Denne tekst tjener udelukkende som dokumentationsværktøj og har ingen retsvirkning. EU's institutioner påtager sig intet ansvar for dens indhold. De autentiske udgaver af de relevante retsakter, inklusive deres betragtninger, er offentliggjort i den Europæiske Unions Tidende og kan findes i EUR-Lex. Disse officielle tekster er tilgængelige direkte via linkene i dette dokument

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2019/881

af 17. april 2019

om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed)

(EØS-relevant tekst)

AFSNIT I

GENERELLE BESTEMMELSER

Artikel 1

Genstand og anvendelsesområde

Med henblik på at sikre et velfungerende indre marked og opnå et højt niveau af cybersikkerhed, cyberrobusthed og tillid i Unionen fastlægges i denne forordning:

mål, opgaver og organisatoriske forhold vedrørende ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), og

▼M1

en ramme for etablering af europæiske cybersikkerhedscertificeringsordninger, der har til formål at sikre et tilstrækkeligt cybersikkerhedsniveau for IKT-produkter, IKT-tjenester og IKT-processer samt administrerede sikkerhedstjenester i Unionen, samt at undgå fragmentering af det indre marked med hensyn til cybersikkerhedscertificeringsordninger i Unionen.

▼B

Rammen omhandlet i første afsnit, litra b), finder anvendelse, uden at det berører specifikke bestemmelser i andre EU-retsakter vedrørende frivillig eller obligatorisk certificering.

Denne forordning berører ikke medlemsstaternes beføjelser med hensyn til aktiviteter vedrørende offentlig sikkerhed, forsvar, statens sikkerhed og statens aktiviteter på det strafferetlige område.

Artikel 2

Definitioner

I denne forordning forstås ved:

1)	»cybersikkerhed« : de aktiviteter, der er nødvendige for at beskytte net- og informationssystemer, brugerne af sådanne systemer og andre personer berørt af cybertrusler

2)	»net- og informationssystem« : et net- og informationssystem som defineret i artikel 4, nr. 1), i direktiv (EU) 2016/1148

3)	»national strategi for sikkerheden i net- og informationssystemer« : en national strategi for sikkerheden i net- og informationssystemer som defineret i artikel 4, nr. 3), i direktiv (EU) 2016/1148

4)	»operatør af væsentlige tjenester« : en operatør af væsentlige tjenester som defineret i artikel 4, nr. 4), i direktiv (EU) 2016/1148

5)	»udbyder af digitale tjenester« : en udbyder af digitale tjenester som defineret i artikel 4, nr. 6), i direktiv (EU) 2016/1148

6)	»hændelse« : en hændelse som defineret i artikel 4, nr. 7), i direktiv (EU) 2016/1148

7)	»håndtering af hændelser« : håndtering af hændelser som defineret i artikel 4, nr. 8), i direktiv (EU) 2016/1148

8)	»cybertrussel« : enhver potentiel omstændighed, begivenhed eller handling, som kan skade, forstyrre eller på anden måde have en negativ indvirkning på net- og informationssystemer, brugerne af sådanne systemer og andre personer

▼M1

»europæisk cybersikkerhedscertificeringsordning« : et sammenhængende sæt regler, tekniske krav, standarder og procedurer, der er fastsat på EU-plan, og som finder anvendelse på certificeringen eller overensstemmelsesvurderingen af specifikke IKT-produkter, IKT-tjenester og IKT-processer eller administrerede sikkerhedstjenester

10)

»national cybersikkerhedscertificeringsordning« : et sammenhængende sæt regler, tekniske krav, standarder og procedurer, der er udviklet og vedtaget af en national offentlig myndighed, og som finder anvendelse på certificeringen eller overensstemmelsesvurderingen af IKT-produkter, IKT-tjenester og IKT-processer eller administrerede sikkerhedstjenester, der er omfattet af den pågældende ordning

11)

»europæisk cybersikkerhedsattest« : et dokument udstedt af et relevant organ, som attesterer, at et givet IKT-produkt, en given IKT-tjeneste eller en given IKT-proces eller en administreret sikkerhedstjeneste er blevet evalueret med henblik på overensstemmelse med specifikke sikkerhedskrav fastsat i en europæisk cybersikkerhedscertificeringsordning

▼B

12)	»IKT-produkt« : et element eller en gruppe af elementer i net- og informationssystemer

13)	»IKT-tjeneste« : en tjeneste, der helt eller hovedsagelig består i overførsel, lagring, indhentning eller behandling af oplysninger ved hjælp af net- og informationssystemer

14)	»IKT-proces« : et sæt aktiviteter, der udføres for at udforme, udvikle, levere eller vedligeholde et IKT-produkt eller en IKT-tjeneste

▼M1

14a)

»administreret sikkerhedstjeneste« : en tjeneste ydet til en tredjepart bestående i at udføre eller yde bistand til aktiviteter vedrørende styring af cybersikkerhedsrisici, såsom håndtering af hændelser, penetrationstest, sikkerhedsrevisioner og konsulentbistand, herunder ekspertrådgivning, vedrørende teknisk støtte

▼B

15)	»akkreditering« : akkreditering som defineret i artikel 2, nr. 10), i forordning (EF) nr. 765/2008

16)	»nationalt akkrediteringsorgan« : et nationalt akkrediteringsorgan som defineret i artikel 2, nr. 11), i forordning (EF) nr. 765/2008

17)	»overensstemmelsesvurdering« : en overensstemmelsesvurdering som defineret i artikel 2, nr. 12), i forordning (EF) nr. 765/2008

18)	»overensstemmelsesvurderingsorgan« : et overensstemmelsesvurderingsorgan som defineret i artikel 2, nr. 13), i forordning (EF) nr. 765/2008

19)	»standard« : en standard som defineret i artikel 2, nr. 1), i forordning (EU) nr. 1025/2012

▼M1

20)	»teknisk specifikation« : et dokument, der fastsætter de tekniske krav, som et IKT-produkt, en IKT-tjeneste, en IKT-proces eller en administreret sikkerhedstjeneste skal opfylde eller de dertil hørende overensstemmelsesvurderingsprocedurer

21)

»tillidsniveau« : et grundlag for tillid til, at et IKT-produkt, en IKT-tjeneste, en IKT-proces eller en administreret sikkerhedstjeneste opfylder sikkerhedskravene i en bestemt europæisk cybersikkerhedscertificeringsordning, og en angivelse af, på hvilket niveau et IKT-produkt, en IKT-tjeneste, en IKT-proces eller en administreret sikkerhedstjeneste er blevet evalueret uden som sådan at måle IKT-produktets, IKT-tjenestens, IKT-processens eller den administrerede sikkerhedstjenestes sikkerhed

22)

»selvvurdering af overensstemmelse« : en handling foretaget af en producent eller udbyder af IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester, der evaluerer, hvorvidt IKT-produkterne, IKT-tjenesterne, IKT-processerne eller de administrerede sikkerhedstjenester opfylder kravene i en specifik europæisk cybersikkerhedscertificeringsordning.

▼B

AFSNIT II

ENISA (DEN EUROPÆISKE UNIONS AGENTUR FOR CYBERSIKKERHED)

KAPITEL I

Mandat og formål

Artikel 3

Mandat

ENISA udfører de opgaver, det tillægges i henhold til denne forordning, med det formål at opnå et højt fælles cybersikkerhedsniveau i hele Unionen, herunder ved aktivt at støtte medlemsstaterne og Unionens institutioner, organer, kontorer og agenturer i at forbedre cybersikkerheden. ENISA fungerer som et referencepunkt for rådgivning om og ekspertise i cybersikkerhed for Unionens institutioner, organer, kontorer og agenturer samt for andre relevante EU-interessenter.

ENISA bidrager til at mindske fragmenteringen af det indre marked ved at udføre de opgaver, det tillægges i henhold til denne forordning.

ENISA udfører de opgaver, det tillægges ved EU-retsakter, der fastsætter foranstaltninger med henblik på indbyrdes tilnærmelse af de af medlemsstaternes love og administrative bestemmelser, der vedrører cybersikkerhed.

ENISA handler uafhængigt ved udførelsen af sine opgaver, undgår overlap med medlemsstaternes aktiviteter og tager hensyn til medlemsstaternes allerede eksisterende ekspertise.

ENISA udvikler sine egne nødvendige ressourcer, herunder teknisk og menneskelig kapacitet og færdigheder, for at udføre de opgaver, det har fået tillagt i henhold til denne forordning.

Artikel 4

Formål

ENISA fungerer som et ekspertisecenter for cybersikkerhed i kraft af sin uafhængighed, den videnskabelige og tekniske kvalitet af den rådgivning og bistand, det yder, de oplysninger, det leverer, den gennemsigtighed, der er forbundet med dets procedurer, dets driftsmetoder og dets omhu ved udførelsen af sine opgaver.

ENISA bistår Unionens institutioner, organer, kontorer og agenturer samt medlemsstaterne med udvikling og gennemførelse af EU-politikker vedrørende cybersikkerhed, herunder sektorspecifikke politikker om cybersikkerhed.

ENISA støtter kapacitetsopbygning og beredskab i hele Unionen ved at bistå Unionens institutioner, organer, kontorer og agenturer samt medlemsstaterne og offentlige og private interessenter for at øge beskyttelsen af deres net- og informationssystemer, udvikle og forbedre cyberrobusthed og indsatskapaciteter og udvikle færdigheder og kompetencer inden for cybersikkerhed.

ENISA fremmer samarbejde, herunder informationsudveksling og koordinering på EU-plan, mellem medlemsstaterne, Unionens institutioner, organer, kontorer og agenturer og relevante private og offentlige interessenter for så vidt angår spørgsmål vedrørende cybersikkerhed.

ENISA bidrager til øget cybersikkerhedskapacitet på EU-plan for at støtte medlemsstaternes tiltag til at forebygge og reagere på cybertrusler, herunder navnlig i tilfælde af grænseoverskridende hændelser.

▼M1

ENISA fremmer brugen af europæisk cybersikkerhedscertificering med henblik på at undgå fragmentering af det indre marked. ENISA bidrager til etablering og vedligeholdelse af en europæisk ramme for cybersikkerhedscertificering, jf. afsnit III, for at øge gennemsigtigheden af IKT-produkters, IKT-tjenesters, IKT-processers og administrerede sikkerhedstjenesters cybersikkerhedsniveau og dermed styrke tilliden til det digitale indre marked og dets konkurrenceevne.

▼B

ENISA fremmer et højt niveau af cybersikkerhedsoplysning, herunder cyberhygiejne og cyberfærdigheder blandt borgere, organisationer og virksomheder.

KAPITEL II

Opgaver

Artikel 5

Udvikling og gennemførelse af Unionens politikker og lovgivning

ENISA bidrager til udvikling og gennemførelse af Unionens politikker og lovgivning ved at:

bistå og rådgive ved udvikling og revision af Unionens politik og lovgivning inden for cybersikkerhed samt sektorspecifik politik og lovgivningsinitiativer, som involverer cybersikkerhedsanliggender, navnlig ved at levere uafhængige udtalelser og analyser samt udføre forberedende arbejde

bistå medlemsstaterne med en konsekvent gennemførelse af Unionens politikker og lovgivning om cybersikkerhed, navnlig i forbindelse med direktiv (EU) 2016/1148, herunder ved hjælp af udstedelse af udtalelser, retningslinjer, levering af rådgivning og bedste praksis om emner som risikostyring, indberetning af hændelser og informationsudveksling, samt ved at lette udvekslingen af bedste praksis mellem de kompetente myndigheder i denne henseende

bistå medlemsstaterne og Unionens institutioner, organer, kontorer og agenturer med at udvikle og fremme cybersikkerhedspolitikker, der er forbundet med at understøtte den generelle tilgængelighed eller integritet af den offentligt tilgængelige kerne af det åbne internet

bidrage til arbejdet i samarbejdsgruppen, jf. artikel 11 i direktiv (EU) 2016/1148, ved at stille sin ekspertise og bistand til rådighed

støtte:

udvikling og gennemførelse af Unionens politikker inden for elektroniske identifikations- og tillidstjenester, navnlig gennem rådgivning og udstedelse af tekniske retningslinjer, samt ved at fremme udvekslingen af bedste praksis mellem de kompetente myndigheder

fremme af et højere sikkerhedsniveau i elektronisk kommunikation, herunder ved at levere rådgivning og ekspertise, samt ved at fremme udvekslingen af bedste praksis mellem de kompetente myndigheder

medlemsstaterne i forhold til at gennemføre specifikke cybersikkerhedsaspekter af Unionens politik og lovgivning vedrørende databeskyttelse og privatlivets fred, herunder ved efter anmodning at levere rådgivning til Det Europæiske Databeskyttelsesråd.

understøtte en jævnlig gennemgang af Unionens politiske aktiviteter ved at udarbejde en årsrapport om status for gennemførelsen af de respektive retlige rammer vedrørende:

oplysninger om medlemsstaternes underretninger om hændelser til samarbejdsgruppen via de centrale kontaktpunkter i henhold til artikel 10, stk. 3, i direktiv (EU) 2016/1148

sammenfatninger af de indberetninger om brud på sikkerheden eller tab af integritet, som er modtaget fra tillidstjenesteudbyderne, og som forelægges ENISA af tilsynsorganerne i henhold til artikel 19, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 ( 1 )

indberetninger af sikkerhedshændelser fra udbydere af offentlige elektroniske kommunikationsnet eller af offentligt tilgængelige elektroniske kommunikationstjenester, som forelægges ENISA af de kompetente myndigheder i henhold til artikel 40 i direktiv (EU) 2018/1972.

Artikel 6

Kapacitetsopbygning

ENISA bistår:

medlemsstaterne i deres bestræbelser på at forbedre forebyggelse, opdagelse og analyse af og kapaciteten til at reagere på cybertrusler og -hændelser ved at stille viden og ekspertise til rådighed for dem

medlemsstaterne og Unionens institutioner, organer, kontorer og agenturer med at etablere og gennemføre politikker for offentliggørelse af sårbarheder på frivillig basis

Unionens institutioner, organer, kontorer og agenturer i deres bestræbelser på at forbedre forebyggelse, opdagelse og analyse af cybertrusler og -hændelser, og til at forbedre deres kapacitet til at reagere på sådanne cybertrusler og -hændelser, navnlig gennem passende støtte til CERT-EU)

medlemsstaterne med udviklingen af nationale CSIRT'er, når der anmodes herom i henhold til artikel 9, stk. 5, i direktiv (EU) 2016/1148

medlemsstaterne med udviklingen af nationale strategier for sikkerhed i net- og informationssystemer, når der anmodes herom i henhold til artikel 7, stk. 2, i direktiv (EU) 2016/1148; ENISA skal også fremme udbredelsen af og notere fremskridtene med hensyn til gennemførelsen af disse strategier i hele Unionen med henblik på at fremme bedste praksis

Unionens institutioner med udviklingen og revisionen af Unionens strategier vedrørende cybersikkerhed og fremmer deres udbredelse og følger fremskridtene med hensyn til deres gennemførelse

de nationale CSIRT'er og Unionens CSIRT'er i deres kapacitetsudbygning, herunder ved at fremme dialog og udveksling af oplysninger for at sikre, at hver CSIRT har et fælles sæt af minimumskapaciteter med hensyn til det aktuelle tekniske niveau og opererer i overensstemmelse med bedste praksis

medlemsstaterne ved regelmæssigt og mindst hvert andet år at tilrettelægge cybersikkerhedsøvelserne på EU-plan som omhandlet i artikel 7, stk. 5, og ved at fremsætte politikanbefalinger baseret på vurderingen af øvelserne og de indhøstede erfaringer fra dem

relevante offentlige organer ved at tilbyde kurser om cybersikkerhed, hvor det er relevant i samarbejde med interessenter

samarbejdsgruppen i forbindelse med udveksling af bedste praksis, navnlig med hensyn til medlemsstaternes identificering af operatører af væsentlige tjenester, herunder i forbindelse med en grænseoverskridende afhængighed vedrørende risici og hændelser, i henhold til artikel 11, stk. 3, litra l), i direktiv (EU) 2016/1148.

ENISA støtter informationsudveksling i og mellem sektorer, navnlig i de sektorer, der er opført i bilag II til direktiv (EU) 2016/1148, ved at stille bedste praksis og vejledning om tilgængelige værktøjer og procedurer samt om håndtering af reguleringsmæssige spørgsmål relateret til informationsudveksling til rådighed.

Artikel 7

Operationelt samarbejde på EU-plan

ENISA understøtter operationelt samarbejde mellem medlemsstaterne, Unionens institutioner, organer, kontorer og agenturer og mellem interessenter.

ENISA samarbejder på det operationelle plan og etablerer synergier med Unionens institutioner, organer, kontorer og agenturer, herunder CERT-EU, med de tjenestegrene, der beskæftiger sig med cyberkriminalitet, og med tilsynsmyndigheder med ansvar for beskyttelse af privatlivets fred og personoplysninger, med henblik på at behandle spørgsmål af fælles interesse, herunder ved at:

udveksle knowhow og bedste praksis

levere rådgivning og udstede retningslinjer om relevante cybersikkerhedsspørgsmål

indføre praktiske ordninger for udførelse af bestemte opgaver efter høring af Kommissionen.

ENISA varetager sekretariatsfunktionen for CSIRT-netværket, jf. artikel 12, stk. 2, i direktiv (EU) 2016/1148, og støtter i denne egenskab aktivt informationsudveksling og samarbejdet mellem dets medlemmer.

ENISA støtter medlemsstaterne med hensyn til det operationelle samarbejde i CSIRT-netværket ved at:

rådgive om, hvordan de forbedrer deres kapacitet til at forebygge, opdage og reagere på hændelser, og efter anmodning fra en eller flere medlemsstater yde rådgivning i forhold til en specifik cybertrussel

efter anmodning fra en eller flere medlemsstater at bistå i vurderingen af hændelser, der har betydelige eller væsentlige konsekvenser, ved at yde ekspertise og lette den tekniske håndtering af sådanne hændelser, herunder navnlig ved at støtte frivillig udveksling af relevante oplysninger og tekniske løsninger mellem medlemsstaterne

analysere sårbarheder og hændelser på grundlag af offentligt tilgængelige oplysninger eller oplysninger, som medlemsstaterne frivilligt har stillet til rådighed til dette formål, og

efter anmodning fra en eller flere medlemsstater yde støtte i forbindelse med efterfølgende tekniske undersøgelser af hændelser, der har betydelige eller væsentlige konsekvenser som omhandlet i direktiv (EU) 2016/1148.

Ved udøvelsen af disse opgaver indgår ENISA og CERT-EU i et struktureret samarbejde med henblik på at udnytte synergier og undgå overlap af aktiviteter.

ENISA tilrettelægger regelmæssigt cybersikkerhedsøvelser på EU-plan og støtter medlemsstaterne og Unionens institutioner, organer, kontorer og agenturer i at tilrettelægge cybersikkerhedsøvelser på deres anmodning. Sådanne cybersikkerhedsøvelser på EU-plan kan omfatte tekniske, operationelle eller strategiske elementer. ENISA tilrettelægger hvert andet år en omfattende samlet øvelse.

Hvor det er relevant, bidrager ENISA også til og hjælper med at tilrettelægge sektorspecifikke cybersikkerhedsøvelser sammen med relevante organisationer, der også deltager i cybersikkerhedsøvelser på EU-plan.

ENISA udarbejder i tæt samarbejde med medlemsstaterne regelmæssigt en tilbundsgående teknisk EU-cybersikkerhedsrapport om hændelser og cybertrusler, der er baseret på offentligt tilgængelige oplysninger, ENISA's egen analyse og rapporter, som deles af bl.a. medlemsstaternes CSIRT'er eller de ved direktivet (EU) 2016/1148 oprettede centrale kontaktpunkter, begge på frivillig basis, EC3 og CERT-EU.

ENISA bidrager til at udvikle en samarbejdsorienteret reaktion på EU- og medlemsstatsplan på væsentlige grænseoverskridende hændelser eller -kriser relateret til cybersikkerhed ved navnlig at:

samle og analysere rapporter fra nationale kilder, der er offentligt tilgængelige eller delt på frivillig basis, med henblik på at bidrage til skabelsen af en fælles situationsforståelse

sikre en effektiv informationsstrøm og sørge for, at der er eskaleringsmekanismer på plads til brug mellem CSIRT-netværket og de tekniske og politiske beslutningstagere på EU-niveau

efter anmodning lette den tekniske håndtering af sådanne hændelser eller kriser, herunder navnlig ved at støtte frivillig udveksling af tekniske løsninger mellem medlemsstaterne

støtte Unionens institutioner, organer, kontorer og agenturer og efter anmodning medlemsstaterne i kommunikation til offentligheden om sådanne hændelser eller kriser

afprøve samarbejdsplaner for reaktionen på sådanne hændelser eller kriser på EU-plan og efter anmodning støtte medlemsstaterne i afprøvningen af sådanne planer på nationalt plan.

Artikel 8

Marked, cybersikkerhedscertificering og standardisering

▼M1

ENISA støtter og fremmer udviklingen og gennemførelsen af Unionens politik vedrørende cybersikkerhedscertificering af IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester som fastsat i denne forordnings afsnit III ved:

▼B

løbende at overvåge udviklingen på beslægtede standardiseringsområder og anbefale passende tekniske specifikationer til brug for udvikling af europæiske cybersikkerhedscertificeringsordninger i henhold til artikel 54, stk. 1, litra c), i tilfælde, hvor der ikke findes standarder

▼M1

forberede forslag til europæiske cybersikkerhedscertificeringsordninger (»forslag til ordninger«) for IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester i overensstemmelse med artikel 49

▼B

evaluere vedtagne europæiske cybersikkerhedscertificeringsordninger i overensstemmelse med artikel 49, stk. 8

deltage i peerreviews i henhold til artikel 59, stk. 4

bistå Kommissionen med at varetage sekretariatsfunktionen for ECCG i henhold til artikel 62, stk. 5.

ENISA varetager sekretariatsfunktionen for Cybersikkerhedscertificeringsgruppen for Interessenter i henhold til artikel 22, stk. 4.

▼M1

ENISA samler og offentliggør retningslinjer og udvikler god praksis vedrørende cybersikkerhedskrav til IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester i samarbejde med nationale cybersikkerhedscertificeringsmyndigheder og branchen på en formaliseret, struktureret og gennemsigtig måde.

▼B

ENISA bidrager til kapacitetsopbygning i forbindelse med evaluerings- og certificeringsprocesser ved at samle og udstede retningslinjer og yde støtte til medlemsstaterne på deres anmodning.

▼M1

ENISA fremmer indførelse og udbredelse af europæiske og internationale standarder for risikostyring og for IKT-produkters, IKT-tjenesters, IKT-processers og administrerede sikkerhedstjenester.

▼B

ENISA udarbejder i samarbejde med medlemsstaterne og branchen vejledning og retningslinjer om de tekniske områder vedrørende sikkerhedskrav for operatører af væsentlige tjenester og udbydere af digitale tjenester samt om allerede eksisterende standarder, herunder medlemsstaternes nationale standarder, i henhold til artikel 19, stk. 2, i direktiv (EU) 2016/1148.

ENISA udfører og formidler regelmæssige analyser af de vigtigste tendenser på markedet for cybersikkerhed, både på efterspørgsels- og udbudssiden, med henblik på at fremme cybersikkerhedsmarkedet i Unionen.

Artikel 9

Viden og information

ENISA skal:

udføre analyser af nye teknologier og tilvejebringe emnespecifikke vurderinger af de forventede sociale, retlige, økonomiske og reguleringsmæssige konsekvenser af teknologiske innovationer inden for cybersikkerhed

udføre langsigtede strategiske analyser af cybertrusler og -hændelser for at identificere nye tendenser og bidrage til at forebygge hændelser

i samarbejde med eksperter fra medlemsstaternes myndigheder og relevante interessenter levere rådgivning, vejledning og bedste praksis for sikkerheden af net- og informationssystemer, navnlig for sikkerheden af de infrastrukturer, der understøtter sektorerne opført i bilag II til direktiv (EU) 2016/1148, og dem, der anvendes af udbyderne af de digitale tjenester, der er opført i bilag III til nævnte direktiv

via en særlig webportal samle, organisere og offentliggøre oplysninger om cybersikkerhed, der leveres af Unionens institutioner, organer, kontorer og agenturer, og oplysninger om cybersikkerhed, der leveres på frivillig basis af medlemsstaterne og private og offentlige interessenter

indsamle og analysere offentligt tilgængelige oplysninger om væsentlige hændelser og sammenstille rapporter med henblik på at yde vejledning til borgere, organisationer og virksomheder i hele Unionen.

Artikel 10

Bevidstgørelse og uddannelse

ENISA skal:

øge offentlighedens bevidsthed om risiciene i forbindelse med cybersikkerhed og yde vejledning om god praksis for individuelle brugere, der er målrettet mod borgere, organisationer og virksomheder, herunder cyberhygiejne og cyberfærdigheder

i samarbejde med medlemsstaterne, Unionens institutioner, organer, kontorer og agenturer og branchen tilrettelægge jævnlige informations- og oplysningskampagner for at øge cybersikkerheden og dens synlighed i Unionen og tilskynde til en bred offentlig debat

bistå medlemsstaterne i deres bestræbelser på at øge bevidstheden om cybersikkerhed og fremme uddannelse i cybersikkerhed

støtte tættere koordinering og udveksling af bedste praksis mellem medlemsstaterne om bevidstgørelse om og uddannelse i cybersikkerhed.

Artikel 11

Forskning og innovation

I forbindelse med forskning og innovation skal ENISA:

rådgive Unionens institutioner, organer, kontorer og agenturer og medlemsstaterne om forskningsbehov og -prioriteter inden for cybersikkerhed med henblik på at gøre det muligt effektivt at imødegå nuværende og kommende risici og cybertrusler, herunder hvad angår nye og kommende informations- og kommunikationsteknologier, og med henblik på effektivt at bruge risikoforebyggende teknologier

i tilfælde, hvor Kommissionen har tillagt det de relevante beføjelser, deltage i gennemførelsesfasen af programmer til finansiering af forskning og innovation eller som støttemodtager

bidrage til den strategiske forsknings- og innovationsdagsorden på EU-plan inden for cybersikkerhed.

Artikel 12

Internationalt samarbejde

ENISA skal bidrage til Unionens indsats for at samarbejde med tredjelande og internationale organisationer samt inden for relevante internationale samarbejdsrammer med henblik på at fremme internationalt samarbejde om cybersikkerhed ved:

hvor det er relevant, at deltage som observatør i tilrettelæggelsen af internationale øvelser og analysere og rapportere om resultatet af sådanne øvelser til bestyrelsen

på Kommissionens anmodning at fremme udveksling af bedste praksis

på Kommissionens anmodning at stille ekspertise til rådighed for Kommissionen

at rådgive og støtte Kommissionen i spørgsmål vedrørende aftaler om gensidig anerkendelse af cybersikkerhedsattester med tredjelande i samarbejde med ECCG, der er nedsat i henhold til artikel 62.

KAPITEL III

ENISA's organisation

Artikel 13

ENISA's struktur

ENISA's administrative og ledelsesmæssige struktur består af:

en bestyrelse

et forretningsudvalg

en administrerende direktør

en ENISA-rådgivningsgruppe

et netværk af nationale forbindelsesofficerer.

Afdeling 1

Bestyrelsen

Artikel 14

Bestyrelsens sammensætning

Bestyrelsen består af et medlem, der udnævnes af hver medlemsstat, og to medlemmer, der udnævnes af Kommissionen. Alle medlemmer har stemmeret.

Hvert medlem af bestyrelsen skal have en suppleant. Denne suppleant repræsenterer medlemmet, når medlemmet ikke er til stede.

Bestyrelsesmedlemmerne og deres suppleanter udpeges på grundlag af deres viden inden for cybersikkerhed og under hensyntagen til deres relevante ledelsesmæssige, administrative og budgetmæssige kompetencer. Kommissionen og medlemsstaterne bestræber sig på at begrænse udskiftningen af deres repræsentanter i bestyrelsen med henblik på at sikre kontinuiteten i bestyrelsens arbejde. Kommissionen og medlemsstaterne tilstræber at opnå ligevægt mellem kønnene i bestyrelsen.

Mandatperioden for bestyrelsesmedlemmerne og deres suppleanter er fire år. Perioden kan fornys.

Artikel 15

Bestyrelsens opgaver

Bestyrelsen skal:

fastlægge de overordnede retningslinjer for ENISA's drift og sikre, at ENISA udfører sine opgaver i overensstemmelse med de regler og principper, der er fastsat i denne forordning. Den sikrer endvidere, at der er sammenhæng mellem ENISA's arbejde og aktiviteter, der udføres af medlemsstaterne og på EU-plan

vedtage ENISA's udkast til det samlede programmeringsdokument, der er omhandlet i artikel 24, før det forelægges for Kommissionen med henblik på en udtalelse

vedtage ENISA's samlede programmeringsdokument under hensyntagen til Kommissionens udtalelse

føre tilsyn med gennemførelsen af det flerårige og det årlige arbejdsprogram, der er omfattet af det samlede programmeringsdokument

vedtage ENISA's årsbudget og varetage andre funktioner i relation til ENISA's budget i overensstemmelse med kapitel IV

evaluere og vedtage den konsoliderede årsberetning om ENISA's virksomhed, herunder regnskaberne og en beskrivelse af, hvorledes ENISA har opfyldt sine resultatindikatorer, sende både årsberetningen og evalueringen heraf til Europa-Parlamentet, Rådet, Kommissionen og Revisionsretten senest den 1. juli i det følgende år og offentliggøre årsberetningen

vedtage de finansielle bestemmelser for ENISA, jf. artikel 32

vedtage en strategi for bekæmpelse af svig, som står i forhold til risikoen for svig, under hensyn til en cost-benefit-analyse af de foranstaltninger, der skal gennemføres

vedtage regler for forebyggelse og håndtering af interessekonflikter i forhold til medlemmerne

sikre passende opfølgning på resultater og henstillinger som følge af undersøgelser foretaget af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) og forskellige interne eller eksterne auditrapporter og evalueringer

vedtage sin forretningsorden, herunder regler for foreløbige afgørelser om delegation af specifikke opgaver, i henhold til artikel 19, stk. 7

over for ENISA's personale udøve de beføjelser, som ved vedtægten for tjenestemænd og ansættelsesvilkårene for Unionens øvrige ansatte (»tjenestemandsvedtægten« og »ansættelsesvilkårene for øvrige ansatte«) som fastlagt i Rådets forordning (EØF, Euratom, EKSF) nr. 259/68 ( 2 ) er tillagt ansættelsesmyndigheden og den myndighed, der har beføjelse til at indgå ansættelseskontrakter (»ansættelsesmyndighederne«), i overensstemmelse med denne artikels stk. 2

vedtage gennemførelsesbestemmelser til tjenestemandsvedtægten og ansættelsesvilkårene for øvrige ansatte i overensstemmelse med proceduren i tjenestemandsvedtægtens artikel 110

udnævne den administrerende direktør og, hvis det er relevant, forlænge den administrerende direktørs mandatperiode eller afskedige vedkommende i overensstemmelse med artikel 36

udnævne en regnskabsfører, som kan være Kommissionens regnskabsfører, som er fuldstændig uafhængig i udøvelsen af sit hverv

træffe alle afgørelser vedrørende etablering af ENISA's interne strukturer og om nødvendigt ændring heraf under hensyntagen til ENISA's aktivitetsbehov og til forsvarlig budgetforvaltning

bemyndige etablering af samarbejdsordninger med henblik på artikel 7

bemyndige etablering eller indgåelse af samarbejdsordninger i overensstemmelse med artikel 42.

Bestyrelsen vedtager i overensstemmelse med tjenestemandsvedtægtens artikel 110 en afgørelse baseret på tjenestemandsvedtægtens artikel 2, stk. 1, og artikel 6 i ansættelsesvilkårene for øvrige ansatte om delegation af de relevante beføjelser som ansættelsesmyndighed til den administrerende direktør og fastlæggelse af betingelserne for at suspendere denne delegation af beføjelser. Den administrerende direktør kan videredelegere disse beføjelser.

Under helt særlige omstændigheder kan bestyrelsen vedtage en afgørelse om midlertidigt at suspendere de beføjelser som ansættelsesmyndighed, der er delegeret til den administrerende direktør, og eventuelle beføjelser som ansættelsesmyndighed, som den administrerende direktør måtte have videredelegeret, og i stedet selv udøve dem eller delegere dem til et af sine medlemmer eller til en anden ansat end den administrerende direktør.

Artikel 16

Bestyrelsens formand

Bestyrelsen vælger med to tredjedeles flertal en formand og en næstformand blandt sine medlemmer. Deres mandatperiode er fire år, der kan fornys én gang. Hvis en formand eller næstformand ophører med at være medlem af bestyrelsen under sin mandatperiode, ophører mandatperioden dog automatisk samtidig. Næstformanden træder uden videre i stedet for formanden, hvis formanden er forhindret i at udøve sit hverv.

Artikel 17

Bestyrelsens møder

Det påhviler bestyrelsens formand at indkalde til dens møder.

Bestyrelsen afholder mindst to ordinære møder om året. Den afholder endvidere ekstraordinære møder efter anmodning fra formanden, på Kommissionens anmodning eller på anmodning af mindst en tredjedel af dens medlemmer.

Den administrerende direktør deltager i bestyrelsens møder, men har ikke stemmeret.

Medlemmerne af ENISA-Rådgivningsgruppen kan deltage i bestyrelsens møder efter invitation fra formanden, men har ikke stemmeret.

Bestyrelsesmedlemmerne og deres stedfortrædere kan under bestyrelsesmøderne bistås af rådgivere eller eksperter, såfremt forretningsordenen tillader det.

ENISA varetager bestyrelsens sekretariatsfunktion.

Artikel 18

Bestyrelsens afstemningsregler

Bestyrelsen træffer sine afgørelser med flertal blandt medlemmerne.

Der kræves et flertal på to tredjedele af bestyrelsens medlemmer for at vedtage det samlede programmeringsdokument og årsbudgettet og for at udnævne eller afskedige den administrerende direktør eller forlænge dennes mandatperiode.

Hvert medlem har én stemme. Hvis et medlem ikke er til stede, har medlemmets suppleant medlemmets stemmeret.

Bestyrelsens formand deltager i afstemningen.

Den administrerende direktør deltager ikke i afstemningen.

I bestyrelsens forretningsorden fastsættes mere detaljerede afstemningsregler, navnlig regler om, hvornår et medlem kan handle på et andet medlems vegne.

Afdeling 2

Forretningsudvalget

Artikel 19

Forretningsudvalget

Bestyrelsen bistås af et forretningsudvalg.

Forretningsudvalget skal:

forberede de afgørelser, der skal vedtages af bestyrelsen

i samarbejde med bestyrelsen sikre passende opfølgning på de resultater og henstillinger, der hidrører fra undersøgelser foretaget af OLAF og fra forskellige interne eller eksterne auditrapporter og evalueringer

uden at det berører den administrerende direktørs ansvarsområder, jf. artikel 20, bistå og rådgive den administrerende direktør i gennemførelsen af bestyrelsens afgørelser vedrørende administrative og budgetmæssige spørgsmål i henhold til artikel 20.

Forretningsudvalget består af fem medlemmer. Medlemmerne af forretningsudvalget udpeges blandt bestyrelsesmedlemmerne. Et af medlemmerne er formanden for bestyrelsen, der også kan være formand for forretningsudvalget, og et andet medlem er en af repræsentanterne for Kommissionen. Ved udpegelserne af medlemmerne af forretningsudvalget tilstræbes det at sikre en ligevægt mellem kønnene i forretningsudvalget. Den administrerende direktør deltager i bestyrelsens møder, men har ikke stemmeret.

Forretningsudvalgsmedlemmerne har en mandatperiode på fire år. Perioden kan fornys.

Forretningsudvalget mødes mindst én gang hver tredje måned. Formanden for forretningsudvalget indkalder til yderligere møder på anmodning af forretningsudvalgets medlemmer.

Bestyrelsen vedtager forretningsudvalgets forretningsorden.

Hvis det er nødvendigt i hastende tilfælde, kan forretningsudvalget træffe visse foreløbige afgørelser på bestyrelsens vegne, navnlig vedrørende den administrative forvaltning, herunder suspendering af delegationen af beføjelser som ansættelsesmyndighed, og budgetanliggender. En sådan foreløbig afgørelse meddeles bestyrelsen hurtigst muligt. Bestyrelsen afgør derefter, om den foreløbige afgørelse skal godkendes eller afvises, senest tre måneder efter, at afgørelsen blev truffet. Forretningsudvalget træffer ikke afgørelser på bestyrelsens vegne, som kræver godkendelse af et flertal på to tredjedele af bestyrelsens medlemmer.

Afdeling 3

Den administrerende direktør

Artikel 20

Den administrerende direktørs opgaver

ENISA ledes af den administrerende direktør, som udfører sit hverv i uafhængighed. Den administrerende direktør står til ansvar over for bestyrelsen.

Den administrerende direktør aflægger rapport til Europa-Parlamentet om udførelsen af sit hverv, når denne anmodes herom. Rådet kan anmode den administrerende direktør om at aflægge rapport om udførelsen af dennes hverv.

Den administrerende direktør er ansvarlig for:

den daglige administration af ENISA

at gennemføre de afgørelser, der træffes af bestyrelsen

at udarbejde det samlede programmeringsdokument og forelægge det for bestyrelsen til godkendelse før dets fremsendelse til Kommissionen

at gennemføre det samlede programmeringsdokument og aflægge rapport til bestyrelsen herom

at udarbejde den konsoliderede årsberetning om ENISA's aktiviteter, bl.a. om gennemførelsen af ENISA's årlige arbejdsprogram, og forelægge denne for bestyrelsen til vurdering og godkendelse

at udarbejde en handlingsplan til opfølgning på konklusionerne fra retrospektive evalueringer og aflægge en statusrapport til Kommissionen hvert andet år

at udarbejde en handlingsplan til opfølgning på konklusionerne fra interne eller eksterne auditrapporter samt undersøgelser fra OLAF og aflægge en statusrapport hvert andet år til Kommissionen og regelmæssigt til bestyrelsen

at udarbejde udkast til de i artikel 32 omhandlede finansielle bestemmelser for ENISA

at udarbejde ENISA's udkast til overslag over indtægter og udgifter og gennemføre dets budget

at beskytte Unionens finansielle interesser gennem forholdsregler til forebyggelse af svig, korruption og enhver anden ulovlig aktivitet, gennem effektiv kontrol og, hvis der konstateres uregelmæssigheder, gennem inddrivelse af uretmæssigt udbetalte beløb og om nødvendigt gennem administrative og finansielle sanktioner, der er effektive og forholdsmæssige og har en afskrækkende virkning

at udarbejde ENISA's strategi for bekæmpelse af svig og forelægge denne for bestyrelsen til godkendelse

at etablere og opretholde kontakt med erhvervslivet og forbrugerorganisationer med henblik på at sikre en løbende dialog med relevante interessenter

regelmæssig udveksling af synspunkter og oplysninger med Unionens institutioner, organer, kontorer og agenturer om deres cybersikkerhedsrelaterede aktiviteter for at sikre sammenhæng i udviklingen og gennemførelsen af Unionens politik

at udføre andre opgaver, som den administrerende direktør pålægges ved denne forordning.

Er det nødvendigt og inden for rammerne af ENISA's formål og opgaver, kan den administrerende direktør nedsætte ad hoc-arbejdsgrupper bestående af eksperter, herunder eksperter fra medlemsstaternes kompetente myndigheder. Den administrerende direktør underretter bestyrelsen herom på forhånd. Procedurerne vedrørende navnlig sammensætningen af arbejdsgrupperne, den administrerende direktørs udnævnelse af eksperterne til arbejdsgrupperne og arbejdsgruppernes virke fastsættes i ENISA's interne forretningsgange.

Hvis det er nødvendigt med henblik på at udføre ENISA's opgaver på en effektiv og virkningsfuld måde og på grundlag af en hensigtsmæssig cost-benefit-analyse, kan den administrerende direktør beslutte at etablere et eller flere lokale kontorer i en eller flere medlemsstater. Inden det besluttes at oprette et lokalt kontor, anmoder den administrerende direktør om en udtalelse fra den eller de berørte medlemsstater, herunder den medlemsstat, hvor ENISA's hovedsæde er beliggende, og indhenter forudgående samtykke fra Kommissionen og bestyrelsen. I tilfælde af uenighed under høringsprocessen mellem den administrerende direktør og de berørte medlemsstater, forelægges spørgsmålet Rådet til drøftelse. Det samlede antal ansatte på alle lokale kontorer skal begrænses til et minimum og må ikke udgøre mere end 40 % af ENISA's antal ansatte i den medlemsstat, hvor ENISA's hovedsæde er beliggende. Antallet af ansatte på det enkelte lokale kontor må ikke udgøre mere end 10 % af ENISA's samlede antal ansatte i den medlemsstat, hvor ENISA's hovedsæde er beliggende.

I afgørelsen om oprettelse af et lokalt kontor fastsættes omfanget af de aktiviteter, der skal udføres af det lokale kontor, således at der undgås unødige omkostninger og overlap af ENISA's administrative funktioner.

Afdeling 4

ENISA-rådgivningsgruppen, cybersikkerhedscertificeringsgruppen for interessenter og netværket af nationale forbindelsesofficerer

Artikel 21

ENISA-Rådgivningsgruppen

På forslag af den administrerende direktør nedsætter bestyrelsen på gennemsigtig vis en ENISA-rådgivningsgruppe bestående af anerkendte eksperter, der repræsenterer de relevante interessenter såsom IKT-industrien, udbydere af elektroniske kommunikationsnet eller -tjenester til offentligheden, SMV'er, operatører af væsentlige tjenester, forbrugergrupper, akademiske eksperter inden for cybersikkerhed og repræsentanter for de kompetente myndigheder, der er givet meddelelse om i overensstemmelse med direktiv (EU) 2018/1972, europæiske standardiseringsorganisationer, samt af retshåndhævende myndigheder og databeskyttelsestilsynsmyndigheder. Bestyrelsen bestræber sig på at sikre en passende kønsmæssig og geografisk balance samt balance mellem de forskellige interessentgrupper.

Procedurerne for ENISA-Rådgivningsgruppen, vedrørende navnlig gruppens sammensætning, den administrerende direktørs forslag som omhandlet i stk. 1, antal og udpegelse af dens medlemmer og ENISA-Rådgivningsgruppens virke, fastlægges i ENISA's interne forretningsgange og offentliggøres.

ENISA-Rådgivningsgruppen ledes af den administrerende direktør eller af en person udpeget af den administrerende direktør fra sag til sag.

Mandatperioden for medlemmerne af ENISA-Rådgivningsgruppen er to et halvt år. Medlemmer af bestyrelsen kan ikke være medlemmer af ENISA-Rådgivningsgruppen. Eksperter fra Kommissionen og medlemsstaterne har ret til at være til stede på møderne og deltage i arbejdet i ENISA-Rådgivningsgruppen. Repræsentanter for andre organer, som den administrerende direktør skønner er relevante, og som ikke er medlemmer af ENISA-Rådgivningsgruppen, kan indbydes til at være til stede på ENISA-Rådgivningsgruppens møder og deltage i dens arbejde.

ENISA-Rådgivningsgruppen rådgiver ENISA med hensyn til udførelsen af dets opgaver, bortset fra anvendelsen af bestemmelserne i denne forordnings afsnit III. Den rådgiver navnlig den administrerende direktør om udarbejdelsen af forslag til ENISA's årlige arbejdsprogram samt om varetagelse af kommunikation med de relevante interessenter om spørgsmål, der vedrører det årlige arbejdsprogram.

ENISA-Rådgivningsgruppen underretter regelmæssigt bestyrelsen om sine aktiviteter.

Artikel 22

Cybersikkerhedscertificeringsgruppen for Interessenter

Der nedsættes en cybersikkerhedscertificeringsgruppe for interessenter.

Cybersikkerhedscertificeringsgruppen for Interessenter sammensættes af medlemmer, der udvælges blandt anerkendte eksperter, som repræsenterer de relevante interessenter. Kommissionen udvælger medlemmer af Cybersikkerhedscertificeringsgruppen for Interessenter efter en gennemsigtig og åben indkaldelse på forslag af ENISA, idet der sikres balance mellem de forskellige interessentgrupper samt en passende kønsmæssig og geografisk balance.

Cybersikkerhedscertificeringsgruppen for Interessenter:

rådgiver Kommissionen om strategiske spørgsmål vedrørende den europæiske ramme for cybersikkerhedscertificering

rådgiver på anmodning ENISA om generelle og strategiske spørgsmål vedrørende ENISA's opgaver i relation til markedet, cybersikkerhedscertificering og standardisering

bistår Kommissionen med udarbejdelsen af EU's rullende arbejdsprogram som omhandlet i artikel 47

afgiver udtalelse om Unionens rullende arbejdsprogram i henhold til artikel 47, stk. 4, og

rådgiver i hastende tilfælde Kommissionen og ECCG om behovet for yderligere certificeringsordninger, der ikke er omfattet af Unionens rullende arbejdsprogram, jf. artikel 47 og 48.

Cybersikkerhedscertificeringsgruppen for Interessenter ledes i fællesskab af repræsentanter for Kommissionen og ENISA, og dens sekretariatsfunktion varetages af ENISA.

Artikel 23

Netværk af nationale forbindelsesofficerer

På forslag fra den administrerende direktør opretter bestyrelsen et netværk af nationale forbindelsesofficerer bestående af repræsentanter fra alle medlemsstaterne (»nationale forbindelsesofficerer«). Hver medlemsstat udpeger én repræsentant til netværket af nationale forbindelsesofficerer. Møderne i netværket af nationale forbindelsesofficerer kan afholdes i forskellige ekspertsammensætninger.

Netværket af nationale forbindelsesofficerer skal navnlig fremme udvekslingen af oplysninger mellem ENISA og medlemsstaterne og støtte ENISA i formidlingen af dets aktiviteter, resultater og henstillinger til de relevante interessenter i hele Unionen.

Nationale forbindelsesofficerer fungerer som et kontaktpunkt på nationalt plan for at lette samarbejdet mellem ENISA og nationale eksperter som led i gennemførelsen af ENISA's årlige arbejdsprogram.

Mens nationale forbindelsesofficerer skal arbejde tæt sammen med deres respektive medlemsstaters repræsentanter i bestyrelsen, må det arbejde, som netværket af nationale forbindelsesofficerer selv udfører, ikke overlappe hverken bestyrelsens eller andre EU-foras arbejde.

Funktionerne og procedurerne for netværket af nationale forbindelsesofficerer fastlægges i ENISA's interne forretningsgange og offentliggøres.

Afdeling 5

Drift

Artikel 24

Samlet programmeringsdokument

ENISA skal virke i overensstemmelse med det samlede programmeringsdokument, som omfatter dets årlige og flerårige arbejdsprogram, og som skal indeholde alle planlagte aktiviteter.

Hvert år udarbejder den administrerende direktør under hensyntagen til Kommissionens retningslinjer det samlede programmeringsdokument, som omfatter det årlige og flerårige arbejdsprogram med de modsvarende planer for økonomiske og menneskelige ressourcer, jf. artikel 32 i Kommissionens delegerede forordning (EU) nr. 1271/2013 ( 3 ).

Senest den 30. november hvert år vedtager bestyrelsen det samlede programmeringsdokument omhandlet i stk. 1 og sender det til Europa-Parlamentet, Rådet og Kommissionen senest den 31. januar det følgende år sammen med eventuelle efterfølgende ajourførte udgaver af dokumentet.

Det samlede programmeringsdokument bliver endeligt efter den endelige vedtagelse af Unionens almindelige budget og justeres om nødvendigt.

Det årlige arbejdsprogram skal indeholde detaljerede mål og forventede resultater, herunder resultatindikatorer. Det skal også indeholde en beskrivelse af de foranstaltninger, der skal finansieres, og oplysninger om de økonomiske og menneskelige ressourcer, der afsættes til hver foranstaltning, i overensstemmelse med principperne om aktivitetsbaseret budgetlægning og -forvaltning. Det årlige arbejdsprogram skal være i overensstemmelse med det i stk. 7 omhandlede flerårige arbejdsprogram. Det skal klart anføres i programmet, hvilke opgaver der er blevet tilføjet, ændret eller slettet i forhold til det foregående regnskabsår.

Bestyrelsen ændrer det vedtagne årlige arbejdsprogram, hvis ENISA tillægges nye opgaver. Væsentlige ændringer af det årlige arbejdsprogram vedtages efter samme procedure som det oprindelige årlige arbejdsprogram. Bestyrelsen kan delegere beføjelsen til at foretage ikkevæsentlige ændringer i det årlige arbejdsprogram til den administrerende direktør.

Det flerårige arbejdsprogram skal angive den overordnede strategiske programmering, herunder mål, forventede resultater og resultatindikatorer. Det skal også indeholde ressourceplanen, herunder det flerårige budget og personale.

Ressourceplanen ajourføres hvert år. Den strategiske programmering ajourføres efter behov, navnlig med henblik på at tage højde for resultatet af den evaluering, der er omhandlet i artikel 67.

Artikel 25

Interesseerklæring

Bestyrelsesmedlemmerne, den administrerende direktør samt embedsmænd, der midlertidigt er stillet til rådighed af medlemsstaterne, afgiver hver især en loyalitetserklæring og en erklæring, hvori de anfører, hvorvidt der foreligger direkte eller indirekte interesser, der kan anses for at berøre deres uafhængighed. Erklæringerne skal være præcise og fuldstændige og afgives skriftligt hvert år og ajourføres, når det er nødvendigt.

Bestyrelsesmedlemmerne, den administrerende direktør og eksterne eksperter, der deltager i ad hoc-arbejdsgrupper, gør hver især på præcis og fyldestgørende vis senest ved hvert mødes start opmærksom på eventuelle interesser, som kan anses for at berøre deres uafhængighed med hensyn til de punkter, der er på dagsordenen, og afholder sig fra at deltage i drøftelserne af og afstemningen om sådanne punkter.

ENISA fastsætter i sine interne forretningsgange bestemmelser om, hvordan de i stk. 1 og 2 omhandlede regler om interesseerklæringer gennemføres i praksis.

Artikel 26

Gennemsigtighed

ENISA sikrer, at der er en høj grad af gennemsigtighed i dets aktiviteter i overensstemmelse med artikel 28.

ENISA sikrer, at offentligheden og eventuelle interesserede parter får passende, objektive, pålidelige og let tilgængelige oplysninger, især vedrørende resultaterne af dets arbejde. Det offentliggør også interesseerklæringer afgivet i overensstemmelse med artikel 25.

Bestyrelsen kan på forslag af den administrerende direktør give interesserede parter tilladelse til at følge procedurerne i forbindelse med nogle af ENISA's aktiviteter.

ENISA fastsætter i sine interne forretningsgange bestemmelser om, hvordan de i stk. 1 og 2 omhandlede regler om gennemsigtighed gennemføres i praksis.

Artikel 27

Fortrolighed

Uden at det berører artikel 28, må ENISA ikke videregive oplysninger, som det behandler eller modtager, og for hvilke der foreligger en begrundet begæring om, at de holdes fortrolige, til tredjemand.

Bestyrelsesmedlemmerne, den administrerende direktør, medlemmerne af ENISA-Rådgivningsgruppen, eksterne eksperter, der deltager i ad hoc-arbejdsgrupperne, samt ENISA's personale, herunder embedsmænd, der midlertidigt er udstationeret fra medlemsstaterne, skal, selv efter at deres hverv er ophørt, overholde forpligtelsen til fortrolighed som fastsat i artikel 339 i TEUF.

ENISA fastsætter i sine interne forretningsgange bestemmelser om, hvordan de i stk. 1 og 2 omhandlede regler om fortrolighed gennemføres i praksis.

Bestyrelsen beslutter, såfremt det er nødvendigt for udførelsen af ENISA's opgaver, at tillade ENISA at behandle klassificerede oplysninger. I så fald vedtager ENISA efter aftale med Kommissionens tjenestegrene sikkerhedsregler, der bygger på sikkerhedsprincipperne i Kommissionens afgørelse (EU, Euratom) 2015/443 ( 4 ) og 2015/444 ( 5 ). Disse sikkerhedsregler skal omfatte bestemmelser om udveksling, behandling og lagring af klassificerede oplysninger.

Artikel 28

Aktindsigt

Forordning (EF) nr. 1049/2001 finder anvendelse på ENISA's dokumenter.

Bestyrelsen vedtager de praktiske bestemmelser til gennemførelse af forordning (EF) nr. 1049/2001 senest den 28. december 2019.

De beslutninger, som ENISA træffer efter artikel 8 i forordning (EF) nr. 1049/2001, kan gøres til genstand for en klage til Den Europæiske Ombudsmand i henhold til artikel 228 i TEUF eller en klage indbragt for Den Europæiske Unions Domstol i henhold til artikel 263 i TEUF.

KAPITEL IV

Opstilling og struktur for ENISA's budget

Artikel 29

Opstilling af ENISA's budget

Hvert år udarbejder den administrerende direktør et udkast til overslag over ENISA's indtægter og udgifter for det følgende regnskabsår og forelægger det for bestyrelsen ledsaget af et udkast til stillingsfortegnelse. Der skal være balance mellem indtægter og udgifter.

Hvert år vedtager bestyrelsen på grundlag af udkastet til overslag et overslag over ENISA's indtægter og udgifter for det følgende regnskabsår.

Bestyrelsen fremsender senest den 31. januar hvert år overslaget, der skal være en del af udkastet til det samlede programmeringsdokument, til Kommissionen og de tredjelande, som Unionen har indgået aftaler med som omhandlet i artikel 42, stk. 2.

På grundlag af dette overslag opfører Kommissionen i forslaget til Unionens almindelige budget de overslag, den skønner nødvendige for stillingsfortegnelsen, og de bidrag, der skal ydes over Unionens almindelige budget, og fremsender overslaget til Europa-Parlamentet og Rådet i overensstemmelse med artikel 314 i TEUF.

Europa-Parlamentet og Rådet godkender bevillingen af bidraget fra Unionen til ENISA.

Europa-Parlamentet og Rådet vedtager ENISA's stillingsfortegnelse.

Bestyrelsen vedtager ENISA's budget sammen med det samlede programmeringsdokument. ENISA's budget bliver endeligt efter den endelige vedtagelse af Unionens almindelige budget. Om nødvendigt tilpasser bestyrelsen ENISA's budget og dets samlede programmeringsdokument i overensstemmelse med Unionens almindelige budget.

Artikel 30

Struktur for ENISA's budget

Uden at det berører andre ressourcer, udgøres ENISA's indtægter af:

et bidrag fra Unionens almindelige budget

formålsbestemte indtægter med henblik på specifikke udgiftsposter i overensstemmelse med de finansielle bestemmelser omhandlet i artikel 32

EU-finansiering i form af delegationsaftaler eller ad hoc-tilskud i overensstemmelse med de finansielle bestemmelser omhandlet i artikel 32 og med bestemmelserne i de relevante instrumenter til gennemførelse af Unionens politikker

bidrag fra tredjelande, der deltager i ENISA's arbejde, som omhandlet i artikel 42

eventuelle frivillige bidrag fra medlemsstaterne i form af pengebeløb eller naturalier.

Medlemsstater, der yder frivillige bidrag i henhold til første afsnit litra e), kan ikke påberåbe sig nogen specifikke rettigheder eller tjenester som følge heraf.

ENISA's udgifter omfatter udgifter til personale, administrativ og teknisk bistand, infrastruktur og driftsudgifter samt udgifter som følge af kontrakter med tredjemand.

Artikel 31

Gennemførelse af ENISA's budget

Den administrerende direktør er ansvarlig for gennemførelsen af ENISA's budget.

Kommissionens interne revisor varetager i forhold til ENISA de samme funktioner, som er tildelt denne i forhold til Kommissionens tjenestegrene.

ENISA's regnskabsfører sender det foreløbige årsregnskab (år N) til Kommissionens regnskabsfører og Revisionsretten senest den 1. marts i det følgende regnskabsår (år N+1).

Ved modtagelsen af Revisionsrettens bemærkninger om ENISA's foreløbige årsregnskab i henhold til artikel 246 i Europa-Parlamentets og Rådets forordning (EU, Euratom) 2018/1046 ( 6 ) opstiller ENISA's regnskabsfører på eget ansvar ENISA's endelige årsregnskab og forelægger det for bestyrelsen til udtalelse.

Bestyrelsen afgiver en udtalelse om ENISA's endelige årsregnskab.

Den administrerende direktør sender senest den 31. marts i år N + 1 beretningen om budgetforvaltningen og den økonomiske forvaltning til Europa-Parlamentet, Rådet, Kommissionen og Revisionsretten.

ENISA's regnskabsfører sender senest den 1. juli i år N+1 ENISA's endelige årsregnskab ledsaget af bestyrelsens udtalelse til Europa-Parlamentet, Rådet, Kommissionens regnskabsfører og Revisionsretten.

ENISA's regnskabsfører sender på samme dato som fremsendelsen af ENISA's endelige årsregnskaber ligeledes en forvaltningserklæring, der dækker disse endelige årsregnskaber, til Revisionsretten, med kopi til Kommissionens regnskabsfører.

Den administrerende direktør offentliggør ENISA's endelige regnskab i Den Europæiske Unions Tidende senest den 15. november i år N+1.

10.

Den administrerende direktør sender senest den 30. september i år N + 1 Revisionsretten et svar på dens bemærkninger og sender ligeledes en kopi af svaret til bestyrelsen og Kommissionen.

11.

Hvis Europa-Parlamentet anmoder derom, forelægger den administrerende direktør alle de oplysninger, der er nødvendige for, at dechargeproceduren for det pågældende regnskabsår kan forløbe tilfredsstillende, for Europa-Parlamentet, jf. artikel 261, stk. 3, i Europa-Parlamentets og Rådets forordning (EU, Euratom) 2018/1046.

12.

Efter henstilling fra Rådet meddeler Europa-Parlamentet inden den 15. maj i år N + 2 den administrerende direktør decharge for gennemførelsen af budgettet for år N.

Artikel 32

Finansielle bestemmelser

De finansielle bestemmelser for ENISA vedtages af bestyrelsen efter høring af Kommissionen. Disse finansielle bestemmelser må kun afvige fra delegeret forordning (EU) nr. 1271/2013, hvis dette er særligt nødvendigt for ENISA's drift, og Kommissionen på forhånd har givet sit samtykke.

Artikel 33

Bekæmpelse af svig

For at lette bekæmpelsen af svig, korruption og andre retsstridige handlinger i henhold til Europa-Parlamentets og Rådets forordning (EU, Euratom) nr. 883/2013 ( 7 ) tiltræder ENISA senest den 28. december 2019 den interinstitutionelle aftale af 25. maj 1999 mellem Europa-Parlamentet, Rådet for Den Europæiske Union og Kommissionen for De Europæiske Fællesskaber om de interne undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) ( 8 ). ENISA vedtager passende bestemmelser, som skal finde anvendelse på ENISA's medarbejdere, under anvendelse af den model, der findes i bilaget til nævnte aftale.

Revisionsretten har beføjelse til gennem bilagskontrol og kontrol på stedet at kontrollere alle tilskudsmodtagere, kontrahenter og underkontrahenter, som har modtaget EU-midler gennem ENISA.

OLAF kan foretage undersøgelser, herunder kontrol og inspektion på stedet, i overensstemmelse med de bestemmelser og procedurer, der er fastsat i forordning (EU, Euratom) nr. 883/2013 og Rådets forordning (Euratom, EF) nr. 2185/96 ( 9 ) for at fastslå, om der har været svig, korruption eller andre ulovlige aktiviteter til skade for Unionens finansielle interesser i forbindelse med tilskud eller en kontrakt, der finansieres af ENISA.

Uden at det berører stk. 1, 2 og 3, skal ENISA's samarbejdsaftaler med tredjelande eller internationale organisationer, kontrakter, tilskudsaftaler og afgørelser om ydelse af tilskud indeholde bestemmelser, der udtrykkeligt giver Revisionsretten og OLAF beføjelse til at foretage denne kontrol og disse undersøgelser i overensstemmelse med deres respektive beføjelser.

KAPITEL V

Personale

Artikel 34

Generelle bestemmelser

Tjenestemandsvedtægten og ansættelsesvilkårene for øvrige ansatte samt de regler, som EU-institutionerne i fællesskab har vedtaget for anvendelsen af tjenestemandsvedtægten og ansættelsesvilkårene for øvrige ansatte, gælder for ENISA's personale.

Artikel 35

Privilegier og immuniteter

Protokol nr. 7 vedrørende Den Europæiske Unions privilegier og immuniteter, der er knyttet som bilag til TEU og til TEUF, finder anvendelse på ENISA og dets personale.

Artikel 36

Den administrerende direktør

Den administrerende direktør ansættes i en stilling som midlertidigt ansat ved ENISA i henhold til artikel 2, litra a), i ansættelsesvilkårene for øvrige ansatte.

Den administrerende direktør udnævnes af bestyrelsen på grundlag af en liste over kandidater, som Kommissionen foreslår, efter en åben og gennemsigtig udvælgelsesprocedure.

Med henblik på indgåelsen af ansættelseskontrakten med den administrerende direktør repræsenteres ENISA af formanden for bestyrelsen.

Før udnævnelsen indbydes den ansøger, bestyrelsen har valgt, til at afgive en redegørelse for Europa-Parlamentets relevante udvalg og besvare spørgsmål fra medlemmerne.

Den administrerende direktørs mandatperiode er fem år. Ved udløbet af denne periode foretager Kommissionen en vurdering af den administrerende direktørs resultater og ENISA's fremtidige opgaver og udfordringer i betragtning.

Afgørelser om udnævnelse og afskedigelse af den administrerende direktør og om forlængelse af dennes mandatperiode træffes af bestyrelsen i overensstemmelse med artikel 18, stk. 2.

Bestyrelsen kan på grundlag af et forslag fra Kommissionen, der tager hensyn til den i stk. 5 omhandlede vurdering, forlænge den administrerende direktørs mandatperiode én gang for en periode på fem år.

Bestyrelsen underretter Europa-Parlamentet, hvis den har til hensigt at forlænge den administrerende direktørs mandatperiode Inden for tre måneder inden forlængelsen af mandatperioden afgiver den administrerende direktør, såfremt denne indbydes hertil, en redegørelse for Europa-Parlamentets relevante udvalg og besvarer medlemmernes spørgsmål.

En administrerende direktør, hvis mandatperiode er blevet forlænget, kan ikke deltage i endnu en udvælgelsesprocedure til den samme stilling.

10.

Den administrerende direktør kan kun afskediges ved en afgørelse truffet af bestyrelsen efter forslag fra Kommissionen.

Artikel 37

Udstationerede nationale eksperter og andet personale

ENISA kan gøre brug af udstationerede nationale eksperter og andet personale, der ikke er ansat af ENISA. Tjenestemandsvedtægten og ansættelsesvilkårene for øvrige ansatte gælder ikke for sådanne ansatte.

Bestyrelsen vedtager en afgørelse, der fastlægger regler for udstationering af nationale eksperter til ENISA.

KAPITEL VI

Generelle bestemmelser vedrørende ENISA

Artikel 38

ENISA's retlige status

ENISA er et EU-organ og har status som juridisk person.

ENISA har i hver medlemsstat den videstgående rets- og handleevne, som vedkommende stats lovgivning tillægger juridiske personer. Det kan navnlig erhverve og afhænde fast ejendom og løsøre og optræde som part i retssager.

ENISA repræsenteres af den administrerende direktør.

Artikel 39

ENISA's ansvar

ENISA's ansvar i kontraktforhold reguleres af den lovgivning, der finder anvendelse på den pågældende kontrakt.

Den Europæiske Unions Domstol har kompetence til at træffe afgørelse i henhold til en voldgiftsbestemmelse i en kontrakt, som ENISA har indgået.

For så vidt angår ansvar uden for kontraktforhold skal ENISA erstatte skader, der er forvoldt af ENISA eller af dets ansatte under udøvelsen af deres hverv, i overensstemmelse med de almindelige retsgrundsætninger, der er fælles for medlemsstaternes retssystemer.

Den Europæiske Unions Domstol har kompetence til at træffe afgørelse i tvister vedrørende skadeserstatninger som omhandlet i stk. 3.

Det personlige ansvar for ENISA's ansatte over for ENISA reguleres i de ansættelsesvilkår, der gælder for ENISA's personale.

Artikel 40

Sprogordning

Rådets forordning nr. 1 finder anvendelse på ENISA ( 10 ). Medlemsstaterne og andre organer, der er udpeget af medlemsstaterne, kan henvende sig til ENISA og modtage svar på det af EU-institutionernes officielle sprog, de ønsker.

De oversættelsesopgaver, der er påkrævet i forbindelse med ENISA's virksomhed, udføres af Oversættelsescentret for Den Europæiske Unions Organer.

Artikel 41

Beskyttelse af personoplysninger

ENISA's behandling af personoplysninger er omfattet af forordning (EU) 2018/1725.

Bestyrelsen vedtager gennemførelsesbestemmelser som omhandlet i artikel 45, stk. 3, i forordning (EU) 2018/1725. Bestyrelsen kan vedtage yderligere foranstaltninger, der er nødvendige med henblik på ENISA's anvendelse af forordning (EU) 2018/1725.

Artikel 42

Samarbejde med tredjelande og internationale organisationer

I det omfang det er nødvendigt for at nå de i denne forordning fastsatte mål, kan ENISA samarbejde med kompetente myndigheder i tredjelande og/eller med internationale organisationer. I det øjemed kan ENISA etablere samarbejdsordninger med myndigheder i tredjelande og internationale organisationer på betingelse af Kommissionens forudgående godkendelse. Disse samarbejdsordninger må ikke skabe retlige forpligtelser for Unionen og dens medlemsstater.

Tredjelande, som har indgået aftaler med Unionen herom, kan deltage i ENISA's arbejde. Der fastlægges i henhold til de relevante bestemmelser i disse aftaler samarbejdsordninger, hvori navnlig arten og omfanget af disse landes deltagelse i ENISA's arbejde fastsættes, samt på hvilken måde deltagelsen i ENISA's arbejde skal ske, og der fastsættes bestemmelser om deltagelse i initiativer iværksat af ENISA, om økonomiske bidrag og om personale. Hvad angår personaleanliggender, skal disse samarbejdsordninger under alle omstændigheder overholde tjenestemandsvedtægten og ansættelsesvilkårene for øvrige ansatte.

Bestyrelsen vedtager en strategi for forbindelser med tredjelande og internationale organisationer for så vidt angår spørgsmål, der hører under ENISA's kompetenceområde. Kommissionen sikrer, at ENISA arbejder inden for sit mandat og den eksisterende institutionelle ramme, ved at indgå en passende samarbejdsordninger med den administrerende direktør.

Artikel 43

Sikkerhedsregler for beskyttelse af følsomme ikkeklassificerede oplysninger og klassificerede oplysninger

Efter høring af Kommissionen vedtager ENISA sikkerhedsregler, der bygger på sikkerhedsprincipperne i Kommissionens sikkerhedsforskrifter til beskyttelse af følsomme ikkeklassificerede oplysninger og EUCI som fastsat i Kommissionens afgørelse (EU, Euratom) 2015/443 og (EU, Euratom) 2015/444. ENISA's sikkerhedsforskrifter skal omfatte bestemmelser om udveksling, behandling og lagring af sådanne oplysninger.

Artikel 44

Hjemstedsaftale og driftsvilkår

De nødvendige bestemmelser vedrørende de lokaler, der skal stilles til rådighed for ENISA i værtsmedlemsstaten, og de faciliteter, der skal stilles til rådighed af værtsmedlemsstaten, samt de særlige regler i værtsmedlemsstaten, der finder anvendelse på ENISA's administrerende direktør, bestyrelsesmedlemmerne, ENISA's personale og deres familiemedlemmer, fastsættes i en hjemstedsaftale mellem ENISA og værtsmedlemsstaten, der indgås, efter at bestyrelsen har godkendt den.

ENISA's værtsmedlemsstat sikrer de bedst mulige betingelser for, at ENISA kan fungere efter hensigten, idet der tages hensyn til stedets tilgængelighed, tilbud om tilstrækkelige uddannelsesfaciliteter for personalets børn, tilstrækkelig adgang til arbejdsmarkedet, social sikring og lægebehandling for personalets børn og ægtefæller.

Artikel 45

Administrativ kontrol

ENISA's virke er underlagt Den Europæiske Ombudsmands tilsyn i overensstemmelse med artikel 228 i TEUF.

AFSNIT III

RAMMEBESTEMMELSER FOR CYBERSIKKERHEDSCERTIFICERING

▼M1

Artikel 46

Europæisk ramme for cybersikkerhedscertificering

Den europæiske ramme for cybersikkerhedscertificering etableres for at forbedre betingelserne for det indre markeds funktion ved at øge cybersikkerhedsniveauet i Unionen og muliggøre en harmoniseret tilgang på EU-plan til europæiske cybersikkerhedscertificeringsordninger for at skabe et digitalt indre marked for IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester.

Den europæiske ramme for cybersikkerhedscertificering definerer en mekanisme til fastlæggelse af europæiske cybersikkerhedscertificeringsordninger og til attestering af, at IKT-produkter, IKT-tjenester og IKT-processer, der er evalueret i overensstemmelse med sådanne ordninger, opfylder de fastlagte sikkerhedskrav med henblik på at beskytte tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data, der lagres, overføres eller behandles, eller de dermed forbundne funktioner eller tjenester, der tilbydes i eller er tilgængelige via disse produkter, tjenester og processer, i hele deres livscyklus. Derudover tjener mekanismen til at attestere, at administrerede sikkerhedstjenester, der er evalueret i overensstemmelse med sådanne ordninger, opfylder de fastlagte sikkerhedskrav med henblik på at beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, der tilgås, behandles, lagres eller overføres i forbindelse med leveringen af disse tjenester, og at disse tjenester løbende leveres med den nødvendige kompetence, ekspertise og erfaring af personale med et tilstrækkeligt og passende niveau af relevant teknisk viden og faglig integritet.

▼B

Artikel 47

Unionens rullende arbejdsprogram for europæisk cybersikkerhedscertificering

Kommissionen offentliggør et rullende arbejdsprogram for europæisk cybersikkerhedscertificering (»Unionens rullende arbejdsprogram«), som opstiller strategiske prioriteter for fremtidige europæiske cybersikkerhedscertificeringsordninger.

▼M1

Unionens rullende arbejdsprogram skal navnlig omfatte en liste over IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester eller kategorier heraf, der vil kunne drage fordel af at være omfattet af en europæisk cybersikkerhedscertificeringsordning.

Tilføjelse i Unionens rullende arbejdsprogram af bestemte IKT-produkter, IKT-tjenester, IKT-processer eller af administrerede sikkerhedstjenester eller kategorier heraf skal være begrundet med et eller flere af følgende forhold:

tilgængeligheden og udviklingen af nationale cybersikkerhedscertificeringsordninger, der omfatter en bestemt kategori af IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester, og navnlig for så vidt angår risikoen for fragmentering

▼B

relevant EU- eller national ret eller politik

efterspørgslen på markedet

▼M1

ca)

den teknologiske udvikling og tilgængeligheden og udviklingen af internationale cybersikkerhedscertificeringsordninger og internationale standarder anvendt i industrien

▼B

udviklingen i cybertrusselsbilledet

anmodning om udarbejdelse af et specifikt forslag til ordning fra ECCG.

Kommissionen tager behørigt hensyn til udtalelserne om udkastet til Unionens rullende arbejdsprogram fra ECCG og Cybersikkerhedscertificeringsgruppen for Interessenter.

Det første af Unionens rullende arbejdsprogrammer offentliggøres senest den 28. juni 2020. Unionens rullende arbejdsprogram ajourføres mindst en gang hvert tredje år eller oftere, om nødvendigt.

Artikel 48

Anmodning om en europæisk cybersikkerhedscertificeringsordning

Kommissionen kan anmode ENISA om at udarbejde et forslag til ordning eller om revision af en eksisterende cybersikkerhedscertificeringsordning på grundlag af Unionens rullende arbejdsprogram.

I behørigt begrundede tilfælde kan Kommissionen eller ECCG anmode ENISA om at udarbejde et forslag til ordning eller om revision af en eksisterende ordning, som ikke er omfattet af Unionens rullende arbejdsprogram. Unionens rullende arbejdsprogram ajourføres i overensstemmelse hermed.

Artikel 49

Udarbejdelse, vedtagelse og revision af en europæisk cybersikkerhedscertificeringsordning

▼M1

Efter anmodning fra Kommissionen i henhold til artikel 48 udarbejder ENISA et forslag til ordning, som opfylder de gældende krav i artikel 51, 51a, 52 og 54.

Efter anmodning fra ECCG i henhold til artikel 48, stk. 2, kan ENISA udarbejde et forslag til ordning, som opfylder de gældende krav i artikel 51, 51a, 52 og 54. Afviser ENISA en sådan anmodning, begrunder det afvisningen. Enhver afgørelse om afvisning af en sådan anmodning træffes af bestyrelsen.

Under udarbejdelsen af forslaget til ordning hører ENISA rettidigt alle relevante interessenter ved hjælp af en formel, åben, gennemsigtig og inklusiv høringsproces. Når ENISA fremsender forslaget til ordning til Kommissionen i henhold til stk. 6, giver det oplysninger om, på hvilken måde det har opfyldt nærværende stykke.

For hvert forslag til ordning nedsætter ENISA en ad hoc-arbejdsgruppe i overensstemmelse med artikel 20, stk. 4, med henblik på at stille specifik rådgivning og ekspertise til rådighed for ENISA. Disse ad hoc-arbejdsgrupper omfatter, hvor det er relevant, og uden at det berører de procedurer og skønsbeføjelser, der er fastsat i artikel 20, stk. 4, eksperter fra medlemsstaternes offentlige forvaltninger, Unionens institutioner, organer, kontorer og agenturer og den private sektor.

▼B

ENISA arbejder tæt sammen med ECCG. ECCG yder ENISA bistand og ekspertrådgivning i forbindelse med udarbejdelsen af forslaget til ordning og vedtager en udtalelse om forslaget til ordning.

ENISA tager størst muligt hensyn til ECCG's udtalelse, før det fremsender forslaget til ordning udarbejdet i overensstemmelse med stk. 3, 4 og 5 til Kommissionen. ECCG's udtalelse er ikke bindende for ENISA, og en manglende udtalelse forhindrer heller ikke ENISA i at fremsende forslaget til ordning til Kommissionen.

▼M1

Kommissionen kan på grundlag af det af ENISA udarbejdede forslag til ordning vedtage gennemførelsesretsakter vedrørende europæiske cybersikkerhedscertificeringsordninger for IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester, der opfylder de relevante krav i artikel 51, 51a, 52 og 54. Gennemførelsesretsakterne vedtages efter undersøgelsesproceduren i artikel 66, stk. 2.

▼B

ENISA evaluerer mindst hvert femte år hver vedtagen europæisk cybersikkerhedscertificeringsordning under hensyntagen til tilbagemeldinger fra interesserede parter. Om nødvendigt kan Kommissionen eller ECCG anmode ENISA om at påbegynde processen med at udvikle et revideret forslag til ordning i overensstemmelse med artikel 48 og nærværende artikel.

▼M1

Artikel 49a

Oplysninger og høring vedrørende europæiske cybersikkerhedscertificeringsordninger

Kommissionen skal offentliggøre oplysninger om dens anmodning til ENISA om at udarbejde et forslag til ordning eller om gennemgang af en eksisterende europæisk cybersikkerhedscertificeringsordning som omhandlet i artikel 48.

Under ENISA's udarbejdelse af et forslag til ordning i henhold til artikel 49 kan Europa-Parlamentet, Rådet eller begge anmode Kommissionen i dens egenskab af formand for ECCG og ENISA om hvert kvartal at fremlægge relevante oplysninger om et forslag til ordning. Efter anmodning fra Europa-Parlamentet eller Rådet kan ENISA efter aftale med Kommissionen og med forbehold af artikel 27 stille relevante dele af udkastet til en ordning til rådighed for Europa-Parlamentet og Rådet på en måde, der svarer til det krævede fortrolighedsniveau, og, hvor det er relevant, på en begrænset måde.

For at styrke dialogen mellem EU-institutionerne og bidrage til en formel, åben, gennemsigtig og inklusiv høringsproces kan Europa-Parlamentet, Rådet eller begge opfordre Kommissionen og ENISA til at drøfte spørgsmål vedrørende funktionen af europæiske cybersikkerhedscertificeringsordninger for IKT-produkter, -tjenester, IKT-processer eller administrerede sikkerhedstjenester.

Kommissionen tager, hvor det er relevant, hensyn til elementer, der udspringer af de synspunkter, som Europa-Parlamentet og Rådet har givet udtryk for om de spørgsmål, der er omhandlet i denne artikels stk. 3, når den evaluerer denne forordning i henhold til artikel 67.

▼B

Artikel 50

Websted om europæiske cybersikkerhedscertificeringsordninger

ENISA vedligeholder et dedikeret websted, der oplyser om og reklamerer for de europæiske cybersikkerhedscertificeringsordninger, europæiske cybersikkerhedsattester og EU-overensstemmelseserklæringer, herunder oplysninger med hensyn til europæiske cybersikkerhedscertificeringsordninger, som ikke længere er gyldige, og med hensyn til europæiske cybersikkerhedsattester og EU-overensstemmelseserklæringer, der er trukket tilbage eller udløbet, og med hensyn til registeret over links til cybersikkerhedsoplysninger, der er stillet til rådighed i overensstemmelse med artikel 55.

I givet fald skal webstedet omhandlet i stk. 1 også angive de nationale cybersikkerhedscertificeringsordninger, som er blevet erstattet af en europæisk cybersikkerhedscertificeringsordning.

Artikel 51

▼M1

Sikkerhedsmålsætninger for europæiske cybersikkerhedscertificeringsordninger for IKT-produkter, IKT-tjenester og IKT-processer

En europæisk cybersikkerhedscertificeringsordning for IKT-produkter, IKT-tjenester eller IKT-processer skal være udformet til, alt efter relevans, som minimum at opfylde følgende sikkerhedsmålsætninger:

▼B

beskyttelse af data, som lagres, overføres eller på anden måde behandles, mod utilsigtet eller uautoriseret lagring, behandling, adgang eller offentliggørelse i hele IKT-produktets, -tjenestens eller -processens livscyklus

beskyttelse af data, som lagres, overføres eller på anden måde behandles, mod utilsigtet eller uautoriseret ødelæggelse, tab eller ændring eller manglende tilgængelighed i hele IKT-produktets, -tjenestens eller -processens livscyklus

autoriserede personer, programmer eller maskiner kan udelukkende tilgå de data, tjenester eller funktioner, som de har adgangsret til

identifikation af og dokumentation for kendt afhængighed og kendte sårbarheder

registrering af, hvilke data, funktioner eller tjenester der er tilgået, anvendt eller på anden måde behandlet, på hvilket tidspunkt og af hvem

det er muligt at kontrollere, hvilke data, tjenester og funktioner der er tilgået, anvendt eller på anden måde behandlet, på hvilket tidspunkt og af hvem

verifikation af, at IKT-produkter, -tjenester og -processer ikke indeholder kendte sårbarheder

hurtig genetablering af tilgængelighed af og adgang til data, tjenester og funktioner i tilfælde af en fysisk eller teknisk hændelse

at IKT-processer, -tjenester og -processer er sikre som følge af standardindstillinger og indbygget sikkerhed

IKT-produkter, -tjenester og -processer er forsynet med ajourført software og hardware, der ikke indeholder offentligt kendte sårbarheder, og som har mekanismer til sikker opdatering.

▼M1

Artikel 51a

Sikkerhedsmålsætninger for europæiske cybersikkerhedscertificeringsordninger for administrerede sikkerhedstjenester

En europæisk cybersikkerhedscertificeringsordning for administrerede sikkerhedstjenester skal være udformet til, alt efter relevans, som minimum at opfylde følgende sikkerhedsmålsætninger:

at de administrerede sikkerhedstjenester har den nødvendige kompetence, ekspertise og erfaring, herunder at det personale, der har til opgave at levere disse tjenester, har et tilstrækkeligt og passende niveau af teknisk viden og kompetence på det specifikke område, tilstrækkelig og relevant erfaring og den højeste grad af faglig integritet

at udbyderen har indført passende interne procedurer til at sikre, at de administrerede sikkerhedstjenester til enhver tid leveres på et tilstrækkeligt og passende kvalitetsniveau

at data, der tilgås, lagres, overføres eller på anden måde behandles i forbindelse med levering af administrerede sikkerhedstjenester, beskyttes mod utilsigtet eller uautoriseret adgang, lagring, offentliggørelse, ødelæggelse, anden behandling, tab eller ændring eller manglende tilgængelighed

at tilgængelighed af og adgang til data, tjenester og funktioner i tilfælde af en fysisk eller teknisk hændelse hurtig genetableres

at autoriserede personer, programmer eller maskiner udelukkende kan tilgå de data, tjenester eller funktioner, som de har adgangsret til

at der foretages og tilgængeliggøres registrering til vurdering de data, tjenester og funktioner, der er tilgået, anvendt eller på anden måde behandlet, på hvilket tidspunkt og af hvem

at de IKT-produkter, IKT-tjenester og IKT-processer, der anvendes til levering af administrerede sikkerhedstjenester, er sikre som følge af indbygget sikkerhed og standardindstillinger, og hvor det er relevant, omfatter de seneste sikkerhedsopdateringer og ikke har kendte sårbarheder.

▼B

Artikel 52

Tillidsniveauer for europæiske cybersikkerhedscertificeringsordninger

▼M1

En europæisk cybersikkerhedscertificeringsordning kan angive et eller flere af følgende tillidsniveauer for IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester: »grundlæggende«, »betydeligt« eller »højt«. Tillidsniveauet skal afspejle det risikoniveau, der er forbundet med den tilsigtede anvendelse af IKT-produktet, IKT-tjenesten, IKT-processen eller den administrerede sikkerhedstjeneste, hvad angår sandsynligheden for og virkningen af en hændelse.

▼B

Europæiske cybersikkerhedsattester og EU-overensstemmelseserklæringer skal henvise til et tillidsniveau, der er angivet i den europæiske cybersikkerhedscertificeringsordning, i henhold til hvilken den europæiske cybersikkerhedsattest eller EU-overensstemmelseserklæringen er udstedt.

▼M1

De sikkerhedskrav, som svarer til tillidsniveauet, skal fremgå af den relevante europæiske cybersikkerhedscertificeringsordning, herunder de tilsvarende sikkerhedsfunktioner og den tilsvarende grad af stringens og dybde i den evaluering, som IKT-produktet, IKT-tjenesten, IKT-processen eller den administrerede sikkerhedstjeneste skal undergå.

▼B

Attesten eller EU-overensstemmelseserklæringen skal henvise til tekniske specifikationer, standarder og hertil knyttede procedurer, herunder tekniske kontroller, hvis formål er at mindske risikoen for eller forhindre cybersikkerhedshændelser.

▼M1

En europæisk cybersikkerhedsattest eller EU-overensstemmelseserklæring, der henviser til tillidsniveauet »grundlæggende«, skal give sikkerhed for, at de IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester, som attesten eller EU-overensstemmelseserklæringen er udstedt for, opfylder de tilsvarende sikkerhedskrav, herunder sikkerhedsfunktioner, og at de er blevet evalueret på et niveau, der har til formål at minimere de kendte grundlæggende risici for hændelser og cyberangreb. Evalueringsaktiviteterne skal som minimum omfatte en gennemgang af den tekniske dokumentation. Hvis en sådan gennemgang ikke er hensigtsmæssig, anvendes andre evalueringsaktiviteter med tilsvarende virkning.

En europæisk cybersikkerhedsattest, der henviser til tillidsniveauet »betydeligt«, skal give sikkerhed for, at de IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester, som attesten er udstedt for, opfylder de tilsvarende sikkerhedskrav, herunder sikkerhedsfunktioner, og at de er blevet evalueret på et niveau, der har til formål at minimere kendte cybersikkerhedsrisici og risikoen for hændelser og cyberangreb udført af aktører med begrænsede færdigheder og ressourcer. Evalueringsaktiviteterne, der gennemføres, skal som minimum omfatte følgende: en gennemgang med henblik på at påvise, at der ikke er offentligt kendte sårbarheder, og test for at påvise, at IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester udfører de nødvendige sikkerhedsfunktioner korrekt. Hvis sådanne evalueringsaktiviteter ikke er hensigtsmæssige, anvendes andre evalueringsaktiviteter med tilsvarende virkning.

En europæisk cybersikkerhedsattest, der henviser til tillidsniveauet »højt«, skal give sikkerhed for, at de IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester, som attesten er udstedt for, opfylder de tilsvarende sikkerhedskrav, herunder sikkerhedsfunktioner, og at de er blevet evalueret på et niveau, der har til formål at minimere risikoen for avancerede cyberangreb udført af aktører med betydelige færdigheder og ressourcer. Evalueringsaktiviteterne, der gennemføres, skal som minimum omfatte følgende: en gennemgang med henblik på at påvise, at der ikke er offentligt kendte sårbarheder, test for at påvise, at IKT-produkterne, IKT-tjenesterne, IKT-processerne eller de administrerede sikkerhedstjenester på korrekt vis udfører de nødvendige sikkerhedsfunktioner på avanceret niveau, samt en vurdering af deres modstandsdygtighed over for drevne angribere ved hjælp af penetrationstest. Hvis sådanne evalueringsaktiviteter ikke er hensigtsmæssige, anvendes andre aktiviteter med tilsvarende virkning.

▼B

En europæisk cybersikkerhedscertificeringsordning kan fastsætte flere evalueringsniveauer, alt efter hvor stringent og omfattende den anvendte evalueringsmetodologi er. Hvert enkelt evalueringsniveau skal svare til et af tillidsniveauerne og være defineret ved en passende kombination af tillidskomponenter.

Artikel 53

Selvvurdering af overensstemmelse

▼M1

En europæisk cybersikkerhedscertificeringsordning kan tillade, at der foretages selvvurdering af overensstemmelse, som producenter eller udbydere af IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester har det fulde ansvar for. Selvvurdering af overensstemmelse er kun tilladt i forbindelse med IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester med lav risiko svarende til tillidsniveauet »grundlæggende«.

Producenter og udbydere af IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester kan udstede en EU-overensstemmelseserklæring, hvoraf det fremgår, at det er blevet påvist, at de krav, som er fastsat i ordningen, er opfyldt. Ved at udstede en sådan erklæring står producenter og udbydere af IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester inde for, at IKT-produktet, IKT-tjenesten, IKT-processen eller den administrerede sikkerhedstjeneste stemmer overens med den pågældende ordnings krav.

Producenter og udbydere af IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester stiller EU-overensstemmelseserklæringen, den tekniske dokumentation og alle øvrige relevante oplysninger vedrørende IKT-produkternes, IKT-tjenesternes, IKT-processernes eller de administrerede sikkerhedstjenesters overensstemmelse med ordningen til rådighed for den nationale cybersikkerhedscertificeringsmyndighed udpeget i henhold til artikel 58 i den periode, der er fastsat i den tilsvarende europæiske cybersikkerhedscertificeringsordning. En kopi af EU-overensstemmelseserklæringen indgives til den nationale cybersikkerhedscertificeringsmyndighed og til ENISA.

▼B

Udstedelse af en EU-overensstemmelseserklæring er frivillig, medmindre andet er fastsat i EU-retten eller i medlemsstaternes ret.

EU-overensstemmelseserklæringer skal anerkendes i alle medlemsstater.

Artikel 54

Elementer i europæiske cybersikkerhedscertificeringsordninger

En europæisk cybersikkerhedscertificeringsordning skal som minimum omfatte følgende elementer:

▼M1

certificeringsordningens genstand og omfang, herunder omfattede typer eller kategorier af IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester

▼B

en klar beskrivelse af formålet med ordningen, og af hvordan de valgte standarder, evalueringsmetoder og tillidsniveauer svarer til behovene hos de tilsigtede brugere af ordningen

henvisninger til de internationale, europæiske eller nationale standarder, der anvendes ved evalueringen, eller, hvis der ikke foreligger sådanne standarder, eller de ikke er hensigtsmæssige, henvisninger til tekniske specifikationer, som opfylder kravene i bilag II til forordning (EU) nr. 1025/2012, eller, hvis sådanne specifikationer ikke foreligger, til tekniske specifikationer eller andre cybersikkerhedskrav, der er defineret i den europæiske cybersikkerhedscertificeringsordning

et eller flere tillidsniveauer, hvor det er relevant

en angivelse af, om selvvurdering af overensstemmelse er tilladt i henhold til ordningen

hvor det er relevant, specifikke eller yderligere krav, der gælder for overensstemmelsesvurderingsorganerne for at sikre deres tekniske kompetence til at evaluere cybersikkerhedskravene

▼M1

de specifikke evalueringskriterier og -metoder, der skal anvendes, herunder typen af evaluering, for at påvise, at de gældende sikkerhedsmål omhandlet i artikel 51 og 51a er nået

▼B

hvor det er relevant, de til certificering nødvendige oplysninger, som en ansøger skal videresende eller på anden måde stille til rådighed for overensstemmelsesvurderingsorganerne

hvis ordningen fastsætter mærker eller etiketter, omstændighederne under hvilke sådanne mærker eller etiketter kan anvendes

▼M1

regler for overvågning af IKT-produkters, IKT-tjenesters-, IKT-processers eller administrerede sikkerhedstjenesters overensstemmelse med de europæiske cybersikkerhedsattesters eller EU-overensstemmelseserklæringernes krav, herunder mekanismer til at dokumentere den fortsatte overholdelse af de angivne cybersikkerhedskrav

▼B

hvor det er relevant, betingelserne for udstedelse, opretholdelse, forlængelse og fornyelse af den europæiske cybersikkerhedsattest samt betingelserne for udvidelse eller indskrænkning af certificeringens omfang

▼M1

regler om følgerne for IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester, som er blevet certificeret, eller for hvilke en EU-overensstemmelseserklæring er udstedt, men som ikke overholder kravene i ordningen

▼B

regler om, hvordan hidtil uopdagede cybersikkerhedssårbarheder i IKT-produkter, -tjenester og -processer skal indberettes og håndteres

hvor det er relevant, regler om overensstemmelsesvurderingsorganers opbevaring af optegnelser

▼M1

angivelse af nationale eller internationale cybersikkerhedscertificeringsordninger, som dækker samme type eller kategorier af IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester, sikkerhedskrav, evalueringskriterier og -metoder samt tillidsniveauer

▼B

indholdet af og formatet for de europæiske cybersikkerhedsattester og EU-overensstemmelseserklæringerne, der skal udstedes

▼M1

tilgængelighedsperioden af den EU-overensstemmelseserklæring, den tekniske dokumentation og alle de øvrige relevante oplysninger, der skal stilles til rådighed af producenter eller udbydere af IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester

▼B

den maksimale gyldighedsperiode for europæiske cybersikkerhedsattester udstedt i henhold til ordningen

politikken for offentliggørelse af europæiske cybersikkerhedsattester, der er udstedt, ændret eller tilbagetrukket i henhold til ordningen

betingelserne for gensidig anerkendelse af certificeringsordninger med tredjelande

hvor det er relevant, reglerne for en eventuel peervurderingsmekanisme, der ved ordningen er oprettet for de myndigheder eller organer, der udsteder europæiske cybersikkerhedsattester for tillidsniveauet »højt« i henhold til artikel 56, stk. 6. En sådan mekanisme berører ikke det peerreview, der er fastsat i artikel 59

format og procedurer, der skal følges af producenter eller udbydere af IKT-produkter, -tjenester eller -processer, når de giver og ajourfører de supplerende cybersikkerhedsoplysninger i overensstemmelse med artikel 55.

De krav, der er anført i den europæiske cybersikkerhedscertificeringsordning, skal være i overensstemmelse med eventuelle relevante retlige krav, navnlig krav som følge af harmoniseret EU-ret.

Hvis det er fastsat i en bestemt EU-retsakt, kan en attest eller en EU-overensstemmelseserklæring udstedt i henhold til en europæisk cybersikkerhedscertificeringsordning anvendes til at påvise en formodning om overensstemmelse med kravene i den pågældende retsakt.

I mangel af harmoniseret EU-ret kan medlemsstaternes ret også fastsætte, at en europæisk cybersikkerhedscertificeringsordning kan anvendes til at skabe en formodning om overensstemmelse med retlige krav.

Artikel 55

Supplerende cybersikkerhedsoplysninger for certificerede IKT-produkter, -tjenester og -processer

Producenter og udbydere af certificerede IKT-produkter, -tjenester eller -processer eller af IKT-produkter, -tjenester eller -processer, for hvilke en EU-overensstemmelseserklæring er udstedt, gør følgende supplerende cybersikkerhedsoplysninger offentligt tilgængelige:

vejledning og anbefalinger for at bistå slutbrugere med sikker konfiguration, installation, ibrugtagning, drift og vedligeholdelse af IKT-produkterne eller -tjenesterne

den periode, hvor slutbrugere tilbydes sikkerhedsstøtte, navnlig for så vidt angår tilgængelighed af cybersikkerhedsrelaterede opdateringer

producentens eller udbyderens kontaktoplysninger og accepterede metoder til modtagelse af sårbarhedsoplysninger fra slutbrugere og sikkerhedsforskere

en henvisning til onlineregistre over offentliggjorte sårbarheder vedrørende det pågældende IKT-produkt eller den pågældende IKT-tjeneste eller -proces og til eventuel relevant cybersikkerhedsrådgivning.

De oplysninger, der er omhandlet i stk. 1, skal være tilgængelige i elektronisk form og forblive tilgængelige og opdateres om nødvendigt mindst indtil udløbet af den tilsvarende europæiske cybersikkerhedsattest eller EU-overensstemmelseserklæring.

Artikel 56

Cybersikkerhedscertificering

▼M1

IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester, der er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning, som er vedtaget i medfør af artikel 49, formodes at overholde kravene i en sådan ordning.

▼B

Cybersikkerhedscertificeringen skal være frivillig, medmindre andet er fastsat i EU-retten eller i medlemsstaternes ret.

►M1 Kommissionen vurderer regelmæssigt effektiviteten og anvendelsen af de vedtagne europæiske cybersikkerhedscertificeringsordninger, og hvorvidt en bestemt europæisk cybersikkerhedscertificeringsordning skal gøres obligatorisk ved hjælp af relevant EU-ret for at sikre et tilstrækkeligt cybersikkerhedsniveau for IKT-produkter, IKT-tjenester, IKT-processer og fra den 4. februar 2025 for administrerede sikkerhedstjenester i Unionen og for at forbedre det indre markeds funktion. Den første sådanne vurdering skal foretages senest den 31. december 2023 og efterfølgende vurderinger mindst hvert andet år derefter. Kommissionen identificerer på grundlag af resultatet af disse vurderinger de IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester, der er omfattet af en eksisterende certificeringsordning, og som skal omfattes af en obligatorisk certificeringsordning. ◄

Som en prioritet fokuserer Kommissionen på de sektorer i bilag II til direktiv (EU) 2016/1148, som skal vurderes senest to år efter vedtagelsen af den første europæiske cybersikkerhedscertificeringsordning.

Ved udarbejdelsen af vurderingen skal Kommissionen:

▼M1

tage hensyn til foranstaltningernes indvirkning på producenter og udbydere af sådanne IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester og på brugerne i form af omkostninger ved disse foranstaltninger samt de samfundsmæssige eller økonomiske fordele som følge af det forventede øgede sikkerhedsniveau for de pågældende IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester

▼B

tage hensyn til eksistensen og gennemførelsen af relevant ret i medlemsstaterne eller tredjelande

gennemføre en åben, gennemsigtig og inklusiv høringsproces med alle relevante interessenter og medlemsstater

▼M1

tage hensyn til eventuelle gennemførelsesfrister og overgangsforanstaltninger eller -perioder, navnlig under hensyntagen til foranstaltningens mulige indvirkning på producenter eller udbydere af IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester, herunder specifikke interesser og behov hos SMV'er, herunder mikrovirksomheder

▼B

foreslå den hurtigste og mest effektive måde, hvorpå overgangen fra frivillige til obligatoriske certificeringsordninger skal gennemføres.

De overensstemmelsesvurderingsorganer, der er omhandlet i artikel 60, udsteder europæiske cybersikkerhedsattester i henhold til nærværende artikel på grundlag af de kriterier, der fremgår af den europæiske cybersikkerhedscertificeringsordning, som Kommissionen har vedtaget i medfør af artikel 49, idet de henviser til tillidsniveauet »grundlæggende« eller »betydeligt«.

Uanset stk. 4 kan det i behørigt begrundede tilfælde fastsættes i en specifik europæisk cybersikkerhedscertificeringsordning, at en europæisk cybersikkerhedsattest i medfør af denne ordning kun må udstedes af et offentligt organ. Et sådant organ skal være en af følgende:

en national cybersikkerhedscertificeringsmyndighed som omhandlet i artikel 58, stk. 1, eller

et offentligt organ, der er akkrediteret som overensstemmelsesvurderingsorgan i medfør af artikel 60, stk. 1.

I tilfælde, hvor en europæisk cybersikkerhedscertificeringsordning vedtaget i medfør af artikel 49 indeholder krav om tillidsniveau »højt«, kan den europæiske cybersikkerhedsattest i henhold til den pågældende ordning kun udstedes af en national cybersikkerhedscertificeringsmyndighed eller i følgende tilfælde af et overensstemmelsesvurderingsorgan:

efter at den nationale cybersikkerhedscertificeringsmyndighed på forhånd har godkendt hver enkelt europæisk cybersikkerhedsattest, som er udstedt af et overensstemmelsesvurderingsorgan, eller

på grundlag af den nationale cybersikkerhedscertificeringsmyndigheds generelle delegation af opgaven med at udstede sådanne europæiske cybersikkerhedsattester til et overensstemmelsesvurderingsorgan.

▼M1

Den fysiske eller juridiske person, der indgiver IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester til certificering, stiller alle oplysninger, der er nødvendige for at gennemføre certificeringsproceduren, til rådighed for den i henhold til artikel 58 udpegede nationale cybersikkerhedscertificeringsmyndighed, hvis denne myndighed er det organ, der udsteder den europæiske cybersikkerhedsattest, eller for det i artikel 60 omhandlede overensstemmelsesvurderingsorgan.

Indehaveren af en europæisk cybersikkerhedsattest underretter den myndighed eller det organ, der er omhandlet i stk. 7, om eventuelle efterfølgende opdagede sårbarheder eller uregelmæssigheder i forbindelse med de certificerede IKT-produkters, IKT-tjenesters, IKT-processers eller administrerede sikkerhedstjenesters sikkerhed, som kan have en indvirkning på overholdelsen af de med certificeringen forbundne krav. Vedkommende organ eller myndighed sender hurtigst muligt disse oplysninger til den pågældende nationale cybersikkerhedscertificeringsmyndighed.

▼B

En europæisk cybersikkerhedsattest udstedes for den periode, som er fastsat i den pågældende europæiske cybersikkerhedscertificeringsordning, og kan fornys, såfremt de relevante krav fortsat er opfyldt.

10.

En europæisk cybersikkerhedsattest udstedt i henhold til denne artikel skal anerkendes i alle medlemsstater.

Artikel 57

Nationale cybersikkerhedscertificeringsordninger og -attester

▼M1

Nationale cybersikkerhedscertificeringsordninger og de tilknyttede procedurer for IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester, der er omfattet af en europæisk cybersikkerhedscertificeringsordning, ophører med at have virkning fra det tidspunkt, der fastsættes i den gennemførelsesretsakt, som vedtages i medfør af artikel 49, stk. 7, uden at dette dog berører nærværende artikels stk. 3. Nationale cybersikkerhedscertificeringsordninger og de tilknyttede procedurer for IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester, der ikke er omfattet af en europæisk cybersikkerhedscertificeringsordning, består fortsat.

Medlemsstaterne må ikke indføre nye nationale cybersikkerhedscertificeringsordninger for IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester, som allerede er omfattet af en gældende europæisk cybersikkerhedscertificeringsordning.

▼B

Eksisterende attester, som blev udstedt i henhold til nationale cybersikkerhedscertificeringsordninger og omfattes af en europæisk cybersikkerhedscertificeringsordning, forbliver gyldige indtil deres udløbsdato.

Med henblik på at undgå fragmentering af det indre marked meddeler medlemsstaterne initiativer vedrørende udarbejdelse af nye nationale cybersikkerhedscertificeringsordninger til Kommissionen og ECCG.

Artikel 58

Nationale cybersikkerhedscertificeringsmyndigheder

Hver medlemsstat udpeger en eller flere nationale cybersikkerhedscertificeringsmyndigheder på sit område eller udpeger efter aftale med en anden medlemsstat en eller flere nationale cybersikkerhedscertificerings- myndigheder, der er etableret i denne anden medlemsstat, som ansvarlig for overvågningsopgaverne i den udpegende medlemsstat.

Hver medlemsstat underretter Kommissionen om de udpegede nationale cybersikkerhedscertificeringsmyndigheders identitet. Hvis en medlemsstat udpeger mere end én myndighed, underretter den også Kommissionen om de opgaver, som hver af disse myndigheder er blevet pålagt.

Uden at det berører artikel 56, stk. 5, litra a), og artikel 56, stk. 6, skal hver national cybersikkerhedscertificeringsmyndighed med hensyn til dens organisation, finansieringsbeslutninger, retlige struktur og beslutningstagning være uafhængig af de enheder, som den fører tilsyn med.

Medlemsstaterne sikrer, at de nationale cybersikkerhedscertificeringsmyndigheders aktiviteter vedrørende udstedelse af europæiske cybersikkerhedsattester omhandlet i artikel 56, stk. 5, litra a), og artikel 56, stk. 6, er strengt adskilt fra deres tilsynsaktiviteter i nærværende artikel, og at disse aktiviteter udføres uafhængigt af hinanden.

Medlemsstaterne sikrer, at de nationale cybersikkerhedscertificeringsmyndigheder har tilstrækkelige ressourcer til at udøve deres beføjelser og udføre deres opgaver på en virkningsfuld og effektiv måde.

Med henblik på en effektiv gennemførelse af denne forordning er det hensigtsmæssigt, at nationale cybersikkerhedscertificeringsmyndigheder deltager i ECCG på en aktiv, effektiv, virkningsfuld og sikker måde.

Nationale cybersikkerhedscertificeringsmyndigheder skal:

▼M1

føre tilsyn med og håndhæve regler, der indgår i de europæiske cybersikkerhedscertificeringsordninger i henhold til artikel 54, stk. 1, litra j), til overvågning af, at IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester opfylder kravene i de europæiske cybersikkerhedsattester, der er udstedt på deres respektive område, i samarbejde med andre relevante markedsovervågningsmyndigheder

overvåge og håndhæve de forpligtelser, som påhviler producenter eller udbydere af IKT-produkter, IKT-tjenester IKT-processer eller administrerede sikkerhedstjenester, der er etableret på deres respektive område, og som foretager selvvurdering af overensstemmelse, navnlig forpligtelserne fastsat i artikel 53, stk. 2 og 3, og i den tilsvarende europæiske cybersikkerhedscertificeringsordning

▼B

aktivt bistå og støtte de nationale akkrediteringsorganer med overvågning af og tilsyn med overensstemmelsesvurderingsorganers aktiviteter med henblik på denne forordning, uden at det berører artikel 60, stk. 3

overvåge og føre tilsyn med de aktiviteter, der udføres af de i artikel 56, stk. 5, omhandlede offentlige organer

hvis det er relevant, bemyndige overensstemmelsesvurderingsorganer i henhold til artikel 60, stk. 3, og begrænse, suspendere eller inddrage eksisterende bemyndigelse i tilfælde af, at overensstemmelsesvurderingsorganer overtræder kravene i denne forordning

behandle klager fra fysiske eller juridiske personer i forbindelse med europæiske cybersikkerhedsattester udstedt af de nationale cybersikkerhedscertificeringsmyndigheder eller med europæiske cybersikkerhedsattester udstedt af overensstemmelsesvurderingsorganer i overensstemmelse med artikel 56, stk. 6, eller i forbindelse med EU-overensstemmelseserklæringer udstedt i henhold til artikel 53 samt undersøge genstanden for klagen i relevant omfang og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist

forelægge en årlig sammenfattende rapport om de aktiviteter, der er udført i henhold til litra b), c) og d) eller stk. 8, for ENISA og ECCG

▼M1

samarbejde med andre nationale cybersikkerhedscertificeringsmyndigheder eller andre offentlige myndigheder, herunder ved at dele oplysninger om mulige tilfælde af IKT-produkters, IKT-tjenesters, IKT-processers eller administrerede sikkerhedstjenesters manglende overholdelse af denne forordnings eller specifikke europæiske cybersikkerhedscertificeringsordningers krav, og

▼B

overvåge den relevante udvikling inden for cybersikkerhedscertificering.

Hver national cybersikkerhedscertificeringsmyndighed skal mindst have følgende beføjelser:

at kunne anmode overensstemmelsesvurderingsorganer, indehavere af en europæisk cybersikkerhedsattest og udstedere af EU-overensstemmelseserklæringer om at forelægge alle oplysninger, som er nødvendige for udførelsen af dens opgaver

at kunne udføre undersøgelser i form af audit af overensstemmelsesvurderingsorganer, indehavere af en europæisk cybersikkerhedsattest og udstedere af EU-overensstemmelseserklæringer med henblik på at verificere deres overholdelse af dette afsnit

i overensstemmelse med national ret at kunne træffe passende foranstaltninger til at sikre, at overensstemmelsesvurderingsorganer, indehavere af en europæisk cybersikkerhedsattest og udstedere af EU-overensstemmelseserklæringer overholder bestemmelserne i denne forordning eller en europæisk cybersikkerhedscertificeringsordning

at kunne få adgang til alle lokaler hos overensstemmelsesvurderingsorganer eller indehavere af en europæisk cybersikkerhedsattest med henblik på at udføre undersøgelser i overensstemmelse med EU-retten eller medlemsstaternes processuelle regler

i overensstemmelse med national ret at kunne tilbagekalde europæiske cybersikkerhedsattester, der er udstedt af de nationale cybersikkerhedscertificeringsmyndigheder eller europæiske cybersikkerhedsattester udstedt af overensstemmelsesvurderingsorganer i overensstemmelse med artikel 56, stk. 6, hvis sådanne attester ikke overholder bestemmelserne i denne forordning eller i en europæisk cybersikkerhedscertificeringsordning

at kunne pålægge sanktioner i overensstemmelse med national ret, jf. artikel 65, og at kunne kræve øjeblikkeligt ophør af overtrædelser af de forpligtelser, der er fastsat i denne forordning.

▼M1

De nationale cybersikkerhedscertificeringsmyndigheder skal samarbejde med hinanden og Kommissionen ved navnlig at udveksle oplysninger, erfaringer og god praksis med hensyn til cybersikkerhedscertificering og tekniske spørgsmål vedrørende IKT-produkters, IKT-tjenesters, IKT-processers og administrerede sikkerhedstjenesters cybersikkerhed.

▼B

Artikel 59

Peerreview

For at opnå ensartede standarder i hele Unionen for så vidt angår europæiske cybersikkerhedsattester og EU-overensstemmelseserklæringer underkastes nationale cybersikkerhedscertificeringsmyndigheder peerreview.

Peerreviews skal foregå på grundlag af fornuftige og gennemsigtige evalueringskriterier og -procedurer, navnlig med hensyn til strukturelle krav, krav til menneskelige ressourcer og proceskrav samt fortrolighed og klager.

Ved peerreviews vurderes:

hvis det er relevant, hvorvidt de nationale cybersikkerhedscertificeringsmyndigheders aktiviteter vedrørende udstedelse af europæiske cybersikkerhedsattester omhandlet i artikel 56, stk. 5, litra a), og artikel 56, stk. 6, er strengt adskilt fra deres tilsynsaktiviteter i artikel 58, og hvorvidt disse aktiviteter udføres uafhængigt af hinanden

▼M1

procedurerne for tilsyn med og håndhævelse af reglerne for overvågning af, at IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester overholder europæiske cybersikkerhedsattester i henhold til artikel 58, stk. 7, litra a)

procedurerne for overvågning og håndhævelse af forpligtelserne for producenter eller udbydere af IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester i henhold til artikel 58, stk. 7, litra b)

▼B

procedurerne for overvågning og bemyndigelse af og tilsyn med overensstemmelsesvurderingsorganernes aktiviteter

hvis det er relevant, hvorvidt personalet i myndigheder eller organer, der udsteder attester for tillidsniveauet »højt« i henhold til artikel 56, stk. 6, har den fornødne ekspertise.

Peerreviews foretages af mindst to nationale cybersikkerhedscertificeringsmyndigheder fra andre medlemsstater og af Kommissionen og mindst hvert femte år. ENISA kan deltage i peerreviews.

Kommissionen kan vedtage gennemførelsesretsakter, der fastlægger en plan for peerreviews, som omfatter en periode på mindst fem år, og kriterierne for sammensætning af peerreviewhold, metode til peerreviews samt tidsplan, hyppighed og andre opgaver i forbindelse dermed. I forbindelse med vedtagelsen af disse gennemførelsesretsakter tager Kommissionen behørigt hensyn til ECCG's betragtninger. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 66, stk. 2.

Resultaterne af peerreviews gennemgås af ECCG, som udarbejder sammenfatninger, der kan offentliggøres, og som om nødvendigt udsteder retningslinjer eller henstillinger om tiltag eller foranstaltninger, der skal træffes af de berørte enheder.

Artikel 60

Overensstemmelsesvurderingsorganer

Overensstemmelsesvurderingsorganerne akkrediteres af nationale akkrediteringsorganer, der er udpeget i henhold til forordning (EF) nr. 765/2008. Sådan akkreditering udstedes kun, hvis overensstemmelsesvurderingsorganet opfylder kravene i bilaget til nærværende forordning.

I tilfælde, hvor en europæisk cybersikkerhedsattest udstedes af en national cybersikkerhedscertificeringsmyndighed i henhold til artikel 56, stk. 5, litra a), og artikel 56, stk. 6, akkrediteres den nationale cybersikkerhedscertificeringsmyndigheds certificeringsorgan som et overensstemmelsesvurderingsorgan i henhold til nærværende artikels stk. 1.

Hvis europæiske cybersikkerhedscertificeringsordninger fastsætter specifikke eller yderligere krav i henhold til artikel 54, stk. 1, litra f), må kun overensstemmelsesvurderingsorganer, der opfylder disse krav, bemyndiges af den nationale cybersikkerhedscertificeringsmyndighed til at udføre opgaver i henhold til sådanne ordninger.

Akkreditering som omhandlet i stk. 1 udstedes til overensstemmelsesvurderingsorganerne for en periode på højst fem år og kan fornys på samme betingelser, såfremt overensstemmelsesvurderingsorganet stadig opfylder de i denne artikel fastsatte krav. Nationale akkrediteringsorganer træffer inden for en rimelig tidsfrist alle passende foranstaltninger med henblik på at begrænse, suspendere eller tilbagekalde akkrediteringen af et overensstemmelsesvurderingsorgan udstedt i henhold til stk. 1, hvis betingelserne for akkrediteringen ikke eller ikke længere er opfyldt, eller hvis overensstemmelsesvurderingsorganet overtræder denne forordning.

Artikel 61

Anmeldelse

For hver europæisk cybersikkerhedscertificeringsordning underretter de nationale cybersikkerhedscertificeringsmyndigheder Kommissionen om de overensstemmelsesvurderingsorganer, der er akkrediteret og, hvor det er relevant, bemyndiget i henhold til artikel 60, stk. 3, til at udstede europæiske cybersikkerhedsattester på specifikke tillidsniveauer, jf. artikel 52. De nationale cybersikkerhedscertificeringsmyndigheder underretter Kommissionen om eventuelle senere ændringer heraf hurtigst muligt.

Et år efter ikrafttrædelsen af en europæisk cybersikkerhedscertificeringsordning offentliggør Kommissionen en liste over de overensstemmelsesvurderingsorganer, som er anmeldt under den pågældende ordning, i Den Europæiske Unions Tidende.

Modtager Kommissionen en anmeldelse efter udløbet af den periode, der er omhandlet i stk. 2, offentliggør den ændringerne af listen over anmeldte overensstemmelsesvurderingsorganer i Den Europæiske Unions Tidende inden for to måneder fra datoen for modtagelsen af denne anmeldelse.

En national cybersikkerhedscertificeringsmyndighed kan anmode Kommissionen om at fjerne et overensstemmelsesvurderingsorgan, der er anmeldt af den pågældende myndighed, fra den i stk. 2 omhandlede liste over anmeldte overensstemmelsesvurderingsorganer. Kommissionen offentliggør de dertil svarende ændringer af listen i Den Europæiske Unions Tidende inden for en måned fra datoen for modtagelsen af den nationale cybersikkerhedscertificeringsmyndigheds anmodning.

Kommissionen kan vedtage gennemførelsesretsakter, der fastlægger vilkår, formater og procedurer for anmeldelserne omhandlet i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 66, stk. 2.

Artikel 62

Den Europæiske Cybersikkerhedscertificeringsgruppe

Den Europæiske Cybersikkerhedscertificeringsgruppe (»ECCG«) oprettes.

ECCG sammensættes af repræsentanter for nationale cybersikkerhedscertificeringsmyndigheder eller repræsentanter for andre relevante nationale myndigheder. Et medlem af ECCG kan ikke repræsentere mere end to medlemsstater.

Interessenter og relevante tredjeparter kan indbydes til at deltage i ECCG's møder og til at deltage i dens arbejde.

Gruppen har følgende opgaver:

at rådgive og bistå Kommissionen i dens arbejde med at sikre en konsekvent gennemførelse og anvendelse af dette afsnit, herunder navnlig hvad angår Unionens rullende arbejdsprogram, cybersikkerhedscertificeringspolitik, koordinering af politiske tiltag og udarbejdelse af europæiske cybersikkerhedscertificeringsordninger

at bistå, rådgive og samarbejde med ENISA i forbindelse med udarbejdelse af forslag til ordninger i henhold til artikel 49

at vedtage en udtalelse om forslag til ordning udarbejdet af ENISA i henhold til artikel 49

at anmode ENISA om at udarbejde et forslag til en europæisk cybersikkerhedscertificeringsordning i henhold til artikel 48, stk. 2

at vedtage udtalelser til Kommissionen vedrørende vedligeholdelse og revision af eksisterende europæiske cybersikkerhedscertificeringsordninger

at undersøge relevante udviklinger inden for cybersikkerhedscertificering og udveksle oplysninger og god praksis om cybersikkerhedscertificeringsordninger

at fremme samarbejdet mellem nationale cybersikkerhedscertificeringsmyndigheder i henhold til dette afsnit gennem kapacitetsopbygning og udveksling af oplysninger, herunder navnlig ved at indføre metoder til effektiv udveksling af oplysninger vedrørende cybersikkerhedscertificeringsanliggender

at støtte gennemførelsen af peervurderingsmekanismer i overensstemmelse med de regler, som er fastsat i en europæisk cybersikkerhedscertificeringsordning i henhold til artikel 54, stk. 1, litra u)

at lette europæiske cybersikkerhedscertificeringsordningers tilpasning til internationalt anerkendte standarder, herunder ved at gennemgå eksisterende europæiske cybersikkerhedscertificeringsordninger og, hvis det er relevant, fremsætte henstillinger til ENISA om at indlede dialog med relevante internationale standardiseringsorganisationer for at afhjælpe utilstrækkeligheder eller mangler i de tilgængelige internationalt anerkendte standarder.

Med bistand fra ENISA varetager Kommissionen ECCG's formandskab, og Kommissionen varetager en sekretariatsfunktion for ECCG i overensstemmelse med artikel 8, stk. 1, litra e).

Artikel 63

Ret til at indgive klage

Fysiske og juridiske personer har ret til at indgive klage til udstederen af en europæisk cybersikkerhedsattest eller, når klagen vedrører en europæisk cybersikkerhedsattest udstedt af et overensstemmelsesvurderingsorgan i overensstemmelse med artikel 56, stk. 6, til den relevante nationale cybersikkerhedscertificeringsmyndighed.

Den myndighed eller det organ, som klage er indgivet til, underretter klageren om forløbet af sagen og om den trufne afgørelse samt om retten til effektive retsmidler, jf. artikel 64.

Artikel 64

Ret til effektive retsmidler

Uanset eventuelle administrative eller andre udenretslige midler har fysiske og juridiske personer ret til effektive retsmidler med hensyn til:

afgørelser truffet af den myndighed eller det organ, der er omhandlet i artikel 63, stk. 1, herunder, hvis det er relevant, vedrørende uretmæssig udstedelse, manglende udstedelse eller anerkendelse af en europæisk cybersikkerhedsattest, som de pågældende fysiske eller juridiske personer er indehaver af

en undladelse af at reagere på en klage, der er indgivet til den myndighed eller det organ, der er omhandlet i artikel 63, stk. 1.

En sag i medfør af denne artikel anlægges ved domstolene i den medlemsstat, hvor den myndighed eller det organ, mod hvem retsmidlet søges, er beliggende.

Artikel 65

Sanktioner

Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelse af bestemmelserne i dette afsnit og i tilfælde af overtrædelser af europæiske cybersikkerhedscertificeringsordninger, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Medlemsstaterne giver straks Kommissionen meddelelse om disse regler og foranstaltninger og underretter den om alle senere ændringer, der berører dem.

AFSNIT IV

AFSLUTTENDE BESTEMMELSER

Artikel 66

Udvalgsprocedure

Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

Når der henvises til dette stykke, finder artikel 5, stk. 4, litra b), i forordning (EU) nr. 182/2011 anvendelse.

Artikel 67

Evaluering og revision

Senest den 28. juni 2024 og hvert femte år derefter vurderer Kommissionen virkningen og effektiviteten af ENISA's arbejde og af dets arbejdsmetoder, et eventuelt behov for at ændre ENISA's mandat og de finansielle virkninger af en sådan eventuel ændring. Evalueringen skal tage hensyn til enhver tilbagemelding til ENISA som reaktion på dets aktiviteter. Hvis Kommissionen finder, at der ikke længere er grund til at videreføre driften af ENISA i lyset af de mål, det mandat og de opgaver, som ENISA er tillagt, kan Kommissionen foreslå, at denne forordning ændres med hensyn til de bestemmelser, der vedrører ENISA.

▼M1

Evalueringen skal også vurdere virkningen og effektiviteten af bestemmelserne i afsnit III i denne forordning, herunder de procedurer, der fører til vedtagelse af europæiske cybersikkerhedscertificeringsordninger og deres database, med hensyn til målsætningerne om at sikre et tilstrækkeligt niveau for IKT-produkters, IKT-tjenesters, IKT-processers og administrerede sikkerhedstjenesters cybersikkerhed i Unionen og forbedre det indre markeds funktion.

I evalueringen skal det også vurderes, om væsentlige cybersikkerhedskrav for adgang til det indre marked er nødvendige for at undgå, at IKT-produkter, IKT-tjenester, IKT-processer og administrerede sikkerhedstjenester, der ikke opfylder grundlæggende cybersikkerhedskrav, kommer ind på det indre marked.

▼B

Senest den 28. juni 2024 og hvert femte år derefter sender Kommissionen en rapport om evalueringen og dens konklusioner til Europa-Parlamentet, Rådet og bestyrelsen. Resultaterne i denne rapport offentliggøres.

Artikel 68

Ophævelse og succession

Forordning (EU) nr. 526/2013 ophæves med virkning fra den 27. juni 2019.

Henvisninger til forordning (EU) nr. 526/2013 og til ENISA som oprettet ved nævnte forordning fortolkes som henvisninger til nærværende forordning og til ENISA som oprettet ved nærværende forordning.

ENISA som oprettet ved denne forordning succederer ENISA som oprettet ved forordning (EU) nr. 526/2013 med hensyn til ethvert ejendomsforhold, enhver aftale, enhver retlig forpligtelse, enhver ansættelseskontrakt, enhver økonomisk forpligtelse og ethvert økonomisk ansvar. Alle afgørelser vedtaget af bestyrelsen og forretningsudvalget i overensstemmelse med forordning (EU) nr. 526/2013 forbliver gyldige, forudsat at de er i overensstemmelse mednærværende forordning.

ENISA oprettes for en ubegrænset periode fra den 27. juni 2019.

Den administrerende direktør, der er udpeget i henhold til artikel 24, stk. 4, i forordning (EU) nr. 526/2013, fortsætter som og udøver sine opgaver som ENISA's administrerende direktør, jf. nærværende forordnings artikel 20, for den resterende del af den administrerende direktørs mandatperiode. De øvrige vilkår i vedkommendes kontrakt fortsætter uændret.

Bestyrelsens medlemmer og deres stedfortrædere, der er udpeget i henhold til artikel 6 i forordning (EU) nr. 526/2013, forsætter som og udøver deres funktioner som bestyrelse, jf. nærværende forordnings artikel 15, for den resterende del af deres mandatperiode.

Artikel 69

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 58, 60, 61, 63, 64 og 65 finder anvendelse fra den 28. juni 2021.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

BILAG

KRAV, DER SKAL OPFYLDES AF OVERENSSTEMMELSESVURDERINGSORGANER

Overensstemmelsesvurderingsorganer, som ønsker at blive akkrediteret, skal opfylde følgende krav:

Et overensstemmelsesvurderingsorgan skal oprettes i henhold til national lovgivning og være en juridisk person.

▼M1

Et overensstemmelsesvurderingsorgan skal være et tredjepartsorgan, der er uafhængigt af den organisation eller de IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester, som det vurderer.

Et organ, der er medlem af en erhvervsorganisation og/eller brancheforening, som repræsenterer virksomheder, der er involveret i udformning, fremstilling, levering, sammenbygning, brug eller vedligeholdelse af IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester, som det vurderer, kan anses for at være et overensstemmelsesvurderingsorgan, forudsat at det er påvist, at det er uafhængigt, og at der ikke foreligger nogen interessekonflikt.

Overensstemmelsesvurderingsorganerne, deres øverste ledelse og de personer, der er ansvarlige for udførelsen af overensstemmelsesvurderingsopgaverne, må ikke være konstruktør, producent, leverandør, installatør, køber, ejer, bruger eller vedligeholder af det IKT-produkt, den IKT-tjeneste, den IKT-proces eller administrerede sikkerhedstjenester, der vurderes, eller repræsentere nogen af disse parter. Dette forbud udelukker ikke, at overensstemmelsesvurderingsorganet bruger de IKT-produkter, der er vurderet og nødvendige for, at det kan udføre sit arbejde, eller brug af sådanne IKT-produkter til personlige formål.

Overensstemmelsesvurderingsorganerne, deres øverste ledelse og de personer, der er ansvarlige for at udføre overensstemmelsesvurderingsopgaverne, må ikke være direkte involveret i udformning, fremstilling eller konstruktion, levering, markedsføring, installation, anvendelse eller vedligeholdelse af de IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester, der vurderes, eller repræsentere parter, der er involveret i disse aktiviteter. Overensstemmelsesvurderingsorganerne, deres øverste ledelse og de personer, der er ansvarlige for at udføre overensstemmelsesvurderingsopgaverne, må ikke deltage i aktiviteter, som kan være i strid med deres objektivitet og integritet i forbindelse med deres overensstemmelsesvurderingsaktiviteter. Dette forbud gælder navnlig rådgivningstjenester.

▼B

Hvis et overensstemmelsesvurderingsorgan ejes eller drives af en offentlig enhed eller institution, skal der sikres uafhængighed og fravær af interessekonflikter mellem den nationale cybersikkerhedscertificeringsmyndighed og overensstemmelsesvurderingsorganet, og dette skal dokumenteres.

Overensstemmelsesvurderingsorganet skal sikre, at dets dattervirksomheders og underentreprenørers aktiviteter ikke påvirker fortroligheden, objektiviteten og uvildigheden af dets overensstemmelsesvurderingsaktiviteter.

Overensstemmelsesvurderingsorganet og dets personale skal udføre overensstemmelsesvurderingsaktiviteter med den størst mulige faglige integritet og den nødvendige tekniske kompetence på det specifikke område og ikke påvirkes af nogen form for pression og incitament, som kan have indflydelse på deres afgørelser eller resultaterne af deres overensstemmelsesvurderingsaktiviteter, herunder pression og incitament af økonomisk art, særlig fra personer eller grupper af personer, som har en interesse i resultaterne af disse aktiviteter.

Et overensstemmelsesvurderingsorgan skal kunne gennemføre alle de overensstemmelsesvurderingsopgaver, som det pålægges i henhold til denne forordning, uanset om disse opgaver udføres af overensstemmelsesvurderingsorganet selv eller på dets vegne og på dets ansvar. Enhver underentreprise eller høring af eksternt personale skal dokumenteres behørigt, må ikke omfatte mellemmænd og skal være genstand for en skriftlig aftale, som blandt andet dækker fortrolighed og interessekonflikter. Det pågældende overensstemmelsesvurderingsorgan skal påtage sig det fulde ansvar for de opgaver, der udføres.

10.

▼M1

Et overensstemmelsesvurderingsorgan skal til enhver tid og for hver overensstemmelsesvurderingsprocedure og hver type, kategori eller underkategori af IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester have følgende til rådighed i nødvendigt omfang:

▼B

personale med teknisk viden og tilstrækkelig og relevant erfaring til at udføre overensstemmelsesvurderingsopgaverne

beskrivelser af de procedurer, i overensstemmelse med hvilke overensstemmelsesvurdering skal foretages, for at sikre gennemsigtighed i og mulighed for at reproducere disse procedurer. Det skal have indført hensigtsmæssige politikker og procedurer, som skelner mellem de opgaver, som det udfører i sin egenskab af organ anmeldt i henhold til artikel 61, og dets andre aktiviteter

▼M1

procedurer, der sætter det i stand til at udføre sine aktiviteter under behørig hensyntagen til en virksomheds størrelse, den sektor, som den opererer inden for, og dens struktur, til graden af kompleksitet af teknologi for det pågældende IKT-produkt, den pågældende IKT-tjeneste, den pågældende IKT-proces eller for den pågældende administrerede sikkerhedstjeneste og til fremstillingsprocessens karakter af masse- eller serieproduktion.

▼B

11.

Et overensstemmelsesvurderingsorgan skal have de fornødne midler til at udføre de tekniske og administrative opgaver i forbindelse med overensstemmelsesvurderingsaktiviteterne på en egnet måde og skal have adgang til alt nødvendigt udstyr og alle nødvendige faciliteter.

12.

De personer, som skal udføre overensstemmelsesvurderingsaktiviteterne, skal have:

en solid teknisk og faglig uddannelse omfattende alle overensstemmelsesvurderingsaktiviteter

et tilstrækkeligt kendskab til kravene vedrørende de overensstemmelsesvurderinger, de foretager, og den nødvendige bemyndigelse til at udføre sådanne vurderinger

et tilstrækkeligt kendskab til og en tilstrækkelig forståelse af de gældende krav og prøvningsstandarder

den nødvendige færdighed i at udarbejde de attester, redegørelser og rapporter, som dokumenterer, at overensstemmelsesvurderingerne er blevet foretaget.

13.

Der skal være garanti for uvildigheden af overensstemmelsesvurderingsorganerne, deres øverste ledelse, de personer, der er ansvarlige for at udføre overensstemmelsesvurderingsaktiviteterne, og eventuelle underleverandører.

14.

Aflønningen af et overensstemmelsesvurderingsorgans øverste ledelse og af de personer, der er ansvarlige for at udføre overensstemmelsesvurderingsaktiviteterne, må ikke afhænge af, hvor mange overensstemmelsesvurderinger det udfører, eller hvordan vurderingerne falder ud.

15.

Overensstemmelsesvurderingsorganer skal tegne en ansvarsforsikring, medmindre medlemsstaten er ansvarlig i henhold til sin nationale ret, eller medlemsstaten selv er direkte ansvarlig for overensstemmelsesvurderingen.

16.

Et overensstemmelsesvurderingsorgan og dets personale, udvalg, dattervirksomheder, underentreprenører og eventuelle tilknyttede organer eller personalet i et overensstemmelsesvurderingsorgans eksterne organer skal opretholde fortrolighed og har tavshedspligt med hensyn til alle oplysninger, de kommer i besiddelse af ved udførelsen af deres overensstemmelsesvurderingsopgaver i henhold til denne forordning eller enhver bestemmelse i national ret, som gennemfører denne forordning, undtagen hvis offentliggørelse kræves i henhold til EU-retten eller en medlemsstats ret, som sådanne personer er omfattet af, og undtagen over for de kompetente myndigheder i den medlemsstat, hvor aktiviteterne udføres. Intellektuelle ejendomsrettigheder skal beskyttes. Overensstemmelsesvurderingsorganet skal have indført dokumenterede procedurer for så vidt angår kravene i dette punkt.

17.

Med undtagelse af punkt 16 forhindrer kravene i dette bilag, at der udveksles tekniske oplysninger og reguleringsmæssig vejledning mellem et overensstemmelsesvurderingsorgan og en person, der ansøger om certificering, eller der overvejer at ansøge om certificering.

18.

Overensstemmelsesvurderingsorganer skal fungere i henhold til et sæt konsekvente, retfærdige og rimelige vilkår og betingelser under hensyntagen til interesserne for SMV'er for så vidt angår gebyrer.

▼M1

19.

Overensstemmelsesvurderingsorganer skal opfylde kravene i den relevante harmoniserede standard som defineret i artikel 2, nr. 9), i forordning (EF) nr. 765/2008 med henblik på akkrediteringen af overensstemmelsesvurderingsorganer, der foretager certificeringen af IKT-produkter, IKT-tjenester, IKT-processer eller administrerede sikkerhedstjenester.

20.

Overensstemmelsesvurderingsorganer skal sikre, at prøvningslaboratorier, der anvendes til overensstemmelsesvurdering, opfylder kravene i den relevante harmoniserede standard som defineret i artikel 2, nr. 9), i forordning (EF) nr. 765/2008 med henblik på akkrediteringen af laboratorier, der gennemfører prøvning.

( 1 ) Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73).

( 3 ) Kommissionens delegerede forordning (EU) nr. 1271/2013 af 30. september 2013 om rammefinansforordningen for de organer, der er omhandlet i artikel 208 i Europa-Parlamentets og Rådets forordning (EU, Euratom) nr. 966/2012 (EUT L 328 af 7.12.2013, s. 42).

( 4 ) Kommissionens afgørelse (EU, Euratom) 2015/443 af 13. marts 2015 om sikkerhedsbeskyttelse i Kommissionen (EUT L 72 af 17.3.2015, s. 41).

( 5 ) Kommissionens afgørelse (EU, Euratom) 2015/444 af 13. marts 2015 om reglerne for sikkerhedsbeskyttelse af EU's klassificerede informationer (EUT L 72 af 17.3.2015, s. 53).

( 6 ) Europa-Parlamentets og Rådets forordning (EU, Euratom) 2018/1046 af 18. juli 2018 om de finansielle regler vedrørende Unionens almindelige budget, om ændring af forordning (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 og afgørelse nr. 541/2014/EU og om ophævelse af forordning (EU, Euratom) nr. 966/2012 (EUT L 193 af 30.7.2018, s. 1).

( 7 ) Europa-Parlamentets og Rådets forordning (EU, Euratom) nr. 883/2013 af 11. september 2013 om undersøgelser, der foretages af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 1073/1999 og Rådets forordning (Euratom) nr. 1074/1999 (EUT L 248 af 18.9.2013, s. 1).

( 9 ) Rådets forordning (Euratom, EF) nr. 2185/96 af 11. november 1996 om Kommissionens kontrol og inspektion på stedet med henblik på beskyttelse af De Europæiske Fællesskabers finansielle interesser mod svig og andre uregelmæssigheder (EFT L 292 af 15.11.1996, s. 2).

( 10 ) Forordning nr. 1 om den ordning, der skal gælde for Det Europæiske Økonomiske Fællesskab på det sproglige område (EFT 17 af 6.10.1958, s. 385/58).

		Tidende
		nr.	side	dato
►M1	EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2025/37 af 19. december 2024	L 37	1	15.1.2025