(1)

Na základě závěrů Rady ze dne 12. února 2016 o boji proti financování terorismu, sdělení Komise Evropskému parlamentu a Radě ze dne 2. února 2016 o akčním plánu pro zesílení boje proti financování terorismu a směrnice Evropského parlamentu a Rady (EU) 2017/541 (2) je nutno přijmout společná pravidla týkající se obchodu se třetími zeměmi, aby byla zajištěna účinná ochrana kulturních statků před nedovoleným obchodováním s kulturními statky a před jejich ztrátou nebo zničením, zachování kulturního dědictví lidstva a zabránění financování terorismu a praní peněz prostřednictvím prodeje kulturních statků získaných drancováním kupujícím v Unii.

(2)

Vykořisťování národů a území může vést k nedovolenému obchodování s kulturními statky, zejména v případě, kdy k takovému nedovolenému obchodování dochází v důsledku ozbrojeného konfliktu. Toto nařízení by v tomto ohledu mělo zohlednit spíše regionální a místní charakteristiky národů a území než tržní hodnotu kulturních statků.

(3)

Kulturní statky jsou součástí kulturního dědictví a jsou často velmi významné z hlediska kulturního, uměleckého, historického a vědeckého. Kulturní dědictví představuje jednu ze základních součástí civilizace, má mimo jiné symbolickou hodnotu a patří ke kulturní paměti lidstva. Obohacuje kulturní život všech národů a sjednocuje národy prostřednictvím sdílené paměti, vědomostí a sdíleného rozvoje civilizace. Mělo by být proto chráněno před neoprávněným přisvojováním a drancováním. K drancování archeologických nalezišť docházelo vždy, ale nyní se z něj stal průmysl a spolu s obchodováním s kulturními statky z neoprávněně prováděných vykopávek se považuje za závažný trestný čin, který způsobuje značné utrpení těm, kterých se přímo či nepřímo dotýká. Nedovolené obchodování s kulturními statky v mnoha případech přispívá k nucené kulturní homogenizaci nebo nucené ztrátě kulturní identity, přičemž drancování kulturních statků vede mimo jiné k rozpadu kultur. Dokud je možné věnovat se lukrativnímu obchodu s kulturními statky z neoprávněně prováděných vykopávek a vydělávat na nich bez významných rizik, budou tyto vykopávky a drancování pokračovat i nadále. Ekonomická a umělecká hodnota kulturních statků vytváří silnou poptávku po nich na mezinárodním trhu. Neexistence dostatečně důrazných mezinárodních právních opatření nebo neúčinné vymáhání těch opatření, která jsou k dispozici, vedou k přenesení těchto statků do šedé ekonomiky. Unie by proto měla zakázat vstup kulturních statků, které byly neoprávněně vyvezeny ze třetích zemí na celní území Unie, se zvláštním důrazem na kulturní statky ze třetích zemí postižených ozbrojenými konflikty, zejména v případech, kdy s těmito kulturními statky nedovoleně obchodují teroristické nebo jiné zločinecké organizace. Přestože by tento obecný zákaz neměl zahrnovat systematické kontroly, členské státy by měly mít možnost zasáhnout, jakmile obdrží zprávu o podezřelých zásilkách, a přijmout veškerá vhodná opatření s cílem zadržet nedovoleně vyvezené kulturní statky.

(4)

Vzhledem k rozdílným pravidlům, která se v členských státech uplatňují s ohledem na dovoz kulturních statků na celní území Unie, je nutno přijmout opatření zejména k zajištění toho, aby určitý dovoz kulturních statků podléhal při vstupu na celní území Unie jednotným kontrolám, a to na základě stávajících režimů, postupů a správních nástrojů, jejichž cílem je jednotné provádění nařízení Evropského parlamentu a Rady (EU) č. 952/2013 (3).

(5)

Na ochranu kulturních statků považovaných za národní kulturní poklady členských států se již vztahuje nařízení Rady (ES) č. 116/2009 (4) a směrnice Evropského parlamentu a Rady 2014/60/EU (5). Toto nařízení by se proto nemělo vztahovat na kulturní statky, které byly vytvořeny nebo objeveny na celním území Unie. Společná pravidla zavedená tímto nařízením by se měla vztahovat na celní zacházení s kulturními statky, které nejsou kulturními statky Unie, vstupujícími na celní území Unie. Pro účely tohoto nařízení by mělo být rozhodným celním územím celní území Unie v okamžiku dovozu.

(6)

Kontrolní opatření, která budou zavedena v souvislosti se svobodnými pásmy a tzv. „svobodnými přístavy“ by měla mít co nejširší oblast působnosti, pokud jde o dotčené celní režimy, aby se zamezilo obcházení tohoto nařízení využíváním těchto svobodných pásem, které představují potenciální zdrojové oblasti pro pokračující šíření nedovoleného obchodování. Tato kontrolní opatření by se proto měla týkat nejen kulturních statků propuštěných do volného oběhu, nýbrž také kulturních statků propuštěných do zvláštního celního režimu. Tato oblast působnosti by však neměla jít nad rámec cíle spočívajícího v zabránění vstupu nedovoleně vyvezených kulturních statků na celní území Unie. Systematická kontrolní opatření by sice měla zahrnovat propuštění do volného oběhu a některé zvláštní celní režimy, do nichž lze propustit kulturní statky vstupující na celní území Unie, tranzit by však měl být ze systematických kontrolních opatření vyloučen.

(7)

Velká část třetích zemí a většina členských států je obeznámena s definicemi obsaženými v Úmluvě UNESCO o opatřeních k zákazu a zamezení nedovoleného dovozu, vývozu a převodu vlastnictví kulturních statků podepsané v Paříži dne 14. listopadu 1970 (dále jen „úmluva UNESCO z roku 1970“), jejíž smluvní stranou je značný počet členských států, a v Úmluvě UNIDROIT o kradených nebo protiprávně vyvezených kulturních statcích podepsané v Římě dne 24. června 1995. Z tohoto důvodu jsou v tomto nařízení použity definice vycházející z definic obsažených v uvedených úmluvách.

(8)

Zákonnost vývozu kulturních statků je nutno v první řadě posoudit na základě právních předpisů země, ve které byly tyto kulturní statky vytvořeny nebo objeveny. Aby však nedocházelo k nepřiměřenému bránění oprávněnému obchodování, měla by mít osoba, která hodlá kulturní statky dovézt na celní území Unie, v určitých případech možnost doložit místo toho dovolený vývoz z jiné třetí země, ve které se dané kulturní statky nacházely před jejich odesláním do Unie. Tato výjimka by se měla týkat případů, kdy nelze spolehlivě zemi, ve které byly dané kulturní statky vytvořeny nebo objeveny, určit nebo kdy k vývozu daných kulturních statků došlo před vstupem v platnost úmluvy UNESCO z roku 1970, totiž před 24. dubnem 1972. Aby se zamezilo obcházení tohoto nařízení prostým odesláním nedovoleně vyvezených kulturních statků do jiné třetí země před jejich dovozem do Unie, měly by být tyto výjimky použitelné pouze tehdy, pokud se dané kulturní statky nacházely v dané třetí zemi po dobu delší než pět let a pro jiné účely než dočasné použití, tranzit, zpětný vývoz nebo překládka. V případě, že tyto podmínky splňuje více než jedna země, relevantní by měla být poslední z těchto zemí před vstupem daných kulturních statků na celní území Unie.

(9)

Článek 5 úmluvy UNESCO z roku 1970 vyzývá státy, které jsou smluvními stranami uvedené úmluvy, k vytvoření jednoho nebo více vnitrostátních orgánů na ochranu kulturních statků před nedovoleným dovozem, vývozem a převodem vlastnictví. Tyto vnitrostátní orgány by měly mít rovněž k dispozici dostatečně početný kvalifikovaný personál schopný zajistit tuto ochranu v souladu s uvedenou úmluvou a měly by umožňovat nezbytnou aktivní spolupráci mezi příslušnými orgány členských států, které jsou smluvními stranami uvedené úmluvy v oblasti bezpečnosti a boje proti neoprávněnému dovozu kulturních statků, zejména z oblastí postižených ozbrojeným konfliktem.

(10)

Aby nebylo nepřiměřeně bráněno obchodování s kulturními statky přes vnější hranice Unie, mělo by se toto nařízení vztahovat pouze na kulturní statky, které splňují určitý požadavek na minimální stáří podle tohoto nařízení. Dále se zdá být vhodné stanovit také minimální finanční hodnotu s cílem vyloučit kulturní statky nižší finanční hodnoty z uplatňování podmínek a postupů pro dovoz na celní území Unie. Tyto minimální finanční hodnoty zajistí, aby se opatření stanovená tímto nařízením soustředila na kulturní statky, na něž se s největší pravděpodobnosti zaměřují plenitelé v oblastech, v nichž probíhá konflikt, aniž by byly vyloučeny ostatní kulturní statky, u nichž je nezbytná kontrola k zajištění ochrany kulturního dědictví.

(11)

Nedovolené obchodování s kulturními statky získanými drancováním bylo v rámci nadnárodního posouzení rizik praní peněz a financování terorismu, která mají dopad na vnitřní trh, určeno jako možný zdroj financování terorismu a praní peněz.

(12)

Jelikož určité kategorie kulturních statků, konkrétně archeologické předměty a části památek, jsou obzvláště vystaveny riziku drancování a ničení, zdá se být nezbytné zavést přísnější systém kontrol před tím, než je těmto kulturním statkům povolen vstup na celní území Unie. Takový systém by měl vyžadovat předložení dovozní licence vydané příslušným orgánem některého členského státu před propuštěním těchto kulturních statků do volného oběhu v Unii či do jiného zvláštního celního režimu, než je tranzit. Osoby usilující o získání této licence by měly být schopny prokázat dovolený vývoz ze země, ve které byly kulturní statky vytvořeny nebo objeveny, příslušnými podpůrnými doklady a důkazy, jako jsou vývozní osvědčení, vlastnické tituly, faktury, kupní smlouvy, doklady o pojištění, přepravní doklady a znalecké posudky. Na základě úplných a přesných žádostí by měly příslušné orgány členských států rozhodnout o vydání licence bez zbytečného odkladu. Veškeré dovozní licence by měly být uchovávány v elektronickém systému.

(13)

Ikona je jakékoli vyobrazení náboženských postav nebo náboženských událostí. Může být zhotovena z různých materiálů a v různých velikostech a může být nástěnná, nebo přenosná. Pokud ikona v minulosti patřila například do interiéru kostela, kláštera či kaple, a to buď jako samostatně stojící ikona nebo jako součást mobiliáře, například ikonostas nebo stojan na ikony, je nepostradatelnou a nedílnou součást bohoslužby a liturgického života a měla by být chápana tak, že se jedná o nedílnou součást církevní památky, od níž byla oddělena. Na ikonu by se tak i v případech, kdy není známo, ke které konkrétní památce patřila, ale lze prokázat, že byla v minulosti nedílnou součástí nějaké památky, zejména pokud se u ní zachovaly známky či části svědčící o tom, že byla v minulosti součástí ikonostasu nebo stojanu na ikony, měla vztahovat kategorie „Části uměleckých a historických památek nebo archeologických nalezišť, které byly odděleny“ uvedená v příloze.

(14)

Vzhledem ke zvláštní povaze kulturních statků hrají velmi důležitou úlohu celní orgány, a proto by měly být v případě potřeby oprávněny vyžadovat od deklaranta další informace a provést analýzu kulturních statků na základě fyzické kontroly.

(15)

U těch kategorií kulturních statků, k jejichž dovozu není vyžadována dovozní licence, by osoby, které chtějí dovézt tyto kulturní statky na celní území Unie, měly prostřednictvím prohlášení osvědčit jejich oprávněný vývoz ze třetí země a převzít za něj odpovědnost a měly by předložit dostatečné informace, aby mohly celní orgány tyto kulturní statky identifikovat. K usnadnění postupu a z důvodů právní jistoty by měly být informace o kulturním statku poskytnuty prostřednictvím standardizovaného dokladu. K popisu kulturních statků by se mohl používat standard identifikace předmětů „Object ID“, který doporučuje UNESCO. Držitel kulturních statků by měl tyto údaje zaregistrovat v elektronickém systému s cílem usnadnit identifikaci celními orgány, umožnit provedení analýzy rizik a cílených kontrol a zajistit dohledatelnost kulturních statků po jejich vstupu na vnitřní trh.

(16)

V kontextu prostředí jednotného portálu EU pro oblast celnictví by Komise měla být odpovědná za zřízení centralizovaného elektronického systému pro podávání žádostí o dovozní licence a registraci prohlášení dovozce a uchovávání informací a jejich výměnu mezi orgány členských států, zejména pokud jde o prohlášení dovozce a dovozní licence.

(17)

Při zpracovávání údajů podle tohoto nařízení by mělo být rovněž možné zahrnout osobní údaje. Jejich zpracování by mělo být prováděno v souladu s právem Unie. Členské státy a Komise by měly zpracovávat osobní údaje pouze pro účely tohoto nařízení nebo za řádně odůvodněných okolností za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Na veškeré shromažďování, zpřístupnění, přenos, sdělování a jiné zpracovávání osobních údajů v oblasti působnosti tohoto nařízení by se měly vztahovat požadavky nařízení Evropského parlamentu a Rady (EU) 2016/679 (6) a (EU) 2018/1725 (7). Při zpracování osobních údajů pro účely tohoto nařízení by mělo být rovněž dodržováno právo na respektování rodinného a soukromého života zaručené článkem 8 Úmluvy o ochraně lidských práv a základních svobod Rady Evropy, jakož i právo na respektování soukromého a rodinného života zaručené články 7 a 8 Listiny základních práv Evropské unie a právo na ochranu osobních údajů zaručené článkem 8 uvedené listiny.

(18)

Kulturní statky, které nebyly vytvořeny nebo objeveny na celním území Unie, ale byly vyvezeny jako unijní kulturní statky, by neměly podléhat povinnosti předložit dovozní licenci nebo prohlášení dovozce, pokud se na celní území Unie vracejí jakožto vrácené zboží ve smyslu nařízení (EU) č. 952/2013.

(19)

Dočasné použití kulturních statků pro vzdělávací nebo vědecké účely, pro účely konzervování, restaurování nebo digitalizace, pro výstavní účely, pro účely scénického umění, výzkumu prováděného akademickými institucemi nebo pro účely spolupráce mezi muzei či podobnými institucemi by rovněž nemělo podléhat povinnosti předložit dovozní licenci nebo prohlášení dovozce.

(20)

Uskladnění kulturních statků pocházejících ze zemí postižených ozbrojeným konfliktem nebo přírodní pohromou za výlučným účelem zajištění bezpečného uložení a jejich ochrana ze strany některého orgánu veřejné moci nebo pod jeho dohledem by nemělo podléhat povinnosti předložit dovozní licenci či prohlášení dovozce.

(21)

K usnadnění prezentace kulturních statků na obchodních uměleckých veletrzích by neměla být požadována dovozní licence, pokud se kulturní statky nacházejí v režimu dočasného použití ve smyslu článku 250 nařízení (EU) č. 952/2013 a namísto dovozní licence bylo předloženo prohlášení dovozce. Předložení dovozní licence by však mělo být požadováno, pokud dané kulturní statky mají zůstat po skončení uměleckého veletrhu v Unii.

(22)

Za účelem zajištění jednotných podmínek k provedení tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci, pokud jde o stanovení podrobných podmínek pro: kulturní statky, které jsou vráceným zbožím, nebo dočasné použití kulturních statků na celním území Unie a jejich bezpečného uložení, šablony žádostí o dovozní licenci a formulářů dovozních licencí, šablony prohlášení dovozce a průvodní doklady k němu a další procesní pravidla týkající se jejich předkládání a zpracování. Komisi by měly být rovněž svěřeny prováděcí pravomoci, pokud jde o stanovení podmínek pro zřízení elektronického systému pro předkládání žádostí o dovozní licence a prohlášení dovozce a pro uchovávání informací a jejich výměnu mezi členskými státy. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (8).

(23)

Za účelem zajištění účinné koordinace, a aby se předešlo zdvojování úsilí při organizaci činností v oblasti odborné přípravy a budování kapacit a informačních kampaní, jakož i případně při zadávání relevantního výzkumu a vývoje norem, by měly Komise a členské státy spolupracovat s mezinárodními organizacemi a jinými subjekty, jako jsou UNESCO, INTERPOL, EUROPOL, Světová celní organizace, Mezinárodní centrum pro studium ochrany a restaurování kulturního dědictví a Mezinárodní rada muzeí.

(24)

Na podporu účinného provádění tohoto nařízení a jako základ pro jeho budoucí hodnocení by měly být členskými státy a Komisí elektronicky shromažďovány a sdíleny příslušné informace o obchodních tocích kulturních statků. V zájmu transparentnosti a veřejné kontroly by mělo být co nejvíce informací zveřejňováno. Obchodní toky kulturních statků nelze účinně sledovat pouze na základě jejich hodnoty nebo hmotnosti. Je nezbytné elektronicky shromažďovat informace o počtu položek uvedených v celním prohlášení. Jelikož v kombinované nomenklatuře není pro kulturní statky stanovena doplňková jednotka měření, je nezbytné vyžadovat, aby byl v celním prohlášení uveden počet položek.

(25)

Strategie a akční plán EU pro řízení rizik v oblasti cel mají mimo jiné za cíl posílit kapacity celních orgánů a zvýšit schopnost reagovat na rizika v oblasti kulturních statků. Měl by se používat společný rámec pro řízení rizik stanovený v nařízení (EU) č. 952/2013 a celní orgány by si měly vyměňovat příslušné informace o rizicích.

(26)

Aby se využilo odborných znalostí mezinárodních organizací a jiných subjektů, které působí v oblasti kultury, a jejich zkušeností s nedovoleným obchodováním s kulturními statky, je třeba ve společném rámci pro řízení rizik při určování rizik souvisejících s kulturními statky zohledňovat doporučení těchto organizací a subjektů a jejich pokyny. Zejména „červené seznamy“ zveřejňované Mezinárodní radou muzeí by měly sloužit jako vodítko umožňující určit třetí země, jejichž kulturní dědictví je nejvíce ohroženo, a předměty z nich vyvážené, které by mohly být častěji předmětem nedovoleného obchodování.

(27)

Je nezbytné vytvořit informační kampaně o rizicích spojených s nedovoleným obchodováním s kulturními statky, které se zaměří na osoby kupující kulturní statky, a pomáhat účastníkům trhu při tom, aby tomuto nařízení porozuměli a uplatňovali jej. Členské státy by měly do šíření těchto informací zapojit příslušná vnitrostátní kontaktní místa a další poskytovatele informací.

(28)

Za účelem účinného provádění tohoto nařízení by Komise měla zajistit, aby mikropodnikům a malým a středním podnikům byla poskytnuta náležitá technická pomoc, a usnadnit jim poskytování informací. Malé a střední podniky usazené v Unii, které se zabývají dovozem kulturních statků, by proto měly mít možnost využívat stávajících a budoucích programů Unie na podporu konkurenceschopnosti malých a středních podniků.

(29)

Na podporu dodržování právních předpisů a s cílem odrazovat od jejich obcházení by členské státy měly zavést účinné, přiměřené a odrazující sankce pro případy nedodržení ustanovení tohoto nařízení a tyto sankce oznámit Komisi. Sankce za porušování tohoto nařízení zavedené členskými státy by měly mít v celé Unii rovnocenný odrazující účinek.

(30)

Členské státy by měly zajistit, aby se celní a příslušné orgány dohodly na opatřeních podle článku 198 nařízení (EU) č. 952/2013. Podrobnosti těchto opatření by měly podléhat vnitrostátnímu právu.

(31)

Komise by měla neprodleně přijmout prováděcí pravidla k tomuto nařízení, zejména pravidla týkající se vhodných elektronických standardizovaných formulářů, které se mají používat k podání žádosti o dovozní licenci nebo vypracování prohlášení dovozce, a poté v co nejkratší možné lhůtě příslušný elektronický systém zavést. Použitelnost ustanovení týkajících se dovozních licencí a prohlášení dovozce by měla být odpovídajícím způsobem odložena.

(32)

V souladu se zásadou proporcionality je pro dosažení základního cíle tohoto nařízení nezbytné a vhodné stanovit pravidla pro vstup kulturních statků a podmínky a postupy pro jejich dovoz na celní území Unie Toto nařízení nepřekračuje rámec toho, co je pro dosažení sledovaných cílů nezbytné, v souladu s čl. 5 odst. 4 Smlouvy o Evropské unii,

(1)

Sítě a informační systémy a sítě a služby elektronických komunikací mají zásadní význam pro společnost a staly se páteří hospodářského růstu. Informační a komunikační technologie (IKT) jsou základem komplexních systémů, které podporují běžné společenské činnosti, udržují v chodu naši ekonomiku v klíčových odvětvích, jako je například zdravotnictví, energetika, finančnictví a doprava, a zejména podporují fungování vnitřního trhu.

(2)

Využívání sítí a informačních systémů občany, organizacemi a podniky v celé Unii je v současné době všudypřítomné. Digitalizace a konektivita se stávají hlavními prvky stále rostoucího počtu produktů a služeb a očekává se, že s nástupem internetu věcí budou v celé Unii během příštího desetiletí připojeny extrémně vysoké počty digitálních zařízení. I když je k internetu připojen rostoucí počet zařízení, nejsou navrženy s dostatečnými zabudovanými bezpečnostními prvky a odolností, což vede k nedostatečné kybernetické bezpečnosti. Omezené využívání certifikace v této souvislosti vede k tomu, že fyzické osoby, organizace ani podniky nemají dostatečné informace o prvcích kybernetické bezpečnosti produktů, služeb a procesů IKT, které používají, což narušuje důvěru v digitální řešení. Sítě a informační systémy mohou napomáhat ve všech aspektech našich životů a jsou hnacím motorem hospodářského růstu Unie. Jsou úhelným kamenem pro dosažení jednotného digitálního trhu.

(3)

Nárůst digitalizace a propojenosti zvyšuje kybernetická bezpečnostní rizika, což způsobuje, že společnost jako celek se stává zranitelnější vůči kybernetickým hrozbám a zhoršuje se nebezpečí pro jednotlivé uživatele, včetně zranitelných osob, jako jsou děti. Za účelem zmírnění těchto rizik je třeba přijmout veškerá opatření potřebná ke zlepšení kybernetické bezpečnosti v Unii, aby byly sítě a informační systémy, komunikační sítě, digitální produkty, služby a zařízení používané občany, organizacemi a podniky – od malých a středních podniků ve smyslu doporučení Komise 2003/361/ES (4) až po provozovatele kritických infrastruktur – lépe chráněny před kybernetickými hrozbami.

(4)

Agentura Evropské unie pro bezpečnost sítí a informací (ENISA), zřízená nařízením Evropského parlamentu a Rady (EU) č. 526/2013 (5), přispívá zpřístupňováním příslušných informací veřejnosti k rozvoji odvětví kybernetické bezpečnosti v Unii, zejména malých a středních podniků a začínajících podniků. Agentura ENISA by měla usilovat o těsnější spolupráci s univerzitami a výzkumnými subjekty s cílem přispět ke snížení závislosti na produktech v oblasti kybernetické bezpečnosti a služeb z oblasti mimo Unie a posílit dodavatelské řetězce v rámci Unie.

(5)

Počet kybernetických útoků roste a propojená ekonomika a společnost, která je zranitelnější vůči kybernetickým hrozbám a útokům, vyžaduje silnější ochranu. I když kybernetické útoky jsou často přeshraniční povahy, kompetence a opatření politik orgánů zabývajících se kybernetickou bezpečností a donucovacích orgánů jsou převážně vnitrostátní. Rozsáhlé incidenty by mohly narušit poskytování základních služeb v celé Unii. To vyžaduje účinnou a koordinovanou reakci a řešení krizí na úrovni Unie, které budou vycházet ze speciálních politik a širších nástrojů pro evropskou solidaritu a vzájemnou pomoc. Proto je pro tvůrce politik, průmyslové odvětví a uživatele rovněž důležité provádět pravidelné posuzování stavu kybernetické bezpečnosti a odolnosti v Unii, na základě spolehlivých unijních údajů, a také systematické předpovědi budoucího vývoje, výzev a hrozeb, a to jak na úrovni Unie, tak na úrovni celosvětové.

(6)

S ohledem na nárůst kybernetických bezpečnostních hrozeb, kterým Unie čelí, existuje potřeba komplexního souboru opatření, která by vycházela z předchozích opatření Unie a podporovala vzájemně se posilující cíle. Tyto cíle obnášejí nutnost dále zvýšit schopnosti a připravenost členských států a podniků a rovněž zlepšit spolupráci, sdílení informací a koordinaci mezi členskými státy a orgány, institucemi a subjekty Unie. Kromě toho vzhledem k bezhraniční povaze kybernetických hrozeb existuje potřeba zvýšit schopnosti na úrovni Unie, které by mohly doplňovat opatření členských států, zejména v případě rozsáhlých přeshraničních kybernetických incidentů a krizí; zároveň je však nutné vzít v úvahu to, že je důležité zachovat schopnost členských států reagovat na kybernetické hrozby nejrůznějšího rozsahu a tyto schopnosti rozšiřovat.

(7)

Je rovněž třeba další úsilí ke zvýšení informovanosti občanů, organizací a podniků o otázkách týkajících se kybernetické bezpečnosti. Vzhledem k tomu, že incidenty narušují důvěru v poskytovatele digitálních služeb a samotný jednotný digitální trh, zejména mezi spotřebiteli, je nutné navíc tuto důvěru dále posílit tím, že budou transparentním způsobem poskytovány informace o úrovni bezpečnosti produktů, služeb a procesů IKT, přičemž je třeba zdůraznit, že ani vysoká úroveň certifikace kybernetické bezpečnosti nemůže zaručit, že produkt, služba nebo proces IKT jsou zcela bezpečné. Posílení důvěry lze usnadnit certifikací v rámci Unie, která bude poskytovat společné požadavky na kybernetickou bezpečnost a kritéria jejího hodnocení napříč vnitrostátními trhy a odvětvími.

(8)

Kybernetická bezpečnost není jen otázkou technologie, důležité je rovněž i lidské chování. Proto by měla být výrazně prosazována „kybernetická hygiena“ ve smyslu jednoduchých rutinních opatření, která – jsou-li zavedena a pravidelně prováděna občany, organizacemi a podniky – minimalizují jejich vystavení rizikům kybernetických hrozeb.

(9)

Pro účely posilování struktur kybernetické bezpečnosti v Unii je důležité zachovávat a rozvíjet schopnosti členských států v zájmu komplexní reakce na kybernetické hrozby včetně přeshraničních incidentů.

(10)

Podniky i jednotliví spotřebitelé by měli mít přesné informace ohledně toho, na jakou úroveň záruky bezpečnosti jsou jejich produkty, služby a procesy a IKT certifikovány. Zároveň však žádný produkt ani služba IKT nejsou zcela kyberneticky bezpečné a je třeba podporovat a upřednostňovat základní zásady kybernetické hygieny. Vzhledem k rostoucí dostupnosti zařízení internetu věcí je k dispozici řada dobrovolných opatření, která může soukromý sektor přijmout, aby posílil důvěru v bezpečnost produktů, služeb a procesů IKT.

(11)

Moderní produkty a systémy IKT často zahrnují jednu nebo více technologií a prvků třetí strany, jako jsou softwarové moduly, knihovny nebo rozhraní pro programování aplikací (API), a spoléhají na ně. Toto spoléhání, k němuž se často odkazuje jako k „závislosti“, by mohlo představovat další kybernetická bezpečnostní rizika, poněvadž zranitelnosti zjištěné v prvcích třetí strany by mohly mít též vliv na bezpečnost produktů, služeb a procesů IKT. V mnoha případech umožňuje nalezení a zdokumentování takových závislostí koncovým uživatelům produktů, služeb a procesů IKT zlepšit jejich činnosti řízení kybernetických bezpečnostních rizik zlepšením například řízení kybernetické bezpečnostní zranitelnosti uživatele a postupů nápravy.

(12)

Organizace, výrobci nebo poskytovatelé zapojení do navrhování a vývoje produktů, služeb či procesů IKT by měli být podporováni v provádění opatření, a to již v nejranějších fázích návrhu a vývoje, aby chránili bezpečnost těchto produktů, služeb a procesů v nejvyšší možné míře, a to tak, aby byl předpokládán výskyt kybernetických útoků a aby byl předpokládán a minimalizován jejich dopad („bezpečnost již od fáze návrhu“). Bezpečnost by měla být zajištěna v průběhu celého životního cyklu produktu, služby či procesu IKT prostřednictvím neustálého rozvíjení postupů navrhování a vývoje, s cílem omezit riziko zneužití.

(13)

Podniky, organizace a veřejný sektor by měly konfigurovat produkty, služby nebo procesy IKT jimi navržené způsobem, který zajistí vyšší úroveň bezpečnosti, což by mělo prvnímu uživateli umožnit obdržet standardní konfiguraci s co nejbezpečnějším nastavením (dále jen „standardní bezpečnost“), čímž se sníží zátěž pro uživatele spojená s nutností odpovídající konfigurace produktu, služby či procesu IKT. Standardní bezpečnost by neměla vyžadovat provedení rozsáhlé konfigurace ani specifické technické znalosti či jiné než intuitivní chování uživatele, a je-li použita, měla by fungovat snadno a spolehlivě. Pokud v individuálním případě vedou analýzy rizika a využitelnosti k závěru, že takové nastavení není proveditelné, měli by být uživatelé nabádáni ke zvolení nejbezpečnějšího nastavení.

(14)

Nařízení Evropského parlamentu a Rady (ES) č. 460/2004 (6) zřídilo agenturu ENISA za účelem přispět k cílům zajištění vysoké a účinné úrovně bezpečnosti sítí a informací v Unii a vytvořit kulturu bezpečnosti sítí a informací v zájmu občanů, spotřebitelů, podniků a veřejné správy. Nařízení Evropského parlamentu a Rady (ES) č. 1007/2008 (7) prodloužilo mandát agentury ENISA do března 2012. Nařízení Evropského parlamentu a Rady (EU) č. 580/2011 (8) dále prodloužilo mandát agentury ENISA do 13. září 2013. Nařízení (EU) č. 526/2013 prodloužilo mandát agentury ENISA do 19. června 2020.

(15)

Unie již podnikla důležité kroky k zajištění kybernetické bezpečnosti a zvýšení důvěry v digitální technologie. V roce 2013 byla přijata strategie kybernetické bezpečnosti Evropské unie jako základ pro politickou reakci Unie na kybernetické hrozby a rizika. Ve snaze lépe chránit občany v on-line prostředí Unie v roce 2016 přijala první legislativní akt v oblasti kybernetické bezpečnosti, směrnici Evropského parlamentu a Rady (EU) 2016/1148 (9). Směrnice (EU) 2016/1148 stanovila požadavky týkající se vnitrostátních kapacit v oblasti kybernetické bezpečnosti, zřídila první mechanismy pro posílení strategické a operativní spolupráce mezi členskými státy a zavedla povinnosti týkající se bezpečnostních opatření a hlášení o incidentech napříč odvětvími, která jsou zásadní pro hospodářství a pro společnost, jako například energetika, doprava, dodávky a rozvody pitné vody, bankovnictví, infrastruktura finančních trhů, zdravotnictví a digitální infrastruktura včetně poskytovatelů klíčových digitálních služeb (internetových vyhledávačů, služeb cloud computingu a on-line tržišť).

Klíčová role při podpoře provádění uvedené směrnice byla přisouzena agentuře ENISA. Kromě toho je účinný boj proti kyberkriminalitě důležitou prioritou Evropského programu pro bezpečnost, a přispívá tak k celkovému cíli dosažení vysoké úrovně kybernetické bezpečnosti. Jiné právní akty, jako je nařízení Evropského parlamentu a Rady (EU) 2016/679 (10) a směrnice Evropského parlamentu a Rady 2002/58/ES (11) a směrnice (EU) 2018/1972 (12),rovněž přispívají k vysoké míře kybernetické bezpečnosti na jednotném digitálním trhu.

(16)

Od přijetí strategie kybernetické bezpečnosti Evropské unie v roce 2013 a od poslední revize mandátu agentury ENISA se celkový politický kontext významně změnil s ohledem na více nejisté a méně bezpečné globální prostředí. Za těchto okolností a v souvislosti s pozitivním vývojem role agentury ENISA jakožto referenčního bodu pro poradenství a odborné znalosti a zprostředkovatele spolupráce a budování kapacit a v rámci nové politiky Unie v oblasti kybernetické bezpečnosti je nezbytné přezkoumat mandát agentury ENISA, vymezit její roli v měnícím se ekosystému kybernetické bezpečnosti a zajistit, aby účinně přispívala k reakci Unie na kybernetické bezpečnostní výzvy plynoucí z radikálně transformovaných kybernetických hrozeb, k čemuž, jak bylo uznáno při hodnocení agentury ENISA, není stávající mandát dostatečný.

(17)

Agentura ENISA zřízená tímto nařízením by měla být nástupcem agentury ENISA zřízené nařízením (EU) č. 526/2013. Agentura ENISA by měla plnit úkoly, které jí jsou svěřeny tímto nařízením a jinými právními akty Unie v oblasti kybernetické bezpečnosti, mimo jiné tím, že bude poskytovat poradenství a odborné znalosti a působit jako centrum informací a znalostí Unie. Měla by podporovat výměnu osvědčených postupů mezi členskými státy a zúčastněnými stranami ze soukromého sektoru, předkládat politická doporučení Komisi a členským státům, působit jako referenční místo pro odvětvové politické iniciativy Unie v souvislosti s otázkami kybernetické bezpečnosti a podporovat operativní spolupráci mezi členskými státy a mezi členskými státy a orgány, institucemi a jinými subjekty Unie.

(18)

V rámci rozhodnutí (2004/97/ES, Euratom), přijatém vzájemnou dohodou zástupců členských států, zasedajících na úrovni hlav států a předsedů vlád (13), zástupci členských států rozhodli, že agentura ENISA bude mít sídlo v Řecku ve městě, které určí řecká vláda. Hostitelský členský stát agentury by měl zajistit co nejlepší podmínky pro bezproblémové a účinné fungování agentury ENISA. V zájmu zajištění řádného a účinného plnění úkolů agentury ENISA, přijímání a udržení si zaměstnanců a v zájmu zvýšení účinnosti v oblasti vytváření sítí je naprosto nezbytné, aby bylo sídlo agentury ENISA vhodně umístěno, přičemž by mimo jiné mělo být zajištěno odpovídající dopravní spojení a zařízení pro manžely/manželky a děti zaměstnanců agentury. Nezbytná opatření by měla být stanovena v dohodě mezi agenturou ENISA a daným hostitelským členským státem uzavřené poté, co bude schválena správní rada agentury ENISA.

(19)

Vzhledem k nárůstu kybernetických bezpečnostních rizik a výzev, kterým Unie čelí, by měly být navýšeny finanční a lidské zdroje přidělené agentuře ENISA, aby odrážely širší úlohu a množství úkolů agentury a její zásadní postavení v ekosystému organizací bránících digitální ekosystém Unie a umožnily jí, aby účinně plnila úkoly, které jí byly svěřeny tímto nařízením.

(20)

Agentura ENISA by měla rozvíjet a udržovat vysokou úroveň odborných znalostí a působit jako referenční bod a díky své nezávislosti, kvalitě poskytovaného poradenství a informací, transparentnosti svých postupů a metod práce a pečlivosti, s níž plní svěřené úkoly, vytvářet důvěru v jednotný trh. Agentura ENISA by měla aktivně podporovat vnitrostátní úsilí a aktivně přispívat k úsilí Unie a plnit své úkoly v plné spolupráci s orgány, institucemi a jinými subjekty Unie a s členskými státy, přičemž by měla předcházet zdvojování práce a podporovat součinnost. Kromě toho by agentura ENISA měla reagovat na podněty od soukromého sektoru a jiných příslušných zúčastněných stran a spolupracovat s nimi. Měl by být určen soubor úkolů, jenž by stanovil, jak má agentura ENISA plnit své cíle, a současně umožňoval flexibilitu jejích činností.

(21)

Aby mohla agentura ENISA přiměřeně podporovat operativní spolupráci mezi členskými státy, měla by dále rozšířit své technické a lidské schopnosti a odborné dovednosti. Agentura ENISA by měla zvýšit své know-how a kapacity. Agentura ENISA a členské státy by mohly dobrovolně rozvíjet programy pro vysílání národních odborníků do agentury ENISA, vytvářet skupiny expertů a provádět výměnu pracovníků.

(22)

Agentura ENISA by měla být nápomocna Komisi prostřednictvím poradenství, stanovisek a analýz ke všem záležitostem Unie souvisejícím s rozvojem politiky a právních předpisů a prostřednictvím aktualizací a přezkumů v oblasti kybernetické bezpečnosti a jejích aspektů specifických pro jednotlivá odvětví s cílem zvýšit význam politik Unie a právních předpisů s rozměrem kybernetické bezpečnosti a umožnit soudržnost při provádění těchto politik a předpisů na vnitrostátní úrovni. Pro politiky Unie v konkrétních odvětvích a pro iniciativy Unie v oblasti právních předpisů by agentura ENISA měla působit jako referenční bod poskytující poradenství a odborné znalosti v případech, kdy se tyto politiky a iniciativy týkají otázek souvisejících s kybernetickou bezpečností. Agentura ENISA by měla Evropský parlament pravidelně informovat o své činnosti.

(23)

Veřejné jádro otevřeného internetu, tedy hlavní protokoly a infrastruktura, jež jsou globálním veřejným statkem, zajišťuje základní funkci internetu jako celku a je základem pro jeho běžný provoz. Agentura ENISA by měla podpořit bezpečnost veřejného jádra otevřeného internetu a stabilitu jeho fungování, včetně klíčových protokolů (zejména DNS, BGP, a IPv6), provozu systému doménových jmen (včetně provozu všech domén na vrcholné úrovni) a provozu root zone.

(24)

Základním úkolem agentury ENISA je prosazovat jednotné provádění příslušného právního rámce, zejména účinné provádění směrnice (EU) 2016/1148 a dalších příslušných právních nástrojů zahrnujících aspekty kybernetické bezpečnosti, což je zásadní pro zvýšení kybernetické odolnosti. S ohledem na rychle se vyvíjející oblast kybernetických hrozeb je zřejmé, že se členské státy musí opírat o komplexnější přístup k budování kybernetické odolnosti, který přesahuje jednotlivé politiky.

(25)

Agentura ENISA by měla být nápomocna členským státům a orgánům, institucím a jiným subjektům Unie v jejich úsilí o vytváření a rozvoj schopností a připravenosti předcházet kybernetickým hrozbám a incidentům, odhalovat je a reagovat na ně, a také v souvislosti s bezpečností sítí a informačních systémů. Agentura ENISA by zejména měla podporovat rozvoj a posilování vnitrostátních a unijních bezpečnostních týmů CSIRT podle směrnice (EU) 2016/1148 s cílem dosáhnout v Unii vysoké společné úrovně jejich vyspělosti. Činnosti prováděné agenturou ENISA ve vztahu k operativním kapacitám členských států by měly aktivně podporovat opatření přijatá členskými státy za účelem plnění jejich povinností vyplývajících ze směrnice (EU) 2016/1148, a tedy by je neměly nahrazovat.

(26)

Agentura ENISA by rovněž měla pomáhat s rozvíjením a aktualizováním strategií pro bezpečnost sítí a informačních systémů na úrovni Unie a členských států, pokud o to požádají, a to zejména strategií pro kybernetickou bezpečnost, a měla by podporovat šíření těchto strategií a sledovat pokrok při jejich provádění. Agentura ENISA by měla také přispívat k pokrytí potřeb ohledně školení a vzdělávacích materiálů, zejména potřeb veřejných subjektů, a případně ve velké míře „školit školitele“ na základě rámce digitálních kompetencí pro občany, a tím pomáhat členským státům a orgánům, institucím a jiným subjektům Unie při rozvoji jejich vlastních školicích kapacit.

(27)

Agentura ENISA by měla podporovat členské státy, pokud jde o zvyšování informovanosti a vzdělávání v oblasti kybernetické bezpečnosti usnadňováním těsnější koordinace a výměny osvědčených postupů mezi členskými státy. Tato podpora by mohla spočívat v rozvíjení sítě vnitrostátních kontaktních míst v oblasti vzdělávání a platformy odborné přípravy pro kybernetickou bezpečnost. Síť vnitrostátních kontaktních míst v oblasti vzdělávání by mohla být činná v rámci sítě národních styčných úředníků a být výchozím bodem pro budoucí koordinaci v rámci členských států.

(28)

Agentura ENISA by měla být nápomocna skupině pro spolupráci zřízené směrnicí (EU) 2016/1148 při provádění jejích úkolů, zejména prostřednictvím poskytování odborných znalostí a poradenství a prostřednictvím usnadňování výměny osvědčených postupů týkajících se rizik a incidentů, zejména pak pokud jde o určování provozovatelů základních služeb členskými státy, a to i ve vztahu k přeshraničním vazbám.

(29)

S cílem podněcovat spolupráci mezi veřejným a soukromým sektorem a v rámci soukromého sektoru, zejména za účelem podpory ochrany kritických infrastruktur, by agentura ENISA měla podporovat sdílení informací v rámci odvětví i mezi nimi, zejména v odvětvích uvedených v příloze II směrnice (EU) 2016/1148, a to poskytováním osvědčených postupů a pokynů ohledně dostupných nástrojů a postupů, jakož i pokynů ohledně toho, jak řešit otázky regulace týkající se sdílení informací, například usnadněním vytváření odvětvových středisek pro sdílení a analýzu informací.

(30)

Vzhledem k tomu, že možný negativní dopad zranitelností v produktech, službách a procesech IKT trvale narůstá, zjišťování a odstraňování těchto zranitelností hraje důležitou roli při snižování celkového kybernetického bezpečnostního rizika. Spolupráce mezi organizacemi, výrobci nebo poskytovateli takto zranitelných produktů, služeb a procesů IKT a členy výzkumné obce v oblasti kybernetické bezpečnosti a vládami, které zranitelnosti naleznou, prokazatelně značně zvyšuje míru zjištěných a odstraněných zranitelností v produktech, službách a procesech IKT. Koordinované zveřejňování zranitelností specifikuje strukturovaný proces spolupráce, v jehož rámci je o zranitelnostech informován vlastník informačního systému, čímž se organizaci umožní diagnostikovat a odstranit zranitelnost dříve, než budou podrobné informace o ní sděleny třetím stranám nebo veřejnosti. V rámci tohoto procesu je rovněž zajištěna koordinace mezi tím, kdo zranitelnost nalezl, a organizací, pokud jde o zveřejnění uvedených zranitelností. Politika koordinovaného zveřejňování zranitelností by mohla hrát významnou roli v úsilí členských států o zlepšení kybernetické bezpečnosti.

(31)

Agentura ENISA by měla agregovat a analyzovat dobrovolně sdílené vnitrostátní zprávy od týmů CSIRT a interinstitucionálního týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie zřízeného na základě ujednání mezi Evropským parlamentem, Evropskou radou, Radou Evropské unie, Evropskou komisí, Soudním dvorem Evropské unie, Evropskou centrální bankou, Evropským účetním dvorem, Evropskou službou pro vnější činnost, Evropským hospodářským a sociálním výborem, Evropským výborem regionů a Evropskou investiční bankou o organizaci a fungování týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU) (14), s cílem přispět ke stanovování společných postupů, jazyka a terminologie pro výměnu informací. Agentura ENISA by v této souvislosti rovněž měla zapojit soukromý sektor v rámci směrnice (EU) 2016/1148, která stanoví základ pro dobrovolnou výměnu technických informací na operativní úrovni v rámci sítě týmů CSIRT (dále jen „síť CSIRT“) vytvořené uvedenou směrnicí.

(32)

V případě rozsáhlých přeshraničních incidentů a krizí v oblasti kybernetické bezpečnosti by agentura ENISA měla přispět k reakci na úrovni Unie. Tato úloha by měla být vykonávána v souladu s mandátem agentury ENISA podle tohoto nařízení a členské státy by měly dohodnout přístup v rámci doporučení Komise (EU) 2017/1584 (15) a v rámci závěrů Rady ze dne 26. června 2018 o koordinované reakci EU na rozsáhlé kybernetické bezpečnostní incidenty a krize. Úloha by mohla zahrnovat shromažďování příslušných informací a působení jako zprostředkovatel mezi sítí CSIRT a technickou komunitou a mezi subjekty s rozhodovací pravomocí příslušnými pro krizové řízení. Agentura ENISA by dále měla podporovat operativní spolupráci mezi členskými státy, pokud o to jeden či více členských států žádá, při řešení incidentů po technické stránce, a to usnadňováním příslušné výměny technických řešení mezi členskými státy a poskytováním vstupů do veřejných komunikací. Agentura ENISA by měla tuto operativní spolupráci podporovat testováním způsobů takové spolupráce prostřednictvím pravidelných cvičení v oblasti kybernetické bezpečnosti.

(33)

Při podpoře operativní spolupráce by agentura ENISA měla využít dostupné technické a operativní odborné znalosti týmu CERT-EU, a to prostřednictvím strukturované spolupráce. Tato strukturovaná spolupráce by mohla vycházet z odborných znalostí agentury ENISA. V případě potřeby by měla být učiněna speciální ujednání mezi oběma subjekty o praktické podobě takové spolupráce a mělo by se zabránit zdvojování činností.

(34)

Při plnění svých úkolů pro podporu operativní spolupráce v rámci sítě týmů CSIRT by agentura ENISA měla být schopna poskytnout členským státům na jejich žádost podporu, například ve formě poradenství ohledně způsobu zlepšení jejich schopností předcházet incidentům, odhalovat je a reagovat na ně usnadněním technického řešení incidentů, které mají závažný nebo významný dopad, nebo prostřednictvím zajišťování analýz kybernetických hrozeb a incidentů. Agentura ENISA by měla usnadňovat technické řešení incidentů, které mají závažný nebo významný dopad, zejména podporou dobrovolného sdílení technických řešení mezi členskými státy nebo aby vytvářela kombinované technické informace, jako jsou technická řešení dobrovolně sdílená členskými státy. Doporučení (EU) 2017/1584 doporučuje, aby členské státy spolupracovaly v dobré víře a aby mezi sebou a s agenturou ENISA bez zbytečného odkladu sdílely informace o rozsáhlých incidentech a krizích v oblasti kybernetické bezpečnosti. Tyto informace by agentuře ENISA dále pomohly při plnění jejích úkolů na podporu operativní spolupráce.

(35)

Jako součást pravidelné spolupráce na technické úrovni na podporu informovanosti Unie o aktuální situaci by agentura ENISA měla v úzké spolupráci s členskými státy připravovat pravidelné podrobné technické zprávy EU o situaci v oblasti kybernetické bezpečnosti týkající se incidentů a kybernetických hrozeb, a to na základě veřejně dostupných informací, svých vlastních analýz a zpráv, které s ní sdílejí týmy CSIRT členských států nebo jednotná kontaktní místa pro oblast bezpečnosti sítí a informačních systémů (dále jen „jednotná kontaktní místa“) zřízená podle směrnice (EU) 2016/1148 (v obou případech dobrovolně), Evropské centrum pro boj proti kyberkriminalitě (EC3) při Europolu, tým CERT-EU a případně Středisko Evropské unie pro analýzu zpravodajských informací (EU INTCEN) při Evropské službě pro vnější činnost. Zpráva by měla být k dispozici Radě, Komisi, vysokému představiteli Unie pro zahraniční věci a bezpečnostní politiku a síti CSIRT.

(36)

Podpora agentury ENISA ve vztahu k následným technickým šetřením incidentů se závažným nebo významným dopadem prováděným na základě žádosti dotčených členských států by se měla zaměřovat na předcházení budoucím incidentům. Dotčené členské státy by měly poskytnout nezbytné informace a pomoc s cílem umožnit agentuře ENISA následné technické šetření účinně podpořit.

(37)

Členské státy mohou podniky dotčené incidentem vyzvat, aby spolupracovaly tak, že agentuře ENISA poskytnou nezbytné informace a veškerou pomoc, aniž je dotčeno jejich právo na ochranu obchodně citlivých informací a informací důležitých z hlediska veřejné bezpečnosti.

(38)

K lepšímu pochopení výzev v oblasti kybernetické bezpečnosti a s cílem poskytovat členským státům a orgánům, institucích a jiným subjektům Unie dlouhodobé strategické poradenství je třeba, aby agentura ENISA analyzovala současná a nově se objevující kybernetická bezpečnostní rizika. Za tímto účelem by agentura ENISA měla, ve spolupráci s členskými státy a případně statistickými orgány a dalšími subjekty, shromažďovat příslušné veřejně dostupné nebo dobrovolně sdílené informace, provádět analýzy nově vznikajících technologií a poskytovat konkrétně zaměřená posouzení společenských, právních, hospodářských a regulačních dopadů technologických inovací na bezpečnost sítí a informací, zejména na kybernetickou bezpečnost. Agentura ENISA by měla také podporovat členské státy a orgány, instituce a jiné subjekty Unie při určování nových kybernetických bezpečnostních rizik a při předcházení incidentům tak, že bude provádět analýzy kybernetických hrozeb, zranitelností a incidentů.

(39)

Za účelem zvýšení odolnosti Unie by agentura ENISA měla rozvíjet odborné znalosti v oblasti kybernetické bezpečnosti infrastruktur, zejména na podporu odvětví uvedených v příloze II směrnice (EU) 2016/1148 a odvětví využitých poskytovateli digitálních služeb uvedených v příloze III uvedené směrnice, a to poskytováním poradenství, vydáváním pokynů a výměnou osvědčených postupů. S cílem zajistit snazší přístup k lépe strukturovaným informacím o kybernetických bezpečnostních rizicích a o možných prostředcích nápravy by agentura ENISA měla vytvořit a spravovat „informační centrum“ Unie, jednotný portál („one-stop-shop“) poskytující veřejnosti informace o kybernetické bezpečnosti získané od unijních a vnitrostátních organizací, institucí a subjektů. Usnadnění přístupu k lépe strukturovaným informacím o kybernetických bezpečnostních rizicích a o možných prostředcích nápravy rovněž může pomoci členským státům rozvíjet jejich schopnosti a sladit jejich postupy, aby došlo ke zvýšení jejich celkové odolnosti vůči kybernetickým útokům.

(40)

Agentura ENISA by měla přispívat ke zvyšování informovanosti veřejnosti ohledně kybernetických bezpečnostních rizik, rovněž prostřednictvím celounijních informačních kampaní, podpory vzdělávání a poskytování pokynů a osvědčených postupů pro jednotlivé uživatele zaměřených na občany, organizace a podniky. Agentura ENISA by rovněž měla přispívat k podpoře osvědčených postupů a řešení, včetně kybernetické hygieny a počítačové gramotnosti na úrovni občanů, organizací a podniků, a to shromažďováním a analyzováním veřejně dostupných informací týkajících se závažných incidentů a sestavováním a zveřejňováním zpráv a pokynů pro občany, organizace a podniky ke zlepšení celkové úrovně jejich připravenosti a odolnosti. Agentura ENISA by se měla rovněž snažit poskytovat spotřebitelům příslušné informace o platných systémech certifikace, například poskytnutím pokynů a doporučení. Agentura ENISA by dále měla v souladu s akčním plánem digitálního vzdělávání stanoveným sdělením Komise ze dne 17. ledna 2018 a ve spolupráci s členskými státy a orgány, institucemi a jinými subjekty Unie organizovat pravidelné veřejné vzdělávací kampaně pro koncové uživatele s cílem podporovat bezpečnější chování jednotlivců na internetu a zvyšovat digitální gramotnost a informovanost o potenciálních kybernetických hrozbách, včetně počítačové kriminality jako phishingové útoky, botnety, finanční a bankovní podvody, incidenty s datovými podvody, a podporovat základní multifaktoriální ověřování, patching, šifrování, anonymizaci a ochranu údajů.

(41)

Agentura by měla hrát ústřední úlohu při urychlování informovanosti koncových uživatelů o bezpečnosti zařízení a bezpečném používání služeb a měla by na úrovni Unie prosazovat bezpečnost a ochranu soukromí již od fáze návrhu. Při sledování tohoto cíle by agentura ENISA měla využít dostupné osvědčené postupy a zkušenosti získané zejména od akademických institucí a výzkumných pracovníků v oblasti bezpečnosti informačních technologií.

(42)

Za účelem podpory podniků působících v odvětví kybernetické bezpečnosti a rovněž uživatelů řešení v oblasti kybernetické bezpečnosti by agentura ENISA měla vytvořit a provozovat „středisko pro sledování trhu“ prostřednictvím provádění pravidelných analýz a šíření informací o hlavních trendech na trhu kybernetické bezpečnosti, a to jak na straně poptávky, tak na straně nabídky.

(43)

Agentura ENISA by měla přispět k úsilí Unie o spolupráci s mezinárodními organizacemi, jakož i v rámci příslušných mezinárodních rámců spolupráce v oblasti kybernetické bezpečnosti. Agentura ENISA by měla zejména případně přispět ke spolupráci s organizacemi, jako je OECD, OBSE a NATO. Taková spolupráce by mohla zahrnovat společná cvičení v oblasti kybernetické bezpečnosti a koordinaci společné reakce na incidenty. Tyto činnosti mají být vykonávány při plném dodržení zásad inkluzivnosti, reciprocity a rozhodovací samostatnosti Unie, aniž je dotčena zvláštní povaha bezpečnostní a obranné politiky kteréhokoliv členského státu.

(44)

Aby bylo zajištěno, že agentura ENISA plně dosahuje svých cílů, měla by spolupracovat s příslušnými orgány dohledu Unie a jinými příslušnými orgány v Unii, s orgány, institucemi a jinými subjekty Unie, včetně týmu CERT-EU, EC3, Evropské obranné agentury (EDA), Agentury pro evropský globální navigační družicový systém (Agentura pro evropský GNSS), Sdružení evropských regulačních orgánů v oblasti elektronických komunikací (BEREC), Evropské agentury pro provozní řízení rozsáhlých informačních systémů v oblasti svobody, bezpečnosti a práva (eu-LISA), Evropské centrální banky (ECB), Evropského orgánu pro bankovnictví (EBA), Evropského sboru pro ochranu osobních údajů, Agentury pro spolupráci energetických regulačních orgánů (ACER), Agentury Evropské unie pro bezpečnost letectví (EASA) a všech dalších agentur Unie zapojených do kybernetické bezpečnosti. Agentura ENISA by měla rovněž spolupracovat s orgány zabývajícími se ochranou údajů, a to za účelem výměny know-how a osvědčených postupů a měla by poskytovat poradenství ohledně otázek kybernetické bezpečnosti, které mohou mít dopad na práci těchto orgánů. Zástupcům vnitrostátních a unijních donucovacích orgánů a orgánů na ochranu údajů by měla být umožněna účast v poradní skupině agentury ENISA. Při spolupráci s donucovacími orgány týkající se otázek bezpečnosti sítí a informací, které by mohly mít dopad na jejich práci, by agentura ENISA měla respektovat stávající informační kanály a zavedené sítě.

(45)

Mohla by být navázána partnerství s akademickými institucemi, které realizují výzkumné iniciativy v příslušných oblastech, a měly by existovat příslušné kanály k předávání podnětů spotřebitelských a dalších organizací, které by měly být zohledněny.

(46)

Agentura ENISA ve funkci sekretariátu sítě CSIRT by měla podporovat týmy CSIRT členských států a tým CERT-EU při operativní spolupráci ve vztahu ke všem příslušným úkolům sítě CSIRT, jak jsou vymezeny ve směrnici (EU) 2016/1148. Agentura ENISA by dále měla prosazovat a podporovat spolupráci mezi příslušnými týmy CSIRT v případě incidentů, útoků či poruch sítí nebo infrastruktury, které jsou spravovány nebo chráněny týmy CSIRT a které postihují nebo mohou postihnout alespoň dva týmy CSIRT, přičemž by měla náležitě zohlednit standardní operační postupy sítě CSIRT.

(47)

Za účelem zvýšení připravenosti Unie v oblasti reakce na incidenty by agentura ENISA měla pořádat pravidelná cvičení v oblasti kybernetické bezpečnosti na úrovni Unie a poskytovat na žádost podporu členským státům a institucím, orgánům a jiným subjektům Unie při pořádání takových cvičení. Jednou za dva roky by se měla pořádat rozsáhlá komplexní cvičení, která zahrnují technické, operativní nebo strategické prvky. Agentura ENISA by navíc měla mít možnost pravidelně pořádat méně komplexní cvičení se stejným cílem zvýšit připravenost Unie v reakci na incidenty.

(48)

Agentura ENISA by měla dále rozvíjet a udržovat svoji odbornost v oblasti certifikace kybernetické bezpečnosti s cílem podporovat politiku Unie v této oblasti. Agentura ENISA by měla za účelem zvýšení transparentnosti záruk kybernetické bezpečnosti produktů, služeb a procesů IKT a s tím souvisejícího posílení důvěry v digitální vnitřní trh a jeho konkurenceschopnosti navazovat na stávající osvědčené postupy a prosazovat zavádění certifikace kybernetické bezpečnosti v Unii, a to včetně toho, že bude přispívat k zavedení a správě rámce pro certifikaci kybernetické bezpečnosti na úrovni Unie (evropský rámec pro certifikaci kybernetické bezpečnosti).

(49)

Účinná politika v oblasti kybernetické bezpečnosti by měla být založena na pečlivě vyvinutých metodách posuzování rizika ve veřejném i v soukromém sektoru. Metody posuzování rizika se používají na různých úrovních, aniž by existoval jednotný systém, který by zaručoval jejich účinné uplatňování. Podpora a rozvoj osvědčených postupů posuzování rizika a interoperabilních řešení řízení rizik u organizací veřejného a soukromého sektoru zvýší úroveň kybernetické bezpečnosti v Unii. Agentura ENISA by měla za tímto účelem podporovat spolupráci mezi zúčastněnými stranami na úrovni Unie a usnadňovat jejich úsilí zaměřené na vytvoření a používání evropských a mezinárodních standardů řízení rizik a měřitelné bezpečnosti elektronických produktů, systémů, sítí a služeb, které společně se softwarem tvoří sítě a informační systémy.

(50)

Agentura ENISA by měla vybízet členské státy a výrobce a poskytovatele produktů, služeb a procesů IKT, aby zvýšili své obecné standardy v oblasti bezpečnosti, a umožnili tak všem uživatelům internetu podniknout potřebné kroky k zajištění své vlastní kybernetické bezpečnosti, a měla by k tomu poskytovat podněty. Výrobci a poskytovatelé produktů, služeb a procesů IKT by měli zejména poskytnout nezbytné aktualizace a stáhnout z trhu nebo z oběhu či recyklovat produkty, služby a procesy IKT, které nesplňují základní normy v oblasti kybernetické bezpečnosti, a dovozci a distributoři by měli zajistit, aby produkty, služby a procesy IKT, které uvádějí na trh Unie, odpovídaly platným požadavkům a nepředstavovaly pro spotřebitele v Unii riziko.

(51)

Agentura ENISA by měla mít možnost ve spolupráci s příslušnými orgány šířit informace týkající se úrovně kybernetické bezpečnosti produktů, služeb a procesů IKT nabízených na vnitřním trhu a měla by vydávat varování, která jsou určená výrobcům a poskytovatelům produktů, služeb a procesů IKT a která od nich požadují, aby zvýšili bezpečnost svých produktů, služeb a procesů IKT, včetně kybernetické bezpečnosti.

(52)

Agentura ENISA by měla plně zohlednit činnosti probíhající v oblasti výzkumu, vývoje a technologického hodnocení, zejména činnosti prováděné v rámci různých výzkumných iniciativ Unie, aby mohla orgánům, institucím a jiným subjektům Unie a případně členským státům, které o to požádají, poskytovat poradenství ohledně potřeb a priorit výzkumu v oblasti kybernetické bezpečnosti. S cílem určit potřeby a priority v oblasti výzkumu by agentura ENISA měla rovněž konzultovat příslušné skupiny uživatelů. Konkrétně je možno navázat spolupráci s Evropskou radou pro výzkum a Evropským inovačním a technologickým institutem, jakož i s Ústavem Evropské unie pro studium bezpečnosti.

(53)

Agentura ENISA by měla pravidelně konzultovat s organizacemi pro normalizaci, zejména s evropskými normalizačními organizacemi, při vypracovávání evropských systémů certifikace kybernetické bezpečnosti.

(54)

Kybernetické hrozby jsou globální záležitostí. Je nutná užší mezinárodní spolupráce pro zvýšení standardů kybernetické bezpečnosti, včetně stanovení společných norem chování, přijetí kodexů chování a používání mezinárodních norem, a lepší výměna informací, jež by podpořila pružnější mezinárodní spolupráci v reakci na problémy týkající se bezpečnosti sítí a informací a prosazování společného globálního přístupu k nim. Agentura ENISA by za tímto účelem měla podporovat větší zapojení Unie a spolupráci se třetími zeměmi a mezinárodními organizacemi tím, že případně poskytne nezbytné odborné znalosti a analýzy příslušným orgánům, institucím a jiným subjektům Unie.

(55)

Agentura ENISA by měla být schopna reagovat na žádosti ad hoc o poradenství a pomoc od členských států a orgánů, institucí a jiných subjektů Unie, které se týkají záležitostí spadajících do mandátu agentury ENISA.

(56)

Je opodstatněné a doporučuje se zavést určité zásady týkající se řízení agentury ENISA, aby bylo naplněno společné prohlášení a společný přístupu, na nichž se v červenci 2012 dohodla interinstitucionální pracovní skupina pro decentralizované agentury EU a jejichž účelem je zjednodušit činnost decentralizovaných agentur a zlepšit jejich výkonnost. Doporučení ze společného prohlášení a společného přístupu by rovněž měla být odpovídajícím způsobem zohledněna v pracovních programech agentury ENISA, hodnoceních agentury ENISA a v postupech, které agentura ENISA používá pro podávání zpráv a v administrativě.

(57)

Správní rada složená ze zástupců členských států a Komise by měla vymezit obecné směry činnosti agentury ENISA a zaručit, že bude své úkoly plnit v souladu s tímto nařízením. Správní radě by měly být svěřeny pravomoci potřebné pro sestavování rozpočtu, ověřování jeho plnění, schvalování příslušných finančních pravidel, stanovení transparentních pracovních postupů pro přijímání rozhodnutí agentury ENISA, schvalování jednotného programového dokumentu agentury ENISA, přijímání jejího jednacího řádu, jmenování výkonného ředitele a rozhodování o prodloužení a ukončení funkčního období výkonného ředitele.

(58)

V zájmu řádného a účinného fungování agentury ENISA by Komise a členské státy měly zajistit, aby osoby, které mají být jmenovány členy správní rady, měly patřičnou odbornou kvalifikaci a zkušenosti. Komise a členské státy by měly usilovat o omezení obměny svých zástupců ve správní radě, aby byla zajištěna kontinuita její činnosti.

(59)

Řádné fungování agentury ENISA vyžaduje, aby byl její výkonný ředitel jmenován na základě projevených kvalit a doložených administrativních a řídicích schopností a rovněž odbornosti a zkušeností v oblasti kybernetické bezpečnosti. Výkonný ředitel by měl své povinnosti vykonávat zcela nezávisle. Výkonný ředitel by měl za tímto účelem po předchozích konzultacích s Komisí zpracovat návrh ročního pracovního programu agentury ENISA a učinit veškeré kroky nezbytné k zajištění jeho řádného plnění. Výkonný ředitel by měl vypracovávat výroční zprávy o provádění ročního pracovního programu agentury ENISA, které se předloží správní radě, a návrh odhadu příjmů a výdajů agentury ENISA a měl by plnit rozpočet. Výkonný ředitel by měl mít dále možnost sestavovat ad hoc pracovní skupiny, které by se věnovaly konkrétním otázkám, zejména vědecké, technické nebo právní či socioekonomické povahy. Zřízení ad hoc pracovní skupiny je považováno za nezbytné zejména v souvislosti s vypracováním konkrétního návrhu evropského systému certifikace kybernetické bezpečnosti (dále jen „návrh systému“). Výkonný ředitel by měl zajistit, aby byli členové ad hoc pracovní skupiny vybráni na základě nejvyšších standardů odborných znalostí a při snaze řádně zohlednit genderovou vyváženost a rovnovážné zastoupení podle obsahu činnosti mezi zástupci veřejné správy členských států, zástupci orgánů, institucí a jiných subjektů Unie, zástupci soukromého sektoru, včetně průmyslového odvětví, a zástupci uživatelů a vědeckých odborníků v oblasti bezpečnosti sítí a informací.

(60)

Výkonná rada by měla přispívat k účinnému fungování správní rady. Jako součást své přípravné činnosti související s rozhodnutími správní rady by měla podrobně prověřit příslušné informace, prozkoumat dostupné možnosti a nabídnout poradenství a řešení pro přípravu rozhodnutí správní rady.

(61)

Pro pravidelný dialog se soukromým sektorem, organizacemi spotřebitelů a ostatními významnými zúčastněnými stranami by agentura ENISA měla mít poradní skupinu agentury ENISA jako svůj poradní orgán. Tato skupina, ustavená správní radou na návrh výkonného ředitele, by se měla věnovat otázkám, které mají význam pro zúčastněné strany, a měla by je předkládat agentuře ENISA. Poradní skupina agentury ENISA by měla být zejména konzultována k návrhu ročního pracovního programu agentury ENISA. Složení poradní skupiny agentury ENISA a úkoly, jimiž je pověřena, by měly zajistit dostatečné zastoupení zúčastněných stran na činnosti agentury ENISA.

(62)

Měla by být zřízena Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti, aby agentuře ENISA a Komisi pomohla usnadňovat konzultace s příslušnými zúčastněnými stranami. Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti by měla být složena z členů zastupujících vyváženě a přiměřeně průmyslové odvětví, a to na straně poptávky i nabídky produktů a služeb IKT, a zahrnující zejména malé a střední podniky, poskytovatele digitálních služeb, evropské a mezinárodní normalizační orgány, vnitrostátní akreditační orgány, orgány dozoru pro ochranu údajů a subjekty posuzování shody podle nařízení Evropského parlamentu a Rady(ES) č. 765/2008 (16), akademickou obec i spotřebitelské organizace.

(63)

Agentura ENISA by měla mít zavedena pravidla týkající se prevence a řešení střetu zájmů. Agentura ENISA by rovněž měla uplatňovat odpovídající ustanovení práva Unie týkající se přístupu veřejnosti k dokumentům podle nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 (17). Osobní údaje by měly být agenturou ENISA zpracovávány v souladu s nařízením Evropského parlamentu a Rady (EU) 2018/1725 (18). Agentura ENISA by měla zejména dodržovat předpisy vztahující se na orgány, instituce a jiné subjekty Unie a rovněž vnitrostátní předpisy o nakládání s informacemi, zejména s citlivými neutajovanými informacemi a utajovanými informacemi Evropské unie.

(64)

Aby byla zaručena plná autonomie a nezávislost agentury ENISA a bylo jí umožněno vykonávat další úkoly, včetně nečekaných naléhavých úkolů, měla by mít k dispozici dostatečný a samostatný rozpočet, který je rozhodující měrou financován z příspěvků Unie a z příspěvků třetích zemí podílejících se na práci agentury ENISA. Aby mohla agentura ENISA plnit rostoucí objem svých úkolů a dosahovat své cíle, je mimořádně důležité, aby měla k dispozici přiměřený rozpočet. Většina zaměstnanců agentury ENISA by se měla přímo podílet na operativním plnění mandátu agentury ENISA. Hostitelský nebo jakýkoli jiný členský stát by měl mít možnost poskytnout dobrovolné příspěvky do rozpočtu agentury ENISA. Všechny subvence ze souhrnného rozpočtu Unie by měly podléhat rozpočtovému procesu Unie. Účetní dvůr by měl navíc provádět audit účetnictví agentury ENISA s cílem zajistit transparentnost a odpovědnost.

(65)

Certifikace kybernetické bezpečnosti hraje důležitou úlohu při zvyšování důvěry v produkty, služby a procesy IKT a při zvyšování jejich bezpečnosti. Jednotný digitální trh a zejména ekonomika dat a internet věcí se mohou rozvíjet, pouze bude-li existovat obecná důvěra veřejnosti, že dané produkty, služby a procesy poskytují určitou úroveň kybernetické bezpečnosti. Propojené a automatizované automobily, elektronické zdravotnické prostředky, průmyslové automatizační řídicí systémy nebo inteligentní sítě, to je pouze několik příkladů odvětví, v nichž je certifikace již široce využívána, nebo je pravděpodobné, že v blízké budoucnosti využívána bude. Odvětví regulovaná směrnicí (EU) 2016/1148 jsou zároveň odvětvími, v nichž má certifikace kybernetické bezpečnosti zásadní význam.

(66)

Komise ve svém sdělení „Posílení evropského systému kybernetické odolnosti a podpora konkurenceschopného a inovativního odvětví kybernetické bezpečnosti“ z roku 2016 nastínila potřebu vysoce kvalitních, cenově dostupných a interoperabilních produktů a řešení v oblasti kybernetické bezpečnosti. Dodávky produktů, služeb a procesů IKT v rámci jednotného trhu jsou geograficky velmi roztříštěné. Důvodem je skutečnost, že odvětví kybernetické bezpečnosti v Evropě se vyvíjelo převážně na základě poptávky vnitrostátních vlád. Mezi další nedostatky, které ovlivňují jednotný trh v oblasti kybernetické bezpečnosti, patří dále absence interoperabilních řešení (technických norem), postupů a unijních mechanismů pro certifikaci. To snižuje konkurenceschopnost podniků Unie na vnitrostátní, unijní i celosvětové úrovni. Rovněž to omezuje výběr funkčních a užitečných technologií kybernetické bezpečnosti, ke kterým mají občané a podniky přístup. Podobně Komise ve svém sdělení k přezkumu v polovině období provádění strategie pro jednotný digitální trh – propojený jednotný digitální trh pro všechny z roku 2017 zdůraznila potřebu bezpečných propojených produktů a systémů a uvedla, že vytvoření evropského bezpečnostního rámce IKT stanovujícího pravidla pro systémy certifikace bezpečnosti IKT v Unii by mohlo zachovat důvěru v internet a řešit stávající roztříštěnost vnitřního trhu.

(67)

Certifikace kybernetické bezpečnosti produktů, služeb a procesů IKT je v současné době využívána pouze v omezené míře. Pokud existuje, pak převážně na úrovni členských států nebo v rámci systémů definovaných potřebami průmyslového odvětví. V této souvislosti není certifikát vydaný jedním vnitrostátním orgánem pro certifikaci kybernetické bezpečnosti v zásadě není uznáván v jiných členských státech. Společnosti proto musí své produkty, služby a procesy IKT certifikovat v několika členských státech, v nichž působí, například s cílem účastnit se vnitrostátních zadávacích řízení, a tím se zvyšují jejich náklady. Kromě toho, i když se objevují nové systémy, zdá se, že pokud jde o horizontální otázky kybernetické bezpečnosti, např. v oblasti internetu věcí, neexistuje žádný jednotný a ucelený přístup. Stávající systémy vykazují významné nedostatky a rozdíly z hlediska pokrytí produktů, úrovní záruk, podstatných kritérií a skutečného využití, což je na překážku mechanismům vzájemného uznávání v rámci Unie.

(68)

Bylo vynaloženo určité úsilí k zajištění vzájemného uznávání certifikátů v Unii. Toto úsilí však bylo úspěšné pouze částečně. Nejdůležitějším příkladem je v tomto ohledu dohoda skupiny vyšších úředníků – bezpečnost informačních systémů (SOG-IS) o vzájemném uznávání. Ačkoliv dohoda skupiny SOG-IS o vzájemném uznávání představuje nejdůležitější model spolupráce a vzájemného uznávání v oblasti certifikace bezpečnosti, zahrnuje tato skupina pouze některé členské státy. To z pohledu vnitřního trhu účinnost dohody skupiny SOG-IS o vzájemném uznávání omezuje.

(69)

Je tedy nezbytné přijmout společný přístup a zřídit evropský rámec certifikace kybernetické bezpečnosti, který stanoví hlavní horizontální požadavky pro evropské systémy certifikace kybernetické bezpečnosti, které mají být vypracovány, a umožní, aby byly evropské certifikáty kybernetické bezpečnosti a EU prohlášení o shodě pro produkty, služby a procesy IKT uznávané a používané ve všech členských státech. Zásadní přitom je stavět na stávajících vnitrostátních a mezinárodních systémech a rovněž na systémech vzájemného uznávání, zejména systému skupiny SOG-IS, a umožnit hladký přechod ze stávajících systémů v rámci těchto systémů na systémy podle tohoto nového evropského rámce pro certifikaci kybernetické bezpečnosti. Evropský rámec pro certifikaci kybernetické bezpečnosti by měl mít dvojí účel. Za prvé by měl pomoci zvýšit důvěru v produkty, služby a procesy IKT, které byly certifikovány podle evropských systémů certifikace kybernetické bezpečnosti. Za druhé by měl pomoci zabránit násobení protichůdných nebo odporujících si vnitrostátních systémů pro certifikací kybernetické bezpečnosti, a tím snížit náklady podniků působících na jednotném digitálním trhu. Evropské systémy certifikace kybernetické bezpečnosti by měly být nediskriminační a měly by být založeny na evropských nebo mezinárodních normách, pokud tyto normy nejsou neúčinné nebo nevhodné k dosažení cílů Unie, které jsou v tomto ohledu oprávněné.

(70)

Evropský rámec pro certifikaci kybernetické bezpečnosti by měl být jednotně zaveden ve všech členských státech, aby se zabránilo spekulativnímu výběru místa pro certifikaci v závislosti na rozdílné přísnosti požadavků v různých členských státech.

(71)

Evropské systémy certifikace kybernetické bezpečnosti by měly vycházet z toho, co již existuje na mezinárodní i vnitrostátní úrovni, a v případě nutnosti z technických specifikací z fór a konsorcií a měly by využít poznatků o stávajících silných stránkách a poznatků z vyhodnocování a oprav zranitelností.

(72)

Flexibilní řešení v oblasti kybernetické bezpečnosti jsou nezbytná pro to, aby si průmyslové odvětví udržovalo náskok před kybernetickými hrozbami, a proto by měl být každý systém certifikace navržen tak, aby se vyhnul riziku rychlé ztráty aktuálnosti.

(73)

Komisi by měla být svěřena pravomoc přijímat evropské systémy certifikace kybernetické bezpečnosti týkající se konkrétních skupin produktů, služeb a procesů IKT. Tyto systémy by měly provádět a dozor nad nimi by měly vykonávat vnitrostátní orgány certifikace kybernetické bezpečnosti a certifikáty vydané v rámci těchto systémů by měly být platné a uznávané v celé Unii. Systémy certifikace provozované průmyslovým odvětvím nebo jinými soukromými organizacemi by měly spadat mimo oblast působnosti tohoto nařízení. Subjekty provozující tyto systémy by však měly mít možnost Komisi navrhnout, aby tyto systémy zvážila jako základ pro jejich schválení jakožto evropského systému certifikace kybernetické bezpečnosti.

(74)

Ustanoveními tohoto nařízení by neměly být dotčeno Unie stanovující zvláštní pravidla týkající se certifikace produktů, služeb a procesů IKT. Zejména nařízení (EU) 2016/679 stanoví pravidla pro zavedení mechanismů pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů pro účely prokázání souladu s uvedeným nařízením v případě operací zpracování prováděných správci a zpracovateli. Tyto mechanismy pro vydávání osvědčení a pečetě a známky dokládající ochranu údajů by měly subjektům údajů u příslušných produktů, služeb a procesů IKT umožnit rychlé posouzení úrovně ochrany údajů. Tímto nařízením není dotčeno vydávání osvědčení pro operace zpracování údajů podle nařízení (EU) 2016/679, včetně situací, kdy jsou tyto operace již zahrnuty v produktech, službách a procesech IKT.

(75)

Účelem evropských systémů certifikace kybernetické bezpečnosti by mělo být zajistit, aby produkty, služby a procesy IKT certifikované podle takového systému splňovaly konkrétní požadavky, které mají za cíl chránit dostupnost, autentičnost, integritu a důvěrnost uchovávaných, předávaných nebo zpracovávaných údajů nebo souvisejících funkcí nebo služeb nabízených nebo dostupných prostřednictvím těchto produktů, služeb a procesů v rámci jejich životního cyklu. V tomto nařízení není možné podrobně stanovit požadavky na kybernetickou bezpečnosti týkající se všech produktů, služeb a procesů IKT. Produkty, služby a procesy IKT a s nimi související potřeby v oblasti kybernetické bezpečnosti jsou natolik rozmanité, že je velmi obtížné vypracovat obecné požadavky na kybernetickou bezpečnost, které by byly platné za všech okolností. Proto je pro účely certifikace nutné přijmout obecný a široký obsah pojmu kybernetická bezpečnost, který by měl být doplněn souborem konkrétních cílů v oblasti kybernetické bezpečnosti, které je třeba zohlednit při navrhování evropských systémů certifikace kybernetické bezpečnosti. Způsoby, jimiž bude těchto cílů u konkrétních produktů, služeb a procesů IKT dosaženo, by poté měly být dále podrobně specifikovány na úrovni jednotlivých systémů certifikace přijatých Komisí, například prostřednictvím odkazu na normy nebo technické specifikace, nejsou-li dostupné odpovídající normy.

(76)

Technické specifikace, které by měly být využity v evropských systémech certifikace kybernetické bezpečnosti, by měly dodržovat požadavky stanovené v příloze II nařízení Evropského parlamentu a Rady (EU) č. 1025/2012 (19). Některé odchylky od těchto požadavků by však mohly být v řádně odůvodněných případech považovány za nezbytné, pokud tyto technické specifikace musí být využity v evropském systému certifikace kybernetické bezpečnosti s odkazem na úroveň záruky „vysoká“. Důvody pro takové odchylky by měly být zveřejněny.

(77)

Posuzování shody je procesem zhodnocení, zda byly splněny stanovené požadavky týkající se produktu, služby nebo procesu IKT. Tento proces provádí nezávislá třetí strana, odlišná od výrobce posuzovaného produktu IKT nebo poskytovatele posuzované služby či procesu IKT. V návaznosti na úspěšné hodnocení produktu, služby nebo procesu IKT by měl být vydán evropský certifikát kybernetické bezpečnosti. Evropský certifikát kybernetické bezpečnosti je třeba považovat za potvrzení toho, že posouzení bylo řádně provedeno. V závislosti na úrovni záruky by evropský systém certifikace kybernetické bezpečnosti měl uvádět, zda evropský certifikát kybernetické bezpečnosti vydal soukromý nebo veřejný subjekt. Posuzování shody a certifikace nemohou samy o sobě zaručit, že certifikované produkty, služby a procesy IKT jsou kyberneticky bezpečné. Jsou to procesy a technické metodiky sloužící k potvrzení, že produkty, služby a procesy IKT byly testovány a že splňují určité jinde stanovené požadavky na kybernetickou bezpečnost, např. požadavky technických norem.

(78)

Uživatelé evropských certifikátů kybernetické bezpečnosti by měli vybírat odpovídající certifikaci a s ní spojené bezpečnostní požadavky na základě analýzy rizik souvisejících s použitím produktů, služeb nebo procesů IKT. Úroveň záruky by tak měla být přiměřená úrovni rizika spojeného se zamýšleným použitím produktu, služby nebo procesu IKT.

(79)

Evropské systémy certifikace kybernetické bezpečnosti by mohly stanovit posuzování shody, které má být provedeno v rámci výhradní odpovědnosti výrobce produktu IKT nebo poskytovatele služby či procesu IKT (vlastní posuzování shody). V takových případech by mělo být postačující, že výrobce produktu IKT nebo poskytovatel služby či procesu IKT provede sám všechny kontroly pro zajištění souladu produktů, služeb nebo procesů IKT s evropským systémem certifikace kybernetické bezpečnosti. Vlastní posuzování shody by mělo být považováno za vhodné pro produkty, služby a procesy IKT s nízkou složitostí, jako je jednoduchý projekční a výrobní mechanismus, které představují nízké riziko pro veřejnost. Navíc by vlastní posuzování shody mělo být umožněno pouze pro produkty, služby a procesy IKT odpovídající úrovni záruky „základní“.

(80)

Evropské systémy certifikace kybernetické bezpečnosti by mohly umožňovat vlastní posuzování shody i certifikaci produktů, služeb a procesů IKT. V takovém případě by systém měl stanovit jasné a srozumitelné prostředky pro spotřebitele nebo jiné uživatele pro rozlišení mezi produkty, službami a procesy IKT, za jejichž posuzování odpovídá výrobce nebo poskytovatel, a produkty, službami a procesy IKT, které jsou certifikovány třetí stranou.

(81)

Výrobce nebo poskytovatel produktů, služeb či procesů IKT, který provádí vlastní posuzování shody, by měl mít možnost vydat a podepsat EU prohlášení o shodě jako součást postupu posuzování shody. EU prohlášení o shodě je dokumentem, který uvádí, že určitý produkt, služba nebo proces IKT splňuje požadavky evropského systému certifikace kybernetické bezpečnosti. Vydáním a podepsáním EU prohlášení o shodě výrobce produktu IKT nebo poskytovatel služby či procesu IKT přebírá odpovědnost za to, že produkt, služba nebo proces IKT splňuje právní požadavky evropského systému certifikace kybernetické bezpečnosti. Kopie EU prohlášení o shodě by měla být předložena vnitrostátnímu orgánu certifikace kybernetické bezpečnosti a agentuře ENISA.

(82)

Výrobci nebo poskytovatelé produktů, služeb či procesů IKT by měli uchovávat EU prohlášení o shodě, technickou dokumentaci a veškeré další důležité informace týkající se shody produktů, služeb nebo procesů IKT s evropským systémem certifikace kybernetické bezpečnosti k dispozici příslušnému vnitrostátnímu orgánu certifikace kybernetické bezpečnosti po dobu stanovenou v příslušném evropském systému certifikace kybernetické bezpečnosti. Technická dokumentace by měla upřesňovat požadavky použitelné podle daného systému a v rozsahu odpovídajícím vlastnímu posuzování shody pokrývat návrh, výrobu a provoz produktu, služby nebo procesu IKT. Složení technické dokumentace by mělo být takové, aby umožnilo posoudit. zda produkt, služba nebo proces IKT splňuje požadavky použitelné podle daného systému.

(83)

Řízení evropského rámce pro certifikaci kybernetické bezpečnosti zohledňuje zapojení členských států, jakož i odpovídající zapojení zúčastněných stran a vymezuje úlohu Komise během plánování a navrhování, podávání žádosti, přípravy, přijímání a provádění přezkumů evropských systémů kybernetické bezpečnosti.

(84)

Komise by měla připravit, za podpory Evropské skupiny pro certifikaci kybernetické bezpečnosti a Skupiny zúčastněných stran pro certifikaci kybernetické bezpečnosti a po otevřené a široké konzultaci, průběžný pracovní program Unie pro evropské systémy certifikace kybernetické bezpečnosti a zveřejnit jej v podobě nezávazného nástroje. Průběžný pracovní program Unie by měl být strategický dokument umožňující průmyslovému odvětví, vnitrostátním orgánům a normalizačním orgánům zejména připravit s předstihem do budoucna evropské systémy certifikace kybernetické bezpečnosti. Průběžný pracovní program Unie by měl zahrnovat víceletý přehled žádostí o návrhy systémů, které má Komise v úmyslu předložit agentuře ENISA k přípravě na základě konkrétních důvodů. Komise by měla vzít průběžný pracovní program Unie v úvahu při přípravě průběžného plánu pro normalizaci IKT a žádostí o vypracování norem určených evropským normalizačním organizacím. S ohledem na rychlé zavádění a přijímání nových technologií, výskyt dříve neznámých kybernetických bezpečnostních rizik a legislativní vývoj a vývoj na trhu by Komise nebo Evropská skupina pro certifikaci kybernetické bezpečnosti měly být oprávněny požádat agenturu ENISA, aby vypracovala návrhy systémů, které nebyly zahrnuty do průběžného pracovního programu Unie. V takových případech by Komise a Evropská skupina pro certifikaci kybernetické bezpečnosti měly rovněž posoudit nezbytnost takové žádosti tím, že zohlední celkové záměry a cíle tohoto nařízení a potřebu zajištění kontinuity, pokud jde o plánování a použití zdrojů agentury ENISA.

V návaznosti na takovou žádost by agentura ENISA měla neprodleně vypracovat návrhy systémů pro konkrétní produkty, služby a procesy IKT. Komise by měla vyhodnotit pozitivní a negativní dopad své žádosti na daný zvláštní trh, zejména její dopad na malé a střední podniky, inovace, překážky vstupu na tento trh a náklady pro koncové uživatele. Komisi by měla být svěřena pravomoc, aby na základě návrhu systému předloženého agenturou ENISA přijala evropský systém certifikace kybernetické bezpečnosti prostřednictvím prováděcích aktů. S ohledem na obecný účel a bezpečnostní cíle stanovené v tomto nařízení by evropské systémy certifikace kybernetické bezpečnosti přijaté Komisí měly určovat minimální soubor prvků týkajících se předmětu, rozsahu a fungování konkrétního systému. Tyto prvky by měly mimo jiné zahrnovat rozsah a předmět certifikace kybernetické bezpečnosti včetně kategorií produktů, služeb a procesů IKT, na které se certifikace vztahuje, podrobnou specifikaci požadavků na kybernetickou bezpečnost, například prostřednictvím odkazu na příslušné normy nebo technické specifikace, konkrétní kritéria a metody hodnocení a úroveň záruky („základní“, „podstatná“ nebo „vysoká“), kterou mají zajistit, a případně úroveň hodnocení. Agentura ENISA by měla mít možnost žádost Evropské skupiny pro certifikaci kybernetické bezpečnosti odmítnout. Takové rozhodnutí by měla přijmout správní rada a mělo by být řádně zdůvodněno.

(85)

Agentura ENISA by měla provozovat internetovou stránku, která poskytuje informace o evropských systémech certifikace kybernetické bezpečnosti a tyto systémy propaguje a která by mimo jiné měla zahrnovat žádosti o návrh systému, jakož i zpětnou vazbu získanou v přípravné fázi agenturou ENISA v rámci konzultačního procesu. Internetová stránka by měla rovněž poskytovat informace o evropských certifikátech kybernetické bezpečnosti a EU prohlášeních o shodě vydaných podle tohoto nařízení, včetně informací o zrušení a pozbytí platnosti těchto certifikátů a prohlášení. Internetová stránka by rovněž měla uvádět vnitrostátní systémy certifikace kybernetické bezpečnosti, které byly nahrazeny evropským systémem certifikace kybernetické bezpečnosti.

(86)

Úroveň záruky evropského systému certifikace je podkladem pro důvěru, že produkt, služba či proces IKT splňuje bezpečnostní požadavky konkrétního evropského systému certifikace kybernetické bezpečnosti. V zájmu zajištění soudržnosti evropského rámce pro certifikaci kybernetické bezpečnosti by mělo být možné stanovit pro evropský systém certifikace kybernetické bezpečnosti úrovně záruky evropských certifikátů kybernetické bezpečnosti a EU prohlášení o shodě vydávaných podle tohoto systému. Každý evropský certifikát kybernetické bezpečnosti by mohl uvádět jednu z úrovní záruky „základní“, „podstatná“ či „vysoká“, zatímco EU prohlášení o shodě by se mohlo vztahovat pouze na úroveň záruky „základní“. Úrovně záruky odráží odpovídající náročnost a podrobnosti hodnocení produktu, služby nebo procesu IKT a jsou charakterizovány odkazem na související technické specifikace, normy a postupy včetně technických kontrol, jejichž účelem je zmírnit dopady incidentů nebo jim zabránit. Každá úroveň záruky by měla být konzistentní v rámci jednotlivých odvětvových oblastí, v nichž se certifikace používá.

(87)

Evropský systém certifikace kybernetické bezpečnosti by mohl specifikovat několik úrovní hodnocení v závislosti na náročnosti a zevrubnosti použité hodnotící metodiky. Úrovně hodnocení by měly odpovídat jedné z úrovní záruk a být navázány na příslušnou kombinaci složek záruky. Pro každou úroveň záruky by produkt, služba nebo proces IKT měly obsahovat řadu bezpečných funkcí stanovených v systému, jež mohou zahrnovat: bezpečnou přednastavenou konfiguraci, digitální podpis kódu, bezpečnou aktualizaci a ochranu před zneužitím zranitelností v zabezpečení a ochranu proti přetečením na paměťovém zásobníku. Tyto funkce již měly být vyvinuty a měly by být provozovány za použití bezpečnostně orientovaných vývojových přístupů a souvisejících nástrojů, aby byla zajištěna spolehlivá integrace účinných softwarových i hardwarových mechanismů.

(88)

Pro úroveň záruky „základní“ by mělo hodnocení vycházet alespoň z následujících složek záruky: hodnocení by mělo přinejmenším zahrnovat přezkum technické dokumentace produktu, služby či procesu IKT ze strany subjektu posuzování shody. Zahrnuje-li certifikace procesy IKT, měl by do předmětu technického přezkumu spadat též proces použitý k návrhu, vývoji a provozu produktu či služby IKT. V případech, kdy evropský systém certifikace kybernetické bezpečnosti stanoví vlastní posuzování shody, by mělo postačovat, že výrobce produktu IKT nebo poskytovatel služby či procesu IKT provedl vlastní posuzování shody dotyčného produktu, služby či procesu IKT se systémem certifikace.

(89)

Pro úroveň záruky „podstatná“ by hodnocení mělo navíc k požadavkům na úroveň záruky „základní“ vycházet přinejmenším z ověření souladu bezpečnostních funkcí produktu, služby či procesu IKT s příslušnou technickou dokumentací.

(90)

Pro úroveň záruky „vysoká“ by hodnocení mělo navíc k požadavkům na úroveň záruky „podstatná“ vycházet přinejmenším ze zkoušky účinnosti, která hodnotí odolnost bezpečnostních funkcí produktu, služby či procesu IKT vůči propracovaným kybernetickým útokům vedeným osobami se značnými dovednostmi a zdroji.

(91)

Využití evropské certifikace kybernetické bezpečnosti a EU prohlášení o shodě by mělo zůstat dobrovolné, pokud právo Unie nebo právní předpisy členských států přijaté v souladu s právem Unie nestanoví jinak. V případě neexistence harmonizovaného práva Unie mohou členské státy přijímat vnitrostátní technické předpisy, jimiž stanoví povinnou certifikaci podle evropského systému certifikace kybernetické bezpečnosti, v souladu se směrnicí Evropského parlamentu a Rady (EU) 2015/1535 (20). Členské státy by mohly rovněž využít evropské certifikace kybernetické bezpečnosti v souvislosti se zadáváním veřejných zakázek a se směrnicí Evropského parlamentu a Rady 2014/24/EU (21)

(92)

V některých oblastech by mohlo být nezbytné v budoucnu stanovit konkrétní požadavky na kybernetickou bezpečnost a učinit jejich certifikaci u některých produktů, služeb a procesů IKT povinnou s cílem zlepšit úroveň kybernetické bezpečnosti v Unii. Komise by měla pravidelně sledovat dopady přijatých evropských systémů certifikace kybernetické bezpečnosti na dostupnost bezpečných produktů, služeb a procesů IKT na vnitřním trhu a měla by pravidelně posuzovat míru využití systémů certifikace výrobci a poskytovateli produktů, služeb či procesů IKT v Unii. Účinnost evropských systémů certifikace kybernetické bezpečnosti a otázka, zda by konkrétní systémy měly být stanoveny jako povinné, by měly být posouzeny s ohledem na právní předpisy Unie týkající se kybernetické bezpečnosti, zejména směrnici (EU) 2016/1148, při zohlednění bezpečnosti sítí a informačních systémů používaných provozovateli základních služeb.

(93)

Evropské certifikáty kybernetické bezpečnosti a EU prohlášení o shodě by měly napomoci koncovým uživatelům činit informované volby. Proto by produkty, služby a procesy IKT, které byly certifikovány nebo pro které bylo vydáno EU prohlášení o shodě, měly být doplněny o strukturované informace upravené podle předpokládané technické úrovně zamýšleného koncového uživatele. Veškeré takové informace by měly být k dispozici online a případně též ve fyzické podobě. Koncový uživatel by měl mít přístup k informacím o referenčním číslu systému certifikace, úrovni záruky, popisu kybernetických bezpečnostních rizik, které jsou s produktem, službou či procesem IKT spojené, a vydávajícím orgán nebo subjektu, nebo by měl mít možnost získat kopii evropského certifikátu kybernetické bezpečnosti. Koncový uživatel by měl být navíc informován o politice podpory kybernetické bezpečnosti výrobce produktu IKT nebo poskytovatele služby či procesu IKT, tedy jak dlouho může koncový uživatel očekávat, že bude dostávat aktualizace nebo opravy v oblasti kybernetické bezpečnosti. V příslušných případech by měl koncový uživatel obdržet pokyny ohledně kroků nebo nastavení, jež může provést, aby zachoval nebo zvýšil kybernetickou bezpečnost produktu nebo služby IKT, a kontaktní informace o jednotném kontaktním místě pro podávání zpráv a získávání podpory v případě kybernetických útoků (vedle automatického podávání zpráv). Tyto informace by měly být pravidelně aktualizovány a zpřístupňovány na internetové stránce s informacemi o evropských systémech certifikace kybernetické bezpečnosti.

(94)

V zájmu dosažení cílů tohoto nařízení a zabránění roztříštěnosti vnitřního trhu by vnitrostátní systémy nebo postupy certifikace kybernetické bezpečnosti pro produkty, služby a procesy IKT zahrnuté do evropského systému certifikace kybernetické bezpečnosti měly ode dne stanoveného Komisí prostřednictvím prováděcího aktu pozbýt účinnosti. Členské státy by navíc neměly zavádět nové vnitrostátní systémy certifikace kybernetické bezpečnosti pro produkty, služby a procesy IKT, které jsou již zahrnuty do stávajícího evropského systému certifikace kybernetické bezpečnosti. Členským státům by však nemělo být bráněno v přijímání či v zachování vnitrostátních systémů certifikace kybernetické bezpečnosti pro účely národní bezpečnosti. Členské státy by měly Komisi a Evropskou skupinu pro certifikaci kybernetické bezpečnosti informovat o jakémkoliv záměru vypracovat nové vnitrostátní systémy certifikace kybernetické bezpečnosti. Komise a Evropská skupina pro certifikaci kybernetické bezpečnosti by měla posoudit dopady nového vnitrostátního systému certifikace kybernetické bezpečnosti na řádné fungování vnitřního trhu a s ohledem na strategický zájem požádat namísto toho o evropský systém certifikace kybernetické bezpečnosti.

(95)

Evropské systémy certifikace kybernetické bezpečnosti mají v rámci Unie pomoci harmonizovat a sjednotit postupy v oblasti kybernetické bezpečnosti. Mají přispět ke zvýšení úrovně kybernetické bezpečnosti v rámci Unie. Návrhy evropských systémů certifikace kybernetické bezpečnosti by měly zohlednit a umožnit vývoj nových inovací v oblasti kybernetické bezpečnosti.

(96)

Evropské systémy certifikace kybernetické bezpečnosti by měly zohlednit stávající metody vývoje softwaru a hardwaru, a zejména dopad častých aktualizací softwaru nebo firmwaru na jednotlivé evropské certifikáty kybernetické bezpečnosti. Evropské systémy certifikace kybernetické bezpečnosti by měly stanovit podmínky, za nichž může být v důsledku aktualizace nezbytné produkt, službu nebo proces IKT opětovně certifikovat nebo omezit rozsah určitého evropského certifikátu kybernetické bezpečnosti, s ohledem jakýkoliv možný nepříznivý dopad aktualizace na plnění bezpečnostních požadavků daného certifikátu.

(97)

Jakmile je přijat určitý evropský systém certifikace kybernetické bezpečnosti, výrobci nebo poskytovatelé produktů, služeb či procesů IKT by měli být schopni subjektu posuzování shody podlé své volby kdekoli v Unii předložit žádost o certifikaci svých produktů nebo služeb. Subjekty posuzování shody by měly být akreditovány vnitrostátním akreditačním orgánem, splňují-li určité konkrétní požadavky stanovené v tomto nařízení. Akreditace by měla být vydávána na období nejvýše pěti let a mělo by být možné ji obnovit za stejných podmínek, pokud daný subjekt posuzování shody stále splňuje příslušné požadavky. Vnitrostátní akreditační orgány by měly omezit, pozastavit či zrušit akreditaci subjektu posuzování shody, pokud podmínky pro akreditaci nejsou nebo přestanou být splňovány, nebo pokud subjekt posuzování shody porušuje toto nařízení.

(98)

Odkazy ve vnitrostátních právních předpisech na vnitrostátní normám, které v důsledku vstupu evropského systému certifikace kybernetické bezpečnosti v platnost přestaly být účinné, by mohly způsobovat nejasnosti. Členské státy by proto měly přijetí evropského systému certifikace kybernetické bezpečnosti ve svých vnitrostátních právních předpisech zohlednit.

(99)

S cílem dosáhnout rovnocenných norem po celé Unii, usnadnit vzájemné uznávání a podpořit celkové přijímání evropských certifikátů kybernetické bezpečnosti a EU prohlášení o shodě je nezbytné zavést systém pro vzájemné hodnocení mezi vnitrostátními orgány certifikace kybernetické bezpečnosti. Vzájemná hodnocení by se měla vztahovat na postupy pro dohled nad shodou produktů, služeb a procesů IKT s evropskými certifikáty kybernetické bezpečnosti, na monitorování povinností výrobců nebo poskytovatelů produktů, služeb či procesů IKT, kteří provádějí vlastní posuzování shody, na monitorování subjektů posuzování shody, jakož i na přiměřenost odborných znalostí zaměstnanců orgánů, které vydávají osvědčení pro úroveň záruky „vysoká“. Komise by měla mít možnost prostřednictvím prováděcích aktů stanovit alespoň pětiletý plán pro vzájemné hodnocení, jakož i pro stanovení kritérií a metodik pro fungování systému vzájemného hodnocení.

(100)

Aniž je dotčen obecný systém vzájemného hodnocení, jenž má být zaveden u všech vnitrostátních orgánů certifikace kybernetické bezpečnosti v evropském rámci pro certifikaci kybernetické bezpečnosti, mohou některé evropské systémy certifikace kybernetické bezpečnosti zahrnovat mechanismy vzájemného hodnocení pro orgány, které vydávají v rámci těchto systémů pro produkty, služby a procesy IKT evropské certifikáty kybernetické bezpečnosti na úrovni záruky „vysoká“. Evropská skupina pro certifikaci kybernetické bezpečnosti by měla podporovat provádění takových mechanismů vzájemného hodnocení. Vzájemná hodnocení by měla zejména posoudit, zda dotčené orgány plní své úkoly harmonizovaně, a mohou zahrnout mechanismy opravného prostředku proti rozhodnutí. Výsledky vzájemných hodnocení by měly být zpřístupněny veřejnosti. Dotčené orgány mohou přijmout vhodná opatření s cílem přizpůsobit své postupy a odborné znalosti.

(101)

Členské státy by měly určit jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti s cílem dohlížet na soulad s povinnostmi vyplývajícími z tohoto nařízení. Vnitrostátní orgán certifikace kybernetické bezpečnosti může být stávajícím i novým orgánem. Po dohodě s jiným členským státem by měl mít členský stát rovněž možnost určit jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti na území tohoto jiného členského státu.

(102)

Vnitrostátní orgány certifikace kybernetické bezpečnosti by měly zejména monitorovat a vymáhat povinnosti výrobců nebo poskytovatelů produktů, služeb či procesů IKT usazených na jejich území, pokud jde o EU prohlášení o shodě, měly by pomáhat vnitrostátním akreditačním orgánům při sledování a dohledu nad činnostmi subjektů posuzování shody tím, že jim poskytují odborné znalosti a relevantní informace, měly by pověřovat subjekty posuzování shody prováděním svých úkolů, pokud tyto subjekty plní dodatečné požadavky stanovené v evropském systému certifikace kybernetické bezpečnosti, a měly by sledovat příslušný vývoj v oblasti certifikace kybernetické bezpečnosti. Vnitrostátní orgány certifikace kybernetické bezpečnosti by měly také řešit stížnosti podané fyzickými nebo právnickými osobami v souvislosti s jimi vydanými evropskými certifikáty kybernetické bezpečnosti nebo v souvislosti evropskými certifikáty kybernetické bezpečnosti vydanými subjekty posuzování shody, uvádějí-li tyto certifikáty úroveň záruky „vysoká“, měly by v přiměřeném rozsahu šetřit předmět stížnosti a v přiměřené lhůtě informovat stěžovatele o pokroku a výsledku šetření. Kromě toho by vnitrostátní orgány certifikace kybernetické bezpečnosti měly spolupracovat s dalšími vnitrostátními orgány certifikace kybernetické bezpečnosti nebo jinými veřejnými orgány, a to i prostřednictvím sdílení informací o možných případech, kdy produkty, služby či procesy IKT nesplňují požadavky tohoto nařízení nebo konkrétních evropských systémů certifikace kybernetické bezpečnosti. Komise by měla tuto sdílení informací usnadnit zpřístupněním obecného elektronického systému pro výměnu informací, například prostřednictvím systému pro výměnu informací v rámci dohledu nad trhem (ICSMS) a systému rychlého varování pro nebezpečné nepotravinářské výrobky (RAPEX), které již dnes využívají orgány dozoru nad trhem podle nařízení (ES) č. 765/2008.

(103)

S cílem zajistit jednotné uplatňování evropského rámce pro certifikaci kybernetické bezpečnosti by měla být zřízena Evropská skupina pro certifikaci kybernetické bezpečnosti sestávající ze zástupců vnitrostátních orgánů certifikace kybernetické bezpečnosti nebo jiných příslušných vnitrostátních orgánů. Hlavními úkoly skupiny by mělo být poskytování poradenství a pomoci Komisi při její práci směřující k zajištění jednotného provádění a uplatňování evropského rámce pro certifikaci kybernetické bezpečnosti, pomáhat agentuře ENISA a úzce s ní spolupracovat při vypracování návrhů systémů certifikace kybernetické bezpečnosti, v řádně odůvodněných případech žádat agenturu ENISA, aby vypracovala návrh systému, přijímat stanoviska určená agentuře ENISA ohledně návrhů systémů a Komisi ohledně zachování a přezkumu stávajících evropských systémů certifikace kybernetické bezpečnosti. Evropská skupina pro certifikaci kybernetické bezpečnosti by měla usnadnit sdílení osvědčených postupů a odborných znalostí mezi různými vnitrostátními orgány certifikace kybernetické bezpečnosti odpovědnými za pověřování subjektů posuzování shody a vydávání evropských certifikátů kybernetické bezpečnosti.

(104)

Evropská komise může za účelem zvyšování informovanosti a usnadnění přijetí budoucích evropských systémů certifikace kybernetické bezpečnosti vydávat obecné či sektorové kybernetické bezpečnostní pokyny, např. osvědčené postupy v oblasti kybernetické bezpečnosti nebo pokyny týkající se odpovědného chování v oblasti kybernetické bezpečnosti zdůrazňující pozitivní účinek používání certifikovaných produktů, služeb a procesů IKT.

(105)

V zájmu dalšího usnadnění obchodu a s vědomím, že dodavatelské řetězce IKT jsou globální, může Unie v souladu s článkem 218 Smlouvy o fungování EU uzavírat dohody o vzájemném uznávání týkající se evropských certifikátů kybernetické bezpečnosti. Komise při zohlednění poradenství ze strany agentury ENISA a Evropské skupiny pro certifikaci kybernetické bezpečnosti může doporučit zahájení příslušných jednání. Každý evropský systém certifikace kybernetické bezpečnosti by měl poskytovat konkrétní podmínky pro takové dohody o vzájemném uznávání se třetími zeměmi.

(106)

V zájmu zajištění jednotných podmínek pro provádění tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (22).

(107)

Přezkumný postup by měl být použit pro přijímání prováděcích aktů týkajících se evropských systémů certifikace kybernetické bezpečnosti pro produkty, služby a procesy IKT; pro přijímání prováděcích aktů týkajících se způsobů, jakými agentura ENISA provádí šetření; pro přijímání prováděcích aktů týkajících se plánů pro vzájemné hodnocení vnitrostátních orgánů certifikace kybernetické bezpečnosti; jakož i pro přijímání prováděcích aktů týkajících se okolností, formátů a postupů oznamování akreditovaných subjektů posuzování shody podávaných vnitrostátními orgány certifikace kybernetické bezpečnosti Komisi.

(108)

Působení agentury ENISA by mělo podléhat pravidelnému a nezávislému hodnocení. Toto hodnocení by mělo zohledňovat cíle agentury ENISA, její pracovní postupy a relevantnost jejích úkolů, zejména pak jejích úkolů souvisejících s operativní spoluprací na úrovni Unie. Toto hodnocení by rovněž mělo posuzovat dopad, účinnost a účelnost evropského rámce pro certifikaci kybernetické bezpečnosti. V případě přezkumu by Komise měla posoudit, jak je možno posílit úlohu agentury ENISA jako referenčního bodu pro poradenství a odborné znalosti, a měla by rovněž zhodnotit možnost uplatnění agentury ENISA při podpoře hodnocení produktů, služeb a procesů IKT třetích zemí, které nesplňují pravidla Unie.

(109)

Jelikož cílů tohoto nařízení nemůže být dosaženo uspokojivě členskými státy, ale spíše jich, z důvodu jejich rozsahu a účinků, může jich být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku toto nařízení nepřekračuje rámec toho, co je nezbytné pro dosažení uvedených cílů.

(110)

Nařízení (EU) č. 526/2013 by mělo být zrušeno,

(1)

Účelem této směrnice je přispět k řádnému fungování vnitřního trhu sblížením právních a správních předpisů členských států, pokud jde o požadavky na přístupnost u určitých výrobků a služeb zejména tím, že odstraní překážky volného pohybu některých přístupných výrobků a služeb vyplývající z rozdílných požadavků na přístupnost v členských státech a vzniku těchto překážek předchází. Zvýšila by se tím dostupnost přístupných výrobků a služeb na vnitřním trhu a zlepšila přístupnost relevantních informací.

(2)

Poptávka po přístupných výrobcích a službách je vysoká a počet osob se zdravotním postižením podle prognóz výrazně poroste. Prostředí, ve kterém jsou výrobky a služby přístupnější, umožňuje vytvořit společnost více podporující začlenění a usnadňuje osobám se zdravotním postižením nezávislý život. V této souvislosti je zapotřebí mít na paměti, že výskyt zdravotního postižení je v Unii častější u žen než u mužů.

(3)

Tato směrnice vymezuje osoby se zdravotním postižením v souladu s Úmluvou Organizace spojených národů o právech osob se zdravotním postižením přijatou dne 13. prosince 2006 (dále jen „úmluva OSN“), jíž je Unie stranou od 21. ledna 2011 a kterou ratifikovaly všechny členské státy. Úmluva OSN stanoví, že „osoby se zdravotním postižením zahrnují osoby s dlouhodobým fyzickým, duševním, mentálním nebo smyslovým postižením, které v interakci s různými překážkami může bránit jejich plnému a účinnému zapojení do společnosti na rovnoprávném základě s ostatními“. Tato směrnice podporuje plné a účinné rovnoprávné zapojení tím, že zlepšuje přístup k běžným výrobkům a službám, jež díky svému výchozímu návrhu či koncepci nebo následné úpravě reagují na zvláštní potřeby osob se zdravotním postižením.

(4)

Tato směrnice by rovněž byla přínosem pro další osoby s funkčním omezením, jako jsou starší lidé, těhotné ženy nebo cestující se zavazadly. Pojem „osoby s funkčním omezením“ podle této směrnice zahrnuje osoby, které mají trvalé nebo dočasné fyzické, duševní, mentální nebo smyslové postižení, postižení související s věkem nebo jiné omezení tělesných funkcí nebo struktur, které v interakci s různými překážkami omezuje jejich přístup k výrobkům a službám, což vede k situaci, která vyžaduje přizpůsobení těchto výrobků a služeb jejich zvláštním potřebám.

(5)

Rozdíly mezi právními a správními předpisy členských států v otázce přístupnosti výrobků a služeb pro osoby se zdravotním postižením vytvářejí překážky volného pohybu výrobků a služeb a narušují účinnou hospodářskou soutěž na vnitřním trhu. U některých výrobků a služeb se po vstupu úmluvy OSN v platnost tyto rozdíly v Unii pravděpodobně prohloubí. Obzvláště jsou těmito překážkami dotčeny hospodářské subjekty, zejména malé a střední podniky.

(6)

Rozdíly ve vnitrostátních požadavcích na přístupnost odrazují zejména podnikatele, malé a střední podniky a mikropodniky od podnikání mimo jejich vlastní domácí trhy. Vnitrostátní, či dokonce regionální nebo místní požadavky na přístupnost, které členské státy zavedly, se v současné době liší co do rozsahu i míry podrobnosti. Tyto rozdíly mají nepříznivý vliv na konkurenceschopnost a růst, a to kvůli dodatečným nákladům vzniklým při vývoji a uvádění přístupných výrobků a služeb na jednotlivé vnitrostátní trhy.

(7)

Spotřebitelé přístupných výrobků a služeb a podpůrných technologií se potýkají s vysokými cenami, které jsou důsledkem omezené hospodářské soutěže mezi dodavateli. Roztříštěnost vnitrostátních předpisů snižuje potenciální přínos, který by přineslo sdílení zkušeností s reakcí na společenský a technologický vývoj s partnery na vnitrostátní a mezinárodní úrovni.

(8)

Sbližování vnitrostátních opatření na úrovni Unie je proto nezbytné pro řádné fungování vnitřního trhu, aby se ukončila roztříštěnost trhu s přístupnými výrobky a službami, aby se vytvořily úspory z rozsahu, aby se usnadnil přeshraniční obchod a mobilita, jakož i aby se pomohlo hospodářským subjektům soustředit zdroje na inovace, a nikoli na pokrytí nákladů spojených s roztříštěnými právními předpisy v Unii.

(9)

Výhody harmonizace požadavků na přístupnost pro vnitřní trh prokázalo uplatňování směrnice Evropského parlamentu a Rady 2014/33/EU (3) týkající se výtahů a nařízení Evropského parlamentu a Rady (ES) č. 661/2009 (4) v oblasti dopravy.

(10)

V prohlášení č. 22 o osobách se zdravotním postižením připojeném k Amsterodamské smlouvě souhlasila konference zástupců vlád členských států s tím, že při přípravě opatření podle článku 114 Smlouvy o fungování Evropské unie zohlední orgány Unie potřeby osob se zdravotním postižením.

(11)

Hlavním cílem sdělení Komise ze dne 6. května 2015 nazvaného „Strategie pro jednotný digitální trh v Evropě“ je zajistit udržitelný hospodářský a sociální přínos propojeného jednotného digitálního trhu, a tím usnadnit obchodování a podpořit zaměstnanost v Unii. Spotřebitelé v Unii dosud nemohou plně využít cen a možností výběru, které jednotný trh může nabídnout, neboť přeshraniční online transakce jsou stále velmi omezené. Roztříštěnost rovněž omezuje poptávku po přeshraničních transakcích v elektronickém obchodu. Je také zapotřebí koordinovaná akce k zajištění toho, aby elektronický obsah, služby elektronických komunikací a přístup k audiovizuálním mediálním službám byly plně dostupné osobám se zdravotním postižením. Proto je nezbytné harmonizovat požadavky na přístupnost na jednotném digitálním trhu a zajistit, aby jeho výhod mohli využívat všichni občané Unie, bez ohledu na své schopnosti.

(12)

Poté, co se Unie stala smluvní stranou úmluvy OSN, stala se ustanovení této úmluvy nedílnou součástí právního řádu Unie a jsou závazná pro orgány Unie i pro členské státy.

(13)

Úmluva OSN požaduje, aby její strany přijaly příslušná opatření k zajištění přístupu osob se zdravotním postižením, na rovnoprávném základě s ostatními, k hmotným životním podmínkám, dopravě, informacím a komunikaci, včetně informačních a komunikačních technologií a systémů, a k dalším zařízením a službám dostupným nebo poskytovaným veřejnosti, a to v městských i venkovských oblastech. Výbor OSN pro práva osob se zdravotním postižením poukázal na potřebu vytvořit legislativní rámec, který bude obsahovat konkrétní, vymahatelná a časově vázaná kritéria umožňující sledovat postupnou realizaci přístupnosti.

(14)

Úmluva OSN vyzývá své strany, aby prováděly nebo podporovaly výzkum a vývoj a podporovaly dostupnost a využití nových technologií, včetně informačních a komunikačních technologií, kompenzačních pomůcek, zařízení a podpůrných technologií vhodných pro osoby se zdravotním postižením. Úmluva OSN rovněž vyzývá k upřednostňování cenově dostupných technologií.

(15)

Vstupem úmluvy OSN v platnost v právních řádech členských států vyvstává nutnost přijmout další vnitrostátní předpisy v oblasti přístupnosti výrobků a služeb. Bez opatření na úrovni Unie by tyto předpisy dále prohlubovaly rozdíly mezi právními a správními předpisy členských států.

(16)

Proto je nezbytné usnadnit provádění úmluvy OSN v Unii stanovením společných pravidel Unie. Tato směrnice také pomáhá členským státům v jejich úsilí dostát svým národním závazkům, jakož i povinnostem, jež pro ně vyplývají z úmluvy OSN, pokud jde o přístupnost, harmonizovaným způsobem.

(17)

Sdělení Komise ze dne 15. listopadu 2010 nazvané „Evropská strategie pro pomoc osobám se zdravotním postižením 2010–2020: Obnovený závazek pro bezbariérovou Evropu“ identifikuje v souladu s úmluvou OSN přístupnost jako jednu z osmi oblastí, kde je potřeba podniknout kroky, uvádí, že je základním předpokladem pro zapojení do společnosti, a klade si za cíl zajistit přístupnost výrobků a služeb.

(18)

Určení výrobků a služeb, které spadají do oblasti působnosti této směrnice, vychází z šetření provedeného při přípravě posouzení dopadů, které identifikovalo výrobky a služby významné pro osoby se zdravotním postižením, pro něž členské státy přijaly nebo pravděpodobně přijmou rozdílné vnitrostátní požadavky na přístupnost, jež narušují fungování vnitřního trhu.

(19)

V zájmu zajištění přístupnosti služeb spadajících do oblasti působnosti této směrnice by se na výrobky používané při poskytování těchto služeb, s nimiž spotřebitel přichází do styku, měly rovněž vztahovat použitelné požadavky na přístupnost stanovené v této směrnici.

(20)

Přístupnost služby by neměla být ohrožena ani v případě, že je k této službě nebo její části smluvně zavázána třetí strana, a poskytovatelé této služby by měli plnit povinnosti stanovené v této směrnici. Poskytovatelé služeb by rovněž měli zajistit řádnou a soustavnou odbornou přípravu svých pracovníků, tak aby zajistili, že se vyznají ve způsobech používání přístupných výrobků a služeb. Odborná příprava by měla zahrnovat otázky, jako je poskytování informací, poradenství a reklama.

(21)

Požadavky na přístupnost by měly být zavedeny takovým způsobem, aby představovaly pro hospodářské subjekty a členské státy co nejmenší zátěž.

(22)

Je nezbytné upřesnit požadavky na přístupnost pro uvádění výrobků a služeb, které spadají do oblasti působnosti této směrnice, na trh, aby se zajistil jejich volný pohyb na vnitřním trhu.

(23)

Tato směrnice by měla zavést povinné funkční požadavky na přístupnost, které by měly být vyjádřeny formou obecných cílů. Tyto požadavky by měly být dostatečně přesné, aby zakládaly právně závazné povinnosti, a dostatečně podrobné, aby umožňovaly posouzení shody k zajištění řádného fungování vnitřního trhu pro dotčené výrobky a služby, měly by však ponechávat určitý stupeň flexibility, aby byly možné inovace.

(24)

Tato směrnice obsahuje řadu kritérií funkčnosti týkajících se způsobů fungování výrobků a služeb. Tato kritéria by neměla představovat obecnou alternativu k požadavkům na přístupnost stanoveným v této směrnici, ale měla by se používat pouze za velmi specifických okolností. Tato kritéria by se měla vztahovat na specifické funkce nebo vlastnosti výrobků nebo služeb s cílem zajistit jejich přístupnost, pokud se požadavky na přístupnost stanovené v této směrnici nevztahují na jednu či více těchto specifických funkcí nebo vlastností. Navíc v případě, že požadavek na přístupnost obsahuje specifické technické požadavky a výrobek nebo služba nabízejí alternativní technické řešení těchto technických požadavků, by toto alternativní technické řešení stále mělo být v souladu se souvisejícími požadavky na přístupnost a jeho výsledkem by měla být za použití příslušných kritérií funkčnosti rovnocenná či lepší přístupnost.

(25)

Tato směrnice by se měla vztahovat na hardwarové počítačové systémy pro všeobecné účely určené pro spotřebitele. Aby tyto systémy mohly fungovat přístupným způsobem, měly by být přístupné i jejich operační systémy. Tyto hardwarové počítačové systémy se vyznačují multifunkční povahou a schopností provádět s pomocí vhodného softwaru nejběžnější výpočetní úkony požadované spotřebitelem a jsou určeny k ovládání spotřebiteli. Mezi takové hardwarové počítačové systémy patří osobní počítače včetně stolních počítačů, notebooky, chytré telefony a tablety. Specializované počítače začleněné ve výrobcích spotřební elektroniky pak hardwarové počítačové systémy pro všeobecné účely určené pro spotřebitele nepředstavují. Tato směrnice by se neměla na individuálním základě vztahovat na jednotlivé komponenty se specifickými funkcemi, jako jsou například základní deska nebo paměťový čip, které v takovém systému jsou nebo mohou být používány.

(26)

Do oblasti působnosti této směrnice by měly rovněž spadat platební terminály včetně jejich hardwaru i softwaru a určité interaktivní samoobslužné terminály včetně jejich hardwaru i softwaru, určené k využití při poskytování služeb, na něž se vztahuje tato směrnice, například bankomaty, automaty pro výdej fyzických lístků a jízdenek opravňujících k přístupu ke službám, jako jsou automaty na výdej jízdenek či letenek, automaty na výdej lístků s pořadovým číslem v bankách, odbavovací automaty a interaktivní samoobslužné terminály poskytující informace, včetně interaktivních informačních obrazovek.

(27)

Z oblasti působnosti této směrnice by však měly být vyloučeny určité interaktivní samoobslužné terminály poskytující informace, které byly instalovány jako zabudovaná součást vozidel, letadel, lodí nebo kolejových vozidel, jelikož tyto terminály tvoří součást těchto vozidel, letadel, lodí nebo kolejových vozidel, na něž se tato směrnice nevztahuje.

(28)

Tato směrnice by se měla rovněž vztahovat na služby elektronických komunikací včetně tísňových komunikací ve smyslu směrnice Evropského parlamentu a Rady (EU) 2018/1972 (5). V současnosti jsou opatření přijímaná členskými státy k umožnění přístupu osobám se zdravotním postižením odlišná a nejsou na celém vnitřním trhu harmonizována. Zajištění uplatňování stejných požadavků na přístupnost v celé Unii povede k úsporám z rozsahu na straně hospodářských subjektů, které působí ve více než jednom členském státě, a usnadní účinný přístup osobám se zdravotním postižením v jejich vlastních členských státech i při cestování mezi členskými státy. Za účelem přístupnosti elektronických komunikací včetně tísňových komunikací by poskytovatelé měli kromě hlasu poskytnout text v reálném čase a služby úplné konverzace, poskytují-li video, a zajistit synchronizaci všech těchto komunikačních prostředků. Kromě splnění požadavků stanovených v této směrnici, v souladu se směrnicí (EU) 2018/1972, by členské státy měly mít možnost určit poskytovatele konverzní služby, kterou by mohly využívat osoby se zdravotním postižením.

(29)

Tato směrnice harmonizuje požadavky na přístupnost u služeb elektronických komunikací a souvisejících výrobků a doplňuje směrnici (EU) 2018/1972, jež stanoví požadavky na rovnocenný přístup a možnost volby pro koncové uživatele se zdravotním postižením. Směrnice (EU) 2018/1972 rovněž stanoví požadavky v rámci povinnosti univerzální služby, které se týkají cenové dostupnosti přístupu k internetu a hlasové komunikace a cenové i obecné dostupnosti souvisejících koncových zařízení a specifických zařízení a služeb pro spotřebitele se zdravotním postižením.

(30)

Tato směrnice by se rovněž měla vztahovat na koncová zařízení s interaktivním výpočetním potenciálem, určená pro spotřebitele s předpokládaným primárním použitím pro přístup ke službám elektronických komunikací. Pro účely této směrnice by se mělo mít za to, že uvedená zařízení zahrnují zařízení, které je používáno jako součást konfigurace při získávání přístupu k službám elektronických komunikací, např. router nebo modem.

(31)

Pro účely této směrnice by přístup k audiovizuálním mediálním službám měl znamenat skutečnost, že přístup k audiovizuálnímu obsahu je přístupný, stejně jako mechanismy, které uživatelům se zdravotním postižením umožňují použití jejich podpůrných technologií. Služby poskytující přístup k audiovizuálním mediálním službám by mohly zahrnovat internetové stránky, online aplikace, aplikace na bázi set-top boxů, aplikace ke stažení, služby poskytované na mobilních zařízeních včetně mobilních aplikací a související přehrávače médií, jakož i televizní služby s internetem. Přístupnost audiovizuálních mediálních služeb upravuje směrnice Evropského parlamentu a Rady 2010/13/EU (6) a to s výjimkou elektronických programových průvodců (EPG), které jsou začleněny do definice služeb poskytujících přístup k audiovizuálním mediálním službám, na něž se vztahuje tato směrnice.

(32)

Co se týče služeb letecké, autobusové, železniční a vodní přepravy cestujících, měla by se tato směrnice vztahovat mimo jiné na poskytování informací o dopravních službách včetně cestovních informací v reálném čase poskytovaných prostřednictvím internetových stránek, služeb poskytovaných na mobilních zařízeních, interaktivních informačních obrazovkách a interaktivních samoobslužných terminálech, jež cestující se zdravotním postižením k cestování potřebují. Tyto informace by mohly zahrnovat informace o produktech a službách přepravy cestujících nabízených poskytovatelem služeb, informace před cestou, informace během cesty a informace poskytované v případě, že je spoj zrušen nebo je jeho odjezd opožděn. Mezi další informace by mohly patřit také informace o cenách a zvýhodněných nabídkách.

(33)

Tato směrnice by se měla rovněž vztahovat na internetové stránky, služby poskytované na mobilních zařízeních, včetně mobilních aplikací vyvinutých či poskytovaných provozovateli služeb přepravy cestujících, jež spadají do oblasti působnosti této směrnice, či jejich jménem, služby elektronického systému vydávání lístků a jízdenek, elektronické lístky a jízdenky a interaktivní samoobslužné terminály.

(34)

Vymezení oblasti působnosti této směrnice, pokud jde o leteckou, autobusovou, železniční a vodní přepravu cestujících, by mělo vycházet ze stávajících odvětvových právních předpisů upravujících práva cestujících. V případě některých druhů dopravních služeb, na něž se tato směrnice nevztahuje, by členské státy měly vybízet poskytovatele služeb ke splnění příslušných požadavků na přístupnost stanovených v této směrnici.

(35)

Směrnice Evropského parlamentu a Rady (EU) 2016/2102 (7) již stanoví povinnosti subjektů veřejného sektoru, které poskytují dopravní služby včetně služeb městské a příměstské dopravy a služeb regionální dopravy, učinit své internetové stránky přístupnými. Tato směrnice stanoví výjimky pro mikropodniky, které poskytují služby včetně služeb městské a příměstské dopravy a služeb regionální dopravy. Navíc tato směrnice obsahuje povinnosti ohledně zajištění přístupnosti internetových stránek elektronického obchodování. Jelikož tato směrnice ukládá velké většině soukromých poskytovatelů dopravních služeb povinnost zpřístupnit své internetové stránky při online prodeji lístků a jízdenek, není nutné zavádět do ní další požadavky na internetové stránky poskytovatelů služeb městské a příměstské dopravy a poskytovatelů služeb regionální dopravy.

(36)

Některé prvky požadavků na přístupnost, zejména v souvislosti s poskytováním informací podle této směrnice, jsou již upraveny stávajícími právními předpisy Unie v oblasti přepravy cestujících. Patří mezi ně prvky nařízení Evropského parlamentu a Rady (ES) č. 261/2004 (8), nařízení Evropského parlamentu a Rady (ES) č. 1107/2006 (9), nařízení Evropského parlamentu a Rady (ES) č. 1371/2007 (10), nařízení Evropského parlamentu a Rady (EU) č. 1177/2010 (11) a nařízení Evropského parlamentu a Rady (EU) č. 181/2011 (12). Patří sem i příslušné akty přijaté na základě směrnice Evropského parlamentu a Rady 2008/57/ES (13). V zájmu zajištění konzistentnosti právní úpravy by se měly požadavky na přístupnost stanovené ve zmíněných nařízeních a aktech uplatňovat jako doposud. Stávající požadavky by však byly doplněny o dodatečné požadavky stanovené touto směrnicí, jež zlepší fungování vnitřního trhu v oblasti dopravy a budou představovat zlepšení ve prospěch osob se zdravotním postižením.

(37)

Tato směrnice by se neměla vztahovat na některé prvky dopravních služeb, pokud jsou poskytovány mimo území členských států, a to ani v případě, že služba směřuje na trh Unie. V případě těchto prvků by provozovatelé služeb přepravy cestujících měli mít pouze povinnost zajistit splnění požadavků stanovených v této směrnici v té části služby, která je nabízena na území Unie. V případě letecké přepravy by však letečtí dopravci v Unii měli zajistit splnění použitelných požadavků stanovených v této směrnici též na letech odlétajících z letiště nacházejícího se ve třetí zemi a letících na letiště nacházející se na území členského státu. Dále by všichni letečtí dopravci včetně těch, kteří nemají v Unii licenci, měli zajistit splnění použitelných požadavků stanovených v této směrnici v případech, kdy lety odlétají z území Unie a přilétají na území třetí země.

(38)

Městské orgány by měly být vybízeny k tomu, aby začlenily bezbariérovou přístupnost ke službám městské dopravy do svých plánů udržitelné městské mobility a pravidelně zveřejňovaly seznamy osvědčených postupů týkajících se bezbariérové přístupnosti k městské hromadné dopravě a mobilitě.

(39)

Cílem právních předpisů Unie týkajících se bankovních a finančních služeb je ochrana spotřebitelů těchto služeb a jejich informovanost po celé Unii, tyto předpisy však nezahrnují požadavky na přístupnost. S cílem umožnit osobám se zdravotním postižením využívat tyto služby v celé Unii, a to i podle možností prostřednictvím internetových stránek a služeb poskytovaných na mobilních zařízeních, včetně mobilních aplikací, činit informovaná rozhodnutí a dodat jim pocit jistoty, že jsou dostatečně chráněny za rovnocenných podmínek jako ostatní spotřebitelé, jakož i zajistit rovné podmínky pro poskytovatele služeb, by tato směrnice měla stanovit obecné požadavky na přístupnost určitých bankovních a finančních služeb poskytovaných spotřebitelům.

(40)

Příslušné požadavky na přístupnost by se měly vztahovat také na metody identifikace, elektronické podpisy a platební služby, jelikož jsou k realizaci spotřebitelských bankovních transakcí nezbytné.

(41)

Soubory elektronických knih jsou založeny na elektronickém počítačovém kódování, jež umožňuje oběh povětšinou textových a grafických děl a nahlížení do nich. Stupeň přesnosti tohoto kódování určuje přístupnost souborů elektronických knih, zejména pokud jde o kvalifikaci jednotlivých podstatných prvků díla a standardizovaný popis jeho struktury. Interoperabilita by měla, co se týče přístupnosti, optimalizovat kompatibilitu těchto souborů s uživatelskými aplikacemi a současnými i budoucími podpůrnými technologiemi. Specifické vlastnosti zvláštních publikací, jako jsou komiksy, knihy pro děti a knihy o umění, by se měly zohlednit v souvislosti se všemi použitelnými požadavky na přístupnost. Rozdílné požadavky na přístupnost v členských státech by vydavatelům a dalším hospodářským subjektům ztěžovaly využívání výhod vnitřního trhu, mohly by způsobit problémy s interoperabilitou čteček elektronických knih a omezovaly by přístup spotřebitelům se zdravotním postižením. V souvislosti s elektronickými knihami by pojem poskytovatel služeb mohl zahrnovat vydavatele a další hospodářské subjekty zapojené do jejich distribuce.

Je zapotřebí poznamenat, že osoby se zdravotním postižením i nadále čelí překážkám při přístupu k obsahu chráněnému autorským právem a právy s ním souvisejícími a že již byla přijata určitá opatření k nápravě této situace, například přijetím směrnice Evropského parlamentu a Rady (EU) 2017/1564 (14) a nařízení Evropského parlamentu a Rady (EU) 2017/1563 (15), a v budoucnu by mohla být v tomto ohledu přijata další opatření Unie.

(42)

Tato směrnice vymezuje služby elektronického obchodování jako službu poskytovanou na dálku prostřednictvím internetových stránek a služeb poskytovaných na mobilních zařízeních, elektronickými prostředky a na individuální žádost spotřebitele s cílem uzavřít spotřebitelskou smlouvu. Pro účely této definice se slovy „na dálku“ rozumí skutečnost, že je služba poskytována bez současné přítomnosti stran; slovy „elektronickými prostředky“ se rozumí skutečnost, že je služba odeslána z výchozího místa a přijata v místě jejího určení prostřednictvím elektronického zařízení pro zpracování (včetně digitální komprese) a uchovávání dat a odeslána, přenesena nebo přijata jako celek drátově, rádiově, opticky nebo jinými elektromagnetickými prostředky; slovy „na individuální žádost spotřebitele“ se rozumí skutečnost, že je služba poskytována na individuální žádost. Vzhledem ke zvýšenému významu služeb elektronického obchodování a jejich vysoce technické povaze je důležité stanovit harmonizované požadavky na jejich přístupnost.

(43)

Povinnosti týkající se přístupnosti služeb elektronického obchodování, stanovené v této směrnici, by se měly vztahovat na online prodej veškerých výrobků nebo služeb, a měly by se proto rovněž vztahovat na prodej výrobků nebo služeb, jež jsou samy o sobě předmětem této směrnice.

(44)

Přijetím opatření týkajících se přístupnosti příjmu tísňových komunikací by neměla být dotčena ani ovlivněna organizace tísňových služeb, která zůstává ve výlučné pravomoci členských států.

(45)

Podle směrnice (EU) 2018/1972 mají členské státy zajistit, aby koncoví uživatelé se zdravotním postižením měli rovnocenný přístup k tísňovým službám prostřednictvím tísňových komunikací jako ostatní koncoví uživatelé, a to v souladu s právem Unie, jímž se harmonizují požadavky na přístupnost výrobků a služeb. Komise a vnitrostátní regulační a jiné příslušné orgány mají přijmout vhodná opatření k zajištění toho, aby koncoví uživatelé se zdravotním postižením měli při cestách v jiném členském státě přístup k tísňovým službám za rovnocenných podmínek jako ostatní koncoví uživatelé, je-li to možné bez předchozí registrace. Účelem těchto opatření by mělo být zajištění interoperability mezi všemi členskými státy a měla by v nejvyšší možné míře vycházet z evropských norem nebo specifikací stanovených v souladu s článkem 39 směrnice (EU) 2018/1972. Tato opatření nemají členským státům bránit v přijímání dalších požadavků směřujících k plnění cílů stanovených v uvedené směrnici. Jako alternativní řešení ke splnění požadavků na přístupnost, pokud jde o příjem tísňových komunikací uživatelů se zdravotním postižením, které stanoví tato směrnice, by členské státy měly mít možnost určit třetí stranu jako poskytovatele konverzní služby, kterou by mohly využívat osoby se zdravotním postižením ke komunikaci s centrem tísňové komunikace, dokud nebudou tato centra tísňové komunikace schopna využívat k zajištění přístupnosti příjmu tísňových komunikací služby elektronických komunikací prostřednictvím internetových protokolů. Povinnosti stanovené v této směrnici by se v žádném případě neměly chápat tak, že omezují či snižují povinnosti učené na podporu koncových uživatelů se zdravotním postižením, včetně zajištění rovnocenného přístupu ke službám elektronických komunikací a k tísňovým službám, a povinností týkajících se přístupnosti, jak stanoví směrnice (EU) 2018/1972.

(46)

Směrnice (EU) 2016/2102 stanoví požadavky na přístupnost internetových stránek a mobilních aplikací subjektů veřejného sektoru a další související aspekty, zejména požadavky týkající se souladu příslušných internetových stránek a mobilních aplikací s předpisy. Uvedená směrnice však obsahuje zvláštní seznam výjimek. Podobné výjimky jsou relevantní i pro tuto směrnici. Některé činnosti, které se uskutečňují prostřednictvím internetových stránek a mobilních aplikací subjektů veřejného sektoru, jako služby přepravy cestujících nebo služby elektronického obchodování, jež spadají do oblasti působnosti této směrnice, by měly navíc splňovat použitelné požadavky na přístupnost stanovené v této směrnici, aby se zajistilo, že online prodej výrobků a služeb bude přístupný osobám se zdravotním postižením bez ohledu na to, zda je prodejce veřejný nebo soukromý hospodářský subjekt. Požadavky na přístupnost stanovené v této směrnici by měly být sladěny s požadavky směrnice (EU) 2016/2102, a to i přes odlišnosti týkající se například sledování, podávání zpráv a prosazování.

(47)

Přístupnost internetových stránek a mobilních aplikací je založena na čtyřech zásadách, na nichž staví směrnice (EU) 2016/2102: vnímatelnost, což znamená, že informace a prvky uživatelského rozhraní musí být uživatelům prezentovány tak, aby je byli uživatelé schopni vnímat; ovladatelnost, která znamená, že prvky uživatelského rozhraní a navigace musí být ovladatelné; srozumitelnost, která znamená, že informace a ovládání uživatelského rozhraní musí být srozumitelné, a stabilita, která znamená, že obsah musí být dostatečně stabilní tak, aby mohl být spolehlivě interpretován širokou škálou uživatelských aplikací, včetně podpůrných technologií. Tyto zásady jsou důležité rovněž pro tuto směrnici.

(48)

Členské státy by měly přijmout veškerá vhodná opatření k zajištění toho, aby výrobky a služby, na které se vztahuje tato směrnice, splňovaly použitelné požadavky na přístupnost a aby jejich volný pohyb v Unii nebyl znemožněn z důvodů souvisejících s požadavky na přístupnost.

(49)

V některých situacích by společné požadavky na přístupnost zastavěného prostředí usnadnily volný pohyb souvisejících služeb a osob se zdravotním postižením. Tato směrnice by tudíž členským státům měla umožňovat zahrnout zastavěné prostředí používané při poskytování služeb do oblasti působnosti této směrnice, a zajistit tak splnění požadavků na přístupnost stanovených v příloze III.

(50)

Přístupnosti by mělo být dosaženo systematickým odstraňováním překážek a předcházením jejich vzniku, pokud možno prostřednictvím konceptu „univerzální design“ či „design pro všechny“, jenž přispívá k zajištění přístupu osob se zdravotním postižením na rovnoprávném základě s ostatními. Podle úmluvy OSN tento přístup znamená „navrhování výrobků, vybavení, programů a služeb tak, aby je mohly v co největší míře využívat všechny osoby bez nutnosti úprav nebo specializovaného designu“. Podle úmluvy OSN „ „univerzální design“ nevylučuje podpůrné pomůcky pro určité skupiny osob se zdravotním postižením, pokud jsou zapotřebí“. Přístupnost by dále neměla vylučovat poskytování přiměřených úprav, vyžaduje-li to právo Unie či vnitrostátní právo Unie. Přístupnost a univerzální design by měly být vykládány v souladu s obecným komentářem č. 2(2014) k článku 9: Přístupnost, kterou vypracoval Výbor pro práva osob se zdravotním postižením.

(51)

Výrobky nebo služby spadající do oblasti působnosti této směrnice automaticky nespadají do oblasti působnosti směrnice Rady 93/42/EHS (16). Některé podpůrné technologie, jež jsou zdravotnickými prostředky, však do oblasti působnosti uvedené směrnice spadat mohou.

(52)

Většinu pracovních míst v EU zajišťují malé a střední podniky a mikropodniky. Mají zásadní význam pro budoucí růst, velmi často však narážejí na překážky a problémy, které jim brání rozvíjet výrobky nebo služby, zejména v přeshraničním kontextu. Je proto nezbytné, aby se práce malých a středních podniků a mikropodniků usnadnila harmonizací vnitrostátních předpisů v oblasti přístupnosti, avšak při zachování nezbytných záruk.

(53)

Aby mohly mikropodniky a malé a střední podniky požívat výhod této směrnice, musí skutečně splňovat požadavky doporučení Komise 2003/361/ES (17) a příslušné judikatury, jejichž cílem je zabránit obcházení jeho pravidel.

(54)

V zájmu zajištění slučitelnosti práva Unie by tato směrnice měla vycházet z rozhodnutí Evropského parlamentu a Rady č. 768/2008/ES (18), neboť se týká výrobků, které již spadají do působnosti jiných aktů Unie, přičemž by měly být uznány zvláštní rysy požadavků na přístupnost stanovených v této směrnici.

(55)

Všechny hospodářské subjekty spadající do oblasti působnosti této směrnice a zapojené do dodavatelského a distribučního řetězce by měly zajistit, aby na trh dodávaly pouze výrobky, které jsou ve shodě s touto směrnicí. Totéž by mělo platit pro hospodářské subjekty poskytující služby. Je nezbytné stanovit jasné a přiměřené rozdělení povinností podle role, kterou mají jednotlivé hospodářské subjekty v dodavatelském a distribučním procesu.

(56)

Odpovědnost za soulad výrobků a služeb s právními předpisy by měly nést hospodářské subjekty podle role, kterou hrají v dodavatelském řetězci, aby byla zajištěna vysoká úroveň ochrany přístupnosti i spravedlivá hospodářská soutěž na trhu Unie.

(57)

Povinnosti stanovené v této směrnici by se měly ve stejné míře použít na hospodářské subjekty z veřejného i soukromého sektoru.

(58)

Výrobce může díky svým podrobným znalostem procesu navrhování a výroby nejlépe provést celkový postup posuzování shody. Ačkoli odpovědnost za shodu výrobků nese výrobce, orgány dozoru nad trhem by měly hrát klíčovou úlohu při kontrole, zda jsou výrobky dodávané v Unii na trh vyrobeny v souladu s právem Unie.

(59)

Dovozci a distributoři by měli být zapojeni do úkolů dozoru nad trhem, které provádějí vnitrostátní orgány, a měli by se aktivně účastnit tím, že budou poskytovat příslušným orgánům všechny nezbytné informace týkající se dotčeného výrobku.

(60)

Dovozci by měli zajistit, aby výrobky ze třetích zemí vstupující na trh Unie splňovaly požadavky této směrnice, a zejména aby u nich jejich výrobci provedli náležitý postup posouzení shody.

(61)

Při uvádění výrobku na trh by měli dovozci uvést na výrobku své jméno, zapsaný obchodní název nebo zapsanou ochrannou známku a adresu, na níž je lze kontaktovat.

(62)

Distributoři by měli zajistit, aby při nakládání s daným výrobkem nepříznivě neovlivnili soulad výrobku s požadavky na přístupnost stanovenými v této směrnici.

(63)

Každý hospodářský subjekt, který buď uvede výrobek na trh pod vlastním jménem nebo ochrannou známkou, nebo výrobek, jenž byl na trh již uveden, upraví tak, že to může ovlivnit soulad s použitelnými požadavky, by měl být považován za výrobce a měl by převzít povinnosti výrobce.

(64)

Požadavky na přístupnost by se z důvodů přiměřenosti měly uplatňovat pouze v rozsahu, v jakém dotčenému hospodářskému subjektu nezpůsobují nepřiměřenou zátěž nebo nevyžadují významnou změnu výrobků a služeb, která by měla za následek zásadní změnu z hlediska této směrnice. Měly by však být zavedeny kontrolní mechanismy, kterými by se ověřila oprávněnost výjimky z uplatňování požadavků na přístupnost.

(65)

Tato směrnice by měla dodržovat pravidla zásady „zelenou malým a středním podnikům“ a měla by zohledňovat administrativní zátěž, které malé a střední podniky čelí. Spíše než obecné výjimky a odchylky pro tyto podniky by měla stanovit méně striktní pravidla posuzování shody a měla by zavést ochranné doložky pro hospodářské subjekty. V důsledku toho by při stanovení pravidel pro výběr a provádění nejvhodnějších postupů posuzování shody měla být situace malých a středních podniků zohledněna a povinnost posuzovat shodu požadavků na přístupnost by měla být omezena tak, aby pro malé a střední podniky nepředstavovala nepřiměřenou zátěž. Orgány dozoru nad trhem by navíc měly působit přiměřeně podle velikosti podniků a podle toho, zda se jedná o výrobky v malých sériích nebo o nesériovou výrobu, neměly by malým a středním podnikům vytvářet překážky a neměly by ohrožovat ochranu veřejného zájmu.

(66)

Pokud by soulad s požadavky na přístupnost stanovenými v této směrnici kladl na hospodářské subjekty nepřiměřenou zátěž, měly by tyto hospodářské subjekty mít ve výjimečných případech povinnost plnit tyto požadavky pouze v rozsahu, v jakém nepřiměřenou zátěž nepředstavují. V takovýchto řádně odůvodněných případech by pro hospodářský subjekt nebylo rozumně možné plně uplatňovat jeden či více požadavků na přístupnost stanovených v této směrnici. Hospodářský subjekt by však měl službu či výrobek spadající do oblasti působnosti této směrnice v co nejvyšší možné míře zpřístupnit za uplatnění těchto požadavků v rozsahu, v jakém nepřiměřenou zátěž nepředstavují. Ty požadavky na přístupnost, jež hospodářský subjekt nepovažoval za kladoucí nepřiměřenou zátěž, by se měly plně uplatnit. Výjimky z povinnosti splnit jeden či více požadavků na přístupnost uplatněné z důvodu nepřiměřené zátěže, kterou představují, by neměly překračovat rámec toho, co je nezbytně nutné k omezení této zátěže v souvislosti s dotčeným výrobkem či službou v každém jednotlivém případě. Za opatření, jež by kladla nepřiměřenou zátěž, by měla být chápána opatření, jež by hospodářskému subjektu způsobila dodatečnou nadměrnou organizační či finanční zátěž, přičemž se zohledňuje pravděpodobný výsledný přínos pro osoby se zdravotním postižením v souladu s kritérii stanovenými v této směrnici. Na základě těchto úvah by měla být vymezena kritéria s cílem umožnit hospodářským subjektům i příslušným orgánům porovnat různé situace a systematicky posuzovat případnou existenci nepřiměřené zátěže. Při posuzování rozsahu, v jakém nemohou být požadavky splněny, neboť by kladly nepřiměřenou zátěž, by měly být vzaty v úvahu pouze legitimní důvody. Nemělo by mezi ně patřit nedostatečné určení priorit ani nedostatek času nebo znalostí.

(67)

Při celkovém posuzování nepřiměřené zátěže by se mělo použít kritérií stanovených v příloze VI. Posouzení nepřiměřené zátěže by měl hospodářský subjekt zdokumentovat s přihlédnutím k příslušným kritériím. Poskytovatelé služeb by měli vždy alespoň po pěti letech posouzení nepřiměřené zátěže znovu vyhodnotit.

(68)

Hospodářský subjekt by měl informovat příslušné orgány, že se odvolává na ustanovení této směrnice týkající se zásadní změny nebo nepřiměřené zátěže. Hospodářský subjekt by měl poskytovat kopii posouzení s vysvětlením, proč jeho výrobek či služba nejsou plně přístupné, a důkazy nepřiměřené zátěže nebo zásadní změny pouze na žádost příslušných orgánů.

(69)

Pokud poskytovatel služeb na základě požadovaného posouzení dospěje k závěru, že požadavek, aby všechny samoobslužné terminály využívané při poskytování služeb, na něž se vztahuje tato směrnice, splňovaly požadavky na přístupnost stanovené v této směrnici, by kladl nepřiměřenou zátěž, měl by tyto požadavky přesto uplatňovat v rozsahu, v jakém mu nepřiměřenou zátěž nezpůsobují. Poskytovatelé služeb by tedy měli posoudit rozsah, v jakém by jim omezená úroveň přístupnosti všech samoobslužných terminálů či omezený počet plně přístupných samoobslužných terminálů umožnil vyhnout se nepřiměřené zátěži, která by na ně jinak byla kladena, a měli být mít povinnost splnit požadavky na přístupnost stanovené v této směrnici pouze v tomto rozsahu.

(70)

Mikropodniky se od všech ostatních podniků odlišují svými omezenými lidskými zdroji, ročním obratem nebo bilanční sumou roční rozvahy. Zátěž spočívající v plnění požadavků na přístupnost proto v případě mikropodniků vyžaduje obecně větší podíl jejich finančních a lidských zdrojů, než je tomu u jiných podniků, a s větší pravděpodobností představuje nepřiměřenou část nákladů. Významná část nákladů mikropodniků vyplývá z vyplňování či vedení dokumentace a záznamů k prokázání souladu s různými požadavky stanovenými v právních předpisech Unie. Ačkoli by všechny hospodářské subjekty, na které se vztahuje tato směrnice, měly být schopny posoudit přiměřenost plnění požadavků na přístupnost stanovených v této směrnicí a plnit je pouze v tom rozsahu, v jakém nejsou nepřiměřené, představoval by již samotný požadavek na takové posouzení ze strany mikropodniků neúměrnou zátěž. Požadavky a povinnosti stanovené v této směrnici by se proto neměly vztahovat na mikropodniky poskytující služby v oblasti působnosti této směrnice.

(71)

Požadavky a povinnosti stanovené v této směrnici ve vztahu k mikropodnikům, které nakládají s výrobky spadajícími do oblasti působnosti této směrnice, by měly být méně přísné, aby se snížila administrativní zátěž.

(72)

Třebaže jsou některé mikropodniky osvobozeny od povinností stanovených v této směrnici, všechny mikropodniky by se měly pobízet k tomu, aby vyráběly, dovážely nebo distribuovaly výrobky a poskytovaly služby v souladu s požadavky na přístupnost stanovenými v této směrnici s cílem zvýšit konkurenceschopnost i potenciál růstu těchto podniků na vnitřním trhu. Členské státy by proto měly v zájmu snadnějšího uplatňování vnitrostátních opatření provádějících tuto směrnici mikropodnikům poskytovat pokyny a nástroje.

(73)

Všechny hospodářské subjekty by měly při uvádění nebo dodávání výrobků na trh nebo poskytování služeb na trhu jednat odpovědně a plně v souladu s příslušnými požadavky právních předpisů.

(74)

Aby se usnadnilo posuzování shody s použitelnými požadavky na přístupnost, je nezbytné stanovit předpoklad shody pro výrobky a služby, které jsou ve shodě s dobrovolnými harmonizovanými normami přijatými v souladu s nařízením Evropského parlamentu a Rady (EU) č. 1025/2012 (19) za účelem vypracování podrobných technických specifikací těchto požadavků. Komise již evropským normalizačním organizacím podala řadu žádostí o normalizaci v oblasti přístupnosti, jako jsou mandáty pro vypracování norem M/376, M/473 a M/420, které by byly relevantní pro přípravu harmonizovaných norem.

(75)

Nařízení (EU) č. 1025/2012 stanoví postup pro podávání formálních námitek proti harmonizovaným normám, u nichž se má za to, že nesplňují požadavky stanovené v této směrnici.

(76)

Evropské normy by měly být tržně orientované a měly by zohledňovat veřejný zájem i politické cíle, které Komise jasně uvede ve své žádosti o vypracování harmonizovaných norem, kterou předloží jedné či více evropským normalizačním organizacím, a měly by být založeny na konsenzu. V případě, že neexistují harmonizované normy, měla by mít Komise možnost, pokud je to třeba pro účely harmonizace vnitřního trhu, v určitých případech přijmout prováděcí akty, kterými stanoví technické specifikace pro požadavky na přístupnost stanovené v této směrnici. Využití technických specifikací by mělo být omezeny na tyto případy. Komise by například měla mít možnost přijmout technické specifikace v případě, že proces normalizace je blokován z důvodu chybějícího konsenzu mezi zúčastněnými stranami, nebo v případě, že dojde k nepřiměřeným prodlevám při stanovování harmonizované normy, například proto, že nebylo dosaženo požadované kvality. Komise by měla mezi přijetím žádosti o vypracování harmonizovaných norem, kterou předložila jedné či více evropských normalizačních organizací, a přijetím technické specifikace týkající se téhož požadavku na přístupnost umožnit dostatek času. Komise by neměla mít možnost přijmout technickou specifikaci, aniž by se předtím pokusila o zavedení požadavku na přístupnost prostřednictvím evropského systému normalizace, ledaže může prokázat, že technické specifikace dodržují požadavky stanovené v příloze II nařízení (EU) č. 1025/2012.

(77)

V zájmu co nejúčinnějšího stanovení harmonizovaných norem a technických specifikací, které splňují požadavky na přístupnost stanovené v této směrnici pro výrobky a služby, by Komise měla tam, kde je to proveditelné, zapojit evropské zastřešující organizace osob se zdravotním postižením a všechny další relevantní zúčastněné subjekty do tohoto procesu.

(78)

V zájmu zajištění účinného přístupu k informacím pro účely dozoru nad trhem by měly být informace, které se požadují k prokázání souladu se všemi použitelnými akty Unie, zpřístupněny v jediném EU prohlášení o shodě. Za účelem snížení své administrativní zátěže by měly mít hospodářské subjekty možnost veškerá příslušná jednotlivá prohlášení o shodě shrnout do jediného EU prohlášení o shodě.

(79)

Pokud jde o posuzování shody výrobků, měla by tato směrnice vycházet z interního řízení výroby v „modulu A“, který je popsán v příloze II rozhodnutí č. 768/2008/ES, jelikož to umožňuje hospodářským subjektům prokázat a příslušným orgánům zajistit, že výrobky dodávané na trh splňují požadavky na přístupnost, a zároveň to nezpůsobuje přílišnou zátěž.

(80)

Při provádění dozoru nad trhem s výrobky a kontrole souladu služeb by měly orgány rovněž kontrolovat posouzení shody včetně toho, zda byla řádně provedena příslušná posouzení zásadní změny nebo nepřiměřené zátěže. Při plnění svých povinností by tak orgány měly činit i ve spolupráci s osobami se zdravotním postižením a organizacemi, které je a jejich zájmy zastupují.

(81)

V případě služeb by informace nezbytné pro posouzení shody s požadavky na přístupnost stanovenými v této směrnici měly být uvedeny ve všeobecných obchodních podmínkách nebo v rovnocenném dokumentu, aniž je dotčena směrnice Evropského parlamentu a Rady 2011/83/EU (20).

(82)

Označení CE, které vyjadřuje shodu výrobku s požadavky na přístupnost stanovenými v této směrnici, je viditelným výsledkem celého postupu, jehož součástí je posouzení shody v širším smyslu. Tato směrnice by měla dodržovat obecné zásady, kterými se označení CE řídí a které jsou obsaženy v nařízení Evropského parlamentu a Rady (ES) č. 765/2008 (21), kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh. Kromě vypracování EU prohlášení o shodě by měl výrobce nákladově účinným způsobem informovat spotřebitele o přístupnosti svých výrobků.

(83)

V souladu s nařízením (ES) č. 765/2008 výrobce umístěním označení CE na výrobek prohlašuje, že je výrobek ve shodě se všemi příslušnými požadavky na přístupnost a že za něj výrobce nese plnou odpovědnost.

(84)

V souladu s rozhodnutím č. 768/2008/ES jsou členské státy odpovědné za zajištění silného a účinného dozoru nad trhem u výrobků na svém území a měly by svým orgánům dozoru nad trhem přidělit dostatečné pravomoci a zdroje.

(85)

Členské státy by měly kontrolovat, zda jsou u služeb dodržovány povinnosti podle této směrnice, a měly by se zabývat stížnostmi nebo zprávami ohledně jejich nedodržování s cílem zajistit přijetí nápravných opatření.

(86)

Komise by mohla ve vhodných případech v konzultaci se zúčastněnými stranami přijmout nezávazné pokyny, jež podpoří koordinaci mezi orgány dozoru nad trhem a orgány odpovědnými za kontrolu souladu služeb. Komise a členské státy by měly mít možnost realizovat iniciativy za účelem sdílení zdrojů a odborných poznatků orgánů.

(87)

Členské státy by měly zajistit, aby orgány dozoru nad trhem a orgány odpovědné za kontrolu souladu služeb kontrolovaly soulad hospodářských subjektů s kritérii uvedenými v příloze VI podle kapitol VIII a IX. Členské státy by měly mít možnost určit specializovaný subjekt, který bude plnit povinnosti orgánů dozoru nad trhem nebo orgánů odpovědných za kontrolu souladu služeb podle této směrnice. Členské státy by měly mít možnost rozhodnout, že by pravomoci takového specializovaného subjektu měly být omezeny na oblast působnosti této směrnice nebo některé její části, a to aniž jsou dotčeny povinnosti členských států podle nařízení (ES) č. 765/2008.

(88)

Měl by být zaveden ochranný postup, který by se uplatňoval v případě, že se členské státy neshodnou ohledně opatření přijatých členským státem, a na jehož základě by byly zúčastněné strany informovány o plánovaných opatřeních, pokud jde o výrobky nesplňující požadavky na přístupnost stanovené v této směrnici. Tento ochranný postup by měl orgánům dozoru nad trhem umožnit, aby ve spolupráci s příslušnými hospodářskými subjekty začaly v případě daných výrobků jednat co nejdříve.

(89)

Pokud se členské státy a Komise shodují, že opatření přijaté členským státem je oprávněné, neměl by se vyžadovat žádný další zásah Komise, kromě případů, kdy lze nesoulad s právními předpisy přisuzovat nedostatkům v harmonizovaných normách nebo technických specifikacích.

(90)

Směrnice Evropského parlamentu a Rady 2014/24/EU (22) a 2014/25/EU (23) o zadávání veřejných zakázek, jež stanoví postupy pro zadávání veřejných zakázek a soutěže o návrh u určitých dodávek (výrobků), služeb a prací, vyžadují, aby se technické specifikace u všech veřejných zakázek určených k použití fyzickými osobami bez ohledu na to, zda veřejností nebo pracovníky zadavatele, kromě řádně odůvodněných případů vypracovávaly tak, aby zohledňovaly kritéria přístupnosti pro osoby se zdravotním postižením nebo koncepci pro všechny uživatele. Pokud jsou právním aktem Unie přijaty závazné požadavky na přístupnost, tyto směrnice dále vyžadují, aby byly technické specifikace, pokud jde o kritéria přístupnosti pro osoby s postižením nebo koncepci pro všechny uživatele, stanoveny odkazem na tento akt. Tato směrnice by měla stanovit závazné požadavky na přístupnost výrobků a služeb, na něž se vztahuje. Pro výrobky a služby, na něž se tato směrnice nevztahuje, požadavky na přístupnost stanovené v této směrnici závazné nejsou. Využívání těchto požadavků na přístupnost ke splnění příslušných povinností stanovených v jiných aktech Unie, než je tato směrnice, by však usnadnilo realizaci přístupnosti a přispělo k právní jistotě a sblížení požadavků na přístupnost v celé Unii. Orgánům by nemělo nic bránit v tom, aby stanovily požadavky na přístupnost nad rámec požadavků na přístupnost stanovených v příloze I této směrnice.

(91)

Tato směrnice by neměla měnit povinnost nebo dobrovolnost ustanovení týkajících se přístupnosti v jiných aktech Unie.

(92)

Tato směrnice by se měla vztahovat pouze na zadávací řízení, kde již byla zaslána výzva k účasti v soutěži, nebo pokud není výzva k účasti v soutěži stanovena, kde zadavatel zahájil zadávací řízení po dni použitelnosti této směrnice.

(93)

V zájmu zajištění řádného uplatňování této směrnice by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování EU, pokud jde o: další upřesnění požadavků na přístupnost, které z důvodu své podstaty nemohou vyvolat očekávaný účinek, aniž by byly dále upřesněny v závazných právních aktech Unie; změnu lhůty, během níž mohou hospodářské subjekty uvést jakýkoli další hospodářský subjekt, jenž jim výrobek dodal, nebo jemuž výrobek dodaly; a další upřesnění příslušných kritérií, která má hospodářský subjekt zohlednit za účelem posouzení, zda by splnění požadavků na přístupnost kladlo nepřiměřenou zátěž. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů (24). Zejména v zájmu zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a tito odborníci mají systematicky přístup na schůze skupin odborníků Komise zabývajících se vypracováním aktů v přenesené pravomoci.

(94)

Za účelem zajištění jednotných podmínek k provedení této směrnice by měly být Komisi svěřeny prováděcí pravomoci, pokud jde o technické specifikace. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (25).

(95)

Členské státy by měly zajistit, aby byly k dispozici přiměřené a účinné prostředky pro zajištění souladu s touto směrnicí, a měly by proto vytvořit vhodné kontrolní mechanismy, mimo jiné dodatečnou kontrolu, kterou budou vykonávat orgány dozoru nad trhem, s cílem ověřit, zda je výjimka z požadavku na přístupnost odůvodněná. Při vyřizování stížností týkajících se přístupnosti by se členské státy měly řídit obecnou zásadou řádné správy; úředníci by především měli mít povinnost zajistit, aby o každé stížnosti bylo rozhodnuto v přiměřené lhůtě.

(96)

V zájmu usnadnění jednotného provádění této směrnice by měla Komise zřídit pracovní skupinu sestávající z příslušných orgánů a zúčastněných stran s cílem napomoci výměně informací a osvědčených postupů a poskytovat poradenství. Měla by být podporována spolupráce mezi orgány a příslušnými zúčastněnými stranami, včetně osob se zdravotním postižením a organizací, které je zastupují, mimo jiné v zájmu zlepšení soudržnosti při uplatňování ustanovení této směrnice týkajících se požadavků na přístupnost a při sledování, jak se provádí její ustanovení o zásadní změně a nepřiměřené zátěži.

(97)

Vzhledem k současnému právnímu rámci pro opravné prostředky v oblastech, které upravují směrnice 2014/24/EU a 2014/25/EU, by se ustanovení této směrnice týkající se vymáhání a sankcí neměla použít na zadávací řízení, pro něž platí povinnosti stanovené v této směrnici. Tímto vynětím nejsou dotčeny povinnosti členských států vyplývající ze Smluv přijmout veškerá nezbytná opatření, aby zaručily uplatňování a účinnost práva Unie.

(98)

Sankce by měly být přiměřené ve vztahu k povaze porušení a k okolnostem, aby nesloužily hospodářským subjektům jako alternativní řešení, jak splnit jejich povinnosti zajistit přístupnost jejich produktů nebo služeb.

(99)

Členské státy by měly zajistit, aby byly v souladu s platnými právními předpisy Unie zavedeny alternativní mechanismy řešení sporů, které by umožňovaly řešení jakéhokoli údajného nesouladu s touto směrnicí dříve, než bude podána žaloba k soudu nebo příslušnému správnímu orgánu.

(100)

V souladu se společným politickým prohlášením členských států a Komise ze dne 28. září 2011 o informativních dokumentech (26) se členské státy zavázaly, že v odůvodněných případech doplní oznámení o opatřeních přijatých za účelem provedení směrnice ve vnitrostátním právu jedním či více dokumenty s informacemi o vztahu mezi jednotlivými částmi směrnice a příslušnými částmi vnitrostátních nástrojů přijatých za účelem provedení směrnice ve vnitrostátním právu. V případě této směrnice považuje normotvůrce předložení těchto dokumentů za odůvodněné.

(101)

Aby měli poskytovatelé služeb dostatek času přizpůsobit se požadavkům této směrnice, je nezbytné stanovit přechodné období v délce pěti let ode dne použitelnosti této směrnice, během něhož nemusí výrobky používané při poskytování služeb, uvedené na trh před zmíněným dnem, splňovat požadavky na přístupnost stanovené v této směrnici, pokud nejsou poskytovateli služeb během přechodného období nahrazeny. Vzhledem k nákladnosti a dlouhému životnímu cyklu samoobslužných terminálů je vhodné stanovit, že pokud jsou tyto terminály používány při poskytování služeb, mohou být nadále používány až do doby, než skončí jejich životnost, pokud nejsou během této doby nahrazeny, nejdéle však 20 let.

(102)

Požadavky na přístupnost stanovené v této směrnici by se měly vztahovat na výrobky uvedené na trh a služby poskytnuté po dni použitelnosti vnitrostátních opatření provádějících tuto směrnici, včetně použitých výrobků dovezených z třetí země a uvedených na trh po tomto dni.

(103)

Tato směrnice dodržuje základní práva a ctí zásady uznávané zejména Listinou základních práv Evropské unie (dále jen „Listina“). Jejím cílem je především zajistit, aby bylo plně dodržováno právo osob se zdravotním postižením využívat opatření navržená tak, aby zajistila jejich nezávislost, sociální a profesní začlenění a jejich účast na životě společnosti, a podpořit uplatňování článků 21, 25 a 26 Listiny.

(104)

Jelikož cíle této směrnice, totiž odstranění překážek bránících volnému pohybu některých přístupných výrobků a služeb ve snaze přispět k řádnému fungování vnitřního trhu, nemůže být uspokojivě dosaženo na úrovni členských států, neboť to vyžaduje harmonizaci různých pravidel, která v současné době existují v rámci jejich právních systémů, ale lze jej vymezením společných požadavků na přístupnost a pravidel pro fungování vnitřního trhu lépe dosáhnout na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje tato směrnice rámec toho, co je nezbytné pro dosažení tohoto cíle,