgeführten Anforderungen erfüllt.

(2)

Hat eine nationale Behörde für die Cybersicherheitszertifizierung nach Artikel 56 Absatz 5 Buchstabe a und Absatz 6 ein europäisches Cybersicherheitszertifikat ausstellt, so wird die Zertifizierungsstelle der nationalen Behörde für die Cybersicherheitszertifizierung nach Absatz 1 des vorliegenden Artikels als Konformitätsbewertungsstelle akkreditiert.

(3)

Sind in einem europäischen Schema für die Cybersicherheitszertifizierung spezifische oder zusätzliche Anforderungen gemäß Artikel 54 Absatz 1 Buchstabe f festgelegt, so darf nur solchen Konformitätsbewertungsstellen von der nationalen Behörde für die Cybersicherheitszertifizierung die Befugnis erteilt werden, Aufgaben im Rahmen dieses Schemas wahrzunehmen, die diese Anforderungen einhalten.

(4)

Die Akkreditierung nach Absatz 1wird den Konformitätsbewertungsstellen für eine Höchstdauer von fünf Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die Konformitätsbewertungsstelle die Anforderungen dieses Artikels weiterhin erfüllt. Die nationalen Akkreditierungsstellen treffen innerhalb einer angemessenen Frist alle angebrachten Maßnahmen, um die nach Absatz 1 erteilte Akkreditierung einer Konformitätsbewertungsstelle zu beschränken, auszusetzen oder zu widerrufen, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn die Konformitätsbewertungsstelle gegen diese Verordnung verstößt.

Artikel 61

Notifikation

(1)

Für jedes europäische Schema für die Cybersicherheitszertifizierung notifizieren die nationalen Behörden für die Cybersicherheitszertifizierung der Kommission die Konformitätsbewertungsstellen, die für die Erteilung von Zertifikaten entsprechend den in Artikel 52 genannten Vertrauenswürdigkeitsstufen akkreditiert und gegebenenfalls nach Artikel 60 Absatz 3 ermächtigt wurden. Die nationalen Behörden für die Cybersicherheitszertifizierung teilt der Kommission etwaige diesbezügliche Änderungen unverzüglich mit.

(2)

Ein Jahr nach Inkrafttreten eines europäischen Schemas für die Cybersicherheitszertifizierung veröffentlicht die Kommission im Amtsblatt der Europäischen Union eine Liste der nach diesem Schema notifizierten Konformitätsbewertungsstellen.

(3)

Geht der Kommission nach Ablauf der in Absatz 2 genannten Frist eine Notifikation zu, so veröffentlicht sie die Änderungen der Liste der notifizierten Konformitätsbewertungsstellen innerhalb von zwei Monaten ab dem Zeitpunkt des Eingangs dieser Notifikation im Amtsblatt der Europäischen Union.

(4)

Eine nationale Behörde für die Cybersicherheitszertifizierung kann bei der Kommission die Streichung einer von dieser Behörde notifizierten Konformitätsbewertungsstelle aus der in Absatz 2 genannten Liste beantragen. Die Kommission veröffentlicht die entsprechenden Änderungen der Liste innerhalb eines Monats ab dem Zeitpunkt, zu dem der Antrag der nationalen Behörde für die Cybersicherheitszertifizierung eingegangen ist, im Amtsblatt der Europäischen Union.

(5)

Die Kommission kann im Wege von Durchführungsrechtsakten Einzelheiten, Form und Verfahren für die Notifikationen nach Absatz 1 festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 66 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 62

Europäische Gruppe für die Cybersicherheitszertifizierung

(1)

Die Europäische Gruppe für die Cybersicherheitszertifizierung wird eingesetzt.

(2)

Die Europäische Gruppe für die Cybersicherheitszertifizierung setzt sich aus Vertretern der nationalen Behörden für die Cybersicherheitszertifizierung oder Vertretern anderer einschlägiger nationaler Behörden zusammen. Ein Mitglied der Europäischen Gruppe für die Cybersicherheitszertifizierung darf nicht mehr als zwei Mitgliedstaat vertreten.

(3)

Interessenträger und maßgebliche Dritte können zur Teilnahme an den Sitzungen der Europäischen Gruppe für die Cybersicherheitszertifizierung und zur Beteiligung an ihrer Arbeit eingeladen werden.

(4)

Die Europäische Gruppe für die Cybersicherheitszertifizierung hat folgende Aufgaben:

Sie berät und unterstützt die Kommission bei ihren Tätigkeiten zur Gewährleistung einer einheitlichen Umsetzung und Anwendung dieses Titels — insbesondere in Bezug auf das fortlaufende Arbeitsprogramm der Union — in politischen Fragen der Cybersicherheitszertifizierung, bei der Koordinierung von Politikkonzepten und bei der Ausarbeitung europäischer Schemata für die Cybersicherheitszertifizierung;

sie unterstützt und berät die ENISA bei der Ausarbeitung eines möglichen Schemas nach Artikel 49 und arbeitet hierbei mit der ENISA zusammen;

sie gibt nach Artikel 49 eine Stellungnahme zu den von der ENISA vorbereiteten möglichen Schemata ab;

sie beauftragt die ENISA mit der Ausarbeitung von möglichen Schemata nach Artikel 48 Absatz 2;

sie gibt an die Kommission gerichtete Stellungnahmen zur Pflege und Überprüfung vorhandener europäischer Schemata für die Cybersicherheitszertifizierung ab;

sie prüft die einschlägigen Entwicklungen auf dem Gebiet der Cybersicherheitszertifizierung und tauscht Informationen über und bewährte Verfahren für Cybersicherheitszertifizierungsschemata aus;

sie erleichtert die Zusammenarbeit zwischen den nationalen Behörden für die Cybersicherheitszertifizierung nach diesem Titel im Wege des Kapazitätsaufbaus und des Informationsaustauschs, insbesondere durch die Festlegung von Methoden für einen effizienten Austausch von Informationen über Fragen der Cybersicherheitszertifizierung;

sie leistet Unterstützung bei der Anwendung des Mechanismus der gegenseitigen Begutachtung gemäß den Regeln, die in einem europäischen Cybersicherheitszertifizierungsschema nach Artikel 54 Absatz 1 Buchstabe u festgelegt wurden;

sie erleichtert die Anpassung europäischer Schemata für die Cybersicherheitszertifizierung an international anerkannte Normen, indem sie unter anderem bestehende europäische Schemata für die Cybersicherheitszertifizierung überprüft und der ENISA erforderlichenfalls Empfehlungen unterbreitet, sich mit den einschlägigen internationalen Normungsorganisationen in Verbindung zu setzen, um Unzulänglichkeiten oder Lücken in verfügbaren international anerkannten Normen anzugehen.

(5)

Die Kommission nimmt gemäß Artikel 8 Absatz 1 Buchstabe e die Sekretariatsgeschäfte der Europäischen Gruppe für die Cybersicherheitszertifizierung wahr, und führt mit Unterstützung der ENISA ihren Vorsitz.

Artikel 63

Beschwerderecht

(1)

Natürliche und juristische Personen haben das Recht, bei dem Aussteller eines europäischen Cybersicherheitszertifikats oder — wenn sich die Beschwerde gegen ein von einer Konformitätsbewertungsstelle nach Artikel 56 Absatz 6 ausgestelltes europäischen Cybersicherheitszertifikat richtet — bei der zuständigen nationalen Behörde für die Cybersicherheitszertifizierung eine Beschwerde einzulegen.

(2)

Die Behörde oder Stelle, bei der die Beschwerde eingelegt wurde, unterrichtet den Beschwerdeführer über den Stand des Verfahrens und die getroffene Entscheidung und informiert den Beschwerdeführer über die Möglichkeit eines wirksamen gerichtlichen Rechtsbehelfs nach Artikel 64.

Artikel 64

Recht auf einen wirksamen gerichtlichen Rechtsbehelf

(1)

Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf in Bezug auf

Entscheidungen einer Behörde oder einer Stelle gemäß Artikel 63 Absatz 1, gegebenenfalls auch in Bezug auf die mangelnde Erteilung, Verweigerung der Erteilung oder Anerkennung eines europäischen Cybersicherheitszertifikats, das diese natürliche oder juristische Person innehat bzw. beantragt hat;

Untätigkeit im Anschluss an eine Beschwerde bei einer Behörde oder Stelle gemäß Artikel 63 Absatz 1.

(2)

Verfahren nach diesem Artikel werden bei den Gerichten des Mitgliedstaats eingeleitet, in dem die Behörde oder Stelle, gegen die der Rechtsbehelf gerichtet ist, ihren Sitz hat.

Artikel 65

Sanktionen

Die Mitgliedstaaten erlassen Vorschriften über Sanktionen, die bei Verstößen gegen diesen Titel und bei Verstößen gegen die europäischen Schemata für die Cybersicherheitszertifizierung zu verhängen sind, und treffen alle für die Anwendung der Sanktionen erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen unverzüglich mit und melden ihr etwaige spätere Änderungen.

TITEL IV

SCHLUSSBESTIMMUNGEN

Artikel 66

Ausschussverfahren

(1)

Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)

Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 Absatz 4 Buchstabe b der Verordnung (EU) Nr. 182/2011.

Artikel 67

Bewertung und Überarbeitung

(1)

Bis zum 28. Juni 2024 und danach alle fünf Jahre bewertet die Kommission die Wirkung, Wirksamkeit und Effizienz der ENISA und ihrer Arbeitsmethoden und prüft, ob das Mandat der ENISA möglicherweise geändert werden muss und welche finanziellen Auswirkungen eine solche Änderung hätte. In der Bewertung werden alle Rückmeldungen an die ENISA in Bezug auf ihre Tätigkeiten berücksichtigt. Gelangt die Kommission zu der Auffassung, dass Ziele, Mandat und Aufgaben der ENISA deren Tätigkeit nicht länger rechtfertigen können, kann sie eine Änderung dieser Verordnung im Hinblick auf die für die ENISA geltenden Bestimmungen vorschlagen.

▼M1

(2)

Die Bewertung erstreckt sich auch auf die Wirkung, Wirksamkeit und Effizienz der Bestimmungen des Titels III dieser Verordnung, einschließlich der Verfahren, die zur Annahme von europäischen Schemata für die Cybersicherheitszertifizierung und ihrer faktengesicherten Grundlagen führen, im Hinblick auf die Ziele, für IKT-Produkte, -Dienste und -Prozesse und verwaltete Sicherheitsdienste in der Union ein angemessenes Maß an Cybersicherheit und einen besser funktionierenden Binnenmarkt zu gewährleisten.

(3)

Bei der Bewertung wird beurteilt, ob wesentliche Anforderungen an die Cybersicherheit für den Zugang zum Binnenmarkt erforderlich sind, damit keine IKT-Produkte, -Dienste und -Prozesse und verwalteten Sicherheitsdienste auf den Binnenmarkt gelangen, die den grundlegenden Anforderungen an die Cybersicherheit nicht entsprechen.

▼B

(4)

Die Kommission übermittelt bis zum 28. Juni 2024 und danach alle fünf Jahre den Bericht über die Bewertung zusammen mit ihren Schlussfolgerungen dem Europäischen Parlament, dem Rat und dem Verwaltungsrat. Die Ergebnisse des Berichts werden öffentlich bekannt gemacht.

Artikel 68

Aufhebung und Rechtsnachfolge

(1)

Die Verordnung (EU) Nr. 526/2013 wird mit Wirkung vom 27. Juni 2019 aufgehoben.

(2)

Bezugnahmen auf die Verordnung (EU) Nr. 526/2013 und auf die durch jene Verordnung errichtete ENISA gelten als Bezugnahmen auf die vorliegende Verordnung und auf die durch die vorliegende Verordnung errichtete ENISA.

(3)

Die durch die vorliegende Verordnung errichtete ENISA ist in Bezug auf das Eigentum und alle Abkommen, rechtlichen Verpflichtungen, Beschäftigungsverträge, finanziellen Verpflichtungen und Verbindlichkeiten die Rechtsnachfolgerin der durch die Verordnung (EU) Nr. 526/2013 errichteten ENISA. Alle vom Verwaltungsrat und vom Exekutivrat gemäß der Verordnung (EU) Nr. 526/2013 getroffenen Entscheidungen bleiben gültig, sofern sie der vorliegenden Verordnung nicht zuwiderlaufen.

(4)

Die ENISA wird zum 27. Juni 2019 für unbegrenzte Zeit errichtet.

(5)

Der nach Artikel 24 Absatz 4 der Verordnung (EU) Nr. 526/2013 ernannte Exekutivdirektor bleibt im Amt und übt die Funktion des Exekutivdirektors nach Artikel 20 der vorliegenden Verordnung für die restliche Dauer seiner Amtszeit aus. Die übrigen Bestimmungen seines Vertrags bleiben unverändert.

(6)

Die nach Artikel 6 der Verordnung (EU) Nr. 526/2013 ernannten Mitglieder des Verwaltungsrats und ihre Stellvertreter bleiben im Amt und üben die Funktion des Verwaltungsrats nach Artikel 15 der vorliegenden Verordnung für die restliche Dauer ihrer Amtszeit aus.

Artikel 69

Inkrafttreten

(1)

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2)

Die Artikel 58, 60, 61, 63, 64und 65, gelten ab dem 28. Juni 2021.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

ANHANG

ANFORDERUNGEN AN KONFORMITÄTSBEWERTUNGSSTELLEN

Konformitätsbewertungsstellen, die akkreditiert werden möchten, müssen folgende Anforderungen erfüllen:

Eine Konformitätsbewertungsstelle muss nach nationalem Recht gegründet und mit Rechtspersönlichkeit ausgestattet sein.

▼M1

Bei einer Konformitätsbewertungsstelle muss es sich um einen unabhängigen Dritten handeln, der mit der Einrichtung oder den IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten, die er bewertet, in keinerlei Verbindung steht.

Eine Stelle, die einem Wirtschaftsverband oder einem Fachverband angehört und die IKT-Produkte, -Dienste oder -Prozesse oder verwaltete Sicherheitsdienste bewertet, an deren Entwurf, Herstellung, Bereitstellung, Montage, Verwendung oder Wartung Unternehmen beteiligt sind, die von diesem Verband vertreten werden, kann als Konformitätsbewertungsstelle gelten, sofern ihre Unabhängigkeit sowie die Abwesenheit jedweder Interessenkonflikte nachgewiesen sind.

Die Konformitätsbewertungsstellen, ihre oberste Leitungsebene und die für die Erfüllung der Konformitätsbewertungsaufgaben zuständigen Mitarbeiter dürfen weder Konstrukteur, Hersteller, Lieferant, Installateur, Käufer, Eigentümer, Verwender oder Wartungsbetrieb des zu bewertenden IKT-Produkts, -Dienstes oder -Prozesses oder verwalteten Sicherheitsdienstes noch Bevollmächtigter einer dieser Parteien sein. Dieses Verbot schließt nicht die Verwendung von bereits einer Konformitätsbewertung unterzogenen IKT-Produkten, die für die Tätigkeit der Konformitätsbewertungsstelle nötig sind, oder die Verwendung solcher IKT-Produkte zum persönlichen Gebrauch aus.

Die Konformitätsbewertungsstellen, ihre oberste Leitungsebene und die für die Erfüllung der Konformitätsbewertungsaufgaben zuständigen Mitarbeiter dürfen weder direkt an Entwurf, Herstellung bzw. Bau, Bereitstellung, Vermarktung, Installation, Verwendung oder Instandsetzung dieser IKT-Produkte, -Dienste oder -Prozesse oder verwalteten Sicherheitsdienste beteiligt sein noch die an diesen Tätigkeiten beteiligten Parteien vertreten. Die Konformitätsbewertungsstellen, ihre oberste Leitungsebene und die für die Erfüllung der Konformitätsbewertungsaufgaben zuständigen Mitarbeiter dürfen sich nicht mit Tätigkeiten befassen, die ihre Unabhängigkeit bei der Beurteilung oder ihre Integrität im Zusammenhang mit ihren Konformitätsbewertungstätigkeiten beeinträchtigen können. Dieses Verbot gilt besonders für Beratungsdienste.

▼B

Falls eine Konformitätsbewertungsstelle Eigentum einer öffentlichen Stelle oder Einrichtung ist oder von dieser betrieben wird, sind die Unabhängigkeit und die Abwesenheit von Interessenkonflikten zwischen der nationalen Behörde für die Cybersicherheitszertifizierung und der Konformitätsbewertungsstelle sicherzustellen und zu dokumentieren.

Die Konformitätsbewertungsstellen müssen sicherstellen, dass die Tätigkeiten ihrer Zweigunternehmen oder Unterauftragnehmer die Vertraulichkeit, Objektivität oder Unparteilichkeit ihrer Konformitätsbewertungstätigkeiten nicht beeinträchtigen.

Die Konformitätsbewertungsstellen und ihre Mitarbeiter müssen die Konformitätsbewertungstätigkeiten mit höchster beruflicher Integrität und der erforderlichen fachlichen Kompetenz in dem betreffenden Bereich durchführen; sie dürfen keinerlei Einflussnahme durch Druck oder Vergünstigungen, auch finanzieller Art, ausgesetzt sein, die sich auf ihre Beurteilung oder die Ergebnisse ihrer Konformitätsbewertungsarbeit auswirken könnte, insbesondere keinem Druck und keiner Einflussnahme durch Personen oder Personengruppen, die ein Interesse am Ergebnis dieser Tätigkeiten haben.

Eine Konformitätsbewertungsstelle muss in der Lage sein, die bei der Konformitätsbewertung anfallenden Aufgaben, die ihr mit dieser Verordnung übertragen wurden, auszuführen, unabhängig davon, ob diese Aufgaben von ihr selbst oder in ihrem Namen und unter ihrer Verantwortung ausgeführt werden. Jegliche Unterauftragsvergabe oder die Inanspruchnahme von externem Personal sind angemessen zu dokumentieren, dürfen nicht über Vermittler erfolgen und bedürfen einer schriftlichen Vereinbarung, in der unter anderem Vertraulichkeitsaspekte und Interessenkonflikte geklärt werden. Die betreffende Konformitätsbewertungsstelle übernimmt die volle Verantwortung für die durchgeführten Aufgaben.

10.

▼M1

Eine Konformitätsbewertungsstelle muss jederzeit, für jedes Konformitätsbewertungsverfahren und für jede Art, Kategorie und Unterkategorie von IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten über Folgendes verfügen:

▼B

das erforderliche Personal mit Fachkenntnis und ausreichender einschlägiger Erfahrung, um die bei der Konformitätsbewertung anfallenden Aufgaben zu erfüllen;

Beschreibungen von Verfahren, nach denen die Konformitätsbewertung durchgeführt wird, um sicherzustellen, dass die Verfahren transparent sind und wiederholt werden können. Sie muss über angemessene Regelungen und Verfahren verfügen, bei denen zwischen den Aufgaben, die sie als nach Artikel 61 notifizierte Stelle wahrnimmt, und ihren anderen Tätigkeiten unterschieden wird;

▼M1

Verfahren zur Durchführung von Tätigkeiten, bei denen die Größe eines Unternehmens, die Branche, in der es tätig ist, seine Struktur, der Grad an Komplexität der jeweiligen Technologie der ICT-Produkte, -Dienste oder -Prozesse oder verwalteten Sicherheitsdienste und der Umstand, dass es sich um Massenfertigung oder Serienproduktion handelt, gebührend berücksichtigt werden.

▼B

11.

Eine Konformitätsbewertungsstelle muss über die erforderlichen Mittel zur angemessenen Erledigung der technischen und administrativen Aufgaben verfügen, die mit der Konformitätsbewertung verbunden sind, und Zugang zu allen benötigten Ausrüstungen und Einrichtungen haben.

12.

Die Personen, die für die Durchführung der Konformitätsbewertungstätigkeiten zuständig sind, müssen Folgendes besitzen:

eine solide Fach- und Berufsausbildung, die alle Tätigkeiten der Konformitätsbewertung umfasst;

eine ausreichende Kenntnis der Anforderungen, die mit den durchzuführenden Konformitätsbewertungen verbunden sind, und die entsprechende Befugnis, solche Bewertungen durchzuführen;

angemessene Kenntnis und angemessenes Verständnis der geltenden Anforderungen und Prüfnormen;

die Fähigkeit zur Erstellung von Bescheinigungen, Protokollen und Berichten als Nachweis für durchgeführte Konformitätsbewertungen.

13.

Die Unparteilichkeit der Konformitätsbewertungsstellen, ihrer obersten Führungsebene, des für Bewertungen zuständigen Personals der Konformitätsbewertungsstelle und ihrer Unterauftragnehmer muss gewährleistet sein.

14.

Die Vergütung für die oberste Leitungsebene und das für Bewertungen zuständige Personal der Konformitätsbewertungsstelle darf sich nicht nach der Anzahl der durchgeführten Konformitätsbewertungen oder deren Ergebnissen richten.

15.

Die Konformitätsbewertungsstellen müssen eine Haftpflichtversicherung abschließen, sofern die Haftpflicht nicht aufgrund des nationalen Rechts vom Mitgliedstaat übernommen wird oder der Mitgliedstaat selbst unmittelbar für die Konformitätsbewertung verantwortlich ist.

16.

Die Konformitätsbewertungsstelle und ihre Mitarbeiter, Gremien, Tochterunternehmen, Unterauftragnehmer und alle verbundenen Stellen oder Mitarbeiter externer Gremien einer Konformitätsbewertungsstelle müssen die Vertraulichkeit wahren, und die Informationen, die sie bei der Durchführung ihrer Konformitätsbewertungsaufgaben nach dieser Verordnung oder nach einer nationalen Vorschrift zur Durchführung dieser Verordnung erhalten, fallen unter die berufliche Schweigepflicht, außer wenn eine Offenlegung aufgrund von Rechtsvorschriften der Union oder des Mitgliedstaats, denen diese Personen unterliegen, erforderlich ist und außer gegenüber den zuständigen Behörden der Mitgliedstaaten, in denen sie ihre Tätigkeiten ausüben. Die Rechte des geistigen Eigentums sind zu schützen. Die Konformitätsbewertungsstelle muss über dokumentierte Verfahren in Bezug auf die Anforderungen dieser Nummer verfügen.

17.

Abgesehen von Nummer 16 schließen die Anforderungen dieses Anhangs in keiner Weise der Austausch von technischen Informationen und regulatorischen Leitlinien zwischen einer Konformitätsbewertungsstelle und einer Person, die eine Zertifizierung beantragt oder deren Beantragung in Erwägung zieht, aus.

18.

Konformitätsbewertungsstellen müssen ihre Tätigkeiten im Einklang mit einer Reihe kohärenter, gerechter und angemessener Geschäftsbedingungen ausüben, wobei sie in Bezug auf Gebühren die Interessen der KMU berücksichtigen.

▼M1

19.

Die Konformitätsbewertungsstellen müssen die Anforderungen der einschlägigen harmonisierten Norm im Sinne des Artikels 2 Nummer 9 der Verordnung (EG) Nr. 765/2008 für die Akkreditierung der Konformitätsbewertungsstellen, die die Zertifizierung von IKT-Produkten, -Diensten oder -Prozessen oder verwalteten Sicherheitsdiensten vornehmen, erfüllen.

20.

Die Konformitätsbewertungsstellen müssen sicherstellen, dass die für die Konformitätsbewertung eingesetzten Prüflabors den Anforderungen der einschlägigen harmonisierten Norm im Sinne des Artikels 2 Nummer 9 der Verordnung (EG) Nr. 765/2008 für die Akkreditierung der Labors, die Tests durchführen, entsprechen.

( 1 ) Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt) gefördert werden und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73).

( 2 ) Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates vom 29. Februar 1968 zur Festlegung des Statuts der Beamten der Europäischen Gemeinschaften und der Beschäftigungsbedingungen für die sonstigen Bediensteten dieser Gemeinschaften sowie zur Einführung von Sondermaßnahmen, die vorübergehend auf die Beamten der Kommission anwendbar sind (ABl. L 56 vom 4.3.1968, S. 1).

( 3 ) Delegierte Verordnung (EU) Nr. 1271/2013 der Kommission vom 30. September 2013 über die Rahmenfinanzregelung für Einrichtungen gemäß Artikel 208 der Verordnung (EU, Euratom) Nr. 966/2012 des Europäischen Parlaments und des Rates (ABl. L 328 vom 7.12.2013, S. 42).

( 4 ) Beschluss (EU, Euratom) 2015/443 der Kommission vom 13. März 2015 über Sicherheit in der Kommission (ABl. L 72 vom 17.3.2015, S. 41).

( 5 ) Beschluss (EU, Euratom) 2015/444 der Kommission vom 13. März 2015 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 72 vom 17.3.2015, S. 53).

( 6 ) Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates vom 18. Juli 2018 über die Haushaltsordnung für den Gesamthaushaltsplan der Union, zur Änderung der Verordnungen (EU) Nr. 1296/2013, (EU) Nr. 1301/2013, (EU) Nr. 1303/2013, (EU) Nr. 1304/2013, (EU) Nr. 1309/2013, (EU) Nr. 1316/2013, (EU) Nr. 223/2014, (EU) Nr. 283/2014 und des Beschlusses Nr. 541/2014/EU sowie zur Aufhebung der Verordnung (EU, Euratom) Nr. 966/2012 (ABl. L 193 vom 30.7.2018, S. 1).

( 7 ) Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates vom 11. September 2013 über die Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) und zur Aufhebung der Verordnung (EG) Nr. 1073/1999 des Europäischen Parlaments und des Rates und der Verordnung (Euratom) Nr. 1074/1999 des Rates (ABl. L 248 vom 18.9.2013, S. 1).

( 8 ) ABl. L 136 vom 31.5.1999, S. 15.

( 9 ) Verordnung (Euratom, EG) Nr. 2185/96 des Rates vom 11. November 1996 betreffend die Kontrollen und Überprüfungen vor Ort durch die Kommission zum Schutz der finanziellen Interessen der Europäischen Gemeinschaften vor Betrug und anderen Unregelmäßigkeiten (ABl. L 292 vom 15.11.1996, S. 2).

( 10 ) Verordnung Nr. 1 zur Regelung der Sprachenfrage für die Europäische Wirtschaftsgemeinschaft (ABl. 17 vom 6.10.1958, S. 385/58).

nach oben

Wählen Sie die experimentellen Funktionen, die Sie testen möchten.