(1)

В съответствие със Заключенията на Съвета от 12 февруари 2016 г. относно борбата срещу финансирането на тероризма, Съобщението на Комисията до Европейския парламент и Съвета от 2 февруари 2016 г. относно план за действие с цел засилване на борбата с финансирането на тероризма и Директива (ЕС) 2017/541 на Европейския парламент и на Съвета (2) е необходимо да се приемат общи правила за търговията с трети държави, за да се осигури ефективна защита срещу незаконната търговия, загубата или унищожаването на движими културни ценности, да се съхрани културното наследство на човечеството и да не се допуска финансирането на тероризма и изпирането на пари чрез продажбата на заграбени културни ценности на купувачи в Съюза.

(2)

Експлоатацията на народи и територии може да доведе до незаконна търговия на движими културни ценности, особено когато незаконната търговия е в резултат от ситуация на въоръжен конфликт. В това отношение в настоящия регламент следва да се вземат предвид регионалните и местните характеристики на народите и териториите, а не пазарната стойност на движимите културни ценности.

(3)

Движимите културни ценности са част от културното наследство и често имат голямо културно, художествено, историческо и научно значение. Културното наследство представлява един от основните елементи на цивилизацията, притежаващ, наред с другото, символична стойност и съставляващ част от културната памет на човечеството. То обогатява културния живот на всички народи и обединява хората чрез обща памет, познания и цивилизационно развитие. Поради това следва да се защитава от незаконно присвояване и от заграбване. Археологическите обекти винаги са били обект на заграбване, но понастоящем това достига огромни мащаби и заедно с търговията с движими културни ценности, получени чрез незаконни разкопки, е тежко престъпление, което причинява значителни вреди на лицата, които са пряко или косвено засегнати. Незаконната търговия с движими културни ценности в много случаи допринася за принудителна културна хомогенизация или загуба на културна идентичност, а заграбването на движими културни ценности води, наред с другото, до разпадането на културите. Докато е възможно да се извършва доходоносна търговия с движими културни ценности, получени чрез незаконни разкопки, и да се печели от това без значителен риск, тези разкопки и заграбване ще продължат. Поради своята икономическа и художествена стойност движимите културни ценности са силно търсени на международния пазар. Липсата на строги международни правни мерки или неефективното прилагане на тези мерки води до прехвърлянето на тези ценности в сивата икономика. Поради това Съюзът следва да забрани на митническата му територия да се въвеждат движими културни ценности, които са незаконно изнесени от трети държави, като се обърне особено внимание на движимите културни ценности от трети държави, засегнати от въоръжени конфликти, по-специално когато тези движими културни ценности са били обект на незаконна търговия от страна на терористични или други престъпни организации. Въпреки че тази обща забрана не следва да води до систематични проверки, при получаване на данни във връзка с подозрителни пратки държавите членки следва да имат възможност да се намесват и да предприемат всички подходящи мерки за откриване на незаконно изнесени движими културни ценности.

(4)

Тъй като понастоящем държавите членки прилагат различни правила по отношение на вноса на движими културни ценности на митническата територия на Съюза, следва да се предприемат мерки, за да се гарантира по-специално, че определени случаи на внос на движими културни ценности подлежат на еднакъв контрол при въвеждането им на митническата територия на Съюза, въз основа на действащите процеси, процедури и административни инструменти, имащи за цел постигането на еднакво прилагане на Регламент (ЕС) № 952/2013 на Европейския парламент и на Съвета (3).

(5)

Защитата на движимите културни ценности, които се считат за национално богатство на държавите членки, вече попада в обхвата на Регламент (ЕО) № 116/2009 на Съвета (4) и на Директива 2014/60/ЕС на Европейския парламент и на Съвета (5). Следователно настоящият регламент не следва да се прилага за движими културни ценности, които са създадени или открити на митническата територия на Съюза. Общите правила, въведени с настоящия регламент, следва да обхващат митническото третиране на несъюзни движими културни ценности с произход, които се въвеждат на митническата територия на Съюза. За целите на настоящия регламент съответната митническа територия следва да бъде митническата територия на Съюза към момента на вноса.

(6)

Мерките за контрол, които следва да бъдат въведени по отношение на свободните зони и т.нар. „свободни пристанища“, следва да имат възможно най-широк обхват по отношение на съответните митнически режими, за да се предотврати заобикалянето на настоящия регламент чрез тези свободни зони, които могат да бъдат използвани, за непрекъснато разпространение на незаконната търговия. Ето защо мерките за контрол следва да се отнасят не само за движимите културни ценности, допуснати за свободно обращение, но и за движимите културни ценности, поставени под специален митнически режим. Определеният обхват обаче не следва да надхвърля целта да се предотврати въвеждането на митническата територия на Съюза на незаконно изнесени движими културни ценности. Съответно, въпреки че обхващат допускането за свободно обращение и някои специални митнически режими, под които може да се поставят ценностите, въвеждани на митническата територия на Съюза, мерките за систематичен контрол следва да изключват режим транзит.

(7)

Много трети държави и повечето държави членки са запознати с определенията, които се използват в Конвенцията на ЮНЕСКО относно мерките за забрана и предотвратяване на незаконен внос, износ и прехвърляне на правото на собственост на културни ценности, подписана в Париж на 14 ноември 1970 г. (наричана по-долу „Конвенция на ЮНЕСКО от 1970 г.“), страни по която са значителен брой държави членки, и в Конвенцията на Международния институт за унифициране на частното право (UNIDROIT) относно връщането на откраднатите или незаконно изнесените културни ценности, подписана в Рим на 24 юни 1995 г. Ето защо използваните в настоящия регламент определения следва да се основават на определенията в посочените конвенции.

(8)

Законността на износа на движими културни ценности следва да се проверява главно въз основа на законовите и подзаконовите актове на държавата, в която са създадени или открити тези движими културни ценности. Въпреки това, за да не се възпрепятства неоправдано законната търговия, в определени случаи на лицето, което иска да внесе движими културни ценности на митническата територия на Съюза, следва да бъде позволено по изключение да докаже вместо това законния износ от различна трета държава, в която са се намирали движимите културни ценности преди изпращането им за Съюза. Това изключение следва да се прилага, когато третата държава, в която движимите културни ценности са създадени или открити, не може да бъде определена със сигурност или когато износът на въпросните движими културни ценности е извършен преди влизането в сила на Конвенцията на ЮНЕСКО от 1970 г., а именно 24 април 1972 г. С цел предотвратяване на заобикалянето на настоящия регламент чрез изпращането на незаконно изнесени движими културни ценности в друга трета държава преди внасянето им в Съюза, тези изключения следва да се прилагат, когато движимите културни ценности са се намирали в трета държава за срок от повече от пет години и за цели, различни от временна употреба, транзит, реекспорт или претоварване. Когато тези условия са изпълнени за повече от една трета държава, следва да се взема предвид последната от тези държави преди въвеждането на движимите културни ценности на митническата територия на Съюза.

(9)

В член 5 от Конвенцията на ЮНЕСКО от 1970 г. държавите — страни по нея, се призовават да създадат една или няколко национални служби за опазване на движимите културни ценности срещу незаконен внос, износ и прехвърляне на правото на собственост. В съответствие с посочената конвенция тези национални служби следва да бъдат обезпечени с достатъчен на брой квалифициран персонал, за да се гарантира опазването на културното наследство в съответствие с посочената конвенция и да се осигурят условия за необходимото активно сътрудничество между компетентните органи на държавите членки — страни по конвенцията, в областта на сигурността и борбата с незаконния внос на движими културни ценности, особено от зони, засегнати от въоръжен конфликт.

(10)

За да не се възпрепятства прекомерно търговията с движими културни ценности през външните граници на Съюза, настоящият регламент следва да се прилага само за движими културни ценности, които отговарят на определено ограничение за възраст, установено с настоящия регламент. Също така изглежда целесъобразно да се определи финансов праг с цел да се изключат движими културни ценности с по-ниска стойност от прилагането на условията и процедурите за внос на митническата територия на Съюза. Тези прагове ще гарантират, че мерките, предвидени в настоящия регламент, са съсредоточени върху движимите културни ценности, които е най-вероятно да бъдат цел за грабители в конфликтни зони, и няма да изключват други движими културни ценности, контролът върху които е необходим за опазването на културното наследство.

(11)

В рамките на наднационалната оценка на риска, свързан с изпирането на пари и финансирането на тероризъм и засягащ вътрешния пазар, незаконната търговия със заграбени движими културни ценности беше посочена като възможен източник на дейности по финансиране на тероризма и изпиране на пари.

(12)

Като се има предвид, че някои категории движими културни ценности, като например археологически находки и части от паметници, са особено застрашени от заграбване и унищожаване, е необходимо да се предвиди система за упражняване на засилен контрол, преди да бъде разрешено въвеждането им на митническата територия на Съюза. Тази система следва да включва представянето на разрешение за внос, издадено от компетентния орган на държава членка, преди тези движими културни ценности да се допуснат за свободно обращение в Съюза или да се поставят под специален митнически режим, различен от режим транзит. Лицата, които желаят да получат такова разрешение, следва да са в състояние да докажат законния износ от държавата, в която движимите културни ценности са създадени или открити, с подходящи придружаващи документи и доказателства, например сертификати за износ, документи за собственост, фактури, договори за продажба, застрахователни документи, транспортни документи и експертни оценки. Въз основа на пълни и точни заявления компетентните органи на държавите членки следва да решат без неоправдано забавяне дали да издадат разрешение. Всички разрешения за внос следва да се съхраняват в електронна система.

(13)

Икона е всяко представяне на религиозна фигура или религиозно събитие. Тя може да бъде на различни носители и в различни размери, в монументална или в преносима форма. Когато вече е била част например от интериора на църква, манастир, параклис, самостоятелно или като част от архитектурна мебелировка, например иконостас или проскинитарий, иконата е жизненоважна и неразделна част от преклонението пред божественото и литургичния живот и следва да се смята за неразривна част от религиозна сграда, която е била разделена на части. Дори ако конкретната сграда, към която е принадлежала иконата, е неизвестна, но има доказателства, че тя е била неразделна част от сграда, по-специално когато има знаци или елементи, които указват, че е била част от иконостас или проскинитарий, иконата следва да бъде обхваната от категорията „съставни елементи на разделени на части художествени или исторически паметници и на археологически обекти“, посочена в списъка в приложението.

(14)

Предвид особеното естество на движимите културни ценности ролята на митническите органи е от изключително значение и тези органи следва да могат, когато е необходимо, да изискват допълнителна информация от декларатора и да анализират движимите културни ценности чрез физическа проверка.

(15)

Лицата, които желаят да внесат на митническата територия на Съюза категории движими културни ценности, за вноса на които не се изисква разрешение, следва да удостоверят с декларация, че износът от третата държава е законен и че поемат отговорност за него, както и да представят достатъчно информация, за да могат митническите органи да идентифицират тези движими културни ценности. За улесняване на процедурата и от съображения за правна сигурност информацията за движимите културни ценности следва да се представя чрез стандартизиран документ. За тяхното описание би могъл да се използва препоръчаният от ЮНЕСКО стандарт за описание на движими културни ценности (Object ID). Държателят на стоките следва да регистрира тези данни в електронна система, за да се улесни идентифицирането им от митническите органи, да се даде възможност за извършване на анализ на риска и целенасочени проверки и да се осигури проследимостта на движимите културни ценности след въвеждането им на вътрешния пазар.

(16)

В контекста инициативата на ЕС за едно гише в митническата област Комисията следва да е отговорна за създаването на централизирана електронна система за подаването на заявления за разрешения за внос и декларации на вносители, както и за съхранението и обмена на информация между органите на държавите членки, по-специално по отношение на декларациите на вносителите и разрешенията за внос.

(17)

Следва да е възможно обработването на данни съгласно настоящия регламент да обхваща и лични данни, като то следва да се извършва в съответствие с правото на Съюза. Държавите членки и Комисията следва да обработват лични данни само за целите на настоящия регламент или в надлежно обосновани обстоятелства за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване. За всяко събиране, разкриване, предаване, съобщаване и друг вид обработване на лични данни, попадащо в обхвата на настоящия регламент, следва да се прилагат изискванията на регламенти (ЕС) 2016/679 (6) и (ЕС) 2018/1725 (7) на Европейския парламент и на Съвета. При обработването на лични данни за целите на настоящия регламент следва да се спазват и правото на зачитане на личния и семейния живот, признато в член 8 от Конвенцията за защита на правата на човека и основните свободи на Съвета на Европа, както и правото на зачитане на личния и семейния живот и правото на защита на личните данни, признати съответно в членове 7 и 8 от Хартата на основните права на Европейския съюз.

(18)

За движимите културни ценности, които не са създадени или открити на митническата територия на Съюза, но които са изнесени като съюзни стоки, следва да не е необходимо да се представя разрешение за внос или декларация на вносителя, когато те се връщат на тази територия като върнати стоки по смисъла на Регламент(ЕС) № 952/2013.

(19)

За временния внос на движими културни ценности за целите на образованието, науката, консервацията, реставрацията, експонирането, цифровизацията, сценичните изкуства, академични изследвания или сътрудничеството между музеи или подобни институции, не следва да е необходимо представянето на разрешение за внос или на декларация на вносителя.

(20)

За складирането на движими културни ценности от държави, засегнати от въоръжен конфликт или природно бедствие, изключително с цел да се осигури тяхното безопасно съхранение и опазване от или под надзора на публичен орган, не следва да е необходимо представянето на разрешение за внос или на декларация на вносителя, с оглед гарантирането на тяхната сигурност и опазване.

(21)

За да се улесни представянето на движими културни ценности в рамките на художествени изложения с търговска цел, не следва да се изисква разрешение за внос, когато движимите културни ценности са поставени под режим временен внос по смисъла на член 250 от Регламент (ЕС) № 952/2013 и когато вместо разрешение за внос е била представена декларация на вносителя. Представянето на разрешение за внос следва обаче да се изисква, когато тези движими културни ценности остават в Съюза след изложението.

(22)

За да се осигурят еднакви условия за прилагането на настоящия регламент, на Комисията следва да се предоставят изпълнителни правомощия да приема подробни правила за движими културни ценности, представляващи върнати стоки, както и за временен внос и безопасно съхранение на движими културни ценности на митническата територия на Съюза, за образците на заявленията и формулярите за разрешения за внос, образците на декларациите на вносителя и придружаващите ги документи, както и допълнителни процедурни правила за тяхното подаване и обработване. На Комисията следва да се предоставят и изпълнителни правомощия да предприеме мерки за създаването на електронна система за подаването на заявления за разрешения за внос и декларации на вносителя и за съхраняването и обмена на информация между държавите членки. Тези правомощия следва да се упражняват в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (8).

(23)

С цел да се осигури ефективна координация и да се избегне дублирането на усилия при организирането на обучения, дейности за изграждане на капацитет и кампании за повишаване на осведомеността, както и да се възложи изготвянето на съответните изследвания и разработването на стандарти, когато е целесъобразно, Комисията и държавите членки следва да си сътрудничат с международни организации и органи, като например ЮНЕСКО, Интерпол, Европол, Световната митническа организация, Международния център за изследвания в областта на консервацията и реставрацията на културното наследство и Международния съвет на музеите.

(24)

Съответната информация за търговските потоци на движими културни ценности следва да се събира по електронен път и да се споделя от държавите членки и от Комисията, за да се подпомогне ефикасното прилагане на настоящия регламент и да се създаде основа за бъдещата му оценка. От съображения за прозрачност и осигуряване на възможност за обществен контрол колкото е възможно повече информация следва да се оповестява публично. Не е възможно търговските потоци на движими културни ценности да се следят достатъчно ефикасно само въз основа на стойността или теглото на движимите културни ценности. От съществено значение е да се събира по електронен път информация за декларирания брой. Тъй като в Комбинираната номенклатура не е определена допълнителна мерна единица за движимите културни ценности, е нужно да се изисква декларирането на броя на движимите културни ценности.

(25)

Стратегията и планът за действие на ЕС за управление на риска в областта на митниците има за цел, наред с другото, укрепване на капацитета на митническите органи, така че да се повиши способността им да реагират на рисковете в областта на движимите културни ценности. Необходимо е да се използва общата рамка за управление на риска, установена с Регламент (ЕС) № 952/2013, като митническите органи следва да обменят съответната информация относно риска.

(26)

За да се ползва експертният опит на международните организации и органи, които работят в културната област, както и опита им в областта на незаконната търговия с движими културни ценности, препоръките и насоките, отправени от тези организации и органи, следва да бъдат съобразени в общата рамка за управление на риска при определянето на рисковете, свързани с движимите културни ценности. По-специално, червените списъци, публикувани от Международния съвет на музеите, следва да служат като насока за определянето на третите държави, чието културно наследство е изложено на най-голям риск, и изнесените от тях предмети, които по-често биха били обект на незаконна търговия.

(27)

Необходимо е да се разработят кампании за повишаване на осведомеността, насочени към купувачите на движими културни ценности, относно риска от незаконна търговия и да се подпомагат участниците на пазара в разбирането и прилагането на настоящия регламент. Държавите членки следва да включат съответните национални звена за контакт и други служби за предоставяне на информация в разпространението на тази информация.

(28)

Комисията следва да гарантира, че микро-, малките и средните предприятия (МСП) могат да ползват подходяща техническа помощ, и следва да улеснява предоставянето на информация на тези предприятия с цел ефикасното прилагане на настоящия регламент. Поради това установените в Съюза МСП, които внасят движими културни ценности, следва да се ползват от настоящите и бъдещите програми на Съюза в подкрепа на конкурентоспособността на малките и средните предприятия.

(29)

С цел да се насърчи спазването на законодателството и да се предотврати заобикалянето на неговите разпоредби, държавите членки следва да въведат ефективни, пропорционални и възпиращи санкции за нарушения на разпоредбите на настоящия регламент и да съобщят тези санкции на Комисията. Санкциите, въведени от държавите членки за нарушения на настоящия регламент, следва да имат равностоен възпиращ ефект в целия Съюз.

(30)

Държавите членки следва да гарантират, че митническите и компетентните органи постигат съгласие във връзка с прилагането на мерките по член 198 от Регламент(ЕС) № 952/2013. Детайлната уредба, свързана с тези мерки, следва да е предмет на националното право.

(31)

Комисията следва без забавяне да приеме разпоредби за прилагане на настоящия регламент, и по-специално разпоредби относно подходящи електронни стандартизирани формуляри, които да се използват за подаване на заявления за издаване на разрешение за внос или за изготвяне на декларация на вносителя, и впоследствие да създаде електронната система във възможно най-кратки срокове. Прилагането на разпоредбите относно разрешенията за внос и декларациите на вносителя следва да бъде отложено за съответните срокове.

(32)

В съответствие с принципа на пропорционалност е необходимо и подходящо с оглед постигането на основните цели на настоящия регламент да бъдат установени правила относно въвеждането на движими културни ценности и условия и процедури за вноса на такива ценности на митническата територия на Съюза. Настоящият регламент не надхвърля необходимото за постигането на поставените цели в съответствие с член 5, параграф 4 от Договора за Европейския съюз,

(1)

Мрежите и информационните системи и съобщителните мрежи и услуги играят жизненоважна роля за обществото и са се превърнали в основата на икономическия растеж. Информационните и комуникационните технологии (ИКТ) са в основата на сложните системи, които поддържат ежедневната обществена активност, правят възможно функционирането на нашите икономики в основни сектори като здравеопазване, енергетика, финанси и транспорт, и по-специално поддържат функционирането на вътрешния пазар.

(2)

Използването на мрежите и информационните системи от гражданите, организациите и предприятията в целия Европейски съюз е вече повсеместно. Цифровизацията и свързаността се превръщат в основни характеристики на все по-голям брой продукти и услуги и с навлизането на „интернет на нещата“ се очаква на територията на Съюза през следващото десетилетие да има изключително голям брой свързани цифрови устройства. Въпреки нарастващия брой на устройствата, свързани към интернет, вграждането на сигурност и устойчивост в тях „още при проектирането“ все още не се извършва в задоволителен мащаб, което води до недостатъчно ниво на киберсигурност. В този контекст, ограниченото използване на сертифицирането води до недостиг на информация за ползвателите физически лица, организации и предприятия относно характеристиките на ИКТ продукти, ИКТ услуги и ИКТ процеси в областта на киберсигурността, като подкопава доверието в цифровите решения. Мрежите и информационните системи могат да улеснят всички аспекти на нашия живот и да стимулират икономическия растеж на Съюза. Те са основата за постигането на цифровия единен пазар.

(3)

Нарастването на цифровизацията и свързаността увеличава на рисковете, свързани с киберсигурността, като по този начин обществото като цяло стана по-уязвимо за киберзаплахи и се изостриха опасностите за физически лица, включително уязвими лица, като например деца. С цел да се смекчат тези рискове за обществото, трябва да бъдат предприети всички необходими действия за подобряване на киберсигурността в Съюза, така че да бъде осигурена по-добра защита срещу киберзаплахи на мрежите и информационните системи, съобщителните мрежи, цифровите продукти, услугите и устройствата, използвани от гражданите, организациите и предприятията — от малките и средни предприятия (МСП), по смисъла на Препоръка 2003/361/ЕО на Комисията (4), до операторите на критична инфраструктура.

(4)

С предоставянето на относима информация на обществеността Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA), създадена с Регламент (ЕС) № 526/2013 на Европейския парламент и на Съвета (5) допринася за развитието на сектора на киберсигурността в Съюза, по-специално на МСП и стартиращите предприятия. ENISA следва да се стреми към по-тясно сътрудничество с университетите и научноизследователските звена, за да допринесе за намаляване на зависимостта от продукти и услуги в областта на киберсигурността с произход извън Съюза и за да подсили веригите за доставки в рамките на Съюза.

(5)

Броят на кибератаките нараства, а икономиката и обществото, които са свързани с интернет, са по-уязвими за киберзаплахи и кибератаки и имат нужда от засилени защитни механизми. Независимо от факта обаче, че кибератаките често са трансгранични, правомощията и политическият отговор на органите по киберсигурността и на правоприлагащите органи са основно национални. Широкомащабните инциденти могат да нарушат предоставянето на важни услуги в целия Съюз. Това изисква ефективен и координиран отговор и ефективно управление на кризи на равнището на Съюза, които да се основават на специални политики и по-широкообхватни инструменти за европейска солидарност и взаимопомощ. Освен това редовното оценяване на състоянието на киберсигурността и устойчивостта в Съюза въз основа на надеждни данни на Съюза, както и систематичното прогнозиране на бъдещи развития, предизвикателства и заплахи на равнището на Съюза и на световно равнище, са важни за създателите на политики, за промишлеността и ползвателите.

(6)

В светлината на предизвикателствата, пред които е изправен Съюзът в областта на киберсигурността, е необходим всеобхватен набор от мерки, който ще се основава на предходни действия на Съюза и ще насърчава взаимно подкрепящите се цели. Тези цели включват необходимостта от допълнително подобряване на способностите и подготвеността на държавите членки и на предприятията, както и от подобряване на сътрудничеството, обмена на информация и координацията между държавите членки и институциите, органите, службите и агенциите на Съюза. Освен това, предвид трансграничния характер на киберзаплахите, е необходимо да се доразвият способностите на равнището на Съюза, чрез които могат да се допълват действията на държавите членки, по-специално в случаите на мащабни трансгранични инциденти и кризи, като същевременно се вземе предвид значението на поддържането и допълнителното засилване на националните способности за реакция спрямо киберзаплахи от всякакъв мащаб.

(7)

Също така са необходими допълнителни усилия, за да се повиши информираността на гражданите, на организациите и на предприятията по въпроси, свързани с киберсигурността. Освен това, като се има предвид, че киберинцидентите накърняват доверието в доставчиците на цифрови услуги и в самия цифров единен пазар, особено сред потребителите, доверието следва да бъде допълнително укрепено, като по прозрачен начин се предоставя информация за нивото на сигурност на ИКТ продуктите, ИКТ услугите и ИКТ процесите, в която се подчертава, че дори и високото равнище на сертифициране на киберсигурността не може да гарантира пълната сигурност на ИКТ продукт, ИКТ услуга или ИКТ процес. Повишаването на доверието може да бъде улеснено чрез сертифициране на равнището на Съюза, като се предоставят общи изисквания за киберсигурност и общи критерии за оценка, независещи от националните пазари и секторите.

(8)

Киберсигурността не е само въпрос, свързан с технологията, но и такъв, при който и човешкото поведение е също толкова важно. Поради това „киберхигиената“, а именно обикновените рутинни мерки, които — когато се прилагат и извършват редовно от граждани, организации и предприятия — свеждат до минимум излагането им на рискове от киберзаплахи, следва да бъде активно насърчавана.

(9)

За целите на укрепването на структурите за киберсигурност на Съюза е важно да се поддържат и развиват способностите на държавите членки за всеобхватен отговор на киберзаплахи, включително трансгранични инциденти.

(10)

Предприятията и отделните потребители следва да разполагат с точна информация за това с какво ниво на гарантиране на сигурността са сертифицирани техните ИКТ продукти, ИКТ услуги и ИКТ процеси. Същевременно трябва да се разбира, че никой ИКТ продукт или ИКТ услуга не е напълно сигурен по отношение на киберзаплахите и че основните правила на киберхигиената трябва да се насърчават и да бъдат приоритет. Предвид нарастващата наличност на устройства за „интернет на нещата“ има редица доброволни мерки, които частният сектор следва да вземе, за да укрепи доверието в сигурността на ИКТ продуктите, ИКТ услугите и ИКТ процесите.

(11)

Съвременните ИКТ продукти и системи често включват или разчитат на технологии и компоненти на една или повече трети страни, като софтуерни модули, библиотеки или приложно-програмни интерфейси. Подобно разчитане, което се нарича „зависимост“, може да породи допълнителни рискове, свързани с киберсигурността, тъй като открити уязвимости в компонентите на трета страна могат да повлияят на сигурността на ИКТ продуктите, ИКТ услугите и ИКТ процесите. В много случаи установяването и документирането на такива зависимости дава възможност на крайните ползватели на ИКТ продуктите, ИКТ услугите и ИКТ процесите да подобрят своите дейности по управление на риска, свързан с киберсигурността, като усъвършенстват например процедурите на ползвателите за управление и отстраняване на уязвимостта, свързана с киберсигурността.

(12)

Организациите, производителите или доставчиците, участващи в проектирането и разработването на ИКТ продукти, ИКТ услуги или ИКТ процеси, следва да бъдат насърчавани да прилагат мерки на най-ранните етапи по такъв начин, че сигурността на тези продукти, услуги и процеси да бъде защитена във възможно най-голяма степен от самото начало, понасянето на кибератаки да се предполага и тяхното въздействие да бъде предвидимо и сведено до минимум („сигурност още при проектирането“). Сигурността следва да бъде осигурена през целия жизнен цикъл на ИКТ продукта, ИКТ услугата и ИКТ процеса чрез процеси на проектиране и разработване, които се развиват постоянно с цел намаляване на вредите от злонамерена експлоатация.

(13)

Предприятията, организациите и публичният сектор следва да конфигурират проектираните от тях ИКТ продукти, ИКТ услуги или ИКТ процеси по начин, който осигурява по-висока степен на сигурност, което следва да даде възможност на първия ползвател да получи конфигурация с възможно най-сигурни настройки („сигурност по подразбиране“) като така се намалява тежестта за ползвателите, които трябва да конфигурират даден ИКТ продукт, ИКТ услуга или ИКТ процес по подходящия начин. Сигурността по подразбиране не следва да изисква подробна работна конфигурация, нито конкретни технически познания или необичайно поведение от страна на потребителя и следва да работи надеждно, когато се внедрява. Ако за всеки отделен случай анализ на риска и използваемостта доведе до заключението, че такава настройка по подразбиране не е осъществима, ползвателите следва да бъдат приканени да изберат най-сигурната настройка.

(14)

С Регламент (ЕО) № 460/2004 на Европейския парламент и на Съвета (6) беше създадена ENISA, предназначена да подпомогне целите за осигуряване на високо и ефективно ниво на мрежова и информационна сигурност в рамките на Съюза и създаване на култура на мрежова и информационна сигурност в полза на гражданите, потребителите, предприятията и държавните администрации. С Регламент (ЕО) № 1007/2008 на Европейския парламент и на Съвета (7) беше удължен мандатът на ENISA до март 2012 г. С Регламент (ЕС) № 580/2011 на Европейския парламент и на Съвета (8) мандатът на ENISA беше удължен допълнително до 13 септември 2013 г. С Регламент (ЕС) № 526/2013 беше удължен мандатът на ENISA до 19 юни 2020 г.

(15)

Съюзът вече предприе важни стъпки за гарантиране на киберсигурността и за повишаване на доверието в цифровите технологии. През 2013 г. беше приета стратегия на Европейския съюз за киберсигурност, която да направлява политиката на Съюза в отговор на заплахите и рисковете в областта на киберсигурността. В усилията си да защити по-добре гражданите в онлайн средата, през 2016 г. Съюзът прие първия законодателен акт в областта на киберсигурността под формата на Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета (9). С Директива (ЕС) 2016/1148 бяха въведени изисквания по отношение на националните способности в областта на киберсигурността, бяха създадени първите механизми за засилване на стратегическото и оперативното сътрудничество между държавите членки и бяха въведени задължения относно мерките за сигурност и уведомяването за инциденти отвъд границите на отделните сектори, които са жизненоважни за икономиката и обществото, като енергетиката, транспорта, доставката и снабдяването с питейна вода, банковото дело, инфраструктурите на финансовия пазар, здравеопазването, цифровата инфраструктура, както и доставчиците на основни цифрови услуги (интернет търсачки, услуги за изчисления в облак и платформи за онлайн търговия).

ENISA получи основна роля в подпомагането на изпълнението на посочената директива. В допълнение, ефективната борба срещу киберпрестъпността е важен приоритет в Европейската програма за сигурност, с което се допринася за общата цел за постигане на високо равнище на киберсигурността. Други правни актове, като Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (10) и директиви 2002/58/ЕО (11) и (ЕС) 2018/1972 (12) на Европейския парламент и на Съвета също допринасят за високото равнище на киберсигурността на цифровия единен пазар.

(16)

След приемането на Стратегията на Европейския съюз за киберсигурност от 2013 г. и след последното преразглеждане на мандата на ENISA общият контекст на политиката се промени значително, тъй като глобалната среда стана по-нестабилна и по-несигурна. В този смисъл и в контекста на положителното развитие на ролята на ENISA като референтно звено за становища и експертен опит, като помощник в сътрудничеството и изграждането на капацитет, както и в рамките на новата политика за киберсигурност в Съюза, е необходимо да се направи преглед на мандата на ENISA, за да се определи нейната роля в променената екосистема на киберсигурността и да се гарантира нейният ефективен принос в европейския отговор в борбата с предизвикателствата за киберсигурността, произтичащи от коренно променената картина на киберзаплахи, за които настоящият мандат не е достатъчен, както беше констатирано в оценката на ENISA.

(17)

ENISA, която се създава с настоящия регламент, следва да бъде правоприемник на ENISA, създадена с Регламент (ЕС) № 526/2013. ENISA следва да изпълнява задачите, възложени ѝ с настоящия регламент и други правни актове на Съюза в областта на киберсигурността, като, наред с другото, предоставя консултации и експертен опит и действа като център на Съюза за информация и знания. Тя следва да насърчава обмена на добри практики между държавите членки и заинтересованите страни от частния сектор, да предоставя предложения за политики на Комисията и държавите членки, да действа като отправна точка за секторни политически инициативи на Съюза по въпросите на киберсигурността и да насърчава оперативното сътрудничество между държавите членки, както и между тях и институциите, органите, службите и агенциите на Съюза.

(18)

В рамките на Решение 2004/97/ЕО, Евратом, взето с общо съгласие от представителите на държавите членки, заседаващи на равнище държавни или правителствени ръководители (13), представителите на държавите членки решиха, че седалището на ENISA ще бъде в град в Гърция, който ще бъде определен от гръцкото правителство. Приемащата ENISA държава членка следва да осигури възможно най-добрите условия за безпроблемното и ефективно функциониране на ENISA. За правилното и ефикасно изпълнение на задачите на ENISA, за целите на набирането на персонал и задържането му и за подобряване на ефикасността на дейностите за осъществяване на връзки е наложително ENISA да се установи в подходящо местоположение, което наред с другото да предоставя подходящи транспортни връзки и съоръжения за съпрузите и децата, придружаващи членовете на персонала на ENISA. Необходимите разпоредби следва да бъдат определени в споразумение между ENISA и приемащата държава членка, което се сключва след получаване на одобрението на управителния съвет на ENISA.

(19)

Като се има предвид нарастващият брой на рисковете и предизвикателствата в областта на киберсигурността, пред които е изправен Съюзът, предоставените на ENISA финансови и човешки ресурси следва да бъдат увеличени, така че да отразяват нейната разширена роля и задачи, както и нейната ключова позиция в екосистемата на организациите, защитаващи цифровата екосистема на Съюза, с което на ENISA да се даде възможност ефективно да изпълнява възложените ѝ с настоящия регламент задачи.

(20)

ENISA следва да постигне и запази високо равнище на експертен опит и да функционира като отправна точка, създавайки условия за увереност и доверие в единния пазар благодарение на своята независимост, качеството на предоставяните от нея консултации и разпространяваната от нея информация, прозрачността на своите процедури и прозрачността на своите методи на работа, както и добросъвестното изпълнение на възложените ѝ задачи. ENISA следва активно да подпомага усилията на национално равнище и да дава активен принос към усилията на Съюза, като същевременно изпълнява своите задачи в пълно сътрудничество с институциите, органите, службите и агенциите на Съюза, както и с държавите членки, като се избягва всяко дублиране на работата и се насърчават синергиите. Освен това работата на ENISA следва да се основава на приноса и на сътрудничеството с частния сектор и с други заинтересовани страни. В набор от задачи следва да се формулира как ENISA трябва да постига своите цели и същевременно да ѝ се предоставя възможност за гъвкаво функциониране.

(21)

С цел осигуряване на адекватна подкрепа за оперативното сътрудничество между държавите членки ENISA следва допълнително да укрепи своите технически и човешки способности и умения. ENISA следва да увеличи своя ноу-хау и капацитет. ENISA и държавите членки биха могли на доброволна основа да разработят програми за командироване на национални експерти в ENISA, за създаване на експертни групи и обмен на служители.

(22)

ENISA следва да подпомага Комисията чрез консултации, становища и анализи по всички въпроси на Съюза, свързани с разработването, актуализирането и преразглеждането на политиката и правото в областта на киберсигурността и специфичните за сектора аспекти с цел засилване на значението на политиките и правото на Съюза, свързани с киберсигурността, и осигуряване на последователност при прилагането на тези политики и право на национално равнище. ENISA следва да служи като отправна точка за консултации и експертен опит за специфичните секторни политики и правни инициативи на Съюза, когато те включват въпроси, свързани с киберсигурността. ENISA следва редовно да информира Европейския парламент относно своите дейности.

(23)

Общественото ядро на отворения интернет, а именно неговите основни протоколи и инфраструктура, които са всеобщо обществено благо, осигурява основната функционалност на интернет като цяло и лежи в основата на неговото нормално функциониране. ENISA следва да допринася за сигурността на общественото ядро на отворения интернет и стабилността на неговото функциониране, включително, но не само — ключовите протоколи (по-специално DNS, BGP и IPv6), за експлоатацията на системата за имена на домейни (като тези на всички домейни от първо ниво), и за функционирането на кореновата зона.

(24)

Основната задача на ENISA е да насърчава последователното прилагане на съответната правна рамка, по-конкретно ефективното изпълнение на Директива (ЕС) 2016/1148 и други съответни правни инструменти, съдържащи елементи, свързани с киберсигурността, което е от съществено значение за повишаване на киберустойчивостта. С оглед на бързо развиващата се картина на киберзаплахите е ясно, че държавите членки трябва да бъдат подкрепяни чрез по-широкообхватен подход, надхвърлящ границите на отделните политики, за изграждането на киберустойчивост.

(25)

ENISA следва да подпомага държавите членки и институциите, органите, службите и агенциите на Съюза в усилията им да изградят и подобрят способностите си и подготвеността си за предотвратяване, откриване и реагиране на заплахи и инциденти в областта на киберсигурността, както и във връзка със сигурността на мрежите и информационните системи. По-специално, ENISA следва да подкрепя развитието и укрепването на националните екипи и екипите на Съюза за реагиране при инциденти с компютърната сигурност (CSIRTs), предвидени в Директива (ЕС) 2016/1148, с оглед на постигането на високо общо равнище на зрелост в рамките на Съюза. Осъществяваните от ENISA дейности, свързани с оперативния капацитет на държавите членки, следва активно да подкрепят действията на държавите членки с цел изпълнение на задълженията им съгласно Директива (ЕС) 2016/1148 и поради това не следва да ги заместват.

(26)

ENISA следва също да съдейства за разработването и актуализирането на стратегии на равнището на Съюза, а при поискване — стратегии на държавите членки във връзка със сигурността на мрежите и информационните системи, по-специално в областта на киберсигурността и следва да насърчава разпространението на тези стратегии и да следи хода на тяхното изпълнение. Освен това ENISA следва да допринася за покриване на необходимостта от обучения и учебни материали, включително потребностите на публичните органи, и ако е целесъобразно до голяма степен да „обучава обучаващите“ въз основа на Рамката за цифрова компетентност на гражданите с оглед на помощта за държавите членки и институциите, органите и агенциите на Съюза в разработването на техни собствени способности за обучение.

(27)

ENISA следва да подкрепя държавите членки във връзка с повишаването на осведомеността в областта на киберсигурността и образованието, като улеснява по-тясната координация и обмена на добри практики между държавите членки. Тази подкрепа би могла да се изразява, наред с другото, в развитието на мрежа от национални образователни звена за контакт и развитието на платформа за обучение в областта на киберсигурността. Мрежата от национални образователни звена за контакт би могла да развива дейност в рамките на мрежата на националните служители за връзка и да постави началото на бъдеща координация в рамките на държавите членки.

(28)

ENISA следва да подпомага групата за сътрудничество, създадена с Директива (ЕС) 2016/1148, в изпълнението на нейните задачи, по-специално чрез предоставяне на експертен опит и консултации и чрез улесняване на обмена на най-добри практики, inter alia по отношение на определянето на операторите на основни услуги от държавите членки, както и по отношение на трансграничната зависимост във връзка с рисковете и инцидентите.

(29)

С оглед на насърчаването на сътрудничеството между обществения и частния сектор и в рамките на частния сектор, по-специално в подкрепа на защитата на критичните инфраструктури, ENISA следва да подпомага обмена на информация в секторите и между тях, по-специално в секторите, изброени в приложение II към Директива (ЕС) 2016/1148, като им предоставя добри практики и насоки относно наличните инструменти, процедури, както и насоки относно решаването на нормативните проблеми във връзка с обмена на информация, например чрез улесняване създаването на секторни центрове за обмен и анализ на информация.

(30)

Доколкото потенциалното отрицателно въздействие на уязвимостите на ИКТ продуктите, ИКТ услугите и ИКТ процесите постоянно се увеличава, тяхното установяване и отстраняване играе важна роля за намаляване на цялостния риск, свързан с киберсигурността. Установено е, че сътрудничеството между организациите, производителите на уязвими ИКТ продукти или доставчиците на уязвими ИКТ продукти, ИКТ услуги и ИКТ процеси и членовете на научноизследователската общност в областта на киберсигурността и правителствата, които откриват подобна уязвимост, значително повишава процента на откриване и отстраняване на уязвимостите на ИКТ продуктите, ИКТ услугите и ИКТ процесите. Координираното оповестяване на уязвимостта представлява структуриран процес на сътрудничество, при който уязвимостите се докладват на собственика на информационната система, което дава възможност на организацията да ги установи и отстрани преди подробна информация за тях да бъде предоставена на трети страни или на обществеността. Освен това процесът дава възможност за координация между страната, установила уязвимостта, и организацията по отношение на публикуването на посочените уязвимости. Политиките за координираното оповестяване на уязвимостта могат да играят важна роля в усилията на държавите членки за укрепване на киберсигурността.

(31)

ENISA следва да обобщава и анализира доброволно подадените национални доклади от CSIRT и междуинституционалния екип за незабавно реагиране при компютърни инциденти, създаден с договореност между Европейския парламент, Европейския съвет, Съвета на Европейския съюз, Европейската комисия, Съда на Европейския съюз, Европейската централна банка, Европейската сметна палата, Европейската служба за външна дейност, Европейския икономически и социален комитет, Европейския комитет на регионите и Европейската инвестиционна банка относно организацията и функционирането на екип за незабавно реагиране при компютърни инциденти за институциите, органите и агенциите на Съюза (CERT-EU) (14) с цел осигуряване на принос за създаването на общи процедури, език и терминология за обмен на информация. В този контекст ENISA следва също така да включи частния сектор, в рамките на Директива (ЕС) 2016/1148, с която бяха положени основите за доброволен обмен на техническа информация на оперативно равнище в мрежата от екипи за реагиране при инциденти с компютърната сигурност („мрежа на CSIRT“), създадена с посочената директива.

(32)

ENISA следва да допринася за реакцията на равнището на Съюза в случай на мащабни трансгранични инциденти и кризи, свързани с киберсигурността. Тази задача следва да бъде изпълнявана в съответствие с мандата на ENISA съгласно настоящия регламент и подход, който да бъде съгласуван от държавите членки в контекста на Препоръка (ЕС) 2017/1584 (15) на Комисията и заключенията на Съвета от 26 юни 2018 г. относно координирана реакция на мащабни киберинциденти и кризи. Тази задача би могла да включва събирането на съответна информация и поемането на ролята на посредник между мрежата на CSIRT, техническата общност и вземащите решения, отговарящи за управлението на кризи. Освен това ENISA би могла да подпомогне оперативното сътрудничество между държавите членки по искане на една или повече държави членки в справянето с инциденти в технически аспект посредством улесняването на съответния технически обмен на решения между държавите членки и приноса за публичното осведомяване. ENISA следва да подкрепя оперативното сътрудничество, като проверява как функционират договореностите на това сътрудничество чрез редовни учения в областта на киберсигурността.

(33)

При подпомагане на оперативното сътрудничество ENISA следва да използва наличния технически и оперативен експертен опит на CERT-EU чрез структурирано сътрудничество. Структурираното сътрудничество може да се развива въз основа на експертния опит на ENISA. Когато е целесъобразно, следва да бъдат сключени специални договорености между двете организации, за да се определи практическото изражение на това сътрудничество и да се избегне дублирането на дейности.

(34)

В съответствие със задачите си за подпомагане на оперативното сътрудничество в рамките на мрежата CSIRT ENISA следва да е в състояние да оказва подкрепа на държавите членки по тяхно искане, например като предоставя консултации относно начините за подобряване на техния капацитет за предотвратяване, откриване и реагиране на инциденти, като улеснява справянето в технически аспект с инциденти със значително или съществено въздействие или като осигурява анализи на киберзаплахите и инцидентите. ENISA следва да спомага за справянето в технически аспект с инциденти със значително или съществено въздействие, по-специално като подкрепя доброволния обмен на технически решения между държавите членки или като изготвя комбинирана техническа информация, например технически решения, обменяни доброволно от държавите членки. В препоръка (ЕС) 2017/1584 се препоръчва държавите членки да си сътрудничат добросъвестно и да обменят информация помежду си и с ENISA относно мащабни инциденти и кризи, свързани с киберсигурността без излишно забавяне. Тази информация допълнително ще помогне на ENISA при изпълнението на нейните задачи за подпомагане на оперативното сътрудничество.

(35)

Като част от редовното сътрудничество на техническо равнище за подпомагане на ситуационната осведоменост на Съюза, ENISA следва редовно и в тясно сътрудничество с държавите членки да изготвя задълбочени технически доклади за състоянието на киберсигурността в ЕС във връзка с инциденти и киберзаплахи въз основа на публично достъпна информация, свои собствени анализи, както и доклади, подадени от CSIRT на държавите членки или от единните звена за контакт по сигурността на мрежите и информационните системи (наричани по-долу „единните звена за контакт“), предвидени в Директива (ЕС) 2016/1148, и двете на доброволна основа, Европейския център за борба с киберпрестъпността (EC3) към Европол, CERT-EU, и когато е целесъобразно — от Центъра на ЕС за анализ на информация (ЕU INTCEN) към Европейската служба за външна дейност. Докладите следва да се предоставят на Съвета, Комисията, върховния представител на Съюза по въпросите на външните работи и политиката на сигурност и мрежата на CSIRT.

(36)

Подкрепата на ENISA по отношение на последващите технически разследвания на инциденти със значително или съществено въздействие, предприети по искане на засегнатите държави членки, следва да се съсредоточи върху предотвратяването на бъдещи инциденти. Засегнатите държави членки следва да предоставят необходимата информация и помощ, за да може ENISA ефективно да подпомага последващото техническо разследване.

(37)

Държавите членки могат да приканят засегнати от инцидента предприятия да сътрудничат, като предоставят необходимата информация и съдействие на ENISA, без да се накърнява правото им на защита на поверителната търговска информация и информацията от значение за обществената сигурност.

(38)

С оглед да се разберат по-добре предизвикателствата в областта на киберсигурността и да се предоставят стратегически дългосрочни препоръки на държавите членки и институциите, органите, службите и агенциите на Съюза, ENISA трябва да анализира текущите и нововъзникващи рискове, свързани с киберсигурността. За тази цел ENISA, в сътрудничество с държавите членки и, по целесъобразност, със статистически органи и други органи, следва да събира съответната публично достъпна или доброволно подадена информация, да извършва анализи на нововъзникващите технологии и да предоставя тематично ориентирани оценки на очакваните социални, правни, икономически и регулаторни въздействия на дадени технологични иновации в областта на мрежовата и информационната сигурност, по-специално в областта на киберсигурността. Освен това ENISA следва да подпомага държавите членки и институциите, органите, службите и агенциите на Съюза при установяването на възникващите рискове, свързани с киберсигурността и предотвратяването на инциденти, като извършва анализи на киберзаплахите, уязвимостта и инцидентите.

(39)

С цел да се повиши устойчивостта на Съюза, ENISA следва да развие капацитет в областта на киберсигурността на инфраструктурите, по-специално за да подпомогне секторите, изброени в приложение II към Директива (ЕС) 2016/1148, и инфраструктурите, използвани от доставчици на цифровите услуги, изброени в приложение III към същата директива, като предоставя съвети, дава насоки и обменя добри практики. С оглед да се осигури по-лесен достъп до по-добре структурирана информация относно рисковете, свързани с киберсигурността и възможните средства за защита, ENISA следва да разработи и поддържа „информационен център“ на Съюза — портал за „обслужване на едно гише“, който осигурява на обществеността информация относно киберсигурността, получена от институциите, органите, службите и агенциите на Съюза и от националните институции, органи, служби и агенции. Улесняването на достъпа до по-добре структурирана информация относно рисковете, свързани с киберсигурността и възможните средства за защита може също да помогне на държавите членки да подобрят своя капацитет и да приведат в съответствие своите практики, с което да увеличат цялостната си устойчивост на кибератаки.

(40)

ENISA следва да допринася за повишаването на обществената осведоменост, включително посредством кампании за повишаване на осведомеността в ЕС, чрез насърчаване на образованието относно рисковете, свързани с киберсигурността, и за предлагането на насоки относно добри практики за отделните ползватели, насочени към гражданите, организациите и предприятията. ENISA следва също така да допринася за насърчаването на добрите практики и решения, включително киберхигиената и киберграмотността, на равнище граждани, организации и предприятия, като събира и анализира обществено достъпна информация относно значителни инциденти, и като изготвя и публикува доклади и насоки за гражданите, организациите и предприятията, както и за подобряването на цялостното ниво на подготвеност и устойчивост. ENISA следва да се стреми също така да предоставя на потребителите подходяща информация относно приложимите схеми за сертифициране, като например предоставя насоки и препоръки. Освен това ENISA следва да организира, в съответствие с Плана за действие в областта на цифровото образование, съдържащ се в съобщение на Комисията от 17 януари 2018 г., и в сътрудничество с институциите, органите, службите и агенциите на Съюза и държавите членки, редовни разяснителни и обществени образователни кампании за крайните ползватели, насочени към насърчаването на по-безопасно поведение онлайн на физическите лица, цифровата грамотност и повишаването на осведомеността за потенциалните киберзаплахи, включително престъпни действия онлайн като фишинг, ботмрежи, финансови и данъчни измами, инциденти, свързани с измамите с данни, а също така насочени към разпространението на основни съвети относно многофакторната автентификация, коригирането на грешките, криптирането, анонимизирането и защитата на данните.

(41)

ENISA следва да играе централна роля за по-бързото осведомяване на крайните ползватели относно сигурността на изделията и сигурното използване на услуги и да популяризира на равнището на Съюза „сигурността още при проектирането“ и „защитата на личните данни още при проектирането“. За да постигне тази цел, ENISA следва да се възползва максимално от наличните добри практики и опит, особено добрите практики и опит на академичните институции и изследователите в сферата на ИТ сигурността.

(42)

За да се подпомогнат предприятията, извършващи дейност в сектора на киберсигурността, както и ползвателите на решения в областта на киберсигурността, ENISA следва да разработи и поддържа „обсерватория на пазара“, като извършва редовни анализи и разпространява информация за основните тенденции на пазара на киберсигурността, както по отношение на търсенето, така и по отношение на предлагането.

(43)

ENISA следва да допринася към усилията на Съюза за сътрудничество с международни организации, както и в контекста на подходящи международни рамки за сътрудничество в областта на киберсигурността. По-специално ENISA следва да допринася, когато е необходимо, за сътрудничеството с организации като ОИСР, ОССЕ и НАТО. Това сътрудничество може да включва съвместни учения в областта на киберсигурността и съвместна координация на реакцията при инциденти. Тези дейности трябва да се осъществяват при пълно зачитане на принципите на приобщаване, реципрочност и автономност на вземането на решения на Съюза, без да се засяга специфичният характер на политиката за сигурност и отбрана на която и да е държава членка.

(44)

За да се гарантира, че ENISA ще постигне изцяло своите цели, тя следва да си сътрудничи със съответните надзорни и други компетентни органи в Съюза, с институциите, органите, службите и агенциите на Съюза, в това число CERT-EU, EC3, Европейската агенция по отбрана (EDA), Европейската глобална навигационна спътникова система (Европейската агенция за ГНСС), Органа на европейските регулатори в областта на електронните съобщения (ОЕРЕС), Европейската агенция за оперативното управление на широкомащабни информационни системи в областта на свободата, сигурността и правосъдието (eu-LISA), Европейската централна банка (ЕЦБ), Европейския банков орган (ЕБО), Европейския комитет по защита на данните, Агенцията на ЕС за сътрудничество между регулаторите на енергия (ACER), Агенцията за авиационна безопасност на Европейския съюз (ЕААБ) и всяка друга агенция на Съюза, която действа в областта на киберсигурността. ENISA следва също така да поддържа връзка с органите, които работят в областта на защитата на данните, с цел да обменя с тях ноу-хау и най-добри практики и следва да предоставя консултации относно въпроси на киберсигурността, които биха могли да окажат влияние върху тяхната работа. Правоприлагащите органи на национално равнище и на равнището на Съюза и органите за защита на данните следва да имат правото да бъдат представлявани в консултативната група на ENISA. При сътрудничеството си с правоприлагащите органи по въпроси на мрежовата и информационната сигурност, които биха могли да окажат влияние върху тяхната работа, ENISA следва да спазва съществуващите информационни канали и изградени мрежи.

(45)

Биха могли да бъдат установени партньорства с академични институции, които имат научноизследователски инициативи в съответните области, като следва да съществуват съответни пътища за принос на организациите на потребителите и на други организации, който да бъде вземан под внимание.

(46)

ENISA, в ролята си на секретариат на мрежата на CSIRT, следва да подкрепя екипите CSIRT на държавите членки и екипите CERT-EU при оперативното сътрудничество във връзка със съответните задачи на мрежата на CSIRT, както е посочено в Директива (ЕС) 2016/1148. Наред с това ENISA следва да насърчава и подкрепя сътрудничеството между съответните екипи CSIRT в случай на инциденти, атаки или нарушения в работата на мрежите или инфраструктурата, управлявани или защитавани от екипите CSIRT, които включват или са в състояние да включват най-малко два екипа CSIRT, като същевременно взема предвид надлежно стандартните оперативни процедури на мрежата на CSIRT.

(47)

С оглед на повишаването на подготвеността на Съюза за реагиране на инциденти, ENISA следва редовно да организира учения в областта на киберсигурността на равнището на Съюза и да помага на държавите членки и на институциите, органите, службите и агенциите на Съюза, по тяхно искане, при организирането на такива учения. Веднъж на всеки две години следва да се организира широкомащабно всеобхватно учение, което да включва технически, оперативни и стратегически елементи. Освен това ENISA може да организира редовно по-ограничени по мащаб учения със същата цел — повишаване на подготвеността на Съюза за реагиране на инциденти.

(48)

ENISA следва да продължава да развива и поддържа своя експертен опит в областта на сертифицирането на киберсигурността, с цел да подпомага политиките на Съюза в тази област. ENISA следва да развива дейността си, като надгражда на основата на съществуващите добри практики, и следва да насърчава внедряването на сертифицирането на киберсигурността в рамките на Съюза, включително като допринася за създаването и поддържането на рамка за сертифициране на киберсигурността на равнище на Съюза (Европейска рамка за сертифициране на киберсигурността), с цел повишаване на прозрачността на увереността в киберсигурността на ИКТ продуктите, ИКТ услугите и ИКТ процесите и, в крайна сметка, укрепване на доверието в цифровия вътрешен пазар и неговата конкурентоспособност.

(49)

Ефективните политики за киберсигурност следва да се основават на добре разработени методи за оценяване на риска както в публичния, така и в частния сектор. Методите за оценка на риска се използват на различни нива, без да има обща практика относно най-добрия начин за тяхното ефикасно прилагане. Популяризирането и развитието на най-добри практики за оценяване на риска и за оперативно съвместими решения за управление на риска в организациите от публичния и частния сектор ще повиши нивото на киберсигурността в Съюза. За целта ENISA следва да подкрепя сътрудничеството между заинтересовани страни на равнището на Съюза и да ги подпомага в техните усилия, свързани с въвеждането и използването на европейски и международни стандарти за управление на риска и за измерима сигурност на електронните продукти, системи, мрежи и услуги, които заедно със софтуера са елементите, образуващи мрежите и информационните системи.

(50)

ENISA следва да насърчава държавите членки, производителите или доставчиците на ИКТ продукти, ИКТ услуги и ИКТ процеси да повишават общите си стандарти за сигурност, така че всички ползватели на интернет да вземат необходимите мерки за гарантиране на собствената си киберсигурност и следва да проявява инициативност в това отношение. По-специално, производителите и доставчиците на ИКТ продукти, ИКТ услуги и ИКТ процеси следва да осигуряват необходимите актуализации и следва да изземат, изтеглят от пазара или рециклират ИКТ продукти, ИКТ услуги или ИКТ процеси, които не отговарят на нормите за киберсигурност, а вносителите и дистрибуторите следва да са сигурни, че ИКТ продуктите, ИКТ услугите и ИКТ процесите, които пускат на пазара на Съюза, отговарят на приложимите изисквания и не представляват риск за потребителите на Съюза.

(51)

В сътрудничество с компетентните органи, ENISA следва да може да разпространява информация относно равнището на киберсигурността на ИКТ продуктите, ИКТ услугите и ИКТ процесите, предлагани на вътрешния пазар, и следва да отправя предупреждения по отношение на производителите или доставчиците на ИКТ продукти, ИКТ услуги или ИКТ процеси и да изисква от тях да подобрят сигурността на своите ИКТ продукти, ИКТ услуги или ИКТ процеси, включително киберсигурността.

(52)

ENISA следва да взема под внимание в пълна степен текущата научноизследователска и развойна дейност и дейностите за оценка на технологиите, по-специално тези дейности, провеждани от различните научноизследователски инициативи на Съюза, за да съветва институциите, органите, службите и агенциите на Съюза и, когато е необходимо, държавите членки, по тяхно искане, относно необходимостта от научни изследвания и приоритети в областта на киберсигурността. С цел определяне на научноизследователските нужди и приоритети ENISA следва също така да се консултира със съответните групи ползватели. По-конкретно, би могло да се установи сътрудничество с Европейския съвет за научни изследвания, Европейския институт за иновации и технологии и Европейския институт за изследване на сигурността.

(53)

При изготвянето на европейските схеми за сертифициране на киберсигурността ENISA следва редовно да се консултира с организациите за стандартизация, по-специално европейските организации за стандартизация.

(54)

Киберзаплахите представляват глобален проблем. Необходимо е по-тясно международно сътрудничество с цел подобряване на стандартите за киберсигурност, включително необходимо е определяне на общи норми на поведение, приемане на кодекси за поведение, използване на международни стандарти, обмен на информация, насърчаване на по-бързи форми на международно сътрудничество при реагиране на проблеми на мрежовата и информационната сигурност, както и общ глобален подход към такива проблеми. За тази цел ENISA следва да подкрепя по-задълбоченото ангажиране на Съюза и сътрудничеството с трети държави и международни организации, като предоставя, където е уместно, необходимия експертен опит и анализи на съответните институции, органи, служби и агенции на Съюза.

(55)

ENISA следва да бъде в състояние да отговаря на ad hoc искания за консултации и помощ от страна на държавите членки и институциите, органите, службите и агенциите на Съюза по въпроси, попадащи в обхвата на мандата на ENISA.

(56)

Разумно и препоръчително е да се прилагат определени принципи по отношение на управлението на ENISA, за да се спази съвместното изявление и общия подход, договорени от междуинституционалната работна група за децентрализираните агенции на ЕС през юли 2012 г., чиято цел е усъвършенстването на дейността на агенциите и подобряването на техните резултати. Препоръките на съвместното изявление и на общия подход следва също да се отчитат, когато е уместно, в работните програми на ENISA, оценките на ENISA, както и докладването и административната практика на ENISA.

(57)

Управителният съвет, състоящ се от представители на държавите членки и на Комисията, следва да определя общата насока на дейността на ENISA и да гарантира, че тя изпълнява своите задачи в съответствие с настоящия регламент. Управителният съвет следва да получи правомощията, необходими за определяне на бюджета, проверка на изпълнението на бюджета, приемане на подходящи финансови правила, установяване на прозрачни работни процедури за вземане на решения от страна на ENISA, приемане на единния програмен документ на ENISA, приемане на собствен правилник за дейността на ENISA, назначаване на изпълнителния директор и вземане на решения за удължаване или прекратяване на неговия мандат.

(58)

С оглед на правилното и ефективно функциониране на ENISA Комисията и държавите членки следва да гарантират, че лицата, назначени в управителния съвет, притежават подходяща професионална компетентност и опит. Държавите членки и Комисията следва също да положат усилия да намалят текучеството на своите съответни представители в управителния съвет, за да се гарантира непрекъснатост на работата му.

(59)

Гладкото функциониране на ENISA налага нейният изпълнителен директор да се назначава въз основа на неговите заслуги и документирани административни и управленски умения, както и въз основа на неговите компетентност и опит, свързани с киберсигурността. Задълженията на изпълнителния директор следва да се изпълняват в условия на пълна независимост. Изпълнителният директор следва да изготвя предложение за годишна работна програма на ENISA след предварителни консултации с Комисията и следва да предприема всички необходими стъпки за гарантиране на правилното изпълнение на тази работна програма. Изпълнителният директор следва да изготвя ежегоден доклад, който се изпраща на управителния съвет и който включва изпълнението на годишната работна програма на ENISA, да съставя проект на разчета за предвидените приходи и разходи на ENISA, както и да изпълнява бюджета. Освен това, изпълнителният директор следва да разполага с възможността да сформира ad hoc работни групи за решаване на специфични въпроси, по-специално въпроси с научен, технически, правен или социално-икономически характер. Създаването на ad hoc работна група се счита за необходимо в частност във връзка с подготовката на конкретен проект за европейска схема за сертифициране на киберсигурността („проект за схема“). Изпълнителният директор следва да гарантира, че членовете на ad hoc работните групи се избират съобразно най-високите стандарти за експертни знания, като се стреми да гарантира баланс между половете и подходящ баланс в зависимост от конкретния въпрос, между държавните администрации на държавите членки, институциите, органите, службите и агенциите на Съюза и частния сектор, включително индустрията, ползвателите и академичните експерти в областта на мрежовата и информационната сигурност.

(60)

Изпълнителният съвет следва да допринася за ефективното функциониране на управителния съвет. Като част от подготвителната си работа във връзка с решенията на управителния съвет, изпълнителният съвет следва да разглежда подробно съответната информация, да проучва възможните варианти и да предлага консултации и решения за изготвяне на решенията на управителния съвет.

(61)

ENISA следва да разполага с консултативна група на ENISA в ролята на консултативен орган, за да се гарантира редовен диалог с частния сектор, потребителските организации и другите заинтересовани страни. Консултативната група на ENISA, сформирана от управителния съвет по предложение на изпълнителния директор, следва да се съсредоточи върху въпроси, засягащи заинтересованите страни, и следва да насочва вниманието на ENISA към тях. С консултативната група на ENISA следва да се проведат консултации относно проекта на годишна работна програма на ENISA. Съставът на Консултативната група на ENISA и задачите, които ѝ се възлагат, следва да гарантират достатъчна степен на представяне на заинтересованите страни в работата на ENISA.

(62)

Следва да се създаде Група на заинтересованите страни в областта на сертифицирането на киберсигурността, която да помага на ENISA и на Комисията в осъществяването на консултациите със съответните заинтересовани страни. Групата на заинтересованите страни в областта на сертифицирането на киберсигурността следва да се състои от членове, представляващи сектора в балансирано съотношение, както от страна на търсенето, така и от страна на предлагането на ИКТ продукти и ИКТ услуги, включително по-специално МСП, доставчиците на цифрови услуги, европейските и международните органи по стандартизация, националните органи по акредитация, надзорните органи по защита на данните и органите за оценяване на съответствието съгласно Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета (16), академичните среди и организациите на потребителите.

(63)

ENISA следва да има правила за предотвратяването и управлението на конфликти на интереси. ENISA следва също така да прилага съответните разпоредби на Съюза относно публичния достъп до документи, както е посочено в Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета (17). ENISA следва да обработва лични данни в съответствие с Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (18). ENISA следва да съблюдава разпоредбите, приложими за институциите, органите, службите и агенциите на Съюза, както и националното законодателство относно обработката на информация, по-специално на чувствителната некласифицирана информация и на класифицирана информация на Европейския съюз.

(64)

За да се гарантира пълната автономност и независимост на ENISA и за да може тя да изпълнява допълнителни задачи, включително непредвидени задачи в спешни случаи, на ENISA следва да бъде предоставен достатъчен и автономен бюджет, чиито приходи следва да се набавят най-вече чрез вноска на Съюза и вноски на трети държави, вземащи участие в работата на ENISA. Подходящият бюджет е от основно значение, за да се гарантира, че ENISA има достатъчно капацитет, за да изпълнява всички свои увеличаващи се задачи и за да постига целите си. По-голямата част от персонала на ENISA следва да е пряко ангажирана с оперативното изпълнение на мандата на ENISA. Приемащата държава членка и всяка друга държава членка следва да могат да правят доброволни вноски към бюджета на ENISA. Бюджетната процедура на Съюза следва да остане приложима по отношение на всякакви субсидии, платими от общия бюджет на Съюза. Освен това Сметната палата следва да одитира финансовите отчети на ENISA, за да се гарантират прозрачност и отчетност.

(65)

Сертифицирането на киберсигурността играе важна роля за повишаването на доверието в ИКТ продуктите, ИКТ услугите и ИКТ процесите. Цифровият единен пазар, и по-конкретно основаващата се на данни икономика и „интернет на нещата“, могат да функционират успешно само ако обществото като цяло е уверено, че тези продукти, услуги и процеси предоставят определено ниво на киберсигурността. Свързаните автомобили и автомобилите с автоматично управление, електронните медицински устройства, системите за управление на промишлената автоматизация и интелигентните енергийни мрежи са само някои от примерите за сектори, в които сертифицирането вече широко се използва или е вероятно да бъде използвано в близко бъдеще. Секторите, регулирани от Директива (ЕС) 2016/1148, са също така сектори, в които сертифицирането на киберсигурността е от ключово значение.

(66)

В съобщението от 2016 г., озаглавено „Укрепване на отбранителната способност на Европа срещу кибератаки и изграждане на конкурентен и иновативен сектор на киберсигурността“, Комисията описа необходимостта от висококачествени, достъпни и оперативно съвместими продукти и решения, свързани с киберсигурността. Предлагането на ИКТ продукти, ИКТ услуги и ИКТ процеси в рамките на единния пазар остава обаче силно разпокъсано географски. Това е така, защото развитието на сектора на киберсигурността в Европа се основава главно на търсене от страна на националните правителства. Освен това, липсата на оперативно съвместими решения (технически стандарти), практики и прилагани в целия Съюз механизми за сертифициране е част от другите пропуски, които оказват влияние върху единния пазар в областта на киберсигурността. Това влошава конкурентоспособността на европейските предприятия в национален, европейски и световен мащаб. То също така ограничава избора на надеждни и приложими технологии за киберсигурност, до които лицата и предприятията имат достъп. Аналогично, в съобщението от 2017 г. относно междинния преглед на изпълнението на стратегията за цифровия единен пазар — свързан с интернет цифров единен пазар за всички, Комисията подчерта необходимостта от безопасни свързани продукти и системи и посочи, че създаването на европейска рамка за ИКТ сигурност, определяща правила относно организацията на сертифицирането на сигурността на ИКТ в ЕС, би могло да помогне както за запазването на доверието в интернет, така и за преодоляването на настоящата разпокъсаност на вътрешния пазар.

(67)

Понастоящем сертифицирането на киберсигурността на ИКТ продукти, ИКТ услуги и ИКТ процеси се използва само в ограничена степен. Ако има такова, то се осъществява предимно на равнището на държавите членки или в рамките на секторно обусловени схеми. В тези условия сертификат, издаден от един национален орган за сертифициране на киберсигурността, по принцип не се признава от другите държави членки. Поради това може да се наложи предприятията да сертифицират своите ИКТ продукти, ИКТ услуги и ИКТ процеси в няколко държави членки, в които развиват дейност, например с цел да участват в националните процедури за възлагане на обществени поръчки, като по този начин увеличават разходите си. Освен това, въпреки че се появяват нови схеми, изглежда няма съгласуван и цялостен подход по отношение на хоризонталните въпроси, свързани с киберсигурността, например в сферата на „интернет на нещата“. Действащите схеми проявяват съществени недостатъци и различия по отношение на продуктовия обхват, нивата на увереност, съществените критерии и фактическото използване, което пречи на механизмите за взаимно признаване в Съюза.

(68)

Бяха положени известни усилия за постигането на взаимно признаване на сертификати в рамките на Съюза. Те обаче имаха само частичен успех. Най-важният пример в това отношение е споразумението за взаимно признаване (СВП) на Групата на висшите служители по сигурността на информационните системи (SOG-IS). Макар да представлява най-важният модел за сътрудничество и взаимно признаване в областта на сертифицирането на сигурността, SOG-IS включва само част от държавите членки. Това ограничава ефективността на СВП на SOG-IS от гледна точка на вътрешния пазар.

(69)

Поради това е необходимо да бъде възприет общ подход и да се въведе европейска рамка на сертифициране на киберсигурността, която определя основните хоризонтални изисквания за европейските схеми за сертифициране на киберсигурността, които ще бъдат разработени, и дава възможност европейските сертификати за киберсигурност и ЕС декларациите за съответствие за ИКТ продукти, ИКТ услуги или ИКТ процеси да бъдат признавани и използвани във всички държави членки. По този начин е от съществено значение да се гради върху съществуващи национални и международни схеми, както и върху системи за взаимно признаване, по-специално SOG-IS, и да се даде възможност за плавен преход от съществуващите схеми по такива системи към схеми по новата европейска рамка на сертифициране на киберсигурността. Европейската рамка на сертифициране на киберсигурността следва да има две цели. Първо тя следва да спомогне за повишаване на доверието в ИКТ продуктите, ИКТ услугите и ИКТ процесите, които са били сертифицирани по европейски схеми за сертифициране на киберсигурността. Второ тя следва да предотврати увеличаването на броя на противоречащи си или припокриващи се национални схеми за сертифициране на киберсигурността и по този начин да намали разходите за предприятията, упражняващи дейност на цифровия единен пазар. Европейските схеми за сертифициране на киберсигурността следва да бъдат недискриминационни и да се основават на европейски или международни стандарти, освен ако тези стандарти са неефективни или неподходящи за изпълнението на легитимните цели на Съюза в това отношение.

(70)

Тази европейска рамка на сертифициране на киберсигурността следва да се въведе по еднакъв начин във всички държави членки, за да се избегне практиката да се търси „по-изгодната среда за сертифициране“ поради различия в строгостта на изискванията в различни държави членки.

(71)

Европейските схеми за сертифициране на киберсигурността следва да бъдат изградени въз основа на вече съществуващото на международно и национално равнище и ако е необходимо, въз основа на технически спецификации от форуми и консорциуми, като се базират на изводите от сегашните силни страни и оценката и корекцията на слабостите.

(72)

Необходими са гъвкави решения за киберсигурност, за да се изпреварват киберзаплахите, и следователно всяка схема за сертифициране следва да се създава по начин, по който се избягва рискът от бързо остаряване.

(73)

Комисията следва да бъде оправомощена да приема европейски схеми за сертифициране на киберсигурността за специфични групи ИКТ продукти, ИКТ услуги и ИКТ процеси. Тези схеми следва да се прилагат и контролират от национални органи за сертифициране на киберсигурността, а сертификатите, издадени в рамките на тези схеми, следва да са валидни и да се признават на цялата територия на Съюза. Схемите за сертифициране, управлявани от промишлеността или от други частни организации, следва да не попадат в обхвата на настоящия регламент. Въпреки това, управляващите такива схеми органи следва да могат да предлагат на Комисията да ги разгледа като основа за схеми, които да бъдат одобрени като европейска схема за сертифициране на киберсигурността.

(74)

Разпоредбите на настоящия регламент не следва да засягат правото на Съюза, с което се определят специфични правила за сертифициране на ИКТ продукти, ИКТ услуги и ИКТ процеси. По-конкретно с Регламент (ЕС) 2016/679 се установяват разпоредби за създаване на механизми за сертифициране и на печати и маркировки за защита на данните, чрез които се доказва съответствието с посочения регламент на операциите по обработката на данни от страна на контрольорите и обработващите тези данни. Тези механизми за сертифициране и тези печати и маркировки за защита на данните следва да позволяват на субектите, предоставящи своите данни, бързо да оценяват нивото на защита на данните на съответните ИКТ продукти, ИКТ услуги и ИКТ процеси. Настоящият регламент не засяга сертифицирането на операции по обработката на данни съгласно Регламент (ЕС) 2016/679, включително когато тези операции са включени в ИКТ продукти, ИКТ услуги и ИКТ процеси.

(75)

Целта на европейските схеми за сертифициране на киберсигурността следва да бъде да се гарантира, че ИКТ продуктите, ИКТ услугите и ИКТ процесите, сертифицирани по такава схема, съответстват на специфицираните изисквания с цел да се защити наличността, автентичността, целостта и поверителността на съхраняваните, предавани или обработвани данни, или на свързаните с тях функции или услуги, предлагани от тези продукти, процеси и услуги през целия им жизнен цикъл. Не е възможно в настоящия регламент да се определят подробно изискванията за киберсигурност по отношение на всички ИКТ продукти, ИКТ услуги и ИКТ процеси. ИКТ продуктите, ИКТ услугите и ИКТ процесите и техните потребности във връзка с киберсигурността са толкова разнообразни, че е много трудно да се формулират общи изисквания за киберсигурност, които да са общовалидни. Поради това е необходимо да се приеме широко и общо понятие за киберсигурността за целите на сертифицирането, което следва да се допълва от набор от конкретни цели, свързани с киберсигурността, които трябва да бъдат вземани предвид при разработването на европейските схеми за сертифициране на киберсигурността. Условията, при които тези цели ще бъдат постигани при конкретни ИКТ продукти, ИКТ услуги и ИКТ процеси, следва да бъдат допълнително уточнявани в подробности на нивото на всяка отделна схема за сертифициране, приемана от Комисията, например чрез позоваване на стандарти или технически спецификации, ако не са налице подходящи стандарти.

(76)

Техническите спецификации, които трябва да се използват в европейските схеми за сертифициране на киберсигурността, следва да спазват изискванията, установени в приложение II към Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета (19). Някои отклонения от тези изисквания биха могли обаче да се счетат за необходими в надлежно обосновани случаи, когато тези технически спецификации трябва да се използват в европейска схема за сертифициране на киберсигурността, отнасяща се до високо ниво на увереност. Следва да бъде осигурен публичен достъп до причините за тези отклонения.

(77)

Оценяването на съответствието е процес на оценяване на изпълнението на специфицираните изисквания, свързани с ИКТ продукт, ИКТ услуга или ИКТ процес. Този процес се осъществява от независима трета страна, различна от производителя или доставчика на ИКТ продукта, ИКТ услугата или ИКТ процеса, които са оценявани. Европейски сертификат за киберсигурност следва да се издава след успешна оценка на ИКТ продукт, ИКТ услуга или ИКТ процес. Европейският сертификат за киберсигурност следва да се счита за потвърждение, че съответната оценка е извършена правилно. В зависимост от нивото на увереност, европейската схема за сертифициране на киберсигурността следва да посочва дали европейският сертификат за киберсигурност трябва да се издаде от частен или публичен орган. Оценяването на съответствието и сертифицирането сами по себе си не могат да гарантират, че сертифицираните ИКТ продукти, ИКТ услуги и ИКТ процеси са сигурни по отношение на киберзаплахите. Те представляват само процедури и технически методики за удостоверяване, че ИКТ продуктите, ИКТ услугите и ИКТ процесите са изпитани и отговарят на определени изисквания за киберсигурност, които са определени другаде, например в технически стандарти.

(78)

Изборът от страна на ползвателите на европейски сертификати на киберсигурността на подходящото сертифициране и свързаните с него изисквания по отношение на сигурността следва да се основават на анализ на риска, свързан с използването на ИКТ продуктите, ИКТ услугите или ИКТ процесите. Поради това нивото на увереност следва да е съизмеримо със степента на риск, свързан с предвидената употреба на даден ИКТ продукт, ИКТ услуга или ИКТ процес.

(79)

Европейските схеми за сертифициране на киберсигурността може да предвидят оценяване на съответствието под отговорността единствено на производителя или доставчика на ИКТ продукти, ИКТ услуги или ИКТ процеси („самооценяване на съответствието“). В такива случаи следва да е достатъчно производителят или доставчикът на ИКТ продукти, ИКТ услуги или ИКТ процеси сам да извърши всички проверки, за да гарантира съответствието на ИКТ продуктите, ИКТ услугите или ИКТ процесите с европейската схема за сертифициране на киберсигурността. Самооценката на съответствието следва да се счита за подходяща за ИКТ продукти, ИКТ услуги или ИКТ процеси с ниска степен на сложност, които представляват малък риск за обществения интерес като опростени механизми за проектиране и производство. Освен това самооценката на съответствието следва да се разрешава само за ИКТ продукти, ИКТ услуги или ИКТ процеси само при условие че те съответстват на ниво на увереност „базово“.

(80)

Европейските схеми за сертифициране на киберсигурността може да дадат възможност както за самооценка, така и за сертифициране на съответствието на ИКТ продукти, ИКТ услуги или ИКТ процеси. В този случай схемата следва да предоставя ясни и разбираеми способи за потребителите или други ползватели да направят разграничение между ИКТ продукти, ИКТ услуги или ИКТ процеси, чието оценяване се прави под отговорността на производителя или доставчика на ИКТ продукти, ИКТ услуги или ИКТ процеси и ИКТ продукти, ИКТ услуги или ИКТ процеси, които са сертифицирани от трета страна.

(81)

Производителят или доставчикът на ИКТ продукти, ИКТ услуги или ИКТ процеси, който прави самооценяване на съответствието, следва да може да издаде и подпише ЕС декларация за съответствие като част от процедурата за оценяване на съответствието. ЕС декларацията за съответствие е документ, в който се посочва, че конкретен ИКТ продукт, ИКТ услуга или ИКТ процес отговаря на изискванията на европейската схема за сертифициране на киберсигурността. Чрез издаването и подписването на ЕС декларацията за съответствие производителят или доставчикът на ИКТ продукти, ИКТ услуги или ИКТ процеси поема отговорност за съответствието на ИКТ продукта, ИКТ услугата или ИКТ процеса с правните изисквания на европейската схема за сертифициране на киберсигурността. Копие от ЕС декларацията за съответствие следва да се предостави на националния орган за сертифициране на киберсигурността и на ENISA.

(82)

Производителите или доставчиците на ИКТ продукти, ИКТ услуги или ИКТ процеси следва да предоставят ЕС декларацията за съответствие, техническата документация и всякаква друга относима информация във връзка със съответствието на ИКТ продуктите, ИКТ услугите или ИКТ процесите с дадена европейска схема за сертифициране на киберсигурността, на разположение на компетентния национален орган за сертифициране на киберсигурността за срок, определен в съответната европейска схема за сертифициране на киберсигурността. Техническата документация следва да определя приложимите съгласно схемата изисквания и следва да обхваща проектирането, производството и функционирането на ИКТ продукта, ИКТ услугата или ИКТ процеса до степента, необходима за самооценяването. Техническата документация следва да е изготвена така, че да предоставя възможност за оценяване дали даден ИКТ продукт, ИКТ услуга или ИКТ процес отговаря на приложимите съгласно посочената схема изисквания.

(83)

В управлението на европейската рамка за сертифициране на киберсигурността се отчита участието на държавите членки, както и подходящото участие на заинтересованите страни, и се определя ролята на Комисията в процеса на планиране и предлагане, поискване, подготовка, приемане и преразглеждане на европейските схеми за сертифициране на киберсигурността.

(84)

С помощта на Европейската група за сертифициране на киберсигурността и на Групата на заинтересованите страни в областта на сертифицирането на киберсигурността, както и след открита и широка консултация, Комисията следва да изготви непрекъсната работна програма на Съюза за европейските схеми за сертифициране на киберсигурността и следва да я публикува под формата на инструмент без обвързващ характер. Непрекъснатата работна програма на Съюза следва да бъде стратегически документ, който да позволява по-специално на предприятията, на националните органи и органите по стандартизация, по-специално, да се подготвят предварително за бъдещите европейски схеми за сертифициране на киберсигурността. Непрекъснатата работна програма на Съюза следва да включва многогодишен преглед на проектите за схеми, които Комисията възнамерява да представи на ENISA за подготовка въз основа на конкретни основания. Комисията следва да се съобрази с непрекъснатата работна програма на Съюза при изготвянето на техния непрекъснат план за стандартизация на ИКТ и исканията за стандартизация към европейски организации за стандартизация. С оглед на бързото въвеждане и внедряване от потребителите и предприятията на новите технологии, възникването на допреди неизвестни рискове, свързани с киберсигурността и на законодателни и пазарни промени, Комисията или Европейската група за сертифициране на киберсигурността следва да има правото да поиска от ENISA да подготви проекти за схеми, които не са включени в непрекъснатата работна програма на Съюза. В такива случаи Комисията и Европейската група за сертифициране на киберсигурността следва да направят също оценка на необходимостта от това искане, като вземат под внимание общите и конкретните цели на настоящия регламент и необходимостта да се гарантира последователност по отношение на планирането и използването на ресурсите от страна на ENISA.

След отправянето на такова искане ENISA следва да подготви своевременно проекти за схеми за конкретните ИКТ продукти, ИКТ услуги или ИКТ процеси. Комисията следва да направи оценка на положителното и отрицателното въздействие на своето искане върху въпросния конкретен пазар, особено върху малките и средните предприятия, иновациите, бариерите за навлизане на този пазар и цената за крайните ползватели. Комисията следва да бъде оправомощена да приема посредством актове за изпълнение европейските схеми за сертифициране на киберсигурността въз основава на проектите за схеми, изготвени от ENISA. Като се вземат предвид общата цел и целите, свързани със сигурността, определени в настоящия регламент, в европейските схеми за сертифициране на киберсигурността, приемани от Комисията, следва да бъде определен минимален набор от елементи по отношение на предмета, обхвата и функционирането на дадена схема. Тези елементи следва да включват, наред с другото, обхвата и предмета на сертифицирането на киберсигурността, включително обхванатите категории ИКТ продукти, ИКТ услуги и ИКТ процеси, подробна спецификация на изискванията за киберсигурност, например чрез позоваване на стандарти или технически спецификации, конкретните критерии и методи за оценка, както и желаното ниво на увереност („базово“, „съществено“ или „високо“), и нивата на оценка, когато е приложимо. ENISA следва да може да откаже искане на Европейската група за сертифициране на киберсигурността. Такива решения следва да бъдат вземани от управителния съвет и следва да бъдат надлежно обосновани.

(85)

ENISA следва да поддържа уебсайт, предоставящ информация и повишаващ осведомеността относно европейските схеми за сертифициране на киберсигурността, който следва да включва, наред с другото, исканията за изготвяне на проект за схема, както и обратната информация, получена в процеса на консултации, проведени от ENISA през етапа на изготвянето. Този уебсайт следва да предоставя и информация относно европейските сертификати за киберсигурност и ЕС декларациите за съответствие, издавани съгласно настоящия регламент, включително информация за тяхното оттегляне или за изтичането на срока на действие на такива европейски сертификати за киберсигурност и ЕС декларации за съответствие. На уебсайта също следва да бъдат посочени националните схеми за сертифициране на киберсигурността, които са заменени от европейска схема за сертифициране на киберсигурността.

(86)

Нивото на увереност чрез европейска схема за сертифициране е основата на увереността, че даден ИКТ продукт, ИКТ услуга или ИКТ процес отговаря на изискванията за сигурност на конкретна европейска схема за сертифициране на киберсигурността. С цел да се гарантира последователността на европейската рамка за сертифициране на киберсигурността, дадена европейска схема за сертифициране на киберсигурността следва да може да определи нивата на увереност за европейските сертификати за киберсигурност и ЕС декларациите за съответствие, издавани в рамките на тази схема. Всеки европейски сертификат за киберсигурност може да посочва едно от следните нива на увереност: „базово“, „съществено“ или „високо“, докато ЕС декларацията за съответствие може да посочва единствено до ниво на увереност „базово“. Нивата на увереност предвиждат съответстваща взискателност и задълбоченост на оценката на ИКТ продукт, ИКТ услуга или ИКТ процес и се характеризират с позоваване на техническите спецификации, стандарти и процедури, свързани с тях, включително техническите проверки, чиято цел е да се смекчат или предотвратят инциденти. Всяко ниво на увереност следва да бъде последователно по отношение на различните секторни области, в които се прилага сертифициране.

(87)

Дадена европейска схема за сертифициране на киберсигурността може да определи няколко нива на оценка в зависимост от стриктността и задълбочеността на използваната методика за оценка. Нивата на оценка следва да съответстват на едно от нивата на увереност и да бъдат свързани с подходяща комбинация от компоненти на увереността. За всички нива на увереност ИКТ продуктът, ИКТ услугата или ИКТ процесът следва да съдържа редица сигурни функции, както е установено в схемата, които могат да включват: сигурна конфигурация в готов вид, подписан код, сигурна актуализация и овладяване на зловреден код, използващ уязвимостите на софтуера, и пълна защита на стековата или динамичната памет. Тези функции следва да бъдат разработени и поддържани, като се използват ориентирани към сигурността подходи за разработване и свързани с това инструменти, за да се гарантира надеждното включване на ефективни софтуерни и хардуерни механизми.

(88)

По отношение на ниво на увереност „базово“ оценката следва да се ръководи най-малко от следните компоненти на увереността: оценката следва да включва като минимум преглед на техническата документация на ИКТ продукта, ИКТ услугата или ИКТ процеса от орган за оценяване на съответствието. Когато сертифицирането включва ИКТ процеси, на технически преглед следва да подлежи и процесът, използван за проектиране, разработване и поддържане на ИКТ продукт или ИКТ услуга. Когато дадена европейска схема за сертифициране на киберсигурността предвижда самооценяване на съответствието, следва да е достатъчно производителят или доставчикът на ИКТ продукти, ИКТ услуги или ИКТ процеси да е извършил самооценяване на съответствието на ИКТ продуктите, ИКТ услугите или ИКТ процесите със схемата за сертифициране.

(89)

По отношение на ниво на увереност „съществено“ оценката следва, в допълнение към ниво на увереност „базово“, да се ръководи най-малко от проверката на съответствието на функционалностите за сигурност на ИКТ продукта, ИКТ услугата или ИКТ процеса с неговата техническа документация.

(90)

По отношение на ниво на увереност „високо“ оценката следва, в допълнение към ниво на увереност „съществено“, да се ръководи най-малко от изпитване на ефективността, при което се оценява устойчивостта на функционалностите за сигурност на ИКТ продукт, ИКТ услуга или ИКТ процес срещу сложни кибератаки, извършени от лица, притежаващи значителни умения и ресурси.

(91)

Използването на европейското сертифициране на киберсигурност и ЕС декларациите за съответствие следва да остане доброволно, освен ако не е предвидено друго в правото на Съюза или в правото на държавите членки, прието в съответствие с правото на Съюза. При липсата на хармонизирано право на Съюза държавите членки могат да приемат национални технически правила в съответствие с Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета (20), предвиждащи задължително сертифициране по европейска схема за сертифициране на киберсигурността. Държавите членки могат също да прилагат използването на европейското сертифициране на киберсигурността в контекста на обществените поръчки и Директива 2014/24/ЕС на Европейския парламент и на Съвета (21).

(92)

В някои области би могло да бъде необходимо в бъдеще да се въведат конкретни изисквания за киберсигуност и тяхното сертифициране за определени ИКТ продукти, ИКТ услуги или ИКТ процеси да стане задължително, за да се подобри нивото на киберсигурност в Съюза. Комисията следва редовно да следи въздействието на приетите европейски схеми за сертифициране на киберсигурността върху наличието на сигурни ИКТ продукти, ИКТ услуги и ИКТ процеси на вътрешния пазар и следва да прави оценка на нивото на използване на схемите за сертифициране от производителите или доставчиците на ИКТ продукти, ИКТ услуги и ИКТ процеси в Съюза. Преценката за ефективността на европейските схеми за сертифициране на киберсигурността и за задължителния характер на конкретни схеми следва да се прави в светлината на законодателството на Съюза в областта на киберсигурността, по-специално на Директива (ЕС) 2016/1148, като се има предвид сигурността на мрежите и информационните системи, използвани от операторите на основни услуги.

(93)

Европейските сертификати за киберсигурност и ЕС декларациите за съответствие следва да помагат на крайните ползватели да правят информиран избор. Ето защо ИКТ продуктите, ИКТ услугите и ИКТ процесите, които са сертифицирани или за които е издадена ЕС декларация за съответствие, следва да се придружават от структурирана информация, адаптирана към очакваното ниво на технически познания на крайния ползвател, за когото са предназначени. Цялата информация следва да бъде налична онлайн и когато е подходящо във физическа форма. Крайният ползвател следва да получи достъп до информацията относно обозначението на схемата за сертифициране, нивото на увереност, описанието на киберрисковете, свързани с ИКТ продукт, ИКТ услуга или ИКТ процес, издаващия орган или институция или следва да може да получи копие на европейския сертификат за киберсигурност. Освен това крайният ползвател следва да бъде информиран за политиката на подкрепа по отношение на киберсигурността, а именно в продължение на какъв период може да очаква да получава актуализации или корекции във връзка с киберсигурността, от производителя или доставчика на ИКТ продукти, ИКТ услуги или ИКТ процеси. Където е приложимо следва да се дават насоки за действията или настройките, които крайният ползвател може да извършва, за да поддържа или повиши киберсигурността на ИКТ продукта или ИКТ услугата, както и информация за единната точка за контакт, на която да съобщава за кибератаки и от която да търси подкрепа в случаите на кибератаки (освен автоматичното докладване). Тази информация следва да бъде актуализирана редовно и да бъде предоставена на уебсайт, който дава информация относно европейските схеми за сертифициране на киберсигурността.

(94)

За да бъдат постигнати целите на настоящия регламент и да се избегне разпокъсаност на вътрешния пазар, националните схеми или процедури за сертифициране на киберсигурността за ИКТ продукти, ИКТ услуги или ИКТ процеси, обхванати от европейска схема за сертифициране на киберсигурността, следва да престанат да пораждат правно действие от датата, определена от Комисията в актове за изпълнение. Освен това държавите членки следва да не въвеждат нови национални схеми за сертифициране на киберсигурността на ИКТ продукти, ИКТ услуги или ИКТ процеси, които са вече обхванати от съществуваща европейска схема за сертифициране на киберсигурността. Държавите членки не следва обаче да бъдат възпрепятствани да приемат или да запазват национални схеми за сертифициране за целите на националната сигурност. Държавите членки следва да информират Комисията и Европейската група по киберсигурността за всяко свое намерение да изготвят национални схеми за сертифициране на киберсигурността. Комисията и Европейската група по киберсигурността следва да оценят въздействието от новите национални схеми за сертифициране на киберсигурността върху доброто функциониране на вътрешния пазар и в светлината на стратегическите интереси вместо това да бъде поискана европейска схема за сертифициране на киберсигурността.

(95)

Европейските схеми за сертифициране на киберсигурност са насочени към това да подпомогнат хармонизирането на практиките за киберсигурност в Съюза. Те трябва да допринасят за повишаване на нивото на киберсигурност в рамките на Съюза. При изготвяне на европейските схеми за сертифициране на киберсигурност следва да се отчете и даде възможност за разработване на нови иновации в областта на киберсигурността.

(96)

Европейските схеми за сертифициране на киберсигурността следва да вземат предвид настоящите методи за разработване на софтуер и хардуер и по-специално въздействието на честите актуализации на софтуера или фърмуера върху отделните европейски сертификати за киберсигурност. В европейските схеми за сертифициране на киберсигурността следва да се уточняват условията, при които актуализацията би могла да наложи повторно сертифициране на ИКТ продукта, ИКТ услугата или ИКТ процеса или намаляване на обхвата на конкретен европейски сертификат за киберсигурност, предвид евентуалните отрицателни ефекти, които актуализацията би могла да има върху спазването на изискванията за сигурност на този сертификат.

(97)

След като дадена европейски схема за сертифициране на киберсигурността бъде приета, производителите или доставчиците на ИКТ продукти, ИКТ услуги или ИКТ процеси следва да могат да подават заявления за сертифициране на своите ИКТ продукти или ИКТ услуги до органа за оценяване на съответствието по техен избор навсякъде в Съюза. Органите за оценяване на съответствието следва да се акредитират от национален орган по акредитация, ако отговарят на конкретни изисквания, определени в настоящия регламент. Акредитацията следва да се издава за максимален срок от пет години и следва да може да бъде подновявана при същите условия, ако органът за оценяване на съответствието все още отговаря на изискванията. Националните органи по акредитация следва да ограничават, временно да прекратяват или да отнемат акредитацията на органа за оценяване на съответствието, ако условията за акредитация не са били спазени или вече не се спазват, или ако органът за оценяване на съответствието е нарушава настоящия регламент.

(98)

Препратките в националното законодателство до национален стандарт, който е престанал да има правно действие поради влизането в сила на европейска схема за сертифициране на киберсигурността, може да бъдат източник на объркване. Поради това държавите членки следва да отразяват приемането на дадена европейска схема за сертифициране на киберсигурността в своето национално законодателство.

(99)

За да се постигнат равностойни стандарти в целия Съюз, да се улесни взаимното признаване и да се насърчи цялостното приемане на европейските сертификати за киберсигурност и на ЕС декларациите за съответствие, следва да се въведе система на партньорски проверки между националните органи за сертифициране на киберсигурността. Партньорската проверка следва да обхваща процедури за надзор на съответствието на ИКТ продуктите, ИКТ услугите и ИКТ процесите с европейските сертификати за киберсигурност, за наблюдение на задълженията на производителите или доставчиците на ИКТ продукти, ИКТ услуги или ИКТ процеси, които извършват самооценка, за наблюдение на съответствието на органите за оценка, както и на това доколко са подходящи експертните познания и опит на служителите на органите, издаващи сертификати за ниво на увереност „високо“. Комисията следва да може, посредством акт за изпълнение, да приеме най-малко петгодишен план за партньорската проверка, както и да въведе критерии и методологии за функционирането на системата на партньорските проверки.

(100)

Без да се засяга общата система на партньорски проверки, която следва да бъде въведена от всички национални органи за сертифициране на киберсигурността в европейската рамка за сертифициране на киберсигурността, някои европейски схеми за сертифициране на киберсигурността може да включват механизъм за партньорско оценяване за органите, издаващи европейски сертификати за киберсигурност за ИКТ продукти, ИКТ услуги и ИКТ процеси с ниво на обезпеченост „високо“ в рамките на тези схеми. Европейската група за сертифициране на киберсигурността следва да подкрепи въвеждането на такива механизми за партньорско оценяване. Партньорско оценяване следва по-специално да бъде насочено към въпроса дали засегнатите органи изпълняват своите задачи хармонично и може да включва механизми за оспорване. Следва да бъде осигурен публичен достъп до резултатите от партньорското оценяване. Съответните органи могат да приемат подходящи мерки за адаптиране съответно на своите практики и експертен опит.

(101)

Държавите членки следва да определят един или повече национални органи за сертифициране на киберсигурността, които да упражняват надзор по отношение на спазването на задълженията, произтичащи от настоящия регламент. Национален орган за сертифициране на киберсигурността може да бъде съществуващ или нов орган. Освен това дадена държава членка следва да може, след споразумение с друга държава членка, да определи един или повече национални органи за сертифициране на киберсигурността на територията на тази друга държава членка.

(102)

Националните органи за сертифициране на киберсигурността следва по-специално да наблюдават и налагат задълженията на производителите или доставчиците на ИКТ продукти, ИКТ услуги или ИКТ процеси, установени на съответната им територия, във връзка с ЕС декларацията за съответствие, следва да подпомагат националните орани по акредитация при наблюдението и надзора на дейностите на органите за оценяване на съответствието, като им предоставят експертен опит и имаща отношение информация, следва да разрешават на органите за оценяване на съответствието да осъществяват задачите си, когато отговарят на допълнителни изисквания, установени в рамките на европейска схема за сертифициране на киберсигурността, и следва да наблюдават съответните промени в областта на сертифицирането на киберсигурността. Националните органи за сертифициране на киберсигурността следва да разглеждат жалбите, подадени от физически или юридически лица по отношение на европейските сертификати за киберсигурност, издадени от тези органи, или по отношение на европейските сертификати за киберсигурност, издадени от органите за оценяване на съответствието, когато тези сертификати посочват ниво на обезпеченост „високо“, следва да разследват в необходимата степен предмета на жалбата и следва да информират жалбоподателя за напредъка и резултатите от разследването в разумен срок. Освен това националните органи за сертифициране на киберсигурността следва да си сътрудничат с други национални органи за сертифициране на киберсигурността или други публични органи, включително чрез споделяне на информация за възможни несъответствия на ИКТ продукти, ИКТ услуги и ИКТ процеси с изискванията на настоящия регламент или с конкретни европейски схеми за сертифициране на киберсигурността. Комисията следва да улесни споделянето на информация чрез предоставяне на обща електронна информационна система за подпомагане, например Информационната и комуникационна система за надзор на пазара (ICSMS) и системата за бързо предупреждение за опасни нехранителни продукти (RAPEX), които вече се използват от органите за надзор на пазара съгласно Регламент (ЕО) № 765/2008.

(103)

За да се гарантира последователно прилагане на европейската рамка за сертифициране на киберсигурността, следва да се създаде Европейска група за сертифициране на киберсигурността, състояща се от представители на национални органи за сертифициране на киберсигурността или други съответни национални органи. Основните задачи на групата следва да са да съветва и подпомага Комисията при работата ѝ за гарантиране на последователното изпълнение и прилагане на европейската рамка за сертифициране на киберсигурността, да подпомага ENISA и да си сътрудничи тясно с нея при изготвянето на проекти на схеми за сертифициране на киберсигурността, в надлежно обосновани случаи да изиска от ENISA подготовката на проект за схема, както и да приема становища, адресирани до ENISA във връзка с проекти за схеми и становища, адресирани до Комисията относно поддръжката и преразглеждането на съществуващите европейски схеми за сертифициране на киберсигурността. Групата следва да улеснява обмена на добри практики и експертен опит между различните национални органи за сертифициране на киберсигурността, отговарящи за оправомощаването на органите за оценяване на съответствието и издаването на европейски сертификати за киберсигурност.

(104)

С цел да се повиши осведомеността и да се улесни приемането на бъдещи европейски схеми за сертифициране на киберсигурността, Комисията може да издава общи или специфични за сектора насоки за киберсигурност, например относно добри практики в областта на киберсигурността или отговорно поведение по отношение на киберсигурността, които да подчертават положителните ефекти от използването на сертифицирани ИКТ продукти, ИКТ услуги и ИКТ процеси.

(105)

С цел да се улесни допълнително търговията и като се отчита, че веригите за доставки на ИКТ са глобални, споразуменията за взаимно признаване, отнасящи се до европейските сертификати за киберсигурност, могат да бъдат сключвани от Съюза в съответствие с член 218 от Договора за функционирането на Европейския съюз (ДФЕС). Комисията, като взема предвид консултациите с ENISA и Европейската група за сертифициране на киберсигурността, може да препоръча започване на съответните преговори. Всяка европейска схема за сертифициране на киберсигурността следва да предвижда специфични условия за такива споразумения за взаимно признаване с трети страни.

(106)

За да се гарантират еднакви условия за прилагане на настоящия регламент, на Комисията следва да се предоставят изпълнителни правомощия. Тези правомощия следва да се упражняват в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (22).

(107)

За приемането на актове за изпълнение относно европейските схеми за сертифициране на киберсигурността на ИКТ продукти, ИКТ услуги или ИКТ процеси, за приемането на актове за изпълнение относно провеждането на разследвания от страна на ENISA, за приемането на актове за изпълнение относно план за партньорски проверки на националните органи за сертифициране на киберсигурността, както и за приемането на актове за изпълнение относно обстоятелствата, форматите и процедурите за уведомяване на Комисията относно органите за оценяване на съответствието от националните органи за сертифициране на киберсигурността, следва да се използва процедурата по разглеждане.

(108)

Дейностите на ENISA следва да бъдат оценявани редовно и от независим орган. При оценката следва да се имат предвид целите на ENISA, нейните работни практики и значимостта на задачите ѝ, в частност нейните задачи във връзка с оперативното сътрудничество на равнището на Съюза. В оценката следва също така да се разглеждат въздействието, ефективността и ефикасността на европейската рамка за сертифициране на киберсигурността. В случай на проверка Комисията следва да оценява по какъв начин може да бъде утвърдена ролята на ENISA на отправна точка за консултации и експертен опит и също следва да направи оценка на възможността за роля на ENISA в подпомагането на оценяването на ИКТ продуктите, ИКТ услугите и ИКТ процесите от трети държави, които не отговарят на правилата на Съюза, когато такива продукти, услуги и процеси навлизат в Съюза.

(109)

Тъй като целите на настоящия регламент не могат да бъдат постигнати в достатъчна степен от държавите членки, а поради обхвата и последиците му могат да бъдат постигнати по-добре на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз (ДЕС). В съответствие с принципа на пропорционалност, както е определено в споменатия член, настоящият регламент не надхвърля необходимото за постигането на тези цели.

(110)

Регламент (ЕС) № 526/2013 следва да бъде отменен,

(1)

Целта на настоящата директива е да допринесе за доброто функциониране на вътрешния пазар, като сближи законовите, подзаконовите и административните разпоредби на държавите членки по отношение на изискванията за достъпност за определени продукти и услуги, по-специално като се премахнат и предотвратят пречките пред свободното движение на определени достъпни продукти и услуги, породени от различаващите се изисквания за достъпност в държавите членки. Това би повишило наличието на достъпни продукти и услуги на вътрешния пазар и би подобрило достъпността на съответната информация.

(2)

Търсенето на достъпни продукти и услуги е голямо и се предвижда броят на хората с увреждания да се увеличи значително. Средата с по-достъпни продукти и услуги дава възможност за по-приобщаващо общество и улеснява независимия живот за хората с увреждания. В този контекст следва да се има предвид, че уврежданията в Съюза са по-разпространени сред жените, отколкото сред мъжете.

(3)

Настоящата директива дава определение за „хора с увреждания“ в съответствие с Конвенцията на ООН за правата на хората с увреждания, приета на 13 декември 2006 г., по която Съюзът е страна от 21 януари 2011 г. и която е ратифицирана от всички държави членки. Съгласно Конвенцията на ООН за правата на хората с увреждания хората с увреждания „включват лица с трайна физическа, умствена, интелектуална или сетивна недостатъчност, която при взаимодействие с различни пречки би могла да възпрепятства тяхното пълноценно и ефективно участие в обществото равноправно с останалите“. Настоящата директива насърчава пълноценното и ефективно равноправно участие чрез подобряване на достъпа до основни продукти и услуги, които чрез своя първоначален дизайн или последващо адаптиране са насочени към конкретните потребности на хората с увреждания.

(4)

Други лица с функционални ограничения, например лица в напреднала възраст, бременни жени или лица, пътуващи с багаж, също ще се ползват от настоящата директива. Понятието „лица с функционални ограничения“, използвано в настоящата директива, включва лица, при които съществуват физическa, умственa, интелектуалнa или сетивнa недостатъчност, свързана с възрастта недостатъчност или други причини, свързани с възможностите на техния организъм — трайни или временни, които при взаимодействие с различните пречки стават причина за техния ограничен достъп до продукти и услуги и поради това се стига до ситуация, която налага адаптиране на тези продукти и услуги към техните специфични нужди.

(5)

Различията между законовите, подзаконовите и административните разпоредби в държавите членки относно достъпността на продуктите и услугите за хората с увреждания, създават пречки пред свободното движение на продукти и услуги и нарушават ефективната конкуренция на вътрешния пазар. По отношение на някои продукти и услуги тези различия в Съюза е вероятно да нараснат след влизането в сила на Конвенцията на ООН за правата на хората с увреждания. Икономическите оператори и по-специално малките и средните предприятия (МСП) са особено силно засегнати от тези пречки.

(6)

Поради различията в националните изисквания за достъпност лицата, упражняващи самостоятелна професионална дейност, МСП и микропредприятията до голяма степен са лишени от стимули да се ангажират със стопански начинания извън техните собствени вътрешни пазари. Националните, а дори и регионалните или местните изисквания за достъпност, въведени към момента от държавите членки, се различават и като обхват, и като равнище на детайлност. Тези различия се отразяват неблагоприятно на конкурентоспособността и растежа поради допълнителните разходи, свързани с разработването и маркетинга на отделните национални пазари на достъпни продукти и услуги.

(7)

Потребителите на достъпни продукти и услуги и на помощни технологии се сблъскват с високи цени, дължащи се на ограничената конкуренция сред доставчиците им. Разпокъсаността на националните разпоредби намалява потенциалните ползи от обмена на опит с националните и международните партньори в отговор на социалните и технологичните промени.

(8)

Поради това на равнището на Съюза с оглед на доброто функциониране на вътрешния пазар съществува необходимост от сближаване на националните мерки с цел да се преодолее фрагментираността на пазара на достъпни продукти и услуги, да бъдат постигнати икономии от мащаба, да бъде улеснена трансграничната търговия и мобилност, както и да се помогне на икономическите оператори да концентрират ресурсите си в иновации, вместо да ги използват за покриване на разходи, свързани с фрагментираното законодателство в целия Съюз.

(9)

Ползите, които произтичат от хармонизирането на изискванията за достъпност по отношение на вътрешния пазар, са доказани от прилагането на Директива 2014/33/ЕС на Европейския парламент и на Съвета (3) относно асансьорите и от Регламент (ЕО) № 661/2009 на Европейския парламент и на Съвета (4) в сферата на транспорта.

(10)

В приложената към Договора от Амстердам декларация № 22 относно хората с увреждания Конференцията на представителите на правителствата на държавите членки прие, че при разработването на мерки по член 114 от Договора за функционирането на Европейския съюз (ДФЕС) институциите на Съюза трябва да отчитат потребностите на хората с увреждания.

(11)

Крайната цел на съобщението на Комисията от 6 май 2015 г.„Стратегия за цифров единен пазар за Европа“ е свързаният цифров единен пазар да донесе трайни икономически и социални ползи, като по този начин улеснява търговията и насърчава заетостта в рамките на Съюза. Потребителите в Съюза все още не могат да се възползват докрай от цените и избора, които единният пазар може да предложи, тъй като трансграничните онлайн сделки все още са много ограничени. Фрагментираността също така ограничава пазарното търсене за трансгранични сделки на електронната търговия. Необходими са и съгласувани действия, за да се гарантира, че електронното съдържание, електронните съобщителни услуги и достъпът до аудио-визуални медийни услуги, са изцяло на разположение на хората с увреждания. Поради това е необходимо изискванията за достъпност да бъдат хармонизирани в рамките на целия цифров единен пазар и да се гарантира, че всички граждани на Съюза, независимо от техните способности, могат да се ползват от неговите предимства.

(12)

След като Съюзът стана страна по Конвенцията на ООН за правата на хората с увреждания, разпоредбите на конвенцията се превърнаха в неделима част от правната уредба на Съюза и са задължителни за институциите на Съюза и за неговите държави членки.

(13)

Конвенцията на ООН за правата на хората с увреждания изисква от страните по конвенцията да предприемат подходящи мерки за осигуряване за хората с увреждания на равен достъп с останалите до физическата среда на живеене, до транспорта, информацията и комуникациите, включително до информационните и комуникационните системи и технологии и до всички останали удобства и услуги, отворени или предназначени за широката общественост, както в градските, така и в селските райони. Комитетът на ООН за правата на хората с увреждания посочи необходимостта от създаването на законодателна рамка с конкретни, приложими и обвързани със срокове референтни показатели за проследяване на постепенното прилагане на достъпността.

(14)

Конвенцията на ООН за правата на хората с увреждания изисква страните по конвенцията, да предприемат или насърчават извършването на научна и развойна дейност, както и да способстват за достъпността и прилагането на нови технологии, включително информационни и съобщителни технологии, на помощни средства за осигуряване на мобилност, на устройства и помощни технологии, подходящи за хората с увреждания. Конвенцията на ООН за правата на хората с увреждания също така призовава да се отдаде приоритет на технологии, които са на достъпна цена.

(15)

Влизането в сила на Конвенцията на ООН за правата на хората с увреждания като част от правната уредба на държавите членки предполага необходимостта от приемане на допълнителни национални разпоредби относно достъпността на продуктите и услугите. Без действия от страна на Съюза тези разпоредби биха продължили да задълбочават различията между законовите, подзаконовите и административните разпоредби на държавите членки.

(16)

Поради това е необходимо да се улесни изпълнението в Съюза на Конвенцията на ООН за правата на хората с увреждания, като се предвидят общи правила на Съюза. С настоящата директива се оказва подкрепа на държавите членки да изпълнят по хармонизиран начин своите национални ангажименти, както и задълженията си по Конвенцията на ООН за правата на хората с увреждания по отношение на достъпността.

(17)

В съответствие с Конвенцията на ООН за правата на хората с увреждания съобщението на Комисията от 15 ноември 2010 г.„Европейска стратегия за хората с увреждания за периода 2010—2020 г.: Подновен ангажимент за Европа без бариери“ определя достъпността като една от осемте области на действие и като основна предпоставка за участие в обществото и има за цел да гарантира достъпността на продуктите и услугите.

(18)

Определянето на продуктите и услугите, които попадат в обхвата на настоящата директива, се основава на специален подбор, извършен по време на изготвянето на оценката на въздействието, по време на който бяха набелязани продукти и услуги за лицата с увреждания, и по отношение на които държавите членки са приели или вероятно ще приемат различаващи се национални изисквания за достъпност, които нарушават функционирането на вътрешния пазар.

(19)

С цел осигуряване на достъпност на услугите, попадащи в обхвата на настоящата директива, за продуктите, използвани при предоставянето на тези услуги, с които потребителят влиза в досег, също следва да се изисква да отговарят на приложимите изисквания за достъпност по настоящата директива.

(20)

Дори ако дадена услуга, или част от такава услуга, се възлага на трета страна като подизпълнител, това не бива да бъде в ущърб на достъпността на тази услуга и доставчиците на услуги следва да спазват задълженията по настоящата директива. Доставчиците следва също така да гарантират правилното и непрекъснато обучение на своя персонал, за да се гарантира, че той разполага с познания за начините на използване на достъпни продукти и услуги. Това обучение следва да обхваща въпроси като предоставянето на информация, съвети и реклама.

(21)

Изискванията за достъпност следва да бъдат въведени по начин, който е свързан с възможно най-малко тежест за икономическите оператори и държавите членки.

(22)

Необходимо е да бъдат определени изисквания за достъпност за пускането на пазара на продукти и услуги, които попадат в обхвата на настоящата директива, с цел да се гарантира тяхното свободно движение на вътрешния пазар.

(23)

Настоящата директива следва да направи функционалните изисквания за достъпност задължителни и те следва да бъдат изразени като общи цели. Тези изисквания следва да бъдат достатъчно точни, за да се създадат законови задължения, и достатъчно подробни, за да бъде възможно оценяването на съответствието с цел да се гарантира доброто функциониране на вътрешния пазар за обхванатите от настоящата директива продукти и услуги, както и да се запази известна гъвкавост, която да даде възможност за иновации.

(24)

Настоящата директива съдържа редица критерии относно функционалните показатели, свързани с режима на функциониране на продуктите и услугите. Тези критерии не са замислени като цялостна алтернатива на изискванията за достъпност по настоящата директива, а следва да се използват само при строго специфични обстоятелства. Тези критерии следва да се прилагат за специфичните функции или характеристики на продуктите или услугите, за да ги направят достъпни, когато изискванията за достъпност по настоящата директива не отчитат една или повече от специфичните функции или характеристики. Освен това, в случай че изискване за достъпност предвижда специфични технически изисквания и в продукта или услугата е заложено алтернативно техническо решение за тези технически изисквания, алтернативното техническо решение все пак следва да отговаря на съответните изисквания за достъпност и следва да води до равностойна или по-голяма достъпност посредством прилагане на съответните критерии за функционални показатели.

(25)

Настоящата директива следва да обхваща потребителските компютърни хардуерни системи с общо предназначение. За да могат тези системи да функционират по достъпен начин техните операционни системи следва също да бъдат достъпни. Тези компютърни хардуерни системи се отличават с многофункционалния си характер и способността си да изпълняват, с подходящ софтуер, най-често срещаните задачи за компютърна обработка, зададени от потребителите, и са предназначени да бъдат управлявани от потребителите. Персоналните компютри, включително настолните компютри, преносимите компютри, смартфоните и таблетите, са примери за такива компютърни хардуерни системи. Специализираните компютри, внедрени в потребителски електронни продукти, не представляват потребителски компютърни хардуерни системи с общо предназначение. Настоящата директива не следва да обхваща, на индивидуална основа, отделни компоненти със специфични функции, като например дънна платка или чип с памет, които се използват или могат да се използват в такава система.

(26)

В обхвата на настоящата директива следва да попаднат и платежните терминали, включващи както хардуер, така и софтуер, и някои интерактивни терминали на самообслужване, включващи както хардуер, така и софтуер, предназначени за използване при предоставянето на услуги, попадащи в обхвата на настоящата директива: например терминални устройства АТМ; автомати за продажба на билети, издаващи билети на хартиен носител, които дават достъп до услуги, например автомати за продажба на билети за пътуване; автомати за ред на опашката в банките; автомати за регистрация на пътници; както и интерактивни терминали на самообслужване за предоставяне на информация, включително интерактивни информационни екрани.

(27)

Същевременно някои интерактивни терминали на самообслужване, предоставящи информация, инсталирани като съставна част от превозни средства, въздухоплавателни средства, кораби или подвижни състави, следва да бъдат изключени от обхвата на настоящата директива, тъй като съставляват част от тези превозни средства, въздухоплавателни средства, кораби или подвижни състави, които не попадат в обхвата на настоящата директива.

(28)

Настоящата директива следва да обхваща и електронните съобщителни услуги, включително спешните повиквания, съгласно определението в Директива (ЕС) 2018/1972 на Европейския парламент и на Съвета (5). Понастоящем предприетите от държавите членки мерки за предоставяне на достъп на хора с увреждания се различават и не са хармонизирани в целия вътрешен пазар. Гарантираното прилагане на едни и същи изисквания за достъпност в целия Съюз ще осигури икономии от мащаба за икономическите оператори, извършващи дейност в повече от една държава членка, и ще улесни ефективния достъп за хората с увреждания в собствените им държави членки и при пътуванията между държавите членки. За да се осигури достъпността на електронните съобщителни услуги, включително на спешните повиквания, доставчиците следва, в допълнение към гласовите услуги, да предоставят текст в реално време и услуги за цялостен разговор с видеовръзка, осигурена от тях, като по този начин се гарантира синхрон между всички тези средства за комуникация. Наред с изискванията от настоящата директива, в съответствие с Директива (ЕС) 2018/1972 държавите членки следва да могат да определят доставчик на услуги за предаване, който да може да се използва от хора с увреждания.

(29)

Настоящата директива хармонизира изискванията за достъпност за електронните съобщителни услуги и свързаните с тях продукти и допълва Директива (ЕС) 2018/1972, която урежда изискванията за равностоен достъп и избор за крайните ползватели с увреждания. Директива (ЕС) 2018/1972 установява и изисквания по силата на задълженията за универсална услуга относно достъпните цени на достъпа до интернет и гласовите съобщения и относно достъпните цени и наличието на свързаното с тях крайно оборудване, специфично оборудване и услугите за потребителите с увреждания.

(30)

Директивата следва да обхваща и потребителското крайно оборудване с интерактивни възможности за компютърна обработка, предвидено да се използва основно за достъп до електронни съобщителни услуги. За целите на настоящата директива следва да се счита, че това оборудване включва оборудване, което се използва като част от конфигурацията на достъпа до електронните съобщителни услуги, като например маршрутизатор или модем.

(31)

За целите на настоящата директива достъпът до аудио-визуални медийни услуги следва да означава, че достъпът до аудио-визуално съдържание, както и механизмите, позволяващи на ползвателите с увреждания да използват помощни технологии, трябва да бъдат достъпни. Услугите, предоставящи достъп до аудио-визуални медийни услуги, може да включват уебсайтове, онлайн приложения, приложения, базирани на телевизионни приставки, достъпни за изтегляне приложения, услуги, базирани на мобилни устройства, включително мобилни приложения и свързани мултимедийни възпроизвеждащи устройства, както и свързани телевизионни услуги. Достъпността на аудио-визуалните медийни услуги е уредена в Директива № 2010/13/ЕС на Европейския парламент и на Съвета (6) с изключение на достъпността на електронните програмни указатели (ЕПУ), които са включени в определението на услугите, предоставящи достъп до аудио-визуални медийни услуги, за които се прилага настоящата директива.

(32)

В контекста на услугите за въздушен, автобусен, железопътен и воден превоз на пътници настоящата директива следва да обхваща, inter alia, предоставянето на информация за транспортни услуги, включително информация за пътуването в реално време, чрез уебсайтове, услуги, базирани на мобилни устройства, интерактивни информационни екрани и интерактивни терминали на самообслужване, която е необходима на пътниците с увреждания, за да пътуват. Това може да включва информация относно продуктите и услугите за превоз на пътници, предлагани от доставчика на услугата, информация преди пътуването, информация по време на пътуването и информация, предоставяна при отмяна на услугата или закъснение при заминаването. Други елементи на информацията може също да включват информация за цени и промоции.

(33)

Настоящата директива следва да обхваща и уебсайтове, услуги, базирани на мобилни устройства, включително мобилните приложения, разработени или предоставени на разположение от операторите на услуги за превоз на пътници в обхвата на настоящата директива или от тяхно име, услуги за електронно издаване на билети, електронни билети, и интерактивни терминали на самообслужване.

(34)

Определянето на обхвата на настоящата директива по отношение на въздушния, автобусния, железопътния и водния превоз на пътници следва да се основава на съществуващото секторно законодателство, отнасящо се до правата на пътниците. В случаите, в които настоящата директива не се прилага към определени видове транспортни услуги, държавите членки следва да насърчават доставчиците на услуги да прилагат съответните изисквания за достъпност от настоящата директива.

(35)

В Директива (ЕС) 2016/2102 на Европейския парламент и на Съвета (7) вече са предвидени задължения за организациите от обществения сектор, които предоставят транспортни услуги, включително градските и крайградски транспортни услуги и регионалните транспортни услуги, да направят уебсайтовете си достъпни. Настоящата директива предвижда освобождавания за микропредприятия, представящи услуги, включително градските и крайградски транспортни услуги и регионалните транспортни услуги. Наред с това настоящата директива включва задължения за да се гарантира достъпност на уебсайтовете за електронна търговия. След като настоящата директива съдържа задължения за значителното мнозинство частни доставчици на транспортни услуги да направят уебсайтовете си достъпни при продажба на билети онлайн, не е необходимо в настоящата директива да се въвеждат допълнителни изисквания за уебсайтовете на доставчиците на градски и крайградски транспортни услуги и на регионални транспортни услуги.

(36)

Някои елементи на изискванията за достъпност, по-специално във връзка с предоставянето на информация, както се посочва в настоящата директива, вече са обхванати от действащото право на Съюза в областта на превоза на пътници. Това включва елементи от Регламент (ЕО) № 261/2004 на Европейския парламент и на Съвета (8), Регламент (ЕО) № 1107/2006 на Европейския парламент и на Съвета (9), Регламент (ЕО) № 1371/2007 на Европейския парламент и на Съвета (10), Регламент (ЕС) № 1177/2010 на Европейския парламент и на Съвета (11) и Регламент (ЕС) № 181/2011 на Европейския парламент и на Съвета (12). Това включва също съответните актове, приети въз основа на Директива 2008/57/ЕО на Европейския парламент и на Съвета (13). За да се гарантира съгласуваност на правната уредба, изискванията за достъпност, определени в тези регламенти и тези актове, следва да продължат да се прилагат както досега. Същевременно допълнителните изисквания от настоящата директива, ще допълват съществуващите изисквания, като подобрят функционирането на вътрешния пазар в областта на транспорта и носят ползи за хората с увреждания.

(37)

Някои елементи на услугите за превоз не следва да бъдат обхванати от настоящата директива, когато се предоставят извън територията на държавите членки, дори и когато услугата е била насочена към пазара на Съюза. По отношение на тези елементи операторът на услуга за превоз на пътници следва да бъде задължен да гарантира единствено, че изискванията на настоящата директива, са изпълнени по отношение на частта от услугата, предлагана на територията на Съюза. Въпреки това, в случая с въздушния транспорт въздушните превозвачи от Съюза следва да гарантират, че приложимите изисквания от настоящата директива, са изпълнени и при полети, заминаващи от летище, разположено в трета държава, и пристигащи на летище, разположено на територията на държава членка. Освен това всички въздушни превозвачи, включително тези, които не са лицензирани в Съюза, следва да гарантират, че приложимите изисквания от настоящата директива, са изпълнени при полети от територията на Съюза до територията на трета държава.

(38)

Градските власти следва да се насърчават да интегрират безпрепятствената достъпност до услугите на градския транспорт в своите планове за устойчива градска мобилност (ПУГМ), както и да публикуват редовно списъци на добрите практики по отношение на безпрепятствения достъп до обществения градски транспорт и мобилността.

(39)

Правото на Съюза относно банковите и финансовите услуги цели да защити потребителите на такива услуги в целия Съюз и да им предостави информация, но не включва изисквания за достъпност. За да се даде възможност на хората с увреждания да използват тези услуги в целия Съюз, включително когато са предоставяни посредством уебсайтове и услугите, базирани на мобилни устройства, включително мобилни приложения, да вземат информирани решения и да се чувстват сигурни, че са адекватно защитени наравно с останалите потребители, както и за да се осигурят равнопоставени условия за доставчиците на услуги, настоящата директива следва да установи изисквания за достъпност за определени банкови и финансови услуги, предоставяни на потребителите.

(40)

Съответните изисквания за достъпност следва да се прилагат и към методите за идентификация, електронния подпис и платежните услуги, тъй като те са необходими за сключването на потребителски банкови трансакции.

(41)

Файловете на електронните книги се базират на електронно компютърно кодиране, което позволява разпространението и справката с интелектуален труд с предимно текстови и графичен характер. Степента на прецизност на това кодиране определя достъпността на файловете на електронни книги, по-специално по отношение на определянето на различните съставни елементи на труда и стандартизираното описание на неговата структура. Оперативната съвместимост по отношение на достъпността следва да оптимизира съвместимостта на тези файлове с потребителските агенти и с настоящите и бъдещите помощни технологии. Специфичните характеристики на специалните издания като комикси, детски книги и книги за изкуството следва да се разглеждат във връзка с всички приложими изисквания за достъпност. Различаващите се изисквания за достъпност в държавите членки ще създадат пречки пред издателите и други икономически оператори да се възползват от предимствата на вътрешния пазар, може да създадат проблеми с оперативната съвместимост с електронните четци и ще ограничат достъпа за потребителите с увреждания. Що се отнася до електронните книги, понятието „доставчик на услуга“ би могло да включва издателите и други икономически оператори, участващи в разпространението им.

Признава се, че хората с увреждания продължават да се сблъскват с пречки при достъпа до съдържание, което е защитено от авторско право и сродните му права, както и че вече са предприети някои мерки за подобряване на това положение, например посредством приемането на Директива (ЕС) 2017/1564 на Европейския парламент и на Съвета (14) и Регламент (ЕС) 2017/1563 на Европейския парламент и на Съвета (15) и също така в бъдеще може да се предприемат и други мерки на равнището на Съюза в тази насока.

(42)

Настоящата директива определя услугите за електронна търговия като услуга, предоставяна от разстояние, чрез уебсайтове и услуги, базирани на мобилни устройства, чрез електронни средства и по индивидуално искане на потребителя с цел сключване на потребителски договор. За целите на това определение „от разстояние“ означава, че тази услуга се предоставя, без страните да присъстват едновременно; „чрез електронни средства“ означава, че услугата първоначално се изпраща и получава по местоназначение чрез електронно оборудване за обработка (включително цифрово компресиране) и съхранение на данни и се пренася, предава и получава в своята цялост чрез кабел, радио, оптични средства или други електромагнитни средства; „по индивидуално искане на потребителя“ означава, че услугата се предоставя по индивидуално искане. Като се има предвид нарастващото значение на услугите за електронна търговия и тяхното високотехнологично естество е важно да съществуват хармонизирани изисквания за достъпност до тях.

(43)

Задълженията за достъпност на услугите за електронна търговия от настоящата директива, следва да се прилагат за онлайн продажбата на всички продукти или услуги и поради това следва да се прилагат и за продажбите на продукти или услуги, обхванати самостоятелно от настоящата директива.

(44)

Мерките, свързани с достъпността на приемането на спешни повиквания, следва да се приемат, без да се засяга самата организация на службите за спешно реагиране, и не следва да оказват въздействие върху тази организация, която остава от изключителната компетентност на държавите членки.

(45)

В съответствие с Директива (ЕС) 2018/1972 държавите членки трябва да гарантират че достъп до службите за спешно реагиране за крайни ползватели с увреждания е възможен посредством спешни повиквания и е равностоен на достъпа, предоставен на останалите крайни ползватели в съответствие с правото на Съюза за хармонизиране на изискванията за достъпност на продукти и услуги. Комисията и националните регулаторни органи или други компетентни органи трябва да вземат подходящи мерки, за да гарантират, че при пътувания в друга държава членка крайните ползватели с увреждания могат да имат достъп до службите за спешно реагиране наравно с останалите крайни ползватели, когато това е осъществимо, без предварителна регистрация. Тези мерки имат за цел да гарантират оперативна съвместимост в държавите членки и трябва да се основават във възможно най-голяма степен на европейските стандарти или спецификации, публикувани в съответствие с член 39 от Директива (ЕС) 2018/1972. Тези мерки не пречат държавите членки да приемат допълнителни изисквания с оглед постигането на поставените в посочената директива цели. Като алтернатива на изпълнението на изискванията за достъпност по отношение на приемането на спешни повиквания за ползватели с увреждания, предвидени в настоящата директива, държавите членки следва да могат да определят трета страна като доставчик на услуги за предаване, който да се използва от хора с увреждания за комуникация с център за приемане на спешни повиквания до момента, когато тези центрове за приемане на спешни повиквания бъдат в състояние да използват електронни съобщителни услуги посредством интернет протоколи за гарантиране на достъпност при приемането на спешни повиквания. Във всички случаи задълженията от настоящата директива, не следва да се тълкуват като ограничаващи или намаляващи които и да е задължения в полза на крайните ползватели с увреждания, включително равностоен достъп до електронни съобщителни услуги и до служби за спешно реагиране, както и задължения за достъпност, както е предвидено в Директива (ЕС) 2018/1972.

(46)

Директива (ЕС) 2016/2102 определя изискванията за достъпност за конкретен набор уебсайтове и мобилни приложения на организациите от обществения сектор и други свързани аспекти, по-специално изискванията по отношение на съответствието на въпросните уебсайтове и мобилни приложения. Същевременно посочената директива съдържа конкретен списък с изключения. Подобни изключения са от значение за настоящата директива. Някои дейности, които се осъществяват чрез уебсайтове и мобилни приложения на организации от обществения сектор, като услуги за превоз на пътници или услуги за електронна търговия, които попадат в обхвата на настоящата директива, следва наред с това да отговарят на изискванията за достъпност от настоящата директива, за да се гарантира, че онлайн продажбата на продукти и услуги е достъпна за хората с увреждания, независимо дали продавачът е частен или публичен икономически оператор. Изискванията за достъпност от настоящата директива, следва да бъдат приведени в съответствие с изискванията на Директива (ЕС) 2016/2102, независимо от различията, например по отношение на мониторинга, докладването и прилагането.

(47)

Четирите принципа на достъпността на уебсайтове и мобилни приложения, използвани в Директива (ЕС) 2016/2102 са: лесно разпознаване на елементите, което означава информацията и компонентите на потребителския интерфейс да бъдат представени на ползвателите във вид, който могат да възприемат; оперативност, което означава компонентите на потребителския интерфейс и навигирането да бъдат използваеми; разбираемост, което означава информацията и използването на потребителския интерфейс да бъдат разбираеми; и стабилност, което означава съдържанието да е достатъчно стабилно, така че да може да бъде надеждно интерпретирано от най-различни потребителски агенти, включително помощни технологии. Тези принципи са от значение и за настоящата директива.

(48)

Държавите членки следва да предприемат всички необходими мерки, за да гарантират, че когато продуктите и услугите, попадащи в обхвата на настоящата директива, съответстват на приложимите изисквания за достъпност, тяхното свободно движение в Съюза не се препятства поради причини, свързани с изискванията за достъпност.

(49)

В някои ситуации общите изисквания за достъпност на архитектурната среда ще улеснят свободното движение на свързаните услуги и на хората с увреждания. Поради това настоящата директива следва да дава възможност на държавите членки да включат архитектурната среда, използвана за предоставянето на услугите, попадащи в обхвата на настоящата директива, като по този начин гарантират съответствие с изискванията за достъпност, предвидени в приложение III.

(50)

Достъпността следва да се постигне с помощта на систематичното премахване и предотвратяване на пречки, за предпочитане посредством универсален дизайн или подхода „дизайн за всички“, допринасящ за това на хората с увреждания да се осигури достъп на равни начала с останалите. Според Конвенцията на ООН за правата на хората с увреждания този подход „означава дизайн на изделия, жизнена среда, програми и услуги, които да се ползват в максимална степен от всички хора, без да се налага тяхното адаптиране или специализиран дизайн“. Съгласно Конвенцията на ООН за правата на хората с увреждания „„универсалният дизайн“ не изключва наличието на подпомагащи уреди за определени групи хора с увреждания, когато това се налага“. Освен това достъпността не следва да изключва осигуряването на разумна степен на адаптация, когато това се изисква от правото на Съюза или националното право. Достъпността и универсалният дизайн следва да се тълкуват в съответствие с общ коментар № 2(2014) по член 9: Достъпност, както е посочено от Комитета на ООН за правата на хората с увреждания.

(51)

Фактът, че дадени продукти и услуги попадат в обхвата на настоящата директива, не означава автоматично, че те попадат в обхвата на Директива 93/42/ЕИО на Съвета (16). Същевременно някои помощни технологии, които са медицински изделия, могат да попадат в обхвата на посочената директива.

(52)

Повечето работни места в Съюза се осигуряват от МСП и микропредприятия. Те са от изключително голямо значение за бъдещия растеж, но много често са изправени пред препятствия и трудности при разработката на своите продукти и услуги, по-специално в трансгранични условия. Поради това е необходимо да се улесни работата на МСП и на микропредприятията, като се хармонизират националните разпоредби относно достъпността и същевременно се запазят необходимите предпазни мерки.

(53)

За да могат микропредприятията и МСП да се ползват от настоящата директива, те трябва действително да отговарят на изискванията, съдържащи се в Препоръка 2003/361/ЕО на Комисията (17) и съответната съдебна практика, чиято цел е да се предотврати заобикалянето на нейните правила.

(54)

С цел да се гарантира последователността на правото на Съюза, настоящата директива следва да се основава на Решение № 768/2008/ЕО на Европейския парламент и на Съвета (18), тъй като се отнася до продукти, които вече са предмет на други актове на Съюза, като същевременно се отчитат спецификите на изискванията за достъпност от настоящата директива.

(55)

Всички икономически оператори, които попадат в обхвата на настоящата директива и които имат участие във веригата на доставки и дистрибуция, следва да гарантират, че предоставят на пазара само продукти и услуги, които съответстват на настоящата директива. Същото следва да се прилага и за икономическите оператори, предоставящи услуги. Необходимо е да се предвиди ясно и пропорционално разпределение на задълженията, което съответства на ролята на всеки икономически оператор в процеса на доставка и дистрибуция.

(56)

Икономическите оператори следва да бъдат отговорни за съответствието на продуктите и услугите в зависимост от съответната си роля във веригата на доставка, за да се гарантира висока степен на защита на достъпността и да се гарантира лоялна конкуренция на пазара на Съюза.

(57)

Задълженията от настоящата директива, следва да се прилагат по еднакъв начин за икономическите оператори от публичния и от частния сектор.

(58)

Производителят, който познава в детайли процеса на проектиране и производство, е най-добре подготвен да проведе цялата процедура за оценяване на съответствието. Въпреки че отговорността за съответствието на продуктите се носи от производителя, органите за надзор на пазара следва да играят решаваща роля при проверката дали продуктите, предоставяни в Съюза, са произведени в съответствие с правото на Съюза.

(59)

Вносителите и дистрибуторите и следва да бъдат включени в задачите по надзор на пазара, изпълнявани от националните органи, и следва да участват активно, като предоставят на компетентните органи цялата необходима информация, свързана със съответния продукт.

(60)

Вносителите следва да гарантират, че продуктите от трети държави, въвеждани на пазара на Съюза, отговарят на настоящата директива, и по-конкретно, че производителите са провели подходящи процедури за оценяване на съответствието по отношение на тези продукти.

(61)

Когато пускат продукт на пазара, вносителите следва да посочват върху продукта името си, регистрираното търговско наименование или регистрираната търговска марка и адрес за връзка с неговото дружество.

(62)

Дистрибуторите следва да гарантират, че техните действия спрямо продукта не се отразяват неблагоприятно на съответствието му с изискванията за достъпност от настоящата директива.

(63)

Всеки икономически оператор, който пуска на пазара продукт със своето име или търговска марка или изменя продукт, който вече е пуснат на пазара по начин, който може да засегне съответствието с приложимите изисквания, следва да бъде считан за производител на съответния продукт и следва да поеме задълженията на производителя.

(64)

От съображения във връзка с пропорционалността изискванията за достъпност следва да се прилагат само дотолкова, доколкото не налагат прекомерна тежест на засегнатите икономически оператори или дотолкова, доколкото не изискват значителна промяна в продуктите и услугите, която би довела до тяхното основно изменение съобразно настоящата директива. Следва обаче да са налице механизми за контрол, за да се провери правото на изключения от прилагането на изискванията за достъпност.

(65)

Настоящата директива следва да спазва принципа „Мисли първо за малките предприятия!“ и да отчита административната тежест, с която се сблъскват МСП. В нея следва да бъдат определени облекчени правила по отношение на оценяването на съответствието и да бъдат предвидени предпазни клаузи за икономическите оператори, вместо да се предвиждат общи изключения и дерогации за този вид предприятия. Следователно при определянето на правилата за избора и изпълнението на най-подходящите процедури за оценяване на съответствието следва да бъде отчитано положението на МСП и задълженията за оценяване на съответствието следва да бъдат ограничени до степен да не възлагат прекомерна тежест за МСП. Освен това органите за надзор на пазара следва да работят пропорционално на размера на предприятията и на малкия сериен или несериен характер на засегнатите производства, без да създават ненужни специални и неподходящи за МСП решения и без да излагат на риск защитата на обществения интерес.

(66)

В изключителни случаи, когато съответствие с изискванията за достъпност от настоящата директива, би наложило прекомерна тежест на икономическите оператори, от икономическите оператори следва да се изисква единствено да се съобразяват с тези изисквания, доколкото те не налагат прекомерна тежест. В такива надлежно обосновани случаи не е разумно възможно стопанският субект да прилага изцяло едно или повече от изискванията за достъпност от настоящата директива. Стопанският субект обаче следва да направи услуга или продукт, попадащи в обхвата на настоящата директива, достъпни във възможно най-голяма степен, като прилага тези изисквания, доколкото те не налагат прекомерна тежест. Следва да се прилагат изцяло онези изисквания за достъпност, за които стопанският субект не е сметнал, че налагат прекомерна тежест. Изключенията от спазването на едно или повече от изискванията за достъпност поради прекомерната тежест, която те налагат, не следва да надхвърлят строго необходимото за ограничаването на тази тежест по отношение на въпросния конкретен продукт или услуга във всеки отделен случай. Под мерки, които биха наложили прекомерна тежест, следва да се разбират мерки, които биха наложили допълнителна прекомерна организационна или финансова тежест за икономическия оператор, като същевременно се отчита вероятната произтичаща полза за хората с увреждания в съответствие с критериите, установени в настоящата директива. Въз основа на тези съображения следва да се определят критерии, така че да се даде възможност на икономическите оператори и на съответните органи да сравняват различните ситуации и да преценяват по систематичен начин евентуалното наличие на прекомерна тежест. Когато се преценява до каква степен не могат да бъдат изпълнени изискванията за достъпност, тъй като биха довели до прекомерна тежест, следва да се вземат предвид единствено легитимни съображения. Липсата на приоритет, време или познания не следва да се счита за легитимно съображение.

(67)

Цялостната оценка на прекомерната тежест следва да се прави с помощта на критериите, предвидени в приложение VI. Оценката на прекомерната тежест следва да се документира от икономическия оператор, като се вземат предвид съответните критерии. Доставчиците на услуги следва да подновяват оценката на прекомерната тежест най-малко на всеки пет години.

(68)

Икономическият оператор следва да уведоми съответните органи, че се е позовал на разпоредбите на настоящата директива, отнасящи се за основно изменение и/или прекомерна тежест. Икономическите оператори следва да предоставят копие на оценката само при поискване от страна на съответните органи, като обяснят защо техният продукт или услуга не са напълно достъпни и предоставят доказателства за прекомерната тежест или за основното изменение, или и двете.

(69)

Ако въз основа на изискваната оценка доставчик на услуги стигне до заключение, че би представлявало прекомерна тежест да изисква всички терминали на самообслужване, използвани при предоставянето на обхванатите от настоящата директива услуги, да съответстват на изискванията за достъпност от настоящата директива, доставчиците на услуги въпреки това прилага тези изисквания до степен, в която тези изисквания не му налагат прекомерна тежест. Следователно доставчиците на услуги следва да направят оценка на това до каква степен ограниченото ниво на достъпност във всички терминали на самообслужване или ограниченият брой напълно достъпни терминали на самообслужване биха им позволили да избегнат прекомерната тежест, която иначе би била наложена върху тях и следва да бъдат задължени да спазват изискванията за достъпност от настоящата директива, само в тази степен.

(70)

Микропредприятията се разграничават от всички други предприятия по ограничените си човешки ресурси, годишен оборот или годишен счетоводен баланс. Поради това тежестта, свързана със спазването на изискванията за достъпност, по принцип представлява по-голям дял от финансовите и човешките ресурси на микропредприятията в сравнение другите предприятия и е по-вероятно да представлява несъразмерен дял от разходите. Значителен дял от разходите на микропредприятията е свързан с попълването или воденето на документацията и регистрите за доказване на спазването на различните изисквания, предвидени в законодателството на Съюза. Въпреки че всички икономически оператори, попадащи в обхвата на настоящата директива, следва да са в състояние да оценят пропорционалността на спазването на изискванията за достъпност от настоящата директива, и следва да ги спазват само дотолкова, доколкото те не са прекомерни, само по себе си изискването за изготвяне на такава оценка от микропредприятията, предоставящи услуги, би представлявало прекомерна тежест. Ето защо изискванията и задълженията по настоящата директива, следва да не се прилагат за микропредприятията, предоставящи услуги от обхвата на настоящата директива.

(71)

За микропредприятията, които работят с продукти, попадащи в обхвата на настоящата директива, изискванията и задълженията по настоящата директива следва да са облекчени, с цел да се намали административната тежест.

(72)

Въпреки че някои микропредприятия са освободени от задължения от настоящата директива, всички микропредприятия следва да бъдат насърчавани да произвеждат, внасят или разпространяват продукти и да предоставят услуги, които съответстват на изискванията за достъпност от настоящата директива, така че да се повиши тяхната конкурентоспособност, както и техния потенциал за растежна вътрешния пазар. Ето защо държавите членки следва да предоставят насоки и инструменти за микропредприятията, така че да се улесни прилагането на националните мерки за транспониране на настоящата директива.

(73)

Всички икономически оператори следва да действат отговорно и да спазват изцяло всички приложими законови изисквания, когато пускат или предоставят продукти на пазара или когато предоставят услуги на пазара.

(74)

С цел улесняване на оценяването на съответствието с приложимите изисквания за достъпност е необходимо да се предвиди презумпция за съответствие за продуктите и услугите, които отговарят на доброволните хармонизирани стандарти, приети съгласно Регламент (ЕС) № 1025/2012 на Европейския парламент и на Съвета (19) с цел изготвяне на подробните технически спецификации по отношение на тези изисквания. Комисията вече е отправила към европейските организации по стандартизация няколко искания за стандартизация в сферата на достъпността, като мандати за стандартизация М/376, М/473 и М/420, които биха били относими към разработването на хармонизираните стандарти.

(75)

В Регламент (ЕС) № 1025/2012 се предвижда процедура за повдигане на възражения срещу хармонизирани стандарти, когато се счита, че тези стандарти не отговарят на изискванията в от настоящата директива.

(76)

Европейските стандарти следва да се направляват от пазара, да отчитат обществения интерес, както и целите на политиките, заявени ясно в искането на Комисията до една или няколко европейски организации по стандартизация да изготвят хармонизирани стандарти, и следва да се основават на консенсус. Когато липсват хармонизирани стандарти и когато това е необходимо с цел хармонизация на вътрешния пазар, Комисията следва да може да приема актове за изпълнение в някои случаи, с които да определя технически спецификации по отношение на изискванията за достъпност от настоящата директива. До технически спецификации следва да се прибягва само в такива случаи. Комисията следва да може да приема технически спецификации, например когато процесът на стандартизация е блокиран поради липса на консенсус между заинтересованите страни или при наличието на ненужни забавяния при установяването на хармонизиран стандарт, например тъй като не е постигнато изискваното качество. Комисията следва да остави достатъчно време между приемането на искане до една или няколко европейски организации по стандартизация да изготвят хармонизирани стандарти и приемането на дадена техническа спецификация по отношение на същото изискване за достъпност. На Комисията не следва да се позволява да приема технически спецификации, ако предварително не е положила усилия изискванията за достъпност да бъдат обхванати от Европейската система за стандартизация, освен когато Комисията може да демонстрира, че техническите спецификации зачитат изискванията, установени в приложение II от Регламент (ЕС) № 1025/2012.

(77)

С оглед установяването по възможно най-ефективен начин на хармонизирани стандарти и технически спецификации, които да отговарят на изискванията за достъпност от настоящата директива за продукти и услуги, Комисията следва, когато това е възможно, да включва в процеса на вземане на решения европейски представителни организации на хората с увреждания, както и всички останали заинтересовани страни.

(78)

За да се гарантира реален достъп до информация за целите на надзора на пазара, информацията, необходима за деклариране на съответствие с всички приложими актове на Съюза, следва да се предоставя под формата на единна ЕС декларация за съответствие. За да се намали административната тежест за икономическите оператори, те следва да могат да включват в единната ЕС декларация за съответствие всички приложими отделни декларации за съответствие.

(79)

За оценката на съответствието на продукти в настоящата директива следва да се използва вътрешният производствен контрол от модул А, предвиден в приложение II към Решение № 768/2008/ЕО, тъй като той дава възможност на икономическите оператори да докажат, а на компетентните органи — да гарантират, че продуктите, които се предоставят на пазара, съответстват на изискванията за достъпност, без същевременно да се налага неоправдана тежест.

(80)

При извършването на надзор на пазара на продукти и проверката за съответствие на услуги, органите следва също да проверяват дали оценките за съответствие, включително, дали съответната оценка на основно изменение или прекомерна тежест, е извършена правилно. При изпълнението на задълженията си органите следва също да правят това в сътрудничество с хората с увреждания и организациите, които представляват тях и техните интереси.

(81)

По отношение на услугите информацията, необходима за оценяването на съответствието с изискванията за достъпност от настоящата директива, следва да бъде предоставена в общите условия или в еквивалентен документ, без да се засяга Директива 2011/83/ЕС на Европейския парламент и на Съвета (20).

(82)

Маркировката „CE“, указваща съответствието на продукта с изискванията за достъпност от настоящата директива, е видимата последица от цял един процес, включващ оценяване на съответствието в широк смисъл. Настоящата директива следва да се придържа към общите принципи, уреждащи маркировката „CE“ в Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета (21), в който се определят изискванията за акредитация и надзор на пазара във връзка с предлагането на пазара на продукти. В допълнение към изготвянето на ЕС декларацията за съответствие производителят следва да информира потребителите по разходоефективен начин относно достъпността на продуктите.

(83)

В съответствие с Регламент (ЕО) № 765/2008, като нанася маркировката „CE“ върху продукт, производителят декларира, че продуктът съответства на всички приложими изисквания за достъпност и че производителят носи цялата отговорност за това.

(84)

В съответствие с Решение № 768/2008/ЕО държавите членки отговарят за гарантирането на надежден и ефикасен надзор на пазара на продукти на своя територия и следва да заделят достатъчно сили и средства за своите органи за надзор на пазара.

(85)

Държавите членки следва да проверяват съответствието на услугите със задълженията от настоящата директива, и следва да проследяват жалбите или сигналите във връзка с показано несъответствие с цел да се гарантира предприемането на коригиращи мерки.

(86)

По целесъобразност Комисията може да приема необвързващи насоки в консултация със заинтересованите страни, с което ще подпомогне координацията между органите за надзор на пазара и органите, отговорни за проверката на съответствие на услуги. Комисията и държавите членки следва да могат да предприемат инициативи за споделяне на ресурси и експертен опит на органите.

(87)

Държавите членки следва да гарантират, че органите за надзор на пазара и органите, отговарящи за проверката на съответствието на услугите, проверяват съответствието на икономическите оператори с критериите, посочени в приложение VI, в съответствие с глави VIII и IX. Държавите членки следва да могат да определят специализиран орган за изпълнение на задължението на органите за надзор на пазара или на органите, отговарящи за проверка на съответствието на услуги, съгласно настоящата директива. Държавите членки следва да могат да решат, че правомощията на този специализиран орган следва да бъдат ограничени до обхвата на настоящата директива или до определени части от нея, без да се засягат задълженията на държавите членки по силата на Регламент (ЕО) № 765/2008.

(88)

Следва да се прилага предпазна процедура в случай на спорове между държавите членки по отношение на мерки, предприети от държава членка, и в рамките на която заинтересованите страни се уведомяват за мерки, които се планира да бъдат предприети по отношение на продукти, които не съответстват на изискванията за достъпност от настоящата директива. Предпазната процедура следва да позволява на органите за надзор на пазара да предприемат действия на по-ранен етап по отношение на такива продукти в сътрудничество със съответните икономически оператори.

(89)

Не следва да се изисква допълнителна намеса на Комисията в случаите, когато между държавите членки и Комисията е постигнато съгласие по отношение на основателността на мярката, предприета от дадена държава членка, освен когато несъответствието се дължи на недостатъци в хармонизираните стандарти или в техническите спецификации.

(90)

В Директиви 2014/24/ЕС (22) и 2014/25/ЕС (23) на Европейския парламент и на Съвета за обществените поръчки, определящи процедурите за възлагане на договори за обществени поръчки и за конкурс за проект за някои доставки (продукти), услуги и строителство, се предвижда, че за всички обществени поръчки, предназначени за ползване от физически лица, независимо дали от широката общественост или от персонала на възлагащия орган/възложителя, техническите спецификации, освен в надлежно обосновани случаи, се изготвят така, че да се вземат предвид критериите за достъпност за хората с увреждания или предназначението за всички ползватели. Освен това в посочените директиви се предвижда, че когато задължителните изисквания за достъпност са приети с правен акт на Съюза, техническите спецификации се установяват с препратка към тези изисквания, когато става въпрос за достъпност за хора с увреждания или за предназначение за всички ползватели. Настоящата директива следва да установи задължителни изисквания за достъпност за продукти и услуги, които попадат в обхвата ѝ. Изискванията за достъпност от настоящата директива, не са задължителни за продукти и услуги, които не попадат в обхвата ѝ. Същевременно използването на тези изисквания за достъпност за изпълнение на съответните задължения, установени в актове на Съюза, различни от настоящата директива, ще улесни прилагането на изискванията за достъпност и ще допринесе за правната сигурност и за сближаването на изискванията за достъпност в целия Съюз. Не следва да има пречка органите да установяват изисквания за достъпност, които надхвърлят изискванията за достъпност, предвидени в приложение I към настоящата директива.

(91)

Настоящата директива не следва да променя задължителния или доброволния характер на свързаните с достъпността разпоредби в други актове на Съюза.

(92)

Настоящата директива следва да се прилага само за процедури за възлагане на обществени поръчки, за които е отправена покана за участие в състезателна процедура, или, в случай че не се предвижда покана за участие в състезателна процедура, когато възлагащият орган/възложителят е започнал процедура на възлагане на обществени поръчки след датата на прилагане на настоящата директива.

(93)

За да се гарантира правилното прилагане на настоящата директива на Комисията следва да се делегира правомощието да приема актове в съответствие с член 290 от ДФЕС по отношение на: допълнително уточняване на изискванията за достъпност, които поради самото си естество, не могат да произведат желания ефект, освен ако не са допълнително уточнени в обвързващи правни актове на Съюза; промяна на срока, в който икономическите оператори трябва да идентифицират друг икономически оператор, който им е доставил продукт или на който те са доставили продукт; и допълнително уточняване на съответните критерии, които да се вземат предвид от икономическия оператор за оценката дали спазването на изискванията за достъпност би наложило прекомерна тежест. Особено важно е по време на подготвителната си работа Комисията да проведе подходящи консултации, включително на експертно равнище, и тези консултации да бъдат проведени в съответствие с принципите, заложени в Междуинституционалното споразумение от 13 април 2016 г. за по-добро законотворчество (24). По-специално, с цел осигуряване на равно участие при подготовката на делегираните актове Европейският парламент и Съветът получават всички документи едновременно с експертите от държавите членки, като техните експерти получават систематично достъп до заседанията на експертните групи на Комисията, занимаващи се с подготовката на делегираните актове.

(94)

За да се осигурят еднакви условия за прилагането на настоящата директива, на Комисията следва да бъдат предоставени изпълнителни правомощия по отношение на изготвянето на технически спецификации. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (25).

(95)

Държавите членки следва да осигурят наличието на подходящи и ефективни средства за гарантиране на спазването на настоящата директива и поради това следва да установят подходящи механизми за контрол, например последващ контрол от страна на органите за надзор на пазара, с цел да се удостовери, че освобождаването от прилагане на изискванията за достъпност е обосновано. Когато разглеждат жалби, свързани с достъпността, държавите членки следва да спазват общия принцип на добра администрация, и по-специално задължението на длъжностните лица да гарантират, че решението по всяка жалба се взема в разумен срок.

(96)

За да се улесни еднаквото прилагане на настоящата директива, Комисията следва да създаде работна група с участието на съответните органи и заинтересовани страни с оглед улесняване на обмена на информация и на добри практики и предоставяне на експертни съвети. Следва да се стимулира сътрудничеството между органите и заинтересованите страни, включително хората с увреждания и организациите, които ги представляват, наред с другото, за да се подобри съгласуваността при прилагането на разпоредбите от настоящата директива относно изискванията за достъпност и да се наблюдава прилагането на нейните разпоредби относно основното изменение и прекомерната тежест.

(97)

Като се има предвид съществуващата правна рамка относно средствата за правна защита в областите, обхванати от директиви 2014/24/ЕС и 2014/25/ЕС, разпоредбите на настоящата директива относно изпълнението и санкциите не следва да бъдат приложими за процедурите за възлагане на обществени поръчки, при условие че са спазени задълженията, наложени от настоящата директива. Това изключване не засяга задълженията на държавите членки по силата на Договорите да предприемат всички необходими мерки, за да гарантират прилагането и ефективността на правото на Съюза.

(98)

Санкциите следва да съответстват на естеството на нарушенията и на обстоятелствата, така че да не служат като алтернатива на изпълнението от страна на икономическите оператори на задълженията им да направят достъпни своите продукти или услуги.

(99)

Държавите членки следва да гарантират, че в съответствие с действащото право на Съюза са налице алтернативни механизми за разрешаване на спорове, които позволяват намирането на решение на всяко предполагаемо несъответствие с настоящата директива преди подаването на иск пред съдилищата или компетентните административни органи.

(100)

В съответствие със Съвместната политическа декларация на държавите членки и Комисията от 28 септември 2011 г. относно обяснителните документи (26) държавите членки са поели ангажимент в обосновани случаи да прилагат към съобщението за своите мерките за транспониране един или повече документи, обясняващи връзката между елементите на дадена директива и съответстващите им части от националните инструменти за транспониране. По отношение на настоящата директива законодателят смята, че предоставянето на тези документи е обосновано.

(101)

За да се даде на доставчиците на услуги достатъчно време да се адаптират към изискванията от настоящата директива, е необходимо да се предвиди преходен период от пет години след датата на прилагане на настоящата директива, през който продуктите, които се използват за предоставянето на дадена услуга и които са били пуснати на пазара преди тази дата, не трябва да отговарят на изискванията за достъпност, предвидени в настоящата директива, освен ако са заменени от доставчиците на услуги през преходния период. Като се имат предвид цената и дългият жизнен цикъл на терминалите на самообслужване, уместно е да се предвиди, че когато тези терминали се използват за предоставянето на услуги, те може да продължат да се използват до края на жизнения им цикъл, стига през този период да не са заменени, но за не повече от 20 години.

(102)

Изискванията за достъпност от настоящата директива, следва да се прилагат за продуктите, пускани на пазар, и за услугите, предоставяни след датата на прилагане на националните мерки за транспониране на настоящата директива, включително за използваните продукти и продуктите втора употреба, внасяни от трета държава и пуснати на пазара след тази дата.

(103)

Настоящата директива зачита основните права и спазва принципите, признати по-специално в Хартата на основните права на Европейския съюз („Хартата“). Настоящата директива се стреми по-специално да гарантира пълно зачитане на правата на хората с увреждания да се ползват от мерки, които осигуряват тяхната автономност, социалната и професионалната им интеграция и участието им в живота на общността, и да насърчи прилагането на членове 21, 25 и 26 от Хартата.

(104)

Доколкото целта на настоящата директива, а именно премахването на пречките пред свободното движение на някои достъпни продукти и услуги с цел да се допринесе за доброто функциониране на вътрешния пазар, не може да бъде постигната в достатъчна степен от държавите членки, тъй като изисква хармонизация на съществуващите понастоящем различни правила в техните правни системи, а може — чрез определяне на общи изисквания за достъпност и правила за функционирането на вътрешния пазар, да бъде постигната по-добре на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигането на тази цел,