(1)

I lyset af Rådets konklusioner af 12. februar 2016 om bekæmpelse af finansiering af terrorisme, Kommissionens meddelelse til Europa-Parlamentet og Rådet af 2. februar 2016 om en handlingsplan med henblik på at styrke bekæmpelsen af finansiering af terrorisme og Europa-Parlamentets og Rådets direktiv (EU) 2017/541 (2) bør der vedtages fælles regler for handel med tredjelande for at sikre en effektiv beskyttelse mod ulovlig handel med og tab eller ødelæggelse af kulturgenstande, bevare menneskehedens kulturarv og forhindre finansiering af terrorisme og hvidvask af penge gennem salg af plyndret kulturgenstande til købere i Unionen.

(2)

Den udnyttelse af folkeslag og områder kan føre til den ulovlige handel med kulturgenstande, navnlig når den pågældende ulovlige handel har sin oprindelse i områder, hvor der er væbnede konflikter. I denne forbindelse bør denne forordning tage hensyn til folkeslagenes og områdernes regionale og lokale særpræg snarere end kultur genstandenes markedsværdi.

(3)

Kulturgenstande er en del af kulturarv og har ofte stor kulturel, kunstnerisk, historisk og videnskabelig betydning. Kulturarv er en af civilisationens grundelementer, har bl.a. symbolværdi og udgør en del af menneskehedens kulturelle hukommelse. Den beriger alle folkeslags kulturliv og forener mennesker gennem en fælles hukommelse, viden og udvikling af civilisationen. Den bør derfor beskyttes mod uretmæssig tilegnelse og plyndring. Plyndring af arkæologiske udgravninger har altid fundet sted, men har nu nået et industrielt omfang, og er sammen med handel med ulovligt udgravede kulturgenstande en alvorlig forbrydelse, som forårsager stor lidelse for dem, der er direkte eller indirekte berørt. Ulovlig handel med kulturgenstande bidrager i mange tilfælde til gennemtvingelse af kulturel ensretning eller markant tab af kulturel identitet, og plyndring af kulturgenstande fører bl.a. til opløsning af kulturer. Så længe det er muligt at tage del i lukrativ handel med ulovligt udgravede kulturgenstande og profitere heraf uden nævneværdig risiko, vil disse udgravninger og plyndringer fortsætte fremover. På grund af den økonomiske og kunstneriske værdi af kulturgenstande er de genstand for stor efterspørgsel på det internationale marked. Manglen på stærke internationale retlige foranstaltninger og den ineffektive håndhævelse af de foranstaltninger, der rent faktisk findes, medfører, at disse genstande overføres til skyggeøkonomien. Unionen bør derfor forbyde indførsel i Unionens toldområde af kulturgenstande, der ulovligt er eksporteret fra tredjelande, med særlig vægt på kulturgenstande, som er eksporteret af tredjelande, der er berørt af væbnede konflikter, navnlig når disse kulturgenstande er blevet ulovligt handlet af terrororganisationer eller andre kriminelle organisationer. Selv om dette generelle forbud ikke bør omfatte systematisk kontrol, bør medlemsstaterne have mulighed for at gribe ind, når de modtager efterretninger om mistænkelige forsendelser, og træffe alle passende foranstaltninger til at standse ulovligt eksporterede kulturgenstande.

(4)

I betragtning af de forskellige regler i medlemsstater vedrørende import af kulturgenstande til Unionens toldområde bør der træffes foranstaltninger navnlig med henblik på at sikre, at visse former for import af kulturgenstande er underlagt ensartet kontrol ved indpassage i Unionens toldområde på grundlag af de eksisterende processer, procedurer og administrative værktøjer, der tager sigte på at opnå en ensartet gennemførelse af Europa-Parlamentets og Rådets forordning (EU) nr. 952/2013 (3).

(5)

Beskyttelse af kulturgenstande, der betragtes som medlemsstaternes nationale skatte, er allerede omfattet af Rådets forordning (EF) nr. 116/2009 (4) og Europa-Parlamentets og Rådets direktiv 2014/60/EU (5). Denne forordning bør derfor ikke finde anvendelse på kulturgenstande, som er skabt eller fundet i Unionens toldområde. De fælles regler, der indføres ved nærværende forordning, bør gælde for toldbehandlingen af kulturgenstande med oprindelse uden for Unionen, som passerer ind i Unionens toldområde. Med henblik på denne forordning bør det relevante toldområde være Unionens toldområde på importtidspunktet.

(6)

De kontrolforanstaltninger, der skal iværksættes hvad angår frizoner og såkaldte »frihavne«, bør dække så bredt et udsnit af de pågældende toldprocedurer som muligt med henblik på at forhindre omgåelse af denne forordning ved udnyttelse af disse frizoner, der potentielt kan anvendes til den fortsatte udbredelse af ulovlig handel. Kontrolforanstaltningerne bør derfor ikke alene vedrøre kulturgenstande, der overgår til fri omsætning, men også kulturgenstande, der henføres under særlige toldprocedurer. Anvendelsesområdet bør imidlertid ikke gå videre end målet om at forhindre i ulovligt eksporterede kulturgenstandes indpassage i Unionens toldområde. Systematiske kontrolforanstaltninger bør således finde anvendelse i forbindelse med overgangen til fri omsætning og nogle af de særlige toldprocedurer, som genstandene kan henføres under i forbindelse med indpassage i Unionens toldområde, men de bør ikke gælde ved transit.

(7)

Mange tredjelande og de fleste medlemsstater er fortrolige med de definitioner, der anvendes i UNESCO-konventionen om midlerne til at forbyde og forhindre ulovlig import, eksport og ejendomsoverdragelse af kulturgenstande, der blev undertegnet i Paris den 14. november 1970 (»UNESCO-konventionen fra 1970«), som en betydelig andel af medlemsstaterne er part i, og i UNIDROIT-konventionen om stjålne eller ulovligt eksporterede kulturgenstande, der blev undertegnet i Rom den 24. juni 1995. Definitionerne, der anvendes i denne forordning, er derfor baseret på disse definitioner.

(8)

Lovligheden af eksport af kulturgenstande bør primært undersøges med udgangspunkt i lovene og bestemmelserne i det land, hvor disse kulturgenstande blev skabt eller fundet. For ikke på urimelig vis at være til hinder for lovlig handel bør en person, der søger at importere kulturgenstande til Unionens toldområde, dog undtagelsesvis i visse tilfælde i stedet have mulighed for at påvise, at de er blevet lovligt eksporteret fra et andet tredjeland, hvor kulturgenstandene befandt sig, før de blev sendt til Unionen. Denne undtagelse bør gælde i de tilfælde, hvor det land, hvor kulturgenstandene blev skabt eller fundet, ikke kan fastslås pålideligt, eller når eksporten af de pågældende kulturgenstande fandt sted, før UNESCO-konventionen fra 1970 trådte i kraft, nemlig før den 24. april 1972. For at undgå omgåelse af denne forordning ved blot at sende ulovligt eksporterede kulturgenstande til et andet tredjeland, før de importeres til Unionen, bør undtagelserne gælde, når kulturgenstandene har befundet sig i et tredjeland i en periode på mere end fem år, hvor opbevaringen sker med henblik på andet end midlertidig brug, transit, reeksport eller omladning. Er disse betingelser opfyldt for mere end et land, bør det relevante land være det sidste af disse lande, før kulturgenstandene blev indført i Unionens toldområde.

(9)

Artikel 5 i UNESCO-konventionen fra 1970 indeholder bestemmelser om, at de stater, der er parter i konventionen, opretter et eller flere nationale organer for at sikre beskyttelse af deres kulturgenstande mod ulovlig import, eksport og ejendomsoverdragelse. De pågældende nationale organer bør udstyres med et kvalificeret personale i tilstrækkeligt antal for at kunne sikre denne beskyttelse i overensstemmelse med den nævnte konvention og muliggøre det nødvendige aktive samarbejde mellem de kompetente myndigheder i de i denne konvention deltagende medlemsstater inden for sikkerhed og bekæmpelse af ulovlig import af kulturgoder, navnlig fra områder berørt af væbnede konflikter.

(10)

Med henblik på ikke at skabe uforholdsmæssige hindringer for handelen med kulturgenstande på tværs af Unionens ydre grænser bør denne forordning alene finde anvendelse på kulturgenstande over en bestemt aldersgrænse, som er fastsat i denne forordning. Der bør også fastsættes en økonomisk tærskel for at udelukke kulturgenstande med lavere værdi fra anvendelsen af betingelserne og procedurerne for import til Unionens toldområde af kulturgenstande. Disse tærskler vil sikre, at foranstaltningerne i denne forordning er rettet mod disse kulturgenstande, der er i størst risiko for plyndring af personer i konfliktområder, uden at det udelukker andre genstande fra de kontroller, som er nødvendige for at garantere beskyttelsen af kulturarv.

(11)

Ulovlig handel med plyndrede kulturgenstande er udpeget som en mulig kilde til terrorfinansiering og hvidvask af penge i forbindelse med den overnationale risikovurdering af risici for hvidvask af penge og finansiering af terrorisme, der påvirker det indre marked.

(12)

Eftersom nogle kategorier af kulturgenstande, nærmere bestemt arkæologiske genstande og dele af monumenter, er særligt udsatte for plyndring og ødelæggelse, forekommer det nødvendigt at indføre en ordning for skærpet kontrol hermed, før de har tilladelse til at passere ind i Unionens toldområde. En sådan ordning bør bestå i en forpligtelse til at fremlægge en importlicens udstedt af den kompetente myndighed i en medlemsstat, før de pågældende kulturgenstande kan overgå til fri omsætning i Unionen eller henføres under en særlig toldprocedure undtagen transit. Personer, som ansøger om en sådan licens, bør kunne bevise, at kulturgenstandene er blevet eksporteret på lovlig vis fra det land, hvor kulturgenstandene blev skabt eller fundet, ved at fremlægge passende dokumentation og andet støttemateriale, såsom et eksportcertifikat, dokumentation for ejerskab, en faktura, en salgsaftale, forsikringsdokumenter, transportdokumenter og ekspertvurderinger. Medlemsstaternes kompetente myndigheder bør på grundlag af fuldstændige og nøjagtige ansøgninger uden unødig forsinkelse beslutte, om der kan udstedes en licens. Alle importlicenser bør lagres i et elektronisk system.

(13)

Et ikon er en afbildning af en religiøs person eller en religiøs begivenhed. Det kan være fremstillet i forskellige materialer og størrelser og kan være i monumental eller bærbar form. I de tilfælde, hvor et ikon engang har været en del af f.eks. det indre af en kirke, et kloster, et kapel, enten fritstående eller som en del af det arkitektoniske inventar, f.eks. en ikonostase eller en ikonholder, er det en afgørende og uadskillelig del af gudsdyrkelse og liturgisk liv og bør betragtes som en integrerende del af et religiøst monument, som er blevet skilt ad. Selv i de tilfælde, hvor det specifikke monument, som ikonet var en del af, er ukendt, men der er beviser for, at det engang udgjorde en integrerende del af et monument, navnlig når der er tegn eller dele til stede, der viser, at det engang var en del af en ikonostase eller en ikonholder, bør ikonet stadig være omfattet af kategorien »dele af kunstneriske eller historiske monumenter eller fra arkæologiske fundsteder, og som er blevet adskilt fra disse«, der er anført i bilaget.

(14)

Under hensyntagen til kulturgenstandenes særlige karakter er toldmyndighedernes rolle yderst relevant, og de bør, hvis det skønnes nødvendigt, kunne kræve yderligere oplysninger fra klarereren og analysere kulturgenstandene ved at foretage en fysisk undersøgelse.

(15)

For kategorier af kulturgenstande, for hvilke der ikke skal fremlægges en importlicens, bør den person, der søger at importere sådanne kulturgenstande til Unionens toldområde, ved hjælp af en erklæring bekræfte og påtage sig ansvaret for den lovlige eksport af kulturgenstandene fra tredjelandet og fremlægge tilstrækkelige oplysninger til, at toldmyndighederne kan identificere de pågældende kulturgenstande. For at lette proceduren og af hensyn til retssikkerheden bør oplysningerne om kulturgenstandene gives i et standardiseret dokument. Object ID-standarden, som anbefales af UNESCO, kunne anvendes til at beskrive kulturgenstandene. Ihændehaveren af genstandene bør registrere disse oplysninger i et elektronisk system for at gøre det lettere for toldmyndighederne at identificere dem og for at gøre det muligt at gennemføre risikoanalyse og målrettede kontroller og for at sikre sporbarheden af kulturgenstandene efter deres indpassage i det indre marked.

(16)

Inden for rammerne af one-stop-shoppen for toldarbejdet bør Kommissionen have ansvaret for at oprette et centraliseret elektronisk system til indgivelse af ansøgninger om importlicenser og importørerklæringer og lagring og udveksling af oplysninger mellem medlemsstaternes myndigheder, navnlig vedrørende importørerklæringer og importlicenser.

(17)

Behandling af oplysninger efter denne forordning bør også kunne omfatte personoplysninger, og sådan behandling bør udføres i overensstemmelse med EU-retten. Medlemsstaterne og Kommissionen bør kun behandle personoplysninger med henblik på denne forordnings formål, eller under behørigt begrundede omstændigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler mod den offentlige sikkerhed. Enhver indsamling, offentliggørelse, videregivelse, overførsel eller anden behandling af personoplysninger inden for denne forordnings anvendelsesområde bør være underlagt kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (6) og (EU) 2018/1725 (7). Behandling af personoplysninger med henblik på nærværende forordning bør ske i overensstemmelse med retten til respekt for privatliv og familieliv som anerkendt i artikel 8 i Europarådets konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder såvel som retten til respekt for privatliv og familieliv og retten til beskyttelse af personoplysninger som anerkendt i henholdsvis artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder.

(18)

Ved kulturgenstande, som ikke er skabt eller fundet i Unionens toldområde, men som er blevet eksporteret som EU-varer, bør der ikke skulle fremlægges en importlicens eller en importørerklæring, når de returneres til toldområdet som returvarer i den i forordning (EU) nr. 952/2013 anvendte betydning.

(19)

Ved midlertidig indførsel af kulturgenstande til uddannelsesmæssige, videnskabelige, bevarelsesmæssige, restaureringsmæssige, udstillingsmæssige, digitale eller scenekunstmæssige formål, med henblik på forskning udført af akademiske institutioner eller samarbejde mellem museer eller lignende institutioner bør der heller ikke være krav om at fremlægge en importlicens eller en importørerklæring.

(20)

Oplagringen af kulturgenstande fra lande, der er berørt af væbnet konflikt eller naturkatastrofer, udelukkende med det formål at sørge for sikkerhed og opbevaring heraf eller tilsyn hermed hos en offentlig myndighed, bør ikke være omfattet af et krav om at fremlægge en importlicens eller en importørerklæring.

(21)

For at gøre det lettere at præsentere kulturgenstande på kommercielle kunstmesser bør en importlicens ikke være nødvendig, når kulturgenstandene er henført under proceduren for midlertidig import som defineret i artikel 250 i forordning (EU) nr. 952/2013, og der er udarbejdet en importørerklæring i stedet for en importlicens. Der bør dog fremlægges en importlicens, når de pågældende kulturgenstande skal forblive i Unionen efter kunstmessen.

(22)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser til at vedtage detaljerede bestemmelser for kulturgenstande, der er returvarer, eller den midlertidige indførsel af kulturgenstande i Unionens toldområde samt sikker opbevaring heraf, skabelonerne for ansøgninger om importlicens og formularer om importlicens, skabeloner til importørerklæringer og ledsagedokumenterne dertil, samt de nærmere regler for indgivelse og behandling heraf. Kommissionen bør ligeledes tillægges gennemførelsesbeføjelser til at træffe foranstaltninger om oprettelse af et elektronisk system til indgivelse af ansøgninger om importlicenser og importørerklæringer og til lagring af oplysninger og udveksling af oplysninger mellem medlemsstaterne. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (8).

(23)

For at sikre en effektiv koordinering og undgå dobbeltarbejde, når der tilrettelægges uddannelse, kapacitetsopbygningsaktiviteter og oplysningskampagner, og få udført relevant forskning og udvikling af standarder, når det er relevant, bør Kommissionen og medlemsstaterne samarbejde med internationale organisationer og organer som f.eks. UNESCO, INTERPOL, Europol, Verdenstoldorganisationen, Det Internationale Center for Forskning i Bevarelse og Restaurering af Kulturgoder og Det Internationale Museumsråd (ICOM).

(24)

Der bør af medlemsstaterne og Kommissionen elektronisk indsamles og deles relevante oplysninger om handelsstrømme af kulturgenstande med henblik på at understøtte en effektiv anvendelse af denne forordning og skabe grundlag for den kommende evaluering heraf. Af hensyn til gennemsigtigheden og den offentlige kontrol bør så mange oplysninger som muligt offentliggøres. Der kan ikke holdes tilstrækkeligt opsyn med handelsstrømmene af kulturgenstande ved alene at måle værdien eller vægten heraf. Det er afgørende, at der elektronisk indsamles oplysninger om antallet af angivne genstande. Da der i den kombinerede nomenklatur ikke er anført en supplerende måleenhed for kulturgenstande, er det nødvendigt at kræve, at antallet af genstande angives.

(25)

EU's strategi og handlingsplan for toldrisikostyring sigter bl.a. mod at styrke toldmyndighedernes kapacitet og forbedre deres evne til at reagere på risici i forbindelse med kulturgenstande. De fælles regler for risikoforvaltning, der er fastlagt i forordning (EU) nr. 952/2013, bør anvendes, og toldmyndighederne bør udveksle relevante oplysninger om risici.

(26)

For at drage fordel af ekspertisen hos internationale organisationer og organer, som er aktive inden for kulturelle anliggender, og af deres erfaringer med ulovlig handel med kulturgenstande bør anbefalinger og vejledning fra disse organisationer og organer tages i betragtning i de fælles regler for risikoforvaltning, når der identificeres risici i forbindelse med kulturgenstande. Navnlig bør de røde lister, der offentliggøres af ICOM, tjene som vejledning til at identificere disse tredjelande, hvis kulturarv er mest udsat, og de genstande, der er eksporteret derfra, og som hyppigere vil være genstand for ulovlig handel.

(27)

Det er nødvendigt at iværksætte oplysningskampagner, der er rettet mod købere af kulturgenstande vedrørende risikoen for ulovlig handel, og bistå markedsaktører med deres forståelse af og anvendelse af denne forordning. Medlemsstaterne bør inddrage relevante nationale kontaktpunkter og andre informationsformidlingstjenester i formidlingen af disse oplysninger.

(28)

Kommissionen bør sikre, at mikrovirksomheder og små og mellemstore virksomheder modtager passende teknisk bistand, og bør fremme tilvejebringelsen af oplysninger til dem med henblik på effektivt at gennemføre denne forordning. Små og mellemstore virksomheder, der er etableret i Unionen, og som importerer kulturgenstande, bør derfor drage fordel af nuværende og fremtidige EU-programmer til støtte for små og mellemstore virksomheders konkurrenceevne.

(29)

Med henblik på at tilskynde til overholdelse og afskrække fra omgåelse bør medlemsstaterne indføre effektive, rimelige og afskrækkende sanktioner for manglende overholdelse af bestemmelserne i denne forordning og meddele disse sanktioner til Kommissionen. Sanktioner indført af medlemsstaterne for overtrædelser af denne forordning bør have en tilsvarende afskrækkende virkning overalt i Unionen.

(30)

Medlemsstaterne bør sikre, at toldmyndighederne og de kompetente myndigheder når til enighed om foranstaltninger i henhold til artikel 198 i forordning (EU) nr. 952/2013. De nærmere bestemmelser om disse foranstaltninger bør være med forbehold af national ret.

(31)

Kommissionen bør straks vedtage gennemførelsesbestemmelser til denne forordning, navnlig bestemmelser vedrørende det passende elektroniske standardformat for ansøgninger om importlicens eller forberedelse af en importørerklæring og efterfølgende hurtigst muligt oprette det elektroniske system. Anvendelsen af bestemmelserne om importlicenser og importørerklæringer bør udskydes i overensstemmelse hermed.

(32)

I overensstemmelse med proportionalitetsprincippet er det for at virkeliggøre det grundlæggende mål af denne forordning nødvendigt og hensigtsmæssigt at fastsætte bestemmelser om indførsel og betingelserne og procedurerne for import af kulturgenstande i Unionens toldområde. Denne forordning går ikke videre, end hvad der er nødvendigt for at nå de tilstræbte mål, i overensstemmelse med artikel 5, stk. 4, i traktaten om Den Europæiske Union —

(1)

Net- og informationssystemer og elektroniske kommunikationsnet og -tjenester spiller en afgørende rolle i samfundet og er blevet rygraden i den økonomiske vækst. Informations- og kommunikationsteknologier (IKT) er grundlaget for de komplekse systemer, som understøtter samfundets hverdagsaktiviteter, og sørger for, at vores økonomier fungerer inden for vigtige sektorer såsom sundhed, energi, finans og transport, og understøtter navnlig det indre markeds funktion.

(2)

Borgere, organisationer og virksomheder i Unionen benytter i stort omfang net- og informationssystemer. Digitalisering og forbindelsesmuligheder er centrale elementer i et stadigt stigende antal produkter og tjenester, og med fremkomsten af tingenes internet forventes et meget højt antal forbundet digitalt udstyr at blive udbredt i hele Unionen i løbet af det næste årti. Stadigt mere udstyr er forbundet til internettet, men der tages ikke tilstrækkeligt hensyn til sikkerhed og modstandsdygtighed i udformningen, hvilket medfører utilstrækkelig cybersikkerhed. I denne forbindelse fører den begrænsede anvendelse af certificering til, at individuelle, organisatoriske og erhvervsmæssige brugere får utilstrækkelige oplysninger om IKT-produkters, -tjenesters og -processers cybersikkerhedsfunktioner, hvilket undergraver tilliden til digitale løsninger. Net- og informationssystemer er i stand til at støtte alle aspekter af vores liv og fremme Unionens økonomiske vækst. De er hjørnestenen i gennemførelsen af det digitale indre marked.

(3)

Øget digitalisering og konnektivitet øger cybersikkerhedsrisici, hvilket gør samfundet som helhed mere sårbart over for cybertrusler og forværrer farerne for den enkelte, herunder også sårbare individer såsom børn. For at afbøde disse risici for samfundet bør der træffes alle nødvendige tiltag for at forbedre cybersikkerheden i Unionen, således at net- og informationssystemer, kommunikationsnet, digitale produkter, tjenester og udstyr, der anvendes af borgere, organisationer og virksomheder — fra små og mellemstore virksomheder (SMV'er) som defineret i Kommissionens henstilling 2003/361/EF (4) til operatører af kritisk infrastruktur — er bedre beskyttet mod cybertrusler.

(4)

Ved at stille de relevante oplysninger til rådighed for offentligheden bidrager Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA) som oprettet ved Europa-Parlamentets og Rådets forordning (EU) nr. 526/2013 (5) til udviklingen af cybersikkerhedsindustrien i Unionen, navnlig SMV'er og nystartede virksomheder. ENISA bør tilstræbe et tættere samarbejde med universiteter og forskningsenheder for at bidrage til at reducere afhængigheden af cybersikkerhedsprodukter og -tjenester fra lande uden for Unionen og til at styrke forsyningskæder inden for Unionen.

(5)

Mængden af cyberangreb er stigende og netforbundne økonomier og samfund, som er mere sårbare over for cybertrusler og -angreb, kræver stærkere forsvarsværker. Det er dog sådan, at cyberangreb ofte sker på tværs af grænser, medens cybersikkerhedsmyndigheders og retshåndhævende myndigheders beføjelser og politiske reaktion hovedsageligt er nationale. Omfattende hændelser kunne afbryde leveringen af essentielle tjenester i hele Unionen. Dette nødvendiggør en effektiv og koordineret reaktion og krisestyring på EU-plan, der bygger på målrettede politikker og vidererækkende instrumenter for europæisk solidaritet og gensidig bistand. Det er desuden vigtigt for politikerne, erhvervslivet og brugerne, at der jævnligt foretages en vurdering af cybersikkerhedssituationen og modstandsdygtigheden i Unionen på grundlag af pålidelige EU-data samt systematiske prognoser for fremtidige udviklinger, udfordringer og trusler, både på EU-plan og globalt plan.

(6)

I lyset af de tiltagende cybersikkerhedsudfordringer, som Unionen står over for, er der behov for et sammenhængende sæt foranstaltninger, som tager udgangspunkt i tidligere EU-tiltag og fremmer gensidigt forstærkende mål. Disse mål omfatter yderligere at øge medlemsstaternes og virksomhedernes kapacitet og beredskab samt at forbedre samarbejde, herunder udveksling af oplysninger, og samordning på tværs af medlemsstaterne og Unionens institutioner, organer, kontorer og agenturer. På baggrund af cybertruslers grænseoverskridende karakter er der desuden behov for at øge kapaciteten på EU-plan, som kan supplere medlemsstaternes indsats, herunder navnlig i tilfælde af omfattende grænseoverskridende hændelser og -kriser, samtidig med, at der tages hensyn til vigtigheden af at opretholde og yderligere styrke den nationale kapacitet til at reagere på cybertrusler af ethvert omfang.

(7)

Der er også behov for yderligere bestræbelser på at øge borgernes, organisationers og virksomheders bevidsthed om cybersikkerhedsspørgsmål. Eftersom hændelser undergraver tilliden til udbydere af digitale tjenester og til selve det digitale indre marked, navnlig blandt forbrugerne, bør tilliden desuden styrkes yderligere ved at give oplysninger om sikkerhedsniveauet af IKT-produkter, -tjenester og -processer på en gennemsigtig måde, idet det understreges, at selv et højt niveau af cybersikkerhedscertificering ikke kan garantere, at et IKT-produkt, en IKT-tjeneste eller en IKT-proces er fuldstændig sikker. Øget tillid kan fremmes ved certificering på EU-plan, der anvender fælles cybersikkerhedskrav og -evalueringskriterier på tværs af nationale markeder og sektorer.

(8)

Cybersikkerhed er ikke kun et teknologisk spørgsmål, men ét, hvor menneskers adfærd er lige så vigtig. Der bør derfor sikres omfattende fremme af »cyberhygiejne«, dvs. enkle rutineforanstaltninger, der, når de gennemføres og regelmæssigt træffes af borgere, organisationer og virksomheder, minimerer deres eksponering for risici fra cybertrusler.

(9)

Med henblik på at styrke Unionens cybersikkerhedsstrukturer er det vigtigt at opretholde og udvikle medlemsstaternes kapacitet til på en fyldestgørende måde at reagere på cybertrusler, herunder grænseoverskridende hændelser.

(10)

Virksomheder og den enkelte forbruger bør modtage præcise oplysninger om, på hvilket tillidsniveau deres IKT-produkters, -tjenesters og -processers sikkerhed er blevet certificeret. Samtidig er intet IKT-produkt og ingen IKT-tjeneste helt cybersikker(t), og det er nødvendigt at fremme og prioritere grundlæggende regler for cyberhygiejne. I betragtning af den voksende tilgængelighed af tingenes internet-udstyr er der en række frivillige foranstaltninger, som den private sektor kan træffe for at styrke tilliden til IKT-produkters, -tjenesters og -processers sikkerhed.

(11)

Moderne IKT-produkter og -systemer integrerer ofte og er baseret på en eller flere tredjepartsteknologier og -komponenter som f.eks. softwaremoduler, biblioteker eller programmeringsgrænseflader for applikationer. Denne »afhængighed« kan indebære yderligere cybersikkerhedsrisici, da sårbarheder konstateret i tredjepartskomponenter også kan påvirke sikkerheden i IKT-produkter, -tjenester og -processer. I mange tilfælde vil identificeringen og dokumenteringen af en sådan afhængighed gøre det muligt for slutbrugerne af IKT-produkter, -tjenester og -processer at forbedre deres aktiviteter med henblik på risikostyring af cybersikkerheden, f.eks. ved at forbedre brugernes styring af sårbarhederne i forbindelse med cybersikkerhed og hjælpeprocedurer.

(12)

Organisationer, producenter eller udbydere, der er involveret i udformning og udvikling af IKT-produkter, -tjenester og -processer, bør tilskyndes til at gennemføre foranstaltninger i de tidligste faser af udformningen og udviklingen for fra starten at beskytte disse produkters, processers og tjenesters sikkerhed i videst muligt omfang på en sådan måde, at forekomsten af cyberangreb forventes, og deres konsekvenser foregribes og minimeres (»indbygget sikkerhed«). Sikkerheden bør gennem hele IKT-produktets, -tjenestens eller -processens levetid sikres, således at der sker en løbende udvikling af udformnings- og udviklingsprocesserne med henblik på at begrænse skadevirkningerne af ondsindet udnyttelse.

(13)

Virksomheder, organisationer og den offentlige sektor bør konfigurere de IKT-produkter, -tjenester eller -processer, som de udformer, på en måde, der sikrer en højere grad af sikkerhed, og som bør give den første bruger mulighed for at modtage en standardkonfiguration med de sikrest mulige indstillinger (»sikkerhed gennem standardindstillinger«) og dermed mindske den byrde, det er for brugerne at skulle konfigurere et IKT-produkt, en IKT-tjeneste eller en IKT-proces hensigtsmæssigt. Sikkerhed gennem standardindstillinger bør hverken kræve omfattende konfiguration eller særlig teknisk forståelse eller en adfærd fra brugerens side, der ikke er intuitiv, og bør fungere let og pålideligt, når det anvendes. Hvis en risiko- og brugbarhedsanalyse i en konkret sag fører til den konklusion, at en sådan standardindstilling ikke er mulig, bør brugerne tilskyndes til at vælge den sikreste indstilling.

(14)

Europa-Parlamentets og Rådets forordning (EF) nr. 460/2004 (6) oprettede ENISA med det formål at bidrage til målene om at sikre et højt og effektivt net- og informationssikkerhedsniveau i Unionen og udvikle en net- og informationssikkerhedskultur til gavn for borgerne, forbrugerne, virksomhederne og de offentlige forvaltninger. Europa-Parlamentets og Rådets forordning (EF) nr. 1007/2008 (7) forlængede ENISA's mandat frem til marts 2012. Europa-Parlamentets og Rådets forordning (EU) nr. 580/2011 (8) forlængede ENISA's mandat yderligere frem til den 13. september 2013. Forordning (EU) nr. 526/2013forlængede ENISA's mandat frem til den 19. juni 2020.

(15)

Unionen har allerede gjort en stor indsats for at sikre cybersikkerheden og øge tilliden til de digitale teknologier. I 2013 blev Den Europæiske Unions strategi for cybersikkerhed vedtaget for at sætte retningen for Unionens politiske reaktion på cybertrusler og -risici. For at beskytte borgerne bedre online vedtog Unionen i 2016 den første retsakt inden for cybersikkerhed, nemlig Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 (9). Ved direktiv (EU) 2016/1148 blev der indført krav vedrørende nationale kapaciteter inden for cybersikkerhed, de første mekanismer til bedre strategisk og operationelt samarbejde mellem medlemsstaterne blev oprettet, og der blev indført forpligtelser vedrørende sikkerhedsforanstaltninger og underretning af hændelser i sektorer af afgørende betydning for økonomien og samfundet såsom energi, transport, drikkevandsforsyning og -distribution, bankvirksomhed, finansmarkedsinfrastrukturer, sundhed og digital infrastruktur samt for centrale udbydere af digitale tjenester (dvs. søgemaskiner, cloudcomputingtjenester og onlinemarkedspladser).

ENISA fik tildelt en central rolle som støtte for gennemførelsen af nævnte direktiv. Hertil kommer, at effektiv bekæmpelse af cyberkriminalitet er en vigtig prioritet på den europæiske sikkerhedsdagsorden og bidrager til det overordnede mål om at nå et højere niveau af cybersikkerhed. Andre retsakter såsom Europa-Parlamentets og Rådets forordning (EU) 2016/679 (10) og Europa-Parlamentets og Rådets direktiv 2002/58/EF (11) og (EU) 2018/1972 (12) bidrager også til et højt niveau af cybersikkerhed i det digitale indre marked.

(16)

Den overordnede politiske kontekst har siden vedtagelsen af Den Europæiske Unions strategi for cybersikkerhed i 2013 og den seneste revision af ENISA's mandat ændret sig væsentligt, da det globale miljø er blevet mere uforudsigeligt og mindre sikkert. På den baggrund og i forbindelse med den positive udvikling af ENISA's rolle som et referencepunkt for rådgivning og ekspertise, som formidler af samarbejde og kapacitetsopbygning samt inden for rammerne af Unionens nye cybersikkerhedspolitik er det nødvendigt at gennemgå ENISA's mandat for at fastlægge dets rolle i det forandrede cybersikkerhedsøkosystem og for at sikre, at det bidrager effektivt til Unionens reaktioner på de cybersikkerhedsudfordringer, der opstår som følge af det radikalt ændrede cybertrusselsbillede, hvilket dets aktuelle mandat ikke er tilstrækkeligt til, som det også blev anerkendt i evalueringen af ENISA.

(17)

ENISA som oprettet ved nærværende forordning bør efterfølge ENISA som oprettet ved forordning (EU) nr. 526/2013. ENISA bør udføre de opgaver, det tillægges ved nærværende forordning og andre EU-retsakter inden for cybersikkerhed, bl.a. ved at levere rådgivning og ekspertise og fungere som et center for information og viden i Unionen. Det bør fremme udveksling af bedste praksis mellem medlemsstaterne og private interessenter, foreslå politiske initiativer for Kommissionen og medlemsstaterne, agere som et referencepunkt for EU's sektorpolitiske initiativer med hensyn til cybersikkerhedsspørgsmål, fremme det operationelle samarbejde både mellem medlemsstaterne indbyrdes og mellem medlemsstaterne og Unionens institutioner, organer, kontorer og agenturer.

(18)

Inden for rammerne af afgørelse 2004/97/EF, Euratom truffet ved fælles aftale mellem repræsentanterne for medlemsstaterne, forsamlet på stats- og regeringschefniveau (13), besluttede repræsentanterne for medlemsstaterne, at ENISA skulle have sit sæde i en by i Grækenland, som skulle fastlægges nærmere af den græske regering. ENISA's værtsmedlemsstat bør sikre de bedst mulige betingelser for, at ENISA kan fungere problemfrit og effektivt. For at ENISA korrekt og effektivt kan udføre sine opgaver og rekruttere og fastholde personale samt øge effektiviteten af netværksaktiviteter, er det afgørende, at ENISA er placeret på et passende sted, hvor der bl.a. er passende transportforbindelser og faciliteter for ægtefæller og børn, som følger med ENISA's personale. De nødvendige foranstaltninger bør fastlægges i en aftale, som efter godkendelse af ENISA's bestyrelse indgås mellem ENISA og værtsmedlemsstaten.

(19)

I betragtning af de tiltagende risici og udfordringer inden for cybersikkerhed, som Unionen står over for, bør de finansielle og menneskelige ressourcer, der er tildelt ENISA, forøges i overensstemmelse med dets udvidede rolle og opgaver og dets afgørende stilling i det økosystem af organisationer, der forsvarer Unionens digitale økosystem, således at ENISA effektivt kan udføre de opgaver, som det tillægges ved denne forordning.

(20)

ENISA bør udvikle og fastholde et højt ekspertiseniveau og fungere som et referencepunkt og skabe tillid til det indre marked i kraft af sin uafhængighed, kvaliteten af den rådgivning, det yder, og af de oplysninger, det videregiver, den åbenhed, der er forbundet med dets procedurer og driftsmetoder, og dets omhu ved udførelsen af sine opgaver. ENISA bør aktivt støtte den nationale indsats og proaktivt bidrage til Unionens indsats og udføre sine opgaver i fuldt samarbejde med Unionens institutioner, organer, kontorer og agenturer samt medlemsstaterne, idet overlap undgås, og synergier fremmes. Herudover bør ENISA bygge på bidrag fra og samarbejde med den private sektor og andre relevante interessenter. Som grundlag for, hvordan ENISA skal nå sine mål, bør der fastlægges et sæt opgaver, der samtidig giver ENISA fleksibilitet i dets aktiviteter.

(21)

For at kunne yde tilstrækkelig støtte til operationelt samarbejde mellem medlemsstaterne bør ENISA yderligere styrke sine tekniske og menneskelige kapaciteter og kompetencer. ENISA bør øge sin knowhow og kapacitet. ENISA og medlemsstaterne kunne på frivillig basis udvikle programmer for udstationering af nationale eksperter til ENISA, etablering af ekspertpuljer og udveksling af personale.

(22)

ENISA bør bistå Kommissionen ved at levere rådgivning, udtalelser og analyser om alle EU-spørgsmål vedrørende udvikling af politik og lovgivning samt ajourføring og revision inden for cybersikkerhed og dets sektorspecifikke aspekter med henblik på at øge relevansen af EU-politikker og -lovgivning med en cybersikkerhedsdimension og muliggøre ensartethed i gennemførelsen heraf på nationalt plan. ENISA bør fungere som et referencepunkt for rådgivning og ekspertise for Unionens sektorspecifikke politikker og lovgivningsinitiativer i tilfælde, hvor cybersikkerhed er involveret. ENISA bør regelmæssigt orientere Europa-Parlamentet om sine aktiviteter.

(23)

Den offentligt tilgængelige kerne af det åbne internet, dvs. dets vigtigste protokoller og infrastruktur, som er et globalt offentligt gode, sikrer internettet som helhed dets grundlæggende funktioner og understøtter dets normale drift. ENISA bør støtte sikkerheden for den offentlige tilgængelige kerne af det åbne internet og stabiliteten i dets drift, herunder, men ikke kun, de vigtigste protokoller (navnlig DNS, BGP og IPv6), driften af domænenavnssystemet (såsom driften af alle topdomæner) og driften af rodzonen.

(24)

ENISA's grundlæggende opgave er at fremme en ensartet gennemførelse af den relevante retlige ramme, navnlig en effektiv gennemførelse af direktiv (EU) 2016/1148 og andre relevante retlige instrumenter med cybersikkerhedsaspekter, hvilket er afgørende for at øge cyberrobustheden. På baggrund af det hurtigt skiftende cybertrusselsbillede står det klart, at medlemsstaterne skal støttes med en mere samlet tværpolitisk tilgang til opbygningen af cyberrobusthed.

(25)

ENISA bør bistå medlemsstaterne og Unionens institutioner, organer, kontorer og agenturer i deres bestræbelser på at opbygge og forbedre deres kapacitet og beredskab med sigte på at forebygge, opdage og imødegå cybertrusler og -hændelser og i forbindelse med sikkerheden af net- og informationssystemer. ENISA bør navnlig støtte udvikling og forbedring af de i direktiv (EU) 2016/1148 fastsatte enheder, der håndterer IT-sikkerhedshændelser (»CSIRT'er«), på nationalt niveau og EU-niveau for at nå et højt fælles niveau af deres modenhed i Unionen. Aktiviteter, der udføres af ENISA vedrørende medlemsstaternes operationelle kapacitet, bør aktivt støtte medlemsstaternes indsats for at overholde deres forpligtelser i henhold til direktiv (EU) 2016/1148 og bør derfor ikke erstatte dem.

(26)

ENISA bør også bistå med udviklingen og ajourføringen af Unionens og medlemsstaternes strategier for net- og informationssystemers sikkerhed på EU-niveau og efter anmodning på medlemsstatsniveau, herunder navnlig cybersikkerhed, og bør fremme udbredelse af sådanne strategier og følge fremskridtene med deres gennemførelse. ENISA bør også bidrage til at dække behovet for uddannelse og uddannelsesmateriale, herunder offentlige organers behov, og, når det er relevant, i vid udstrækning »uddanne underviserne« på grundlag af den digitale kompetenceramme for borgerne med sigte på at bistå medlemsstaterne og Unionens institutioner, organer, kontorer og agenturer med at udvikle deres egne uddannelseskapaciteter.

(27)

ENISA bør støtte medlemsstaterne på området bevidstgørelse om og uddannelse i cybersikkerhed ved at fremme en tættere koordinering og udveksling af bedste praksis mellem medlemsstaterne. En sådan støtte kunne bestå i udvikling af et netværk af nationale uddannelseskontaktpunkter og af en platform for cybersikkerhedsuddannelse. Netværket af nationale uddannelseskontaktpunkter kunne operere inden for netværket af nationale forbindelsesofficerer og udgøre et udgangspunkt for den fremtidige koordinering i medlemsstaterne.

(28)

ENISA bør bistå den samarbejdsgruppe, der er nedsat ved direktiv (EU) 2016/1148, med udførelsen af dens opgaver, navnlig ved at levere ekspertise og rådgivning og ved at fremme udvekslingen af bedste praksis vedrørende risici og hændelser, bl.a. med hensyn til medlemsstaternes identificering af operatører af væsentlige tjenester samt i forbindelse med grænseoverskridende afhængighed.

(29)

Med sigte på at stimulere samarbejdet mellem den offentlige og den private sektor samt inden for den private sektor, navnlig for at støtte beskyttelsen af kritiske infrastrukturer, bør ENISA støtte informationsudveksling i og mellem sektorer, navnlig de sektorer, der er anført i bilag II til direktiv (EU) 2016/1148, ved at stille bedste praksis og vejledning om tilgængelige værktøjer og om procedurer til rådighed samt ved at vejlede om håndtering af reguleringsmæssige spørgsmål relateret til informationsudveksling, for eksempel gennem lettelse af etablering af centre for informationsudveksling og analyse.

(30)

Eftersom de potentielle negative konsekvenser af sårbarheder i IKT-produkter, -tjenester og -processer øges konstant, er det vigtigt at finde og afhjælpe sådanne sårbarheder for at reducere den overordnede cybersikkerhedsrisiko. Det har vist sig, at et samarbejde mellem organisationer, producenter eller udbydere, der leverer sårbare IKT-produkter, -tjenester og -processer, og medlemmer af det forskningsfællesskab inden for cybersikkerhed og de regeringer, der finder sårbarheder, forbedrer såvel opdagelsen som afhjælpningen af sårbarheder i IKT-produkter, -tjenester og -processer markant. Ved koordineret offentliggørelse af sårbarheder forstås en struktureret samarbejdsproces, hvor sårbarheder meddeles til ejeren af informationssystemet, hvilket giver organisationen mulighed for at diagnosticere og afhjælpe sårbarheden, inden mere detaljerede sårbarhedsoplysninger videregives til tredjemand eller offentligheden. Processen giver også mulighed for koordinering mellem den, der finder sårbarheden, og organisationen i forbindelse med offentliggørelsen af sårbarhederne. Politikkerne for koordineret offentliggørelse af sårbarheder kan spille en vigtig rolle i medlemsstaternes indsats for at styrke cybersikkerheden.

(31)

ENISA bør samle og analysere frivilligt delte nationale rapporter fra CSIRT'er og den interinstitutionelle IT-beredskabsenhed for Unionens institutioner, organer og agenturer, som er oprettet ved aftalen mellem Europa-Parlamentet, Det Europæiske Råd, Rådet for Den Europæiske Union, Europa-Kommissionen, Den Europæiske Unions Domstol, Den Europæiske Centralbank, Den Europæiske Revisionsret, Tjenesten for EU's Optræden Udadtil, Det Europæiske Økonomiske og Sociale Udvalg, Det Europæiske Regionsudvalg og Den Europæiske Investeringsbank om organisation og drift af en IT-beredskabsenhed for Unionens institutioner, organer og agenturer (CERT-EU) (14) med det formål at bidrage til at indføre fælles procedurer, sprog og terminologi med henblik på udveksling af oplysninger. ENISA bør i den sammenhæng inddrage den private sektor inden for rammerne af direktiv (EU) 2016/1148, som fastsætter grundlaget for frivillig udveksling af tekniske oplysninger på det operationelle plan inden for det ved nævnte direktiv nedsatte netværk af enheder, der håndterer IT-sikkerhedshændelser (»CSIRT-netværket«).

(32)

ENISA bør bidrage til en reaktion på EU-niveau i tilfælde af væsentlige grænseoverskridende hændelser og -kriser relateret til cybersikkerhed. Denne opgave bør udføres i overensstemmelse med ENISA's mandat i henhold til denne forordning og en tilgang, der skal godkendes af medlemsstaterne i forbindelse med Kommissionens henstilling (EU) 2017/1584 (15) og Rådets konklusioner af 26. juni 2018 om en koordineret EU-reaktion på væsentlige cybersikkerhedshændelser og -kriser. Opgaven kan omfatte indsamling af relevante oplysninger og formidling af kontakt mellem CSIRT-netværket og tekniske kredse samt mellem de beslutningstagere, der er ansvarlige for krisestyringen. Derudover bør ENISA, når en eller flere medlemsstater anmoder herom, støtte operationelt samarbejde mellem medlemsstaterne i forbindelse med håndteringen af hændelser fra et teknisk synspunkt ved at fremme udveksling af relevante tekniske løsninger mellem medlemsstaterne og ved at komme med input til kommunikation med offentligheden. ENISA bør støtte operationelt samarbejde ved at afprøve ordningerne for et sådant samarbejde gennem regelmæssige cybersikkerhedsøvelser.

(33)

I forbindelse med støtte til operationelt samarbejde bør ENISA gøre brug af den tilgængelige tekniske og operationelle ekspertise hos CERT-EU gennem struktureret samarbejde. Sådant struktureret samarbejde kan opbygge ENISA's ekspertise. Hvor det er hensigtsmæssigt, bør der indføres specifikke ordninger mellem de to enheder med henblik på at fastlægge den praktiske gennemførelse af et sådant samarbejde og undgå overlap af aktiviteter.

(34)

Ved udførelsen af dets opgaver med at støtte operationelt samarbejde inden for CSIRT-netværket bør ENISA være i stand til at yde støtte til medlemsstaterne på deres anmodning, f.eks. ved at yde rådgivning om, hvordan de kan forbedre deres kapacitet til at forebygge, opdage og reagere på hændelser, ved at lette den tekniske håndtering af hændelser, der har betydelige eller væsentlige konsekvenser, eller ved at sikre, at trusler og hændelser analyseres. ENISA bør lette den tekniske håndtering af hændelser, der har betydelige eller væsentlige konsekvenser, navnlig ved at støtte frivillig deling af tekniske løsninger mellem medlemsstaterne eller ved at tilvejebringe kombinerede tekniske oplysninger, såsom tekniske løsninger, der frivilligt deles af medlemsstaterne. Det anbefales i henstilling (EU) 2017/1584, at medlemsstaterne samarbejder i god tro og hurtigst muligt udveksler oplysninger med hinanden og med ENISA om væsentlige hændelser og -kriser relateret til cybersikkerhed. Sådanne oplysninger vil hjælpe ENISA yderligere med at udføre opgaven med at støtte operationelt samarbejde.

(35)

Som led i det regelmæssige samarbejde på teknisk niveau til støtte for Unionens situationsbevidsthed bør ENISA i tæt samarbejde med medlemsstaterne regelmæssigt udarbejde en tilbundsgående teknisk EU-cybersikkerhedsrapport om hændelser og cybertrusler, der er baseret på offentligt tilgængelige oplysninger, ENISA's egen analyse og rapporter tilsendt ENISA af medlemsstaternes CSIRT'er eller de nationale centrale kontaktpunkter for sikkerheden i net- og informationssystemer (»centrale kontaktpunkter«), der er omhandlet i direktivet (EU) 2016/1148, begge på frivillig basis, Det Europæiske Center til Bekæmpelse af Cyberkriminalitet (EC3) hos Europol, CERT-EU og, hvor det er relevant, Den Europæiske Unions Efterretnings- og Situationscenter (INTCEN) ved Tjenesten for EU's Optræden Udadtil. Rapporten bør stilles til rådighed for de relevante instanser i Rådet, Kommissionen, Unionens højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik og CSIRT-netværket.

(36)

ENISA's støtte til efterfølgende tekniske undersøgelser af hændelser med betydelige eller væsentlige konsekvenser, som foretages på de berørte medlemsstaters anmodning, bør fokusere på forebyggelse af fremtidige hændelser. De berørte medlemsstater bør give de nødvendige oplysninger og yde den nødvendige bistand, så ENISA effektivt kan støtte de efterfølgende tekniske undersøgelser.

(37)

Medlemsstaterne kan opfordre de virksomheder, der er berørt af hændelsen, til at samarbejde ved at give ENISA de nødvendige oplysninger og den nødvendige bistand, uden at det berører deres ret til at beskytte kommercielt følsomme oplysninger og oplysninger, der er relevante for den offentlige sikkerhed.

(38)

For bedre at forstå udfordringerne inden for cybersikkerhed og med sigte på at levere strategisk langsigtet rådgivning til medlemsstaterne og Unionens institutioner, organer, kontorer og agenturer er ENISA nødt til at analysere både nuværende og nye cybersikkerhedsrisici. Med dette mål for øje bør ENISA i samarbejde med medlemsstaterne og, alt efter hvad der er relevant, statistiske organer og andre organer indsamle relevante offentligt tilgængelige eller frivilligt delte oplysninger og udføre analyser af nye teknologier og tilvejebringe emnespecifikke vurderinger af de forventede samfundsmæssige, retlige, økonomiske og reguleringsmæssige konsekvenser af teknologiske innovationer for net- og informationssikkerheden, navnlig cybersikkerhed. ENISA bør desuden bistå medlemsstaterne og Unionens institutioner, organer, kontorer og agenturer med at identificere nye risici og forebygge hændelser ved at udføre analyser af trusler, sårbarheder og hændelser.

(39)

Med henblik på at øge Unionens modstandsdygtighed bør ENISA udvikle ekspertise inden for cybersikkerhed for infrastrukturer, navnlig for at understøtte de sektorer, som er anført i bilag II til direktiv (EU) 2016/1148, og dem, der anvendes af de udbydere af digitale tjenester, som er anført i bilag III til nævnte direktiv, ved at yde rådgivning, udstede retningslinjer og udveksle bedste praksis. Med sigte på at sikre lettere adgang til bedre strukturerede oplysninger om cybersikkerhedsrisici og mulige løsninger bør ENISA udvikle og opretholde Unionens »informationsknudepunkt«, en one-stop-shop-portal, som giver offentligheden oplysninger om cybersikkerhed, der hidrører fra Unionens og de nationale institutioner, agenturer og organer. Lettere adgang til mere strukturerede oplysninger om cybersikkerhedsrisici og mulige løsninger kan også hjælpe medlemsstaterne med at styrke deres kapacitet og tilpasse deres praksis og derved øge deres samlede modstandsdygtighed over for cyberangreb.

(40)

ENISA bør bidrage til at øge offentlighedens bevidsthed om cybersikkerhedsrisici, herunder gennem en oplysningskampagne på EU-plan og uddannelsesfremme, og give vejledning om god praksis for individuelle brugere, der er målrettet mod borgere, organisationer og virksomheder. ENISA bør også bidrage til at fremme bedste praksis og løsninger, herunder cyberhygiejne og cyberfærdigheder, på borger-, organisations- og virksomhedsniveau ved at indsamle og analysere offentligt tilgængelige oplysninger om væsentlige hændelser og ved at sammenstille og offentliggøre rapporter og vejledning til borgere, organisationer og virksomheder samt forbedre deres generelle niveau af beredskab og modstandsdygtighed. ENISA bør desuden tilstræbe at give forbrugere relevante oplysninger om gældende certificeringsordninger, f.eks. ved at give vejledning og anbefalinger. ENISA bør herudover i overensstemmelse med handlingsplanen for digital uddannelse fastsat i Kommissionens meddelelse af 17. januar 2018 og i samarbejde med medlemsstaterne og Unionens institutioner, organer, kontorer og agenturer tilrettelægge regelmæssige informations- og oplysningskampagner rettet mod slutbrugere for at fremme en mere sikker adfærd på nettet blandt enkeltpersoner og fremme digitale færdigheder, øge bevidstheden om de potentielle cybertrusler, herunder kriminelle aktiviteter online, såsom phishingangreb, botnet, økonomisk svig og banksvindel, databedrageri, samt fremme grundlæggende multifaktorautentificering, patching, kryptering, anonymisering og databeskyttelsesrådgivning.

(41)

ENISA bør spille en central rolle i bestræbelserne på at højne slutbrugernes bevidsthed om udstyrs sikkerhed og om sikker brug af tjenester og bør fremme indbygget sikkerhed og indbygget privatlivsbeskyttelse på EU-plan. Ved forfølgelsen af dette mål bør ENISA udnytte forhåndenværende bedste praksis og erfaring, navnlig bedste praksis og erfaring fra akademiske institutioner og IT-sikkerhedsforskere, bedst muligt.

(42)

For at støtte de virksomheder, der er aktive i cybersikkerhedssektoren, samt brugerne af cybersikkerhedsløsninger bør ENISA udvikle og opretholde et »markedsobservatorium« ved at gennemføre regelmæssige analyser og formidling af de vigtigste tendenser på markedet for cybersikkerhed, både på efterspørgsels- og udbudssiden.

(43)

ENISA bør bidrage til Unionens indsats for at samarbejde med internationale organisationer samt inden for relevante internationale samarbejdsrammer inden for cybersikkerhed. ENISA bør navnlig, hvor det er hensigtsmæssigt, bidrage til samarbejdet med organisationer såsom OECD, OSCE og NATO. Et sådant samarbejde kunne omfatte fælles cybersikkerhedsøvelser og fælles koordinering af reaktionen på hændelser. Disse aktiviteter skal udføres under fuld overholdelse af principperne om inklusivitet, gensidighed og Unionens beslutningsautonomi, uden at dette berører den særlige karakter af den enkelte medlemsstats sikkerheds- og forsvarspolitik.

(44)

For at sikre, at det når sine mål fuldt ud, bør ENISA etablere kontakt med relevante EU-tilsynsmyndigheder og andre kompetente myndigheder i Unionen, Unionens institutioner, organer, kontorer og agenturer, herunder CERT-EU, EC3, Det Europæiske Forsvarsagentur (EDA), Det Europæiske GNSS-Agentur (GSA), Sammenslutningen af Europæiske Tilsynsmyndigheder inden for Elektronisk Kommunikation (BEREC), Det Europæiske Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA), Den Europæiske Centralbank (ECB), Den Europæiske Banktilsynsmyndighed (EBA), Det Europæiske Databeskyttelsesråd, Agenturet for Samarbejde mellem Energireguleringsmyndigheder (ACER), Det Europæiske Luftfartssikkerhedsagentur (EASA) og ethvert andet EU-agentur, der er involveret i cybersikkerhed. ENISA bør også etablere kontakt med myndigheder med ansvar for databeskyttelse for at udveksle knowhow og bedste praksis, og det bør yde rådgivning om cybersikkerhedsspørgsmål, der kan have betydning for deres arbejde. Repræsentanter for de retshåndhævende myndigheder og databeskyttelsesmyndigheder på nationalt plan og EU-plan bør kunne være repræsenteret i ENISA-Rådgivningsgruppen. I sine kontakter med retshåndhævende myndigheder vedrørende net- og informationssikkerhedsspørgsmål, der kan have indflydelse på disse myndigheders arbejde, bør ENISA respektere eksisterende informationskanaler og etablerede netværk.

(45)

Der kunne etableres partnerskaber med akademiske institutioner, som har forskningsinitiativer på de relevante områder, og der bør være passende kanaler til bidrag fra forbrugerorganisationer og andre organisationer, som bør tages i betragtning.

(46)

ENISA bør i sin rolle som CSIRT-netværkets sekretariat støtte medlemsstaternes CSIRT'er og CERT-EU i det operationelle samarbejde i forbindelse med CSIRT-netværkets relevante opgaver som omhandlet i direktiv (EU) 2016/1148. ENISA bør endvidere fremme og støtte samarbejdet mellem de relevante CSIRT'er i tilfælde af hændelser, angreb på eller afbrydelser af net eller infrastruktur, der styres eller beskyttes af CSIRT'erne, og som berører eller vil kunne berøre mindst to CSIRT'er, idet der tages behørigt hensyn til CSIRT-netværkets standardprocedurer.

(47)

Med henblik på at øge Unionens beredskab til at reagere på cybersikkerhedshændelser bør ENISA regelmæssigt tilrettelægge cybersikkerhedsøvelser på EU-niveau og på deres anmodning støtte medlemsstaterne og Unionens institutioner, organer, kontorer og agenturer i at tilrettelægge sådanne øvelser. Omfattende øvelser i stor skala, som omfatter tekniske, operationelle og strategiske elementer, bør afholdes mindst hvert andet år. ENISA bør desuden regelmæssigt kunne afholde mindre omfattende øvelser med samme mål om at øge Unionens beredskab til at reagere på hændelser.

(48)

ENISA bør videreudvikle og opretholde sin ekspertise inden for cybersikkerhedscertificering med sigte på at understøtte Unionens politik på dette område. ENISA bør bygge videre på eksisterende bedste praksis og fremme udbredelsen af cybersikkerhedscertificering i Unionen, herunder ved at bidrage til etablering og vedligeholdelse af en ramme for cybersikkerhedscertificering på EU-niveau (den europæiske ramme for cybersikkerhedscertificering), for at øge gennemsigtigheden af IKT-produkters, -tjenesters og -processers cybersikkerhedstillidsniveau og dermed styrke tilliden til det digitale indre marked og dets konkurrenceevne.

(49)

Effektive cybersikkerhedsstrategier bør baseres på velgennemtænkte risikovurderingsmetoder, både i den offentlige og den private sektor. Risikovurderingsmetoder anvendes på forskellige niveauer og uden fælles praksis for, hvordan de anvendes effektivt. Ved at fremme og udvikle bedste praksis for risikovurdering og interoperable risikostyringsløsninger i den offentlige og den private sektors organisationer kan cybersikkerhedsniveauet i Unionen højnes. Til dette formål bør ENISA støtte samarbejdet mellem interessenter på EU-plan og lette deres bestræbelser på at etablere og indføre europæiske og internationale standarder for risikostyring og for målbar sikkerhed i elektroniske produkter, systemer, net og tjenester, som sammen med software udgør net- og informationssystemerne.

(50)

ENISA bør tilskynde medlemsstaterne, producenter eller udbydere af IKT-produkter, -tjenester og -processer til at hæve deres generelle sikkerhedsstandarder, så alle internetbrugere kan tage de nødvendige skridt til at sikre deres egen personlige cybersikkerhed og bør give incitamenter til at gøre det. Navnlig bør producenter og udbydere af IKT-produkter, -tjenester og -processer udsende nødvendige opdateringer og tilbagekalde, tilbagetrække eller genbruge IKT-produkter, -tjenester eller -processer, som ikke overholder cybersikkerhedsstandarderne, mens importører og distributører bør sikre sig, at de IKT-produkter, -tjenester og -processer, som de bringer i omsætning på EU-markedet, opfylder de gældende krav og ikke udgør en risiko for Unionens forbrugere.

(51)

I samarbejde med de kompetente myndigheder bør ENISA kunne formidle oplysninger om cybersikkerhedsniveauet for IKT-produkter, -tjenester og -processer, som udbydes i det indre marked, og det bør kunne udstede advarsler til producenter eller udbydere af IKT-produkter, -tjenester eller -processer og pålægge dem at forbedre sikkerheden af deres IKT-produkter, -tjenester og -processer, herunder cybersikkerheden.

(52)

ENISA bør tage fuldt hensyn til igangværende forsknings-, udviklings- og teknologivurderingsaktiviteter, navnlig aktiviteter der gennemføres som led i de forskellige EU-forskningsinitiativer for at rådgive Unionens institutioner, organer, kontorer og agenturer og, hvor det er relevant, medlemsstaterne, hvis de anmoder herom, om forskningsbehov og -prioriteter inden for cybersikkerhed. Med henblik på at klarlægge forskningsbehov og -prioriteter bør ENISA også høre de relevante brugergrupper. Mere specifikt kunne der etableres et samarbejde med Det Europæiske Forskningsråd (EFR), Det Europæiske Institut for Innovation og Teknologi (EIT) og Den Europæiske Unions Institut for Sikkerhedsstudier (EUISS).

(53)

ENISA bør regelmæssigt høre standardiseringsorganisationer, navnlig europæiske standardiseringsorganisationer, i forbindelse med udarbejdelsen af de europæiske cybersikkerhedscertificeringsordninger.

(54)

Cybertrusler er af global karakter. Der er behov for et tættere internationalt samarbejde for at forbedre cybersikkerhedsstandarderne, herunder behov for definitioner af fælles adfærdsnormer, vedtagelse af adfærdskodekser, anvendelse af internationale standarder og informationsudveksling, fremme af hurtigere internationalt samarbejde som reaktion på net- og informationssikkerhedsspørgsmål og fremme af en global tilgang til sådanne spørgsmål. ENISA bør derfor støtte yderligere EU-engagement og -samarbejde med tredjelande og internationale organisationer, ved, hvor det er relevant, at yde den nødvendige ekspertise og analyse til Unionens relevante institutioner, organer, kontorer og agenturer.

(55)

ENISA bør være i stand til at imødekomme ad hoc-anmodninger om rådgivning og bistand fra medlemsstaterne og Unionens institutioner, organer, kontorer og agenturer i forhold til spørgsmål, som er omfattet af ENISA's mandat.

(56)

Det er fornuftigt og anbefales at gennemføre visse principper om ENISA's forvaltning for at overholde den fælles erklæring og fælles tilgang, som Den Interinstitutionelle Arbejdsgruppe om Unionens Decentrale Agenturer nåede til enighed om i juli 2012, og som har til formål at strømline de decentrale agenturers aktiviteter og forbedre deres resultater. Anbefalingerne i den fælles erklæring og den fælles tilgang vedrørende ENISA's arbejdsprogrammer, evalueringer og rapporterings- og administrationspraksis bør også afspejles, når det er relevant.

(57)

Bestyrelsen, som består af repræsentanter for medlemsstaterne og for Kommissionen, bør fastlægge de overordnede retningslinjer for ENISA's drift og sikre, at det udfører sine opgaver i overensstemmelse med denne forordning. Bestyrelsen bør have de beføjelser, der er nødvendige, til at fastlægge budgettet, kontrollere budgettets gennemførelse, vedtage passende finansielle bestemmelser, fastlægge transparente arbejdsprocedurer for ENISA's beslutningstagning, vedtage ENISA's samlede programmeringsdokument, vedtage sin egen forretningsorden, udnævne den administrerende direktør og træffe afgørelse om at forlængelse og ophør af den administrerende direktørs mandatperiode.

(58)

For at ENISA kan fungere korrekt og effektivt, bør Kommissionen og medlemsstaterne sikre, at personer, der udpeges til bestyrelsen, har passende faglig ekspertise og erfaring. Kommissionen og medlemsstaterne bør også gøre en indsats for at begrænse udskiftningen af deres respektive repræsentanter i bestyrelsen, så der sikres kontinuitet i bestyrelsens arbejde.

(59)

Et velfungerende ENISA kræver, at den administrerende direktør udnævnes på grundlag af kvalifikationer og dokumenterede administrative og ledelsesmæssige færdigheder samt kvalifikationer og erfaring, der er relevante for cybersikkerhed. Den administrerende direktørs opgaver bør udføres i fuld uafhængighed. Den administrerende direktør bør efter forudgående høring af Kommissionen udarbejde et forslag til ENISA's årlige arbejdsprogram og træffe alle nødvendige foranstaltninger til at sikre, at dette arbejdsprogram gennemføres korrekt. Den administrerende direktør bør udarbejde en årsberetning, der skal forelægges bestyrelsen, og som omhandler gennemførelsen af ENISA's årlige arbejdsprogram, udfærdige et udkast til overslag over ENISA's indtægter og udgifter samt gennemføre budgettet. Den administrerende direktør bør endvidere kunne nedsætte ad hoc-arbejdsgrupper til at behandle specifikke spørgsmål, navnlig spørgsmål af videnskabelig, teknisk, retlig eller samfundsøkonomisk art. Navnlig i forbindelse med udarbejdelsen af et forslag til en specifik europæisk cybersikkerhedscertificeringsordning anses det for nødvendigt at nedsætte en ad hoc-arbejdsgruppe. Den administrerende direktør bør sikre, at medlemmerne af ad hoc-arbejdsgrupperne udvælges på grundlag af den højeste ekspertisestandard, og tage skridt til at sikre en jævn kønsfordeling og en passende balance, afhængigt af de specifikke spørgsmål, mellem medlemsstaternes offentlige forvaltninger, Unionens institutioner organer, kontorer og agenturer og den private sektor, herunder branchen, brugerne og akademiske eksperter i net- og informationssikkerhed.

(60)

Forretningsudvalget bør bidrage til en velfungerende bestyrelse. Som led i det forberedende arbejde i forbindelse med bestyrelsens afgørelser bør forretningsudvalget nøje undersøge relevante oplysninger og gennemgå mulighederne og tilbyde rådgivning og løsninger til forberedelse af bestyrelsens afgørelser.

(61)

ENISA bør have en ENISA-rådgivningsgruppe som et rådgivende organ, der kan sikre en løbende dialog med den private sektor, forbrugerorganisationer og andre relevante interessenter. ENISA-Rådgivningsgruppen, der nedsættes af bestyrelsen efter forslag af den administrerende direktør, bør koncentrere sig om spørgsmål, der er relevante for interessenter, og forelægge dem for ENISA. ENISA-Rådgivningsgruppen bør navnlig høres i forbindelse med udkastet til ENISA's årlige arbejdsprogram. Sammensætningen af ENISA-Rådgivningsgruppen og dens opgaver bør sikre en tilstrækkelig repræsentation af interessenter i ENISA's arbejde.

(62)

Der bør nedsættes en cybersikkerhedscertificeringsgruppe for interessenter for at bistå ENISA og Kommissionen med at fremme høringen af relevante interessenter. Cybersikkerhedscertificeringsgruppen for Interessenter bør sammensættes af medlemmer, der i afbalanceret omfang repræsenterer branchen, både på efterspørgsels- og udbudssiden i forbindelse med IKT-produkter og -tjenester og herunder navnlig SMV'er, udbydere af digitale tjenester, europæiske og internationale standardiseringsorganer, nationale akkrediteringsorganer, databeskyttelsestilsynsmyndigheder og overensstemmelsesvurderingsorganer i henhold til Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 (16) samt akademiske kredse og forbrugerorganisationer.

(63)

ENISA bør vedtage regler for forebyggelse og håndtering af interessekonflikter. ENISA bør også følge de relevante EU-bestemmelser om aktindsigt som fastlagt i Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 (17). ENISA's behandling af personoplysninger bør være i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (18). ENISA bør overholde de bestemmelser, der gælder for Unionens institutioner, organer, kontorer og agenturer, samt national lovgivning vedrørende behandling af oplysninger, navnlig følsomme ikkeklassificerede oplysninger og EU-klassificerede oplysninger (EUCI).

(64)

For at ENISA kan sikres fuld selvstændighed og uafhængighed og for at sætte det i stand til at udføre supplerende og nye opgaver, herunder uforudsete hasteopgaver, bør ENISA råde over et tilstrækkeligt og selvstændigt budget, hvis indtægter hovedsageligt kommer fra et bidrag fra Unionen og bidrag fra tredjelande, der deltager i ENISA's arbejde. For at sikre, at ENISA har tilstrækkelig kapacitet til at klare alle sine voksende opgaver og opnå sine mål, er det af helt afgørende betydning, at det tildeles tilstrækkelige midler. Størstedelen af ENISA's ansatte bør være direkte involveret i den operationelle gennemførelse af ENISA's mandat. Værtsmedlemsstaten og enhver anden medlemsstat bør kunne yde frivillige bidrag til ENISA's budget. Unionens budgetprocedure bør finde anvendelse på ethvert bidrag, som kommer fra Unionens almindelige budget. Desuden bør revisionen af ENISA's regnskaber forestås af Revisionsretten for at sikre gennemsigtighed og ansvarlighed.

(65)

Cybersikkerhedscertificering spiller en vigtig rolle for at øge tilliden til og sikkerheden af IKT-produkter, -tjenester og -processer. Det digitale indre marked og navnlig dataøkonomien og tingenes internet kan kun trives, hvis offentligheden generelt har tillid til, at sådanne produkter, tjenester og processer har et vist cybersikkerhedsniveau. Netforbundne og selvkørende biler, elektronisk medicinsk udstyr, industrielle automatiseringskontrolsystemer og intelligente forsyningsnet er blot nogle eksempler på sektorer, hvor certificering allerede bruges i vidt omfang eller sandsynligvis vil blive brugt i nærmeste fremtid. De sektorer, der reguleres af direktiv (EU) 2016/1148, er også sektorer, hvor cybersikkerhedscertificering er afgørende.

(66)

I meddelelsen fra 2016 »Styrkelse af Europas system for modstandsdygtighed over for cyberangreb og fremme af en konkurrencedygtig og innovativ cybersikkerhedsindustri«, beskrev Kommissionen nødvendigheden af cybersikkerhedsprodukter og -løsninger, som er af høj kvalitet, økonomisk overkommelige og interoperable. Udbuddet af IKT-produkter, -tjenester og -processer i det indre marked er fortsat meget fragmenteret geografisk. Det skyldes, at cybersikkerhedsindustrien i Europa hovedsageligt har udviklet sig på grundlag af national statslig efterspørgsel. Derudover mangler der også interoperable løsninger (tekniske standarder), praksis og EU-dækkende mekanismer for certificering, og det har en negativ virkning på det indre marked for cybersikkerhed. Dette gør det vanskeligt for europæiske virksomheder at konkurrere på nationalt plan, EU-plan og globalt plan. Det begrænser også udbuddet af levedygtige og brugbare cybersikkerhedsteknologier, som enkeltpersoner og virksomheder har adgang til. Ligeledes fremhævede Kommissionen i meddelelsen fra 2017 om midtvejsevalueringen om gennemførelsen af strategien for det digitale indre marked — Et forbundet digitalt indre marked for alle behovet for sikre netforbundne produkter og systemer og anførte, at indførelsen af en europæisk IKT-sikkerhedsramme, der fastsætter regler for tilrettelæggelse af IKT-sikkerhedscertificering i Unionen, både ville kunne bevare tilliden til internettet og gøre noget ved den nuværende fragmentering af det indre marked.

(67)

I øjeblikket anvendes cybersikkerhedscertificering af IKT-produkter, -tjenester og -processer kun i begrænset omfang. Hvis den findes, er det som regel på medlemsstatsniveau eller inden for rammerne af en brancheordning. I den forbindelse anerkendes en attest udstedt af en national cybersikkerhedscertificeringsmyndighed i princippet ikke i andre medlemsstater. Virksomhederne kan således være nødt til at certificere deres IKT-produkter, -tjenester og -processer i flere medlemsstater, hvor de driver virksomhed, f.eks. hvis de vil deltage i nationale offentlige udbud, hvorved deres omkostninger øges. Desuden er der, selv om der laves nye ordninger, tilsyneladende ikke nogen sammenhængende og holistisk tilgang til horisontale cybersikkerhedsspørgsmål, f.eks. inden for tingenes internet. De eksisterende ordninger har væsentlige mangler og forskelle med hensyn til produktdækning, tillidsniveau, materielle kriterier og faktisk anvendelse, hvilket vanskeliggør mekanismer til gensidig anerkendelse i Unionen.

(68)

Der er tidligere taget tilløb til at sikre gensidig anerkendelse af attester i Unionen. De har dog kun været delvis vellykkede. Det vigtigste eksempel herpå er Gruppen af Højtstående Embedsmænd vedrørende Informationssystemers Sikkerheds (SOG-IS') aftale om gensidig anerkendelse (MRA). Selv om det er den vigtigste model for samarbejde og gensidig anerkendelse på sikkerhedscertificeringsområdet, omfatter SOG-IS kun visse af Unionens medlemsstater. I forhold til det indre marked gør dette forhold, at SOG-IS' MRA kun er begrænset effektiv.

(69)

Derfor er det nødvendigt at vedtage en fælles tilgang og etablere en europæisk ramme for cybersikkerhedscertificering, som fastlægger de vigtigste horisontale krav til kommende europæiske cybersikkerhedscertificeringsordninger, og som giver mulighed for anerkendelse og brug af europæiske cybersikkerhedsattester og EU-overensstemmelseserklæringer for IKT-produkter, -tjenester og -processer i alle medlemsstater. I denne forbindelse er det afgørende at bygge videre på eksisterende nationale og internationale ordninger samt på systemer for gensidig anerkendelse, navnlig SOG-IS, og at give mulighed for en smidig overgang fra de eksisterende ordninger under sådanne systemer til ordninger under den nye europæiske ramme for cybersikkerhedscertificering. Den europæiske ramme for cybersikkerhedscertificering bør have et dobbelt formål. For det første bør den bidrage til at øge tilliden til IKT-produkter, -tjenester og -processer, der er certificeret i henhold til europæiske cybersikkerhedscertificeringsordninger. For det andet bør den hindre udbredelsen af modstridende eller overlappende nationale cybersikkerhedscertificeringsordninger og dermed mindske omkostningerne for virksomheder, der opererer på det digitale indre marked. De europæiske cybersikkerhedscertificeringsordninger bør være ikkediskriminerende og baseret på europæiske eller internationale standarder, medmindre sådanne standarder er ineffektive eller uhensigtsmæssige til at opfylde Unionens legitime mål i denne henseende.

(70)

Den europæiske ramme for cybersikkerhedscertificering bør etableres på en ensartet måde i alle medlemsstater for at undgå »certificeringsshopping« som følge af forskellige krav i medlemsstaterne.

(71)

De europæiske cybersikkerhedscertificeringsordninger bør bygge på det, der allerede eksisterer på internationalt og nationalt plan, og om nødvendigt på tekniske specifikationer fra fora og konsortier, idet der drages lære af nuværende stærke sider, og svagheder vurderes og korrigeres.

(72)

Industrien har brug for fleksible cybersikkerhedsløsninger for at kunne foregribe cybertrusler, og det bør derfor sikres, at ingen certificeringsordning udformes på en måde, hvor den forældes for hurtigt.

(73)

Kommissionen bør tillægges beføjelse til at vedtage europæiske cybersikkerhedscertificeringsordninger for specifikke grupper af IKT-produkter, -tjenester og -processer. Nationale cybersikkerhedscertificeringsmyndigheder bør gennemføre og føre tilsyn med disse ordninger, og attester udstedt i henhold til disse ordninger bør være gyldige og anerkendes i hele Unionen. Certificeringsordninger, som er branchedrevne eller drives af andre private organisationer, bør ikke være omfattet af denne forordnings anvendelsesområde. Organer, der driver sådanne ordninger, bør dog kunne foreslå Kommissionen at betragte ordningerne som grundlaget for at godkende dem som en europæisk cybersikkerhedscertificeringsordning.

(74)

Bestemmelserne i denne forordning bør ikke berøre EU-ret om specifikke regler for certificering af IKT-produkter, -tjenester og -processer. Navnlig fastsætter forordning (EU) 2016/679 bestemmelser om til fastlæggelse af certificeringsmekanismer for databeskyttelse samt databeskyttelsesmærkninger og -mærker med henblik på at påvise, at dataansvarliges og databehandleres behandlingsaktiviteter overholder nævnte forordning. Sådanne certificeringsmekanismer og databeskyttelsesmærkninger bør give de registrerede mulighed for hurtigt at vurdere de relevante IKT-produkters, -tjenesters og -processers databeskyttelsesniveau. Nærværende forordning berører ikke certificeringen af databehandlingsoperationer i henhold til forordning (EU) 2016/679, herunder hvis sådanne operationer er indeholdt i IKT-produkter, -tjenester og -processer.

(75)

Målet med europæiske cybersikkerhedscertificeringsordninger bør være at sikre, at de IKT-produkter, -tjenester og -processer, der er certificeret i henhold til sådanne ordninger, opfylder de fastsatte krav med henblik på at beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, der lagres, overføres eller behandles, eller af de dermed forbundne funktioner eller tjenester, der tilbydes i eller er tilgængelige via disse produkter, tjenester og processer i hele deres livscyklus. Det er ikke muligt at fastsætte detaljerede cybersikkerhedskrav for alle IKT-produkter, -tjenester og -processer i denne forordning. IKT-produkter, -tjenester og -processer og de til disse produkter, tjenester og processer hørende cybersikkerhedsbehov er så forskellige, at det er meget vanskeligt at udvikle generelle cybersikkerhedskrav, der gælder i alle situationer. Det er derfor nødvendigt at anlægge en bred og generel opfattelse af cybersikkerhed med henblik på certificering, som bør suppleres af en række specifikke cybersikkerhedsmål, som skal tages i betragtning ved udformningen af europæiske cybersikkerhedscertificeringsordninger. De ordninger, der skal anvendes til at nå disse mål i forhold til specifikke IKT-produkter, -tjenester og -processer, bør så præciseres yderligere i den enkelte certificeringsordning, der vedtages af Kommissionen, f.eks. i form af henvisninger til standarder eller tekniske specifikationer, hvis der ikke findes hensigtsmæssige standarder.

(76)

De tekniske specifikationer, der skal anvendes i en europæisk cybersikkerhedscertificeringsordning, bør overholde kravene i bilag II til Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 (19). Visse afvigelser fra disse krav kan dog anses for at være nødvendige i behørigt begrundede tilfælde, hvor de pågældende tekniske specifikationer skal anvendes i en europæisk cybersikkerhedscertificeringsordning, der henviser til tillidsniveauet »højt«. Årsagerne til sådanne afvigelser bør gøres offentligt tilgængelige.

(77)

Certificeret overensstemmelsesvurdering er en procedure til at evaluere, om nærmere krav til et IKT-produkt, en IKT-tjeneste eller en IKT-proces er opfyldt. Denne procedure gennemføres af en uafhængig tredjepart, som ikke er producenten eller udbyderen af de IKT-produkter, -tjenester eller -processer, der vurderes. En europæisk cybersikkerhedsattest bør udstedes efter vellykket evaluering af et IKT-produkt, en IKT-tjeneste eller en IKT-proces. En europæisk cybersikkerhedsattest bør anses som en bekræftelse af, at evalueringen er foretaget korrekt. Afhængigt af tillidsniveauet bør den europæiske cybersikkerhedscertificeringsordning angive, om den europæiske cybersikkerhedsattest udstedes af et privat eller offentligt organ. Overensstemmelsesvurdering og certificering kan ikke i sig selv garantere, at certificerede IKT-produkter, -tjenester og -processer er cybersikre. Der er snarere tale om procedurer og tekniske metoder til at attestere, at IKT-produkter, -tjenester og -processer er blevet prøvet, og at de opfylder visse krav til cybersikkerhed, som er fastsat andetsteds, f.eks. i tekniske standarder.

(78)

Det valg af passende certificering og tilhørende sikkerhedskrav, som brugerne af europæiske cybersikkerhedsattester træffer, bør bygge på en analyse af de risici, der er forbundet med anvendelse af de pågældende IKT-produkter, -tjenester eller -processer. Tillidsniveauet bør således afspejle det risikoniveau, der er forbundet med den tilsigtede anvendelse af et IKT-produkt eller en IKT-tjeneste eller -proces.

(79)

En europæisk cybersikkerhedscertificeringsordning kan fastsætte, at en overensstemmelsesvurdering skal foretages under eneansvar af producenten eller udbyderen af IKT-produkter, -tjenester eller -processer (selvvurdering af overensstemmelse). I sådanne tilfælde bør det være tilstrækkeligt, at producenten eller udbyderen af IKT-produkter, -tjenester eller -processer selv foretager hele kontrollen med henblik på at sikre. at de pågældende IKT-produkter, -tjenester eller -processer stemmer overens med den europæiske cybersikkerhedscertificeringsordning. Selvvurdering af overensstemmelse bør betragtes som passende for IKT-produkter, -tjenester og -processer med lav kompleksitet, som udgør en lav risiko for offentligheden (enkel udformnings- og produktionsmekanisme). Desuden bør selvvurdering af overensstemmelse kun tillades for IKT-produkter, -tjenester og -processer, hvis de svarer til tillidsniveauet »grundlæggende«.

(80)

En europæisk cybersikkerhedscertificeringsordning kan give mulighed for både selvvurdering af overensstemmelse og certificering af IKT-produkter, -tjenester eller -processer. I så fald bør ordningen fastsætte klare og forståelige måder, hvorpå forbrugerne eller andre brugere kan skelne mellem IKT-produkter, -tjenester eller -processer, for hvilke producenten eller udbyderen af IKT-produkter, -tjenester eller -processer er ansvarlig for vurderingen, og IKT-produkter, -tjenester eller -processer, der er certificeret af en tredjepart.

(81)

Producenter og udbydere af IKT-produkter, -tjenester eller -processer, som foretager selvvurdering af overensstemmelse, bør kunne udstede og undertegne en EU-overensstemmelseserklæring som led i overensstemmelsesvurderingsproceduren. En EU-overensstemmelseserklæring er et dokument, der angiver, at et bestemt IKT-produkt eller en bestemt IKT-tjeneste eller -proces opfylder kravene i den europæiske cybersikkerhedscertificeringsordning. Ved at udstede og undertegne en EU-overensstemmelseserklæring påtager producenten eller udbyderen af IKT-produkter, -tjenester eller -processer sig ansvaret for, at IKT-produktet, -tjenesten eller -processen opfylder de retlige krav i den europæiske cybersikkerhedscertificeringsordning. En kopi af EU-overensstemmelseserklæringen bør indgives til den nationale cybersikkerhedscertificeringsmyndighed og ENISA.

(82)

Producenter eller udbydere af IKT-produkter, -tjenester eller -processer bør stille EU-overensstemmelseserklæringen, den tekniske dokumentation og alle øvrige relevante oplysninger vedrørende IKT-produkternes, -tjenesternes eller -processernes overensstemmelse med en europæisk cybersikkerhedscertificeringsordning til rådighed for den kompetente nationale cybersikkerhedscertificeringsmyndighed i en periode fastsat i den relevante europæiske cybersikkerhedscertificeringsordning. Den tekniske dokumentation bør præcisere de krav, der gælder i henhold til ordningen, og omfatte IKT-produktets, -tjenestens eller -processens udformning, fremstilling og drift, i det omfang dette er relevant for selvvurderingen af overensstemmelse. Den tekniske dokumentation bør være udarbejdet på en måde, der gør det muligt at vurdere, om et IKT-produkt eller en IKT-tjeneste overholder kravene i henhold til den pågældende ordning.

(83)

I forvaltningen af den europæiske ramme for cybersikkerhedscertificering tages der højde for såvel inddragelse af medlemsstaterne som passende inddragelse af interessenter, og Kommissionens rolle i forbindelse med planlægning, fremsættelse af forslag, anmodninger, udarbejdelse, vedtagelse og revision af europæiske cybersikkerhedscertificeringsordninger fastlægges.

(84)

Kommissionen bør med støtte fra Den Europæiske Cybersikkerhedscertificeringsgruppe (»ECCG«) og Cybersikkerhedscertificeringsgruppen for Interessenter og efter en åben og bred høring udarbejde Unionens rullende arbejdsprogram for europæiske cybersikkerhedscertificeringsordninger og offentliggøre det i form af et ikkebindende instrument. Unionens rullende arbejdsprogram bør være et strategisk dokument, der giver navnlig branchen, nationale myndigheder og standardiseringsorganer mulighed for på forhånd at forberede sig på fremtidige europæiske cybersikkerhedscertificeringsordninger. Unionens rullende arbejdsprogram bør omfatte en flerårig oversigt over de anmodninger om forslag til ordninger, som Kommissionen agter at forelægge for ENISA med henblik på udarbejdelse på grundlag af særlige forhold. Kommissionen bør tage hensyn til Unionens rullende arbejdsprogram, når den udarbejder den rullende plan for IKT-standardisering og standardiseringsanmodninger til europæiske standardiseringsorganisationer. I betragtning af den hurtige indførelse og udbredelse af nye teknologier, forekomsten af hidtil ukendte cybersikkerhedsrisici samt den lovgivningsmæssige udvikling og markedsudviklingen bør Kommissionen eller ECCG have ret til at anmode ENISA om at udarbejde forslag til ordninger, som ikke er opført i Unionens rullende arbejdsprogram. I sådanne tilfælde bør Kommissionen og ECCG også vurdere nødvendigheden af en sådan anmodninger under hensyntagen til denne forordnings overordnede mål og formål og til behovet for at sikre kontinuitet med hensyn til ENISA's planlægning og brug af ressourcer.

ENISA bør efter en sådan anmodning udarbejde forslag til ordninger for specifikke IKT-produkter, -tjenester eller processer hurtigst muligt. Kommissionen bør evaluere sin anmodnings positive og negative indvirkninger på det specifikke marked, navnlig indvirkningerne på SMV'er, innovation, hindringer for adgang til dette marked og omkostningerne for slutbrugerne. Kommissionen bør tillægges beføjelse til på grundlag af det af ENISA udarbejdede forslag til ordning at vedtage den europæiske cybersikkerhedscertificeringsordning ved hjælp af gennemførelsesretsakter. Under hensyntagen til det generelle formål og de sikkerhedsmål, der er fastsat i denne forordning, bør europæiske cybersikkerhedscertificeringsordninger, der vedtages af Kommissionen, angive et minimumssæt af elementer vedrørende den enkelte ordnings genstand, omfang og funktion. Disse elementer bør bl.a. omfatte cybersikkerhedscertificeringens omfang og genstand, herunder de omfattede kategorier af IKT-produkter, -tjenester og -processer, nærmere specifikation af cybersikkerhedskravene, f.eks. ved henvisning til standarder eller tekniske specifikationer, de specifikke evalueringskriterier og -metoder og det påtænkte tillidsniveau (»grundlæggende«, »betydeligt« eller »højt«), og evalueringsniveauerne, hvor det er relevant. ENISA bør kunne afvise en anmodning fra ECCG. Sådanne afgørelser bør træffes af bestyrelsen og bør begrundes behørigt.

(85)

ENISA bør føre et websted med oplysninger om og offentliggørelse af europæiske cybersikkerhedscertificeringsordninger, bl.a. bør indeholde anmodningerne om udarbejdelse af forslag til ordning samt den feedback, der modtages under den høringsproces, som ENISA gennemfører i udarbejdelsesfasen. Webstedet bør også indeholde oplysninger om de europæiske cybersikkerhedsattester og EU-overensstemmelseserklæringer, der er udstedt i henhold til denne forordning, herunder oplysninger om tilbagekaldelse eller udløb af sådanne europæiske cybersikkerhedsattester og EU-overensstemmelseserklæringer. Webstedet bør også angive de nationale cybersikkerhedscertificeringsordninger, som er blevet erstattet af en europæisk cybersikkerhedscertificeringsordning.

(86)

Tillidsniveauet for en europæisk certificeringsordning udgør et grundlag for tillid til, at et IKT-produkt, en IKT-tjeneste eller en IKT-proces opfylder sikkerhedskravene i en bestemt europæisk cybersikkerhedscertificeringsordning. For at sikre sammenhæng i den europæiske ramme for cybersikkerhedscertificering bør en europæisk cybersikkerhedscertificeringsordning kunne præcisere tillidsniveauer for europæiske cybersikkerhedsattester og EU-overensstemmelseserklæringer, der udstedes i henhold til den pågældende ordning. Den enkelte europæiske cybersikkerhedsattest kan eventuelt henvise til et af tillidsniveauerne — »grundlæggende«, »betydeligt« eller »højt« — mens EU-overensstemmelseserklæringen eventuelt kun kan henvise til tillidsniveauet »grundlæggende«. Tillidsniveauerne vil indebære en tilsvarende grad af stringens og dybde i evalueringen af IKT-produktet, -tjenesten eller -processen og vil være karakteriseret ved henvisning til tekniske specifikationer, standarder og hertil knyttede procedurer, herunder tekniske kontroller, hvis formål er at afbøde eller forhindre hændelser. Hvert tillidsniveau bør være ensartet på tværs af de forskellige sektorspecifikke områder, hvor der anvendes certificering.

(87)

En europæisk cybersikkerhedscertificeringsordning kan fastsætte flere evalueringsniveauer, alt efter hvor stringent og dyb den anvendte evalueringsmetode er. Evalueringsniveauerne bør svare til et af tillidsniveauerne og være ledsaget af en passende kombination af tillidskomponenter. For samtlige tillidsniveauer bør IKT-produktet, -tjenesten eller -processen indeholde en række sikre funktioner som nærmere fastsat i ordningen, og som kan omfatte: sikker klar til brug-konfiguration, signeret kode, sikker opdatering og mekanismer til begrænsning af exploits og fuld stack- eller heap-hukommelsesbeskyttelse. Disse funktioner bør være udviklet og vedligeholdes ved hjælp af sikkerhedsorienterede udviklingstilgange og tilknyttede værktøjer for at sikre, at effektive software- og hardwaremekanismer er indarbejdet på pålidelig vis.

(88)

For tillidsniveauet »grundlæggende« bør evalueringen som minimum tage udgangspunkt i følgende tillidskomponenter: Evalueringen bør som minimum omfatte en gennemgang af den tekniske dokumentation for IKT-produktet, -tjenesten eller -processen foretaget af overensstemmelsesvurderingsorganet. Hvis certificeringen omfatter IKT-processer, bør den proces, der anvendes til at udforme, udvikle og vedligeholde et IKT-produkt eller en IKT-tjeneste, også være omfattet af den tekniske gennemgang. I tilfælde, hvor en europæisk cybersikkerhedscertificeringsordning giver mulighed for selvvurdering af overensstemmelsesniveauet, bør det være tilstrækkeligt, hvis producenten eller udbyderen af IKT-produkter, -tjenester eller -processer har udført en selvvurdering af IKT-produktets, -tjenestens eller -processens overensstemmelse med certificeringsordningen.

(89)

For tillidsniveauet »betydeligt« bør evalueringen ud over kravene til tillidsniveauet »grundlæggende« som minimum tage udgangspunkt i kontrol af overensstemmelsen af IKT-produktets, -tjenestens eller -processens sikkerhedsfunktioner med den tilhørende tekniske dokumentation.

(90)

For tillidsniveauet »højt« bør evalueringen ud over kravene til tillidsniveauet »betydeligt« som minimum tage udgangspunkt i en effektivitetstest, der vurderer modstandsdygtigheden af IKT-produktets, -tjenestens eller -processens sikkerhedsfunktioner over for overlagte cyberangreb udført af personer med betydelige færdigheder og ressourcer.

(91)

Anvendelse af europæisk cybersikkerhedscertificering og EU-overensstemmelseserklæringer bør fortsat være frivillig, medmindre andet er fastsat i EU-retten eller medlemsstaternes ret vedtaget i overensstemmelse med EU-retten. I mangel af harmoniseret EU-ret kan medlemsstaterne vedtage nationale tekniske forskrifter, der fastsætter obligatorisk certificering i henhold til en europæisk cybersikkerhedscertificeringsordning i overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 (20). Medlemsstaterne anvender også europæisk cybersikkerhedscertificering i forbindelse med offentlige udbud og Europa-Parlamentets og Rådets direktiv 2014/24/EU (21).

(92)

På nogle områder kan det fremover være nødvendigt at pålægge specifikke krav til cybersikkerhed og at gøre certificering heraf obligatorisk for visse IKT-produkter, -processer eller -tjenester for at forbedre cybersikkerheden i Unionen. Kommissionen bør regelmæssigt overvåge, hvordan de vedtagne europæiske cybersikkerhedscertificeringsordninger påvirker tilgængeligheden af sikre IKT-produkter, -tjenester og -processer i det indre marked, og bør regelmæssigt vurdere, i hvor stor grad certificeringsordningerne anvendes af producenter eller udbydere af IKT-produkter, -tjenester og -processer i Unionen. Effektiviteten af de europæiske certificeringsordninger, og hvorvidt bestemte ordninger bør gøres obligatoriske, bør vurderes i lyset af EU-lovgivningen vedrørende cybersikkerhed, navnlig direktiv (EU) 2016/1148, under hensyntagen til sikkerheden i net- og informationssystemer, der anvendes af operatører af væsentlige tjenester.

(93)

Europæiske cybersikkerhedsattester og EU-overensstemmelseserklæringer bør hjælpe slutbrugerne til at træffe informerede valg. IKT-produkter, -tjenester og -processer, der er certificeret, eller for hvilke der er udstedt en EU-overensstemmelsesvurdering, bør derfor ledsages af strukturerede oplysninger, der er tilpasset det forventede tekniske niveau hos den tilsigtede slutbruger. Alle sådanne oplysninger bør være tilgængelige online og, hvor det er hensigtsmæssigt, i et fysisk format. Slutbrugeren bør have adgang til oplysninger om certificeringsordningens referencenummer, tillidsniveauet, beskrivelsen af de cybersikkerhedsrisici, som er forbundet med IKT-produktet, -tjenesten eller -processen, samt den udstedende myndighed eller det udstedende organ, eller bør have mulighed for at rekvirere en kopi af den europæiske cybersikkerhedsattest. Desuden bør slutbrugeren informeres om den af producenten eller udbyderen af IKT-produkter, -tjenester eller -processer førte støttepolitik i forbindelse med cybersikkerhed, dvs. hvor længe slutbrugeren kan forvente at modtage cybersikkerhedsopdateringer eller -rettelser. Der bør, hvor det er relevant, vejledes om tiltag eller indstillinger, som slutbrugeren kan anvende for at opretholde eller øge IKT-produktets- eller -tjenestens cybersikkerhed, samt om kontaktoplysninger til et centralt kontaktpunkt til at indberette og modtage støtte i tilfælde af cyberangreb (i tillæg til automatisk indberetning). Disse oplysninger bør ajourføres regelmæssigt og gøres tilgængelige på et websted med oplysninger om europæiske cybersikkerhedscertificeringsordninger.

(94)

Med sigte på at nå denne forordnings mål og undgå fragmentering af det indre marked bør de nationale cybersikkerhedscertificeringsordninger eller -procedurer for IKT-produkter, -tjenester og -processer, der er omfattet af en europæisk cybersikkerhedscertificeringsordning, ophøre med at have virkning fra en dato, der fastsættes af Kommissionen ved hjælp af gennemførelsesretsakter. Medlemsstaterne bør desuden ikke indføre nye nationale cybersikkerhedscertificeringsordninger for IKT-produkter, -tjenester eller -processer, der allerede er omfattet af en eksisterende europæisk cybersikkerhedscertificeringsordning. Medlemsstaterne bør dog ikke være forhindret i at vedtage eller opretholde nationale cybersikkerhedscertificeringsordninger af nationale sikkerhedshensyn. Medlemsstaterne bør underrette Kommissionen og ECCG om enhver hensigt om at udarbejde nye nationale cybersikkerhedscertificeringsordninger. Kommissionen og ECCG bør evaluere, hvordan de nye nationale cybersikkerhedscertificeringsordninger påvirker et velfungerende indre marked og i lyset af en eventuel strategisk interesse i stedet at anmode om en europæisk cybersikkerhedscertificeringsordning.

(95)

Europæiske cybersikkerhedscertificeringsordninger har til formål at bidrage til at harmonisere cybersikkerhedspraksis i Unionen. De skal bidrage til at højne cybersikkerhedsniveauet i Unionen. Udformningen af de europæiske cybersikkerhedscertificeringsordninger bør tage hensyn til og tillade udvikling af innovative løsninger inden for cybersikkerhed.

(96)

Europæiske cybersikkerhedscertificeringsordninger bør tage hensyn til eksisterende metoder til udvikling af software og hardware og navnlig til, hvordan hyppige opdateringer af software eller firmware påvirker de individuelle europæiske cybersikkerhedsattester. Europæiske cybersikkerhedscertificeringsordninger bør fastsætte betingelserne for, at en opdatering kan kræve, at et IKT-produkt, en IKT-tjeneste eller en IKT-proces recertificeres, eller at anvendelsesområdet for en specifik europæisk cybersikkerhedsattest indskrænkes, under hensyntagen til opdateringens eventuelt negative indvirkning på overholdelsen af attestens sikkerhedskrav.

(97)

Når en europæisk cybersikkerhedscertificeringsordning er vedtaget, bør producenter eller udbydere af IKT-produkter, -tjenester eller -processer kunne indgive ansøgninger om certificering af deres IKT-produkter eller -tjenester til et overensstemmelsesvurderingsorgan efter eget valg over alt i Unionen. Overensstemmelsesvurderingsorganerne bør akkrediteres af et nationalt akkrediteringsorgan, hvis de opfylder visse nærmere krav fastsat i denne forordning. Akkreditering bør udstedes for en periode på højst fem år og bør kunne fornys på samme betingelser, forudsat at overensstemmelsesvurderingsorganet fortsat opfylder kravene. Nationale akkrediteringsorganer bør begrænse, suspendere eller tilbagekalde akkrediteringen af et overensstemmelsesvurderingsorgan, hvis betingelserne for akkrediteringen ikke eller ikke længere er opfyldt, eller hvis overensstemmelsesvurderingsorganet overtræder denne forordning.

(98)

Henvisninger i national lovgivning til nationale standarder, der er ophørt med at have virkning som følge af ikrafttrædelsen af en europæisk cybersikkerhedscertificeringsordning, kan være en kilde til forvirring. Medlemsstaterne bør derfor afspejle vedtagelsen af en europæisk cybersikkerhedscertificeringsordning i deres nationale lovgivning.

(99)

For at sikre ensartede standarder i hele Unionen, lette gensidig anerkendelse og fremme den generelle accept af europæiske cybersikkerhedsattester og EU-overensstemmelseserklæringer er det nødvendigt at indføre et peerreviewsystem mellem de nationale cybersikkerhedscertificeringsmyndigheder. Peerreviewet bør omfatte procedurer for tilsyn med IKT-produkters, -tjenesters og -processers overensstemmelse med europæiske cybersikkerhedsattester, for overvågning af de forpligtelser, som producenter eller udbydere af IKT-produkter, -tjenester eller -processer, der foretager selvvurdering, har og for overvågning af overensstemmelsesvurderingsorganer, samt relevansen af ekspertisen hos medarbejderne i organer, der udsteder attester for tillidsniveauet »højt«. Kommissionen bør ved hjælp af gennemførelsesretsakter kunne fastsætte mindst en femårig plan for peerreview samt fastlægge kriterier og metodologier for peerreviewsystemets drift.

(100)

Uden at det berører det generelle peerreviewsystem, der skal indføres for alle nationale cybersikkerhedscertificeringsmyndigheder inden for den europæiske ramme for cybersikkerhedscertificering, kan visse certificeringsordninger omfatte en peervurderingsmekanisme for de organer, der udsteder europæiske cybersikkerhedsattester for IKT-produkter, -tjenester og -processer med tillidsniveauet »højt« under sådanne ordninger. ECCG bør støtte gennemførelsen af sådanne peervurderingsmekanismer. Peervurderingerne bør navnlig vurdere, om de pågældende organer udfører deres opgaver på en harmoniseret måde, og kan omfatte appelmekanismer. Resultaterne af peervurderingerne bør offentliggøres. De pågældende organer kan vedtage hensigtsmæssige foranstaltninger for at tilpasse deres praksis og ekspertise i overensstemmelse hermed.

(101)

Medlemsstaterne bør udpege en eller flere nationale cybersikkerhedscertificeringsmyndigheder til at føre tilsyn med overholdelsen af de forpligtelser, der følger af denne forordning. En national cybersikkerhedscertificeringsmyndighed kan være en eksisterende eller ny myndighed. En medlemsstat bør også efter aftale med en anden medlemsstat kunne udpege en eller flere nationale cybersikkerhedscertificeringsmyndigheder på denne anden medlemsstats område.

(102)

Den nationale cybersikkerhedscertificeringsmyndighed bør navnlig overvåge og håndhæve de forpligtelser, som producenter eller udbydere af IKT-produkter, -tjenester eller -processer, der er etableret på dens respektive område, er underlagt i henhold til EU-overensstemmelseserklæringen, bistå de nationale akkrediteringsorganer med overvågning af og tilsyn med overensstemmelsesvurderingsorganers aktiviteter ved at stille ekspertise og relevante oplysninger til rådighed for dem, bemyndige overensstemmelsesvurderingsorganer til at udføre deres opgaver, hvis sådanne organer opfylder yderligere krav, der er fastsat i en europæisk cybersikkerhedscertificeringsordning, og overvåge relevante udviklinger inden for cybersikkerhedscertificering. De nationale cybersikkerhedscertificeringsmyndigheder bør også behandle klager fra fysiske eller juridiske personer i forbindelse med europæiske cybersikkerhedsattester udstedt af disse myndigheder eller i forbindelse med europæiske cybersikkerhedsattester udstedt af overensstemmelsesvurderingsorganer, når sådanne attester henviser til tillidsniveauet »højt«, undersøge genstanden for klagen i relevant omfang og underrette klageren om forløbet og resultatet af undersøgelsen inden for en rimelig frist. Herudover bør nationale cybersikkerhedscertificeringsmyndigheder samarbejde med andre nationale cybersikkerhedscertificerings myndigheder eller andre offentlige myndigheder, herunder ved at dele oplysninger om mulige tilfælde af IKT-produkters, -tjenesters og -processers manglende overholdelse af denne forordnings krav eller af specifikke cybersikkerhedscertificeringsordninger. Kommissionen bør lette denne udveksling af oplysninger ved at stille et understøttende generelt elektronisk informationssystem til rådighed, f.eks. informations- og kommunikationssystemet for markedsovervågning (ICSMS) og det hurtige varslingssystem for farlige nonfoodprodukter (RAPEX), som allerede anvendes af markedsovervågningsmyndighederne i medfør af forordning (EF) nr. 765/2008.

(103)

Med henblik på at sikre en ensartet anvendelse af den europæiske ramme for cybersikkerhedscertificering bør der oprettes en ECCG, som består af repræsentanter for de nationale cybersikkerhedscertificeringsmyndigheder eller andre relevante nationale myndigheder. ECCG's vigtigste opgaver bør være at rådgive og bistå Kommissionens i dens arbejde med at sikre en ensartet gennemførelse og anvendelse af den europæiske ramme for cybersikkerhedscertificering, at bistå og arbejde tæt sammen med ENISA ved udarbejdelsen af forslag til cybersikkerhedscertificeringsordninger, i behørigt begrundede tilfælde at anmode ENISA om at udarbejde et forslag til ordning samt at vedtage udtalelser rettet til ENISA vedrørende forslag til ordninger og til Kommissionen vedrørende vedligeholdelse og revision af eksisterende europæiske cybersikkerhedscertificeringsordninger. ECCG bør lette udvekslingen af god praksis og ekspertise mellem de forskellige nationale cybersikkerhedscertificeringsmyndigheder, der er ansvarlige for bemyndigelse af overensstemmelsesvurderingsorganer og udstedelse af europæiske cybersikkerhedsattester.

(104)

For at udbrede kendskabet til og lette accepten af fremtidige europæiske cybersikkerhedsordninger kan Kommissionen udstede generelle eller sektorspecifikke cybersikkerhedsretningslinjer om f.eks. god praksis inden for cybersikkerhed eller ansvarlig cybersikkerhedsadfærd, som fremhæver den positive virkning af certificerede IKT-produkter, -tjenester og -processer.

(105)

For yderligere at lette handelen og i erkendelse af, at IKT-forsyningskæderne er globale, kan aftaler om gensidig anerkendelse vedrørende europæiske cybersikkerhedsattester indgås af Unionen i overensstemmelse med artikel 218 i traktaten om Den Europæiske Unions funktionsmåde (TEUF). Kommissionen kan under hensyntagen til rådgivningen fra ENISA og ECCG anbefale, at der indledes relevante forhandlinger. Hver europæisk cybersikkerhedsordning bør fastsætte specifikke betingelser for sådan gensidig anerkendelse med tredjelande.

(106)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (22).

(107)

Undersøgelsesproceduren bør anvendes til at vedtage gennemførelsesretsakter om europæiske cybersikkerhedscertificeringsordninger for IKT-produkter, -tjenester eller -processer, til at vedtage gennemførelsesretsakter om ordninger for ENISA's gennemførelse af undersøgelser, til at vedtage gennemførelsesretsakter om en plan om peerreview af de nationale cybersikkerhedscertificeringsmyndigheder samt til vedtagelse af gennemførelsesretsakter om vilkår, formater og procedurer for de nationale cybersikkerhedscertificerings myndigheders anmeldelse af akkrediterede overensstemmelsesvurderingsorganer til Kommissionen.

(108)

Der bør foretages regelmæssig og uafhængig evaluering af ENISA's arbejde. Evalueringen bør tage hensyn til ENISA's mål, til dets arbejdsmetoder og til, om dets opgaver er relevante, navnlig dets opgaver vedrørende operationelt samarbejde på EU-plan. Evalueringen bør desuden vurdere virkningen og effektiviteten af den europæiske ramme for cybersikkerhedscertificering. I tilfælde af en revision bør Kommissionen evaluere, hvordan ENISA's rolle som referencepunkt for rådgivning og ekspertise kan styrkes, og bør desuden evaluere muligheden for, at ENISA får en rolle, som understøtter vurderingen af tredjelandes IKT-produkter, -tjenester og -processer, som ikke er i overensstemmelse med EU-reglerne, når sådanne produkter, tjenester og processer føres ind i Unionen.

(109)

Målene for denne forordning kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af dens virkning og effekt bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union (TEU). I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå disse mål.

(110)

Forordning (EU) nr. 526/2013 bør ophæves —

(1)

Formålet med dette direktiv er at bidrage til et velfungerende indre marked gennem indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser for så vidt angår tilgængelighedskrav for visse produkter og tjenester, navnlig ved at fjerne og forhindre barrierer for den frie bevægelighed for visse tilgængelige produkter og tjenester, der skyldes divergerende tilgængelighedskrav i medlemsstaterne. Dette vil forbedre adgangen til tilgængelige produkter og tjenester i det indre marked og forbedre tilgængeligheden af relevante oplysninger.

(2)

Efterspørgslen efter tilgængelige produkter og tjenester er stor, og antallet af personer med handicap forventes at stige betydeligt. Et miljø, hvor produkter og tjenester er mere tilgængelige, giver et mere inklusivt samfund og gør det lettere for personer med handicap at leve uafhængigt. I denne forbindelse bør det erindres, at flere kvinder end mænd i Unionen har et handicap.

(3)

Dette direktiv definerer personer med handicap i overensstemmelse med De Forenede Nationers konvention om rettigheder for personer med handicap, vedtaget den 13. december 2006 (UNCRPD), som Unionen har været part i siden den 21. januar 2011, og som samtlige medlemsstater har ratificeret. UNCRPD fastsætter, at personer med handicap »omfatter personer, der har en langvarig fysisk, psykisk, intellektuel eller sensorisk funktionsnedsættelse, som i samspil med forskellige barrierer kan hindre dem i fuldt og effektivt at deltage i samfundslivet på lige fod med andre«. Dette direktiv fremmer fuld og effektiv deltagelse på lige fod ved at forbedre adgangen til traditionelle produkter og tjenester, som gennem deres oprindelige design eller efterfølgende tilpasning tilgodeser de særlige behov hos personer med handicap.

(4)

Andre personer, der oplever funktionelle begrænsninger, f.eks. ældre personer, gravide kvinder eller personer, der rejser med bagage, vil også drage nytte af dette direktiv. Begrebet »personer med funktionelle begrænsninger« som omhandlet i dette direktiv omfatter personer med en fysisk, psykisk, intellektuel eller sensorisk funktionsnedsættelser, aldersrelateret handicap eller andre permanente eller midlertidige legemlige begrænsninger, som i samspil med forskellige barrierer medfører, at deres adgang til produkter og tjenester begrænses, og at sådanne produkter og tjenester skal tilpasses disse personers særlige behov.

(5)

Uoverensstemmelserne mellem medlemsstaternes love og administrative bestemmelser vedrørende produkters og tjenesters tilgængelighed for personer med handicap, skaber barrierer for den frie bevægelighed for produkter og tjenester og fordrejer effektiv konkurrence i det indre marked. Der vil formentlig ske en stigning i antallet af disse uoverensstemmelser i Unionen vedrørende visse produkter og tjenester efter UNCRPD's ikrafttræden. Erhvervsdrivende, navnlig små og mellemstore virksomheder (SMV'er), er i særlig grad påvirket af disse barrierer.

(6)

Som følge af forskellene mellem de nationale tilgængelighedskrav afskrækkes navnlig individuelle erhvervsdrivende, SMV'er og mikrovirksomheder fra at etablere en virksomhed uden for deres eget hjemmemarked. De nationale eller endog regionale eller lokale tilgængelighedskrav, som medlemsstaterne har indført, er i øjeblikket forskellige, både hvad angår dækning og detaljeringsgrad. Disse forskelle har en negativ indvirkning på konkurrenceevne og vækst som følge af de ekstra omkostninger, der er forbundet med udvikling og markedsføring af tilgængelige produkter og tjenester for hvert nationalt marked.

(7)

Forbrugere af tilgængelige produkter og tjenester og af kompenserende teknologier oplever høje priser på grund af begrænset konkurrence mellem leverandørerne. Uensartede regler i medlemsstaterne reducerer de potentielle fordele ved at dele erfaringer med nationale og internationale fagfæller vedrørende reaktionen på den samfundsmæssige og teknologiske udvikling.

(8)

En indbyrdes tilnærmelse af de nationale foranstaltninger på EU-plan er derfor nødvendig for et velfungerende indre marked og for at sætte en stopper for fragmentering af markedet for tilgængelige produkter og tjenester, skabe stordriftsfordele, lette grænseoverskridende handel og mobilitet samt hjælpe de erhvervsdrivende med at koncentrere ressourcerne om innovation i stedet for at anvende disse ressourcer til at dække udgifter, som opstår på grund af uensartet lovgivning i hele Unionen.

(9)

Fordelene ved harmonisering af tilgængelighedskravene i det indre marked er blevet påvist gennem anvendelsen af Europa-Parlamentets og Rådets direktiv 2014/33/EU (3) om elevatorer og Europa-Parlamentets og Rådets forordning (EF) nr. 661/2009 (4) på transportområdet.

(10)

I erklæring nr. 22 om handicappede, der er knyttet som bilag til Amsterdamtraktaten, vedtog man på konferencen mellem repræsentanterne for medlemsstaternes regeringer, at Unionens institutioner i forbindelse med udarbejdelsen af foranstaltninger i henhold til artikel 114 i traktaten om Den Europæiske Unions funktionsmåde (TEUF) skal tage hensyn til behovene hos personer med handicap.

(11)

Det overordnede mål med Kommissionens meddelelse af 6. maj 2015»strategien for et digitalt indre marked i EU« er at opnå bæredygtige økonomiske og sociale fordele på grundlag af et forbundet digitalt indre marked og dermed lette handelen og styrke beskæftigelsen i Unionen. I Unionen drager forbrugerne endnu ikke fuldt ud fordel af de priser og det udvalg, som det indre marked kan tilbyde, fordi omfanget af grænseoverskridende onlinetransaktioner stadig er meget begrænset. Fragmenteringen begrænser også efterspørgslen efter e-handelstransaktioner på tværs af grænserne. Der er endvidere behov for en samordnet indsats for at sikre, at elektronisk indhold, elektroniske kommunikationstjenester og adgang til audiovisuelle medietjenester er fuldt tilgængeligt for personer med handicap. Det er derfor nødvendigt at harmonisere tilgængelighedskravene i det digitale indre marked og sikre, at alle Unionens borgere uanset deres kvalifikationer kan udnytte fordelene.

(12)

Siden Unionen er blevet part i UNCRPD, er bestemmelserne heri blevet en integrerende del af Unionens retsorden og er bindende for EU-institutionerne og medlemsstaterne.

(13)

I UNCRPD fastsættes det, at dens parter skal træffe passende foranstaltninger for at sikre, at personer med handicap på lige fod med andre har adgang til det fysiske miljø, transport, information og kommunikation, herunder informations- og kommunikationsteknologier og -systemer, samt til andre faciliteter og tjenester, der er åbne for eller leveres til offentligheden, både i byområder og i landdistrikter. FN's Komité for Rettigheder for Personer med Handicap har identificeret behovet for at skabe lovgivningsmæssige rammer med konkrete, eksigible og tidsbestemte benchmarks for overvågning af den gradvise indførelse af tilgængelighed.

(14)

I UNCRPD opfordres dens deltagerstater til at iværksætte eller fremme forskning og udvikling af, og fremme tilgængeligheden og anvendelsen af ny teknologi, herunder informations- og kommunikationsteknologi, mobilitetsfremmende hjælpemidler, udstyr og kompenserende teknologier, som er egnet for personer med handicap. I UNCRPD opfordres der desuden til, at der lægges særlig vægt på prismæssigt overkommelig teknologi.

(15)

Ikrafttrædelsen af UNCRPD i medlemsstaternes retsorden medfører et behov for at vedtage supplerende nationale bestemmelser om produkters og tjenesters tilgængelighed. Uden Unionens tiltag ville disse bestemmelser øge uoverensstemmelserne mellem medlemsstaternes love og administrative bestemmelser yderligere.

(16)

Det er derfor nødvendigt at fremme gennemførelsen i Unionen af UNCRPD gennem fastsættelse af fælles EU-regler. Dette direktiv støtter også medlemsstaterne i deres indsats for at leve op til deres nationale forpligtelser og deres forpligtelser i medfør af UNCRPD, hvad angår tilgængelighed på en harmoniseret måde.

(17)

Kommissionens meddelelse af 15. november 2010»Den europæiske handicapstrategi 2010-2020: et nyt tilsagn om et Europa uden barrierer« udpeger i overensstemmelse med UNCRPD tilgængelighed som et af de otte aktionsområder, anfører, at det er en grundlæggende forudsætning for at kunne deltage i samfundet, og tager sigte på at sikre tilgængelighed i forbindelse med produkter og tjenester.

(18)

Fastlæggelsen af de produkter og tjenester, der er omfattet af dette direktivs anvendelsesområde, er baseret på en screening i forbindelse med udarbejdelsen af konsekvensanalysen, hvor der blev udpeget produkter og tjenester, som er relevante for personer med handicap, og for hvilke medlemsstaterne har vedtaget eller sandsynligvis vil vedtage divergerende nationale tilgængelighedskrav, der forstyrrer det indre markeds funktion.

(19)

Med henblik på at sikre tilgængeligheden af de tjenester, der er omfattet af dette direktivs anvendelsesområde, bør det kræves, at produkter anvendt i forbindelse med leveringen af de tjenester, som forbrugeren interagerer med, også opfylder de gældende tilgængelighedskrav i dette direktiv.

(20)

Selv hvis en tjeneste, eller en del af en tjeneste, leveres af en tredjepartsunderleverandør, bør det ikke berøre tilgængeligheden af den pågældende tjeneste, og tjenesteyderne bør overholde forpligtelserne i dette direktiv. Tjenesteydere bør også sikre relevant og løbende uddannelse af deres medarbejdere, så de ved, hvordan tilgængelige produkter og tjenester skal bruges. Denne uddannelse bør omfatte aspekter som informationsformidling, rådgivning og markedsføring.

(21)

Tilgængelighedskrav bør indføres på den mindst byrdefulde måde for de erhvervsdrivende og medlemsstaterne.

(22)

Det er nødvendigt at præcisere tilgængelighedskravene i forbindelse med omsætning af produkter og tjenester, der er omfattet af dette direktivs anvendelsesområde, for at sikre deres frie bevægelighed i det indre marked.

(23)

Dette direktiv bør gøre funktionelle tilgængelighedskrav obligatoriske og de bør formuleres i form af generelle mål. Disse krav bør være præcise nok til at skabe retligt bindende forpligtelser og tilstrækkeligt detaljerede til at gøre det muligt at vurdere overensstemmelsen med henblik på at sikre et velfungerende indre marked for produkter og tjenester, der er omfattet af dette direktiv, og tillade en vis grad af fleksibilitet for at åbne mulighed for innovation.

(24)

Dette direktiv indeholder en række funktionelle resultatkriterier vedrørende betjeningsmåderne for produkter og tjenester. Disse kriterier er ikke tænkt som et generelt alternativ til de tilgængelighedskrav, der er fastsat i dette direktiv, men bør alene anvendes under ganske særlige omstændigheder. Disse kriterier bør gælde for produkternes eller tjenesternes særlige funktioner eller funktionaliteter med henblik på at gøre dem tilgængelige, når tilgængelighedskravene i dette direktiv ikke omhandler en eller flere af produkternes eller tjenesternes særlige funktioner eller funktionaliteter. I det tilfælde, at et tilgængelighedskrav indeholder særlige tekniske krav, og der i produktet eller tjenesten findes en alternativ teknisk løsning for de pågældende tekniske krav, bør denne alternative tekniske løsning desuden stadig opfylde de relevante tilgængelighedskrav og bør føre til tilsvarende eller øget tilgængelighed under anvendelse af de relevante funktionelle resultatkriterier.

(25)

Dette direktiv bør omfatte forbrugerorienterede computerhardwaresystemer til generelle formål. For at disse systemer kan fungere på en tilgængelig måde, bør deres operativsystemer også være tilgængelige. Sådanne computerhardwaresystemer er kendetegnet ved deres multifunktionelle karakter og deres evne til med den rette software at udføre de mest almindelige computeropgaver, som forbrugerne efterspørger, og er beregnet til at skulle betjenes af forbrugerne. PC'er, herunder stationære computere, bærbare computere, smartphones og tablets er eksempler på sådanne computerhardwaresystemer. Specialiserede computere i forbrugerelektronikprodukter udgør ikke forbrugerorienterede computerhardwaresystemer til generelle formål. Dette direktiv bør ikke på individuelt grundlag omfatte enkelte komponenter med særlige funktioner som f.eks. et bundkort eller en hukommelseschip, der anvendes eller kan anvendes i sådanne systemer.

(26)

Dette direktiv bør også omfatte betalingsterminaler, herunder både deres hardware og software, og visse interaktive selvbetjeningsterminaler, herunder både deres hardware og software, som er beregnet til levering af tjenester, der er omfattet af dette direktiv, f.eks. pengeautomater, billetautomater, der udsteder fysiske billetter, som giver adgang til tjenester, såsom automater til køb af rejsehjemmel, nummerautomater i banker, selvbetjeningsautomater til check-in og interaktive selvbetjeningsterminaler, der leverer oplysninger, herunder interaktive informationsskærme.

(27)

Visse interaktive selvbetjeningsterminaler, der leverer oplysninger, som er installeret som en integreret del af køretøjer, luftfartøjer, skibe eller rullende materiel, bør dog udelukkes fra dette direktivs anvendelsesområde, eftersom de er en del af de køretøjer, luftfartøjer og skibe eller det rullende materiel, der ikke er omfattet af dette direktiv.

(28)

Dette direktiv bør endvidere omfatte elektroniske kommunikationstjenester, herunder alarmkommunikation, som defineret i Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 (5). De foranstaltninger, som medlemsstaterne har truffet for at give personer med handicap adgang, er i øjeblikket forskellige og er ikke harmoniserede i hele det indre marked. Ved at sikre, at de samme tilgængelighedskrav finder anvendelse i hele Unionen, opnås stordriftsfordele for erhvervsdrivende, der er aktive i mere end én medlemsstat, og den effektive adgang for personer med handicap både i deres egen medlemsstat, og når de rejser mellem medlemsstater, lettes. For at elektroniske kommunikationstjenester, herunder alarmkommunikation, kan være tilgængelige, bør tjenesteyderen, foruden tale, tilbyde tekst, i realtid og totale konversationstjenester, når de leverer video, og sikre synkroniseringen af alle disse kommunikationsmidler. Medlemsstaterne bør ud over kravene i nærværende direktiv i overensstemmelse med direktiv (EU) 2018/1972 kunne fastsætte en relætjenesteyder, som kan anvendes af personer med handicap.

(29)

Dette direktiv harmoniserer tilgængelighedskrav for elektroniske kommunikationstjenester og relaterede produkter og supplerer direktiv (EU) 2018/1972, som fastsætter krav vedrørende lige adgangs- og valgmuligheder for slutbrugere med handicap. Direktiv (EU) 2018/1972 fastsætter i overensstemmelse med forsyningspligten også krav vedrørende en overkommelig pris for internetadgang og talekommunikation og en overkommelig pris for og adgang til relevant terminaludstyr, specifikt udstyr og specifikke tjenester for forbrugere med handicap.

(30)

Dette direktiv bør endvidere dække forbrugerterminaludstyr med interaktiv databehandlingskapacitet, der primært forventes at blive anvendt til at få adgang til elektroniske kommunikationstjenester. Med henblik på dette direktiv bør dette udstyr anses for at omfatte udstyr, der anvendes som led i konfigurationen for at få adgang til elektroniske kommunikationstjenester, f.eks. en router eller et modem.

(31)

Med henblik på dette direktiv bør der ved adgang til audiovisuelle medietjenester forstås, at adgangen til audiovisuelt indhold er tilgængelig, og det samme gælder mekanismer, der giver brugere med handicap mulighed for at anvende deres kompenserende teknologier. Tjenester, der giver adgang til audiovisuelle medietjenester, kan omfatte websteder, onlineapplikationer, set-top-boks-baserede applikationer, applikationer, som kan downloades, tjenester til mobile enheder, herunder mobilapplikationer og tilhørende medieafspillere samt forbundne TV-tjenester. Audiovisuelle medietjenesters tilgængelighed reguleres ved Europa-Parlamentets og Rådets direktiv 2010/13/EU (6) med undtagelse af tilgængeligheden af elektroniske programoversigter (EPG'er), der er omfattet af definitionen af tjenester, der giver adgang til audiovisuelle medietjenester, som nærværende direktiv finder anvendelse på.

(32)

I forbindelse med personbefordring med fly, bus, tog og skib bør dette direktiv bl.a. omfatte levering af information om transporttjenester, herunder rejseinformation i realtid, via websteder, tjenester til mobile enheder, interaktive informationsskærme og interaktive selvbetjeningsterminaler, som er påkrævet, for at passagerer med handicap kan rejse. Dette kunne omfatte tjenesteyderens personbefordringsprodukter og -tjenester, information før og under rejsen og information, når en tjeneste er aflyst, eller dens afgang er forsinket. Andre informationer kunne også være oplysninger om priser og tilbud.

(33)

Dette direktiv bør også omfatte websteder, tjenester til mobile enheder, herunder mobilapplikationer, der udvikles eller stilles til rådighed af personbefordringsvirksomheder inden for dette direktivs anvendelsesområde eller på deres vegne, elektroniske billettjenester, elektroniske billetter og interaktive selvbetjeningsterminaler.

(34)

Fastsættelsen af anvendelsesområdet for dette direktiv for så vidt angår personbefordring med fly, bus, tog og skib bør baseres på den nugældende sektorspecifikke lovgivning vedrørende passagerrettigheder. I det omfang dette direktiv ikke finder anvendelse på visse typer transporttjenester, bør medlemsstaterne tilskynde tjenesteydere til at anvende de relevante tilgængelighedskrav i dette direktiv.

(35)

Europa-Parlamentets og Rådets direktiv (EU) 2016/2102 (7) forpligter allerede offentlige organer, der leverer transporttjenester, herunder transporttjenester i byer og forstæder og regionale transporttjenester, til at gøre deres websteder tilgængelige. Nærværende direktiv indeholder undtagelser for mikrovirksomheder, der leverer tjenester, herunder transporttjenester i byer og forstæder og regionale transporttjenester. Desuden forpligter nærværende direktiv til at sikre, at e-handelswebsteder er tilgængelige. Eftersom nærværende direktiv forpligter langt størstedelen af de private transporttjenesteydere til at gøre deres websteder tilgængelige, når de sælger billetter online, er det ikke nødvendigt at indføre yderligere krav for websteder tilhørende transporttjenesteydere i byer og forstæder og regionale transporttjenesteydere i nærværende direktiv.

(36)

Visse elementer af tilgængelighedskravene, navnlig hvad angår levering af oplysninger som omhandlet i dette direktiv, er allerede omfattet af gældende EU-ret på personbefordringsområdet. Der er tale om elementer i Europa-Parlamentets og Rådets forordning (EF) nr. 261/2004 (8), Europa-Parlamentets og Rådets forordning (EF) nr. 1107/2006 (9), Europa-Parlamentets og Rådets forordning (EF) nr. 1371/2007 (10) for så vidt angår jernbanetransport, Europa-Parlamentets og Rådets forordning (EU) nr. 1177/2010 (11) og Europa-Parlamentets og Rådets forordning (EU) nr. 181/2011 (12). Dette omfatter også relevante retsakter, som er vedtaget på grundlag af Europa-Parlamentets og Rådets direktiv 2008/57/EF (13). For at sikre reguleringsmæssig konsekvens bør tilgængelighedskravene i disse forordninger og disse retsakter fortsat finde anvendelse som hidtil. De yderligere krav i nærværende direktiv vil imidlertid supplere de eksisterende krav og dermed forbedre det indre markeds funktion på transportområdet og være til fordel for personer med handicap.

(37)

Visse elementer af transporttjenester bør ikke være omfattet af dette direktiv, når de leveres uden for medlemsstaternes område, selv når tjenesten har været rettet mod EU-markedet. Med hensyn til disse aspekter bør en personbefordringsvirksomhed kun være forpligtet til at sikre, at kravene i dette direktiv er opfyldt for så vidt angår den del af tjenesten, der udbydes inden for Unionens område. Hvad angår lufttransport, bør EU-luftfartsselskaber være forpligtede til at sikre, at de relevante krav i dette direktiv også opfyldes med hensyn til flyvninger fra en lufthavn, der er beliggende i et tredjeland, til en lufthavn beliggende på en medlemsstats område. Desuden bør alle luftfartsselskaber, herunder luftfartsselskaber, der ikke har licens i Unionen, sikre, at de relevante krav i dette direktiv opfyldes i situationer, hvor et fly afgår fra Unionens område og flyver til et tredjelands område.

(38)

Bymyndighederne bør tilskyndes til at integrere barrierefri tilgængelighed til bytransporttjenester i deres planer for bæredygtig bytrafik og til regelmæssigt at offentliggøre oversigter over bedste praksis med hensyn til barrierefri tilgængelighed til offentlig bytransport og -mobilitet.

(39)

EU-retten om banktjenester og finansielle tjenester tager sigte på at beskytte og informere forbrugere af disse tjenester over hele Unionen, men omfatter ikke tilgængelighedskrav. Med henblik på at gøre det muligt for personer med handicap at bruge disse tjenester i hele Unionen, herunder når de leveres via websteder og mobilbaserede applikationer, at træffe velinformerede beslutninger og at sikre, at de beskyttes ordentligt på lige fod med andre forbrugere og sørge for ensartede spilleregler for tjenesteyderne, bør dette direktiv fastsætte fælles tilgængelighedskrav for visse banktjenester og finansielle tjenester, der leveres til forbrugerne.

(40)

De nødvendige tilgængelighedskrav bør også gælde identifikationsmetoder, elektronisk signatur og betalingstjenester, eftersom de er nødvendige for at foretage forbrugerorienterede banktransaktioner.

(41)

E-bogsfiler er baseret på en elektronisk computerkodning, der muliggør udbredelse og konsultation af et overvejende tekstligt eller grafisk intellektuelt værk. Denne kodnings præcisionsgrad bestemmer e-bogsfilers tilgængelighed, navnlig med hensyn til definitionen af de forskellige elementer, som arbejdet består af, og den standardiserede beskrivelse af dets struktur. Interoperabiliteten med hensyn til tilgængelighed bør optimere disse filers kompatibilitet med brugeragenterne og med eksisterende og fremtidige kompenserende teknologier. Specifikke karakteristika ved særlige bogudgivelser såsom tegneserier, børnebøger og kunstbøger bør overvejes i lyset af alle gældende tilgængelighedskrav. Divergerende tilgængelighedskrav i medlemsstaterne ville gøre det vanskeligt for forlæggere og andre erhvervsdrivende at udnytte det indre markeds fordele, kunne skabe interoperabilitetsproblemer med e-læsere og ville begrænse adgangen for forbrugere med handicap. I forbindelse med e-bøger kan tjenesteyderkonceptet omfatte forlæggere og andre erhvervsdrivende, der er involveret i distributionen heraf.

Det anerkendes, at personer med handicap fortsat møder barrierer for adgang til indhold, der er beskyttet af ophavsret og beslægtede rettigheder, og at der allerede er truffet visse foranstaltninger for at afhjælpe denne situation f.eks. gennem vedtagelsen af Europa-Parlamentets og Rådets direktiv (EU) 2017/1564 (14) og Europa-Parlamentets og Rådets forordning (EU) 2017/1563 (15), og at der i fremtiden kan træffes yderligere EU-foranstaltninger i denne henseende.

(42)

Dette direktiv definerer e-handelstjenester som en tjeneste, der teleformidles via websteder og tjenester til mobile enheder ad elektronisk vej efter individuel anmodning fra en forbruger med henblik på at indgå en forbrugeraftale. I denne definition betyder »teleformidling«, at tjenesten leveres, uden at parterne er til stede samtidig; »ad elektronisk vej« betyder, at tjenesten sendes fra afsendelsesstedet og modtages på bestemmelsesstedet ved hjælp af elektronisk udstyr til behandling (herunder digital komprimering) og lagring af data og sendes, formidles og modtages i sin helhed via tråd, radio, optiske midler eller andre elektromagnetiske midler; »efter individuel anmodning fra en forbruger« betyder, at tjenesten leveres efter individuel anmodning. I betragtning af e-handelstjenesters større betydning og deres stærkt teknologiske karakter er det vigtigt at have harmoniserede krav om deres tilgængelighed.

(43)

De tilgængelighedsforpligtelser vedrørende e-handelstjenester, der er fastsat i dette direktiv, bør finde anvendelse på onlinesalg af alle produkter og tjenester og bør derfor også finde anvendelse på salg af et produkt eller en tjeneste, der specifikt er omfattet af dette direktiv.

(44)

De foranstaltninger, der vedrører tilgængelighed af besvarelse af alarmkommunikation, bør vedtages, uden at det indskrænker eller har nogen indvirkning på tilrettelæggelsen af beredskabstjenesterne, der forbliver under medlemsstaternes enekompetence.

(45)

Medlemsstaterne skal i overensstemmelse med direktiv (EU) 2018/1972 sikre, at slutbrugere med handicap har adgang til beredskabstjenester via alarmkommunikation svarende til, hvad der gælder for andre slutbrugere i overensstemmelse med EU-retten, der harmoniserer tilgængelighedskrav for produkter og tjenester. Kommissionen og de nationale tilsynsmyndigheder og andre kompetente myndigheder skal træffe passende foranstaltninger med det formål at sikre, at slutbrugere med handicap har adgang til beredskabstjenester på lige fod med andre slutbrugere, når de rejser i en anden medlemsstat, så vidt muligt uden forudgående registrering. Disse foranstaltninger tilstræber at sikre interoperabilitet på tværs af medlemsstaterne og skal i videst mulig udstrækning baseres på europæiske standarder eller specifikationer, der er fastsat i overensstemmelse med artikel 39 i direktiv (EU) 2018/1972. Sådanne foranstaltninger er ikke til hinder for, at medlemsstaterne kan vedtage yderligere krav for at forfølge målene i nævnte direktiv. Som alternativ til opfyldelse af de tilgængelighedskrav med hensyn til besvarelse af alarmkommunikation for brugere med handicap, der er fastsat i dette direktiv, bør medlemsstaterne kunne fastsætte en tredjepartsrelætjenesteyder, som kan anvendes af personer med handicap til at kommunikere med alarmcentralen, indtil alarmcentralerne er i stand til at anvende elektroniske kommunikationstjenester gennem internetprotokoller til sikring af tilgængelighed af besvarelse af alarmkommunikation. Under alle omstændigheder bør de forpligtelser, der er fastsat i dette direktiv, ikke fortolkes således, at de begrænser eller mindsker forpligtelserne til fordel for slutbrugere med handicap, herunder den lige adgang til elektroniske kommunikationstjenester og beredskabstjenester samt tilgængelighedsforpligtelser, der er fastsat i direktiv (EU) 2018/1972.

(46)

Direktiv (EU) 2016/2102 fastsætter tilgængelighedskravene til offentlige organers websteder, mobilapplikationer og andre relaterede aspekter, navnlig kravene vedrørende de relevante websteders og mobilapplikationers opfyldelse af kravene. Direktivet indeholder dog også en særlig liste over undtagelser. Lignende undtagelser er relevante for nærværende direktiv. Visse aktiviteter, der finder sted via offentlige organers websteder og mobilapplikationer, såsom personbefordring eller e-handelstjenester, der er omfattet af dette direktivs anvendelsesområde, bør tillige opfylde de gældende tilgængelighedskrav, der er fastsat i dette direktiv, for at sikre, at onlinesalg af produkter og tjenester er tilgængeligt for personer med handicap, uanset om sælger er en offentlig eller en privat erhvervsdrivende. De tilgængelighedskrav, der er fastsat i dette direktiv, bør tilpasses til kravene i direktiv (EU) 2016/2102 til trods for forskelle med hensyn til f.eks. overvågning, rapportering og håndhævelse.

(47)

De fire principper for tilgængelighed for websteder og mobilapplikationer, der anvendes i direktiv (EU) 2016/2102, er: opfattelighed, dvs. at oplysninger og brugergrænsefladekomponenter skal kunne præsenteres for brugerne på måder, som de kan opfatte; anvendelighed, dvs. at brugergrænsefladekomponenter og -navigation skal kunne anvendes; forståelighed, dvs. at oplysninger og betjening af brugergrænsefladen skal være forståelig; og robusthed, dvs. at indhold skal være robust nok til at kunne fortolkes stabilt af en bred vifte af brugeragenter, herunder kompenserende teknologier. Disse principper er også relevante for nærværende direktiv.

(48)

Medlemsstaterne bør træffe alle nødvendige foranstaltninger for at sikre, at den frie bevægelighed inden for Unionen for produkter og tjenester, der er omfattet af dette direktiv, og som opfylder de gældende tilgængelighedskrav, ikke hindres som følge af spørgsmål vedrørende tilgængelighedskrav.

(49)

I nogle situationer vil fælles tilgængelighedskrav for det byggede miljø lette den frie bevægelighed for relaterede tjenester og for personer med handicap. Derfor bør dette direktiv gøre det muligt for medlemsstaterne at medtage det byggede miljø, der anvendes til levering af de tjenester, der er omfattet af dette direktiv, og således sikre opfyldelse af tilgængelighedskravene i bilag III.

(50)

Tilgængelighed bør opnås ved systematisk at fjerne og forebygge barrierer, helst gennem et universelt design eller en »design for alle«-tilgang, der bidrager til at sikre adgang for personer med handicap på lige fod med andre. I henhold til UNCRPD indebærer denne tilgang »udformning af produkter, omgivelser, ordninger og tilbud, således at de i videst muligt omfang kan anvendes af alle personer uden behov for tilpasning eller særlig udformning«. Begrebet »universelt design« må i tråd med UNCRPD ikke udelukke kompenserende redskaber til særlige grupper af personer, herunder personer med handicap, når der er behov herfor. Endvidere bør tilgængelighed ikke udelukke tilpasninger i rimeligt omfang, når det kræves i EU-retten eller national ret. Tilgængelighed og universelt design bør fortolkes i overensstemmelse med generel kommentar nr. 2 (2014) om konventionens artikel 9, som FN's Komité for Rettigheder for Personer med Handicap har udarbejdet.

(51)

Produkter og tjenester, der er omfattet af dette direktivs anvendelsesområde, er ikke automatisk omfattet af anvendelsesområdet for Rådets direktiv 93/42/EØF (16). Nogle kompenserende teknologier, der er medicinsk udstyr, kan dog være omfattet af anvendelsesområdet for nævnte direktiv.

(52)

De fleste job i Unionen tilvejebringes af SMV'er og mikrovirksomheder. De har en afgørende betydning for den fremtidige vækst, men stilles meget ofte over for forhindringer og problemer i forbindelse med udviklingen af deres produkter eller tjenester, navnlig i grænseoverskridende sammenhæng. Det er derfor nødvendigt at lette arbejdet for SMV'erne og mikrovirksomhederne ved at harmonisere de nationale bestemmelser om tilgængelighed, samtidig med at de nødvendige sikkerhedsforanstaltninger opretholdes.

(53)

For at mikrovirksomheder og SMV'er kan drage nytte af dette direktiv, skal de reelt opfylde kravene i Kommissionens henstilling 2003/361/EF (17) og den relevante retspraksis, der sigter mod at forhindre, at dens regler omgås.

(54)

Med henblik på at sikre sammenhæng i EU-retten bør dette direktiv baseres på Europa-Parlamentets og Rådets afgørelse nr. 768/2008/EF (18), da det vedrører produkter, der allerede er omfattet af andre EU-retsakter, samtidig med at de særlige karakteristika ved tilgængelighedskravene i dette direktiv anerkendes.

(55)

Alle erhvervsdrivende, der er omfattet af dette direktivs anvendelsesområde og indgår i forsynings- og distributionskæden, bør sikre, at de kun gør produkter, som er i overensstemmelse med dette direktiv, tilgængelige på markedet. Det samme bør gælde erhvervsdrivende, der leverer tjenester. Det er nødvendigt at fastlægge en klar og forholdsmæssig fordeling af forpligtelserne svarende til hver enkelt erhvervsdrivendes rolle i forsynings- og distributionsprocessen.

(56)

De erhvervsdrivende bør være ansvarlige for at sikre produkters og tjenesters opfyldelse i henhold til deres rolle i forsyningskæden, således at der sikres et højt niveau af beskyttelse af tilgængelighed og fair konkurrencebetingelser på EU-markedet.

(57)

De i dette direktiv fastsatte forpligtelser bør finde ens anvendelse på erhvervsdrivende fra den offentlige og den private sektor.

(58)

Fabrikanten er med sin detaljerede viden om design- og fremstillingsprocessen den, der bedst kan stå for den fuldstændige overensstemmelsesvurdering. Selv om ansvaret for produkternes overensstemmelse påhviler fabrikanten, bør markedsovervågningsmyndighederne spille en afgørende rolle i kontrollen af, om produkter, der gøres tilgængelige i Unionen, er fremstillet i henhold til EU-retten.

(59)

Distributører og importører bør derfor inddrages i de markedsovervågningsopgaver, der udføres af nationale myndigheder, og bør bidrage aktivt ved at give de kompetente myndigheder alle nødvendige oplysninger om det pågældende produkt.

(60)

Importører bør sikre, at produkter fra tredjelande, der kommer ind på EU-markedet, overholder dette direktiv, og navnlig at fabrikanterne har underkastet produkterne hensigtsmæssige overensstemmelsesvurderingsprocedurer.

(61)

Når importører bringer et produkt i omsætning på markedet, bør de på produktet anføre deres navn, registrerede firmanavn eller registrerede varemærke og den adresse, hvorpå de kan kontaktes.

(62)

Distributører bør sikre, at deres håndtering af produktet ikke indvirker negativt på produktets opfyldelse af tilgængelighedskravene i dette direktiv.

(63)

En erhvervsdrivende, der enten bringer et produkt i omsætning under sit eget navn eller varemærke eller ændrer et produkt, der allerede er bragt i omsætning, på en sådan måde, at opfyldelsen af de gældende krav kan blive berørt, bør anses for at være fabrikanten og påtage sig en fabrikants forpligtelser.

(64)

Af hensyn til proportionaliteten bør tilgængelighedskrav kun finde anvendelse, i det omfang de ikke medfører en uforholdsmæssig stor byrde for den pågældende erhvervsdrivende eller i det omfang, at de ikke kræver en væsentlig ændring af de pågældende produkter og tjenester, som vil medføre en grundlæggende ændring i forhold til dette direktiv. Ikke desto mindre bør der indføres kontrolmekanismer med henblik på at verificere, at en undtagelse fra anvendelsen af tilgængelighedskravene er berettiget.

(65)

Dette direktiv bør følge princippet om »tænk småt først« og tage hensyn til de administrative byrder, som påhviler SMV'er. Det bør fastsætte ikkevidtgående regler med hensyn til overensstemmelsesvurdering og bør indføre beskyttelsesklausuler for de erhvervsdrivende frem for at foreskrive generelle undtagelser og fritagelser for sådanne virksomheder. Følgelig bør der ved fastsættelsen af reglerne for udvælgelse og gennemførelse af de mest hensigtsmæssige overensstemmelsesvurderingsprocedurer tages hensyn til SMV'ernes situation, og forpligtelsen til at vurdere tilgængelighedskravenes overensstemmelse bør begrænses, således at den ikke udgør en uforholdsmæssig stor byrde for SMV'erne. Desuden bør markedsovervågningsmyndigheder udføre deres arbejde på en forholdsmæssigt afpasset måde, dvs. under hensyn til virksomhedernes størrelse og til, at de pågældende produkter kun i mindre omfang eller slet ikke er seriefremstillede, uden at der skabes unødvendige hindringer for SMV'er og uden at bringe beskyttelsen af offentlige interesser i fare.

(66)

I de særlige tilfælde, hvor overholdelsen af tilgængelighedskravene i dette direktiv vil medføre en uforholdsmæssig stor byrde for de erhvervsdrivende, bør det kun forlanges, at erhvervsdrivende opfylder kravene, i det omfang de ikke medfører en uforholdsmæssig stor byrde. I sådanne behørigt begrundede tilfælde er det ikke med rimelighed muligt for en erhvervsdrivende fuldt ud at anvende et eller flere af tilgængelighedskravene i dette direktiv. Den erhvervsdrivende bør dog gøre en tjeneste eller et produkt, der er omfattet af dette direktivs anvendelsesområde, så tilgængelig som muligt ved at opfylde de pågældende krav, i det omfang de ikke medfører en uforholdsmæssig stor byrde. De tilgængelighedskrav, som den erhvervsdrivende ikke mente ville medføre en uforholdsmæssig stor byrde, bør gælde fuldt ud. Undtagelser for så vidt angår opfyldelse af et eller flere tilgængelighedskrav på grund af den uforholdsmæssig store byrde, som de medfører, bør ikke gå videre, end hvad der er strengt nødvendigt for at begrænse denne byrde med hensyn til netop det pågældende produkt eller den pågældende tjeneste i hvert enkelt tilfælde. Ved foranstaltninger, som vil medføre en uforholdsmæssig stor byrde, bør forstås foranstaltninger, som vil pålægge en erhvervsdrivende en yderligere uforholdsmæssig stor organisatorisk eller økonomisk byrde, under hensyn til de sandsynlige resulterende fordele for personer med handicap i overensstemmelse med de kriterier, der er fastsat i dette direktiv. Der bør defineres kriterier på grundlag af disse betragtninger med henblik på at gøre det muligt for både erhvervsdrivende og relevante myndigheder at sammenligne forskellige situationer og vurdere på en systematisk måde, om der foreligger en uforholdsmæssig stor byrde. Kun rimelige grunde bør tages i betragtning ved en vurdering af, i hvilket omfang tilgængelighedskravene ikke kan opfyldes, fordi de vil medføre en uforholdsmæssig stor byrde. Manglende prioritering, tid eller viden bør ikke betragtes som rimelige grunde.

(67)

Den overordnede vurdering af en uforholdsmæssig stor byrde bør foregå under anvendelse af de i bilag VI fastsatte kriterier. Vurderingen af en uforholdsmæssig stor byrde bør dokumenteres af den erhvervsdrivende under hensyn til de relevante kriterier. Tjenesteydere bør forny deres vurdering af en uforholdsmæssig stor byrde mindst hvert femte år.

(68)

Den erhvervsdrivende bør informere de relevante myndigheder om, at denne har baseret sig på dette direktivs bestemmelser vedrørende grundlæggende ændring og/eller uforholdsmæssig stor byrde. Den erhvervsdrivende bør kun efter anmodning fra de relevante myndigheder fremlægge en kopi af vurderingen med forklaring på, hvorfor dennes produkt eller tjeneste ikke er fuldt tilgængelig, og med bevis for den uforholdsmæssig store byrde eller grundlæggende ændring.

(69)

Hvis en tjenesteyder på grundlag af den påkrævede vurdering konkluderer, at det ville udgøre en uforholdsmæssig stor byrde at kræve, at alle selvbetjeningsterminaler, der anvendes ved levering af de tjenester, der er omfattet af dette direktiv, opfylder tilgængelighedskravene i dette direktiv, bør tjenesteyderen stadig anvende disse krav, i det omfang disse krav ikke pålægger dem en sådan uforholdsmæssig stor byrde. Tjenesteyderen bør derfor vurdere, i hvilket omfang et begrænset tilgængelighedsniveau i alle selvbetjeningsterminaler eller et begrænset antal fuldt tilgængelige selvbetjeningsterminaler vil gøre det muligt for dem at undgå en uforholdsmæssig stor byrde, som de ellers ville blive pålagt, og bør kun kræves at opfylde tilgængelighedskravene i dette direktiv i dette omfang.

(70)

Mikrovirksomheder adskiller sig fra alle andre virksomheder i kraft af deres begrænsede menneskelige ressourcer, den årlige omsætning eller årlige balance. Byrden i forbindelse med opfyldelse af tilgængelighedskravene for mikrovirksomheder vil derfor generelt lægge beslag på en større andel af deres finansielle og menneskelige ressourcer i forhold til andre virksomheder og er mere tilbøjelig til at udgøre en uforholdsmæssig stor andel af omkostningerne. En væsentlig andel af omkostningerne for mikrovirksomheder udspringer af udfyldelse af papirer og registerføring for at dokumentere, at de forskellige krav i EU-retten er opfyldt. Selv om alle erhvervsdrivende, der er omfattet af dette direktiv, bør være i stand til at vurdere proportionaliteten i opfyldelsen af tilgængelighedskravene i dette direktiv, og kun bør opfylde dem, for så vidt som de ikke er uforholdsmæssig store, ville et krav om en sådan vurdering fra mikrovirksomheder, der leverer tjenester, i sig selv udgøre en uforholdsmæssig stor byrde. Kravene og forpligtelserne i dette direktiv bør derfor ikke finde anvendelse på mikrovirksomheder, der leverer tjenester inden for dette direktivs anvendelsesområde.

(71)

For mikrovirksomheder, der handler med produkter, der er omfattet af dette direktivs anvendelsesområde, bør kravene og forpligtelserne i dette direktiv være lempeligere for at mindske den administrative byrde.

(72)

Selv om nogle mikrovirksomheder er undtaget fra dette direktivs forpligtelser, bør alle mikrovirksomheder tilskyndes til at fremstille, importere eller distribuere produkter og levere tjenester, der opfylder dette direktivs tilgængelighedskrav, for at øge deres konkurrenceevne og vækstpotentiale i det indre marked. Medlemsstaterne bør derfor give mikrovirksomhederne retningslinjer og redskaber for at lette anvendelsen af nationale foranstaltninger til gennemførelse af dette direktiv.

(73)

Alle erhvervsdrivende bør handle ansvarligt og i fuld overensstemmelse med de gældende lovgivningsmæssige krav, når de bringer produkter i omsætning eller gør dem tilgængelige på markedet eller leverer tjenester på markedet.

(74)

Med henblik på at gøre det lettere at vurdere overensstemmelsen med de gældende tilgængelighedskrav er det nødvendigt at fastsætte bestemmelser om en formodning om overensstemmelse for produkter og tjenester, som er i overensstemmelse med frivillige harmoniserede standarder, der er vedtaget i henhold til Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 (19), når der skal udarbejdes detaljerede tekniske specifikationer. Kommissionen har allerede udstedt en række standardiseringsanmodninger til de europæiske standardiseringsorganisationer vedrørende tilgængelighed, f.eks. standardiseringsmandat M/376, M/473 og M/420, som ville være relevante ved udarbejdelsen af harmoniserede standarder.

(75)

Forordning (EU) nr. 1025/2012 fastsætter en procedure for formel indsigelse mod harmoniserede standarder, der anses for ikke at opfylde kravene i dette direktiv.

(76)

Europæiske standarder bør være markedsbaserede, tage hensyn til den offentlige interesse samt de politiske målsætninger, som er anført klart i Kommissionens anmodning til en eller flere europæiske standardiseringsorganisationer om at udarbejde harmoniserede standarder, og være konsensusbaserede. Hvis der ikke findes harmoniserede standarder, og hvis sådanne er nødvendige med harmonisering på det indre marked for øje, bør Kommissionen i visse tilfælde kunne vedtage gennemførelsesretsakter, der fastlægger tekniske specifikationer for tilgængelighedskravene i dette direktiv. Anvendelse af tekniske specifikationer bør begrænses til sådanne tilfælde. Kommissionen bør kunne vedtage tekniske specifikationer, f.eks. når standardiseringsprocessen er blokeret på grund af manglende enighed mellem interessenterne, eller der er unødige forsinkelser i fastlæggelsen af en harmoniseret standard, f.eks. fordi den påkrævede kvalitet ikke er opnået. Kommissionen bør afsætte tilstrækkelig tid mellem vedtagelsen af en anmodning til en eller flere europæiske standardiseringsorganisationer om at udarbejde harmoniserede standarder og vedtagelsen af tekniske specifikationer vedrørende det samme tilgængelighedskrav. Kommissionen bør ikke kunne vedtage tekniske specifikationer, hvis den ikke tidligere har forsøgt at få tilgængelighedskravene omfattet af det europæiske standardiseringssystem, medmindre den kan påvise, at de tekniske specifikationer opfylder kravene i bilag II til forordning (EU) nr. 1025/2012.

(77)

Med henblik på at fastsætte harmoniserede standarder og tekniske specifikationer, der overholder tilgængelighedskravene i dette direktiv for produkter og tjenester så effektivt som muligt, bør Kommissionen, hvor det er praktisk gennemførligt, inddrage de europæiske paraplyorganisationer, der repræsenterer personer med handicap, og alle andre relevante interessenter i beslutningsprocessen.

(78)

For at sikre effektiv adgang til oplysninger i markedsovervågningsøjemed bør alle oplysninger, der er nødvendige for en erklæring om overensstemmelse med alle EU-retsakter, som finder anvendelse, gøres tilgængelige i en enkelt EU-overensstemmelseserklæring. For at mindske den administrative byrde for de erhvervsdrivende bør de kunne lade den enkelte EU-overensstemmelseserklæring omfatte alle relevante individuelle overensstemmelseserklæringer.

(79)

Hvad angår overensstemmelsesvurdering af produkter, bør dette direktiv følge proceduren for intern produktionskontrol af »modul A«, der er fastsat i bilag II til afgørelse nr. 768/2008/EF, da den gør det muligt for de erhvervsdrivende at påvise og for de kompetente myndigheder at sikre, at produkter, der gøres tilgængelige på markedet, opfylder tilgængelighedskravene, uden at der pålægges en urimelig byrde.

(80)

Når myndighederne foretager markedsovervågning af produkter og kontrollerer tjenesters opfyldelse af kravene, bør de også kontrollere overensstemmelsesvurderingerne, herunder om den relevante vurdering af den grundlæggende ændring den uforholdsmæssige store byrde er foretaget korrekt. Når de udfører deres opgaver, bør myndighederne også gøre det i samarbejde med personer med handicap og de organisationer, der repræsenterer dem og deres interesser.

(81)

Hvad angår tjenester, bør de oplysninger, der er nødvendige for at vurdere overensstemmelsen med tilgængelighedskravene i dette direktiv, gives i dokumentet med de almindelige betingelser eller i et tilsvarende dokument, jf. dog Europa-Parlamentets og Rådets direktiv 2011/83/EU (20).

(82)

CE-mærkningen er et udtryk for produktets overensstemmelse med tilgængelighedskravene i dette direktiv og det synlige resultat af en omfattende proces med overensstemmelsesvurdering i bred forstand. Dette direktiv bør følge de generelle principper for anvendelse af CE-mærkningen i Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 (21) om kravene til akkreditering og markedsovervågning i forbindelse med markedsføring af produkter. Ud over at udarbejde EU-overensstemmelseserklæringen bør fabrikanten på en omkostningseffektiv måde oplyse forbrugerne om tilgængeligheden af sine produkter.

(83)

I overensstemmelse med forordning (EF) nr. 765/2008 erklærer fabrikanten ved at anbringe CE-mærkningen på et produkt, at det opfylder alle gældende tilgængelighedskrav, og at fabrikanten påtager sig det fulde ansvar herfor.

(84)

I overensstemmelse med afgørelse nr. 768/2008/EF er medlemsstaterne ansvarlige for at sikre en omfattende og effektiv markedsovervågning af produkter på deres område og bør tildele deres markedsovervågningsmyndigheder tilstrækkelige beføjelser og ressourcer.

(85)

Medlemsstaterne bør kontrollere, at tjenesterne overholder forpligtelserne i dette direktiv og bør følge op på klager eller indberetninger vedrørende manglende overholdelse med henblik på at sikre, at der er truffet korrigerende foranstaltninger.

(86)

Kommissionen kan, hvis det er relevant, vedtage ikkebindende retningslinjer i samråd med interessenter, hvilket vil støtte koordinering blandt markedsovervågningsmyndighederne og myndighederne med ansvar for tjenesters opfyldelse af kravene. Kommissionen og medlemsstaterne bør kunne iværksætte initiativer med henblik på at dele myndighedernes ressourcer og ekspertise.

(87)

Medlemsstaterne bør sikre, at markedsovervågningsmyndighederne og myndighederne med ansvar for tjenesters opfyldelse af kravene kontrollerer, at de erhvervsdrivende opfylder de kriterier, der er omhandlet i bilag VI i overensstemmelse med kapitel VIII og IX. Medlemsstaterne bør være i stand til at udpege et særligt organ til at varetage de forpligtelser, som markedsovervågningsmyndighederne eller myndighederne med ansvar for tjenesters opfyldelse af kravene har i henhold til dette direktiv. Medlemsstaterne bør være i stand til at beslutte, at et sådant særligt organs kompetencer bør være begrænset til dette direktivs anvendelsesområde eller visse dele deraf, og at det med forbehold af medlemsstaternes forpligtelser i henhold til forordning (EF) nr. 765/2008.

(88)

Der bør fastsættes en beskyttelsesprocedure, som finder anvendelse i tilfælde af uenighed mellem medlemsstaterne om en foranstaltning truffet af en medlemsstat, hvorved de berørte parter orienteres om påtænkte foranstaltninger vedrørende produkter, der ikke opfylder dette direktivs tilgængelighedskrav. Beskyttelsesproceduren bør give markedsovervågningsmyndighederne i samarbejde med de relevante erhvervsdrivende mulighed for i en tidligere fase at gribe ind over for sådanne produkter.

(89)

I tilfælde, hvor medlemsstaterne og Kommissionen er enige om berettigelsen af en foranstaltning truffet af en medlemsstat, bør Kommissionen ikke inddrages yderligere, medmindre manglende opfyldelse af kravene kan tillægges mangler ved harmoniserede standarder eller tekniske specifikationer.

(90)

Europa-Parlamentets og Rådets direktiv 2014/24/EU (22) og 2014/25/EU (23) om offentlige udbud, der fastlægger procedurer for udbud af offentlige kontrakter og projektkonkurrencer for visse varer (produkter), tjenester og bygge- og anlægsarbejder, fastsætter, at de tekniske specifikationer ved alle udbud, der er beregnet til at blive anvendt af fysiske personer, hvad enten det er offentligheden eller personale ved den ordregivende myndighed eller enhed, undtagen i behørigt begrundede tilfælde skal fastlægges således, at der tages hensyn til kriterier vedrørende adgangsmuligheder for personer med handicap eller design for alle brugere. Endvidere kræver disse direktiver, at tekniske specifikationer, hvis der er indført obligatoriske tilgængelighedskrav ved en EU-retsakt, hvad angår tilgængelighed for personer med handicap eller design for alle, skal fastsættes med reference hertil. Nærværende direktiv bør fastsætte obligatoriske tilgængelighedskrav for de produkter og tjenester, der er omfattet heraf. For produkter og tjenester, der ikke henhører under nærværende direktivs anvendelsesområde, er dets tilgængelighedskrav ikke bindende. Anvendelsen af disse tilgængelighedskrav til at opfylde de relevante forpligtelser i andre EU-retsakter end nærværende direktiv vil imidlertid lette indførelsen af tilgængelighed og bidrage til retssikkerhed og tilnærmelse af tilgængelighedskrav i hele Unionen. Myndighederne bør ikke hindres i at fastsætte tilgængelighedskrav, der går videre end de tilgængelighedskrav, der er fastsat i bilag I til nærværende direktiv.

(91)

Dette direktiv bør ikke ændre på den obligatoriske eller frivillige karakter af bestemmelserne vedrørende tilgængelighed i andre EU-retsakter.

(92)

Dette direktiv bør kun gælde for udbudsprocedurer, hvor indkaldelsen af tilbud er udsendt, eller, såfremt der ikke kræves en indkaldelse af tilbud, hvor den ordregivende myndighed eller enhed har indledt udbudsproceduren efter datoen for dette direktivs anvendelse.

(93)

For at sikre korrekt anvendelse af dette direktiv bør Kommissionen have delegeret beføjelse til at vedtage retsakter i overensstemmelse med artikel 290 i TEUF med hensyn til: præcisering af de tilgængelighedskrav, der i sagens natur ikke kan have den tilsigtede virkning, medmindre de præciseres i bindende EU-retsakter; ændring af den periode, hvor de erhvervsdrivende skal kunne identificere andre erhvervsdrivende, der har leveret et produkt til dem, eller som de har leveret et produkt til; og præcisering af de relevante kriterier, som den erhvervsdrivende skal tage i betragtning ved vurdering af, om opfyldelsen af tilgængelighedskravene vil medføre en uforholdsmæssig stor byrde. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning (24). For at sikre lige deltagelse i forberedelsen af delegerede retsakter bør Europa-Parlamentet og Rådet navnlig modtage alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter bør have systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelse af delegerede retsakter.

(94)

For at sikre ensartede betingelser for gennemførelsen af dette direktiv bør Kommissionen tillægges gennemførelsesbeføjelser med henblik på fastlæggelse af tekniske specifikationer. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (25).

(95)

Medlemsstaterne bør sørge for, at der findes tilstrækkelige og effektive midler til kontrol med overholdelsen af bestemmelserne i dette direktiv, og bør derfor således etablere passende kontrolmekanismer, f.eks. markedsovervågningsmyndighedernes efterfølgende kontrol af, at en undtagelse fra anvendelsen af tilgængelighedskravene er berettiget. Ved behandlingen af klager vedrørende tilgængelighed bør medlemsstaterne overholde det generelle princip om god forvaltning og navnlig deres embedsmænds forpligtelse til at sikre, at der træffes afgørelse i hver enkelt klage inden for en rimelig tidsfrist.

(96)

For at fremme en ensartet gennemførelse af dette direktiv bør Kommissionen nedsætte en arbejdsgruppe bestående af relevante myndigheder og interessenter, som skal lette udvekslingen af oplysninger og bedste praksis og yde rådgivning. Samarbejdet mellem myndigheder og relevante interessenter, herunder personer med handicap og organisationer, der repræsenterer dem, bør fremmes, bl.a. for at forbedre sammenhængen i anvendelsen af bestemmelserne i dette direktiv vedrørende tilgængelighedskravene og overvåge gennemførelsen af dets bestemmelser om grundlæggende ændring og uforholdsmæssig stor byrde.

(97)

I betragtning af den eksisterende retlige ramme for retsmidler på de områder, der er omfattet af direktiv 2014/24/EU og 2014/25/EU, bør bestemmelserne i nærværende direktiv vedrørende håndhævelse og sanktioner ikke finde anvendelse på udbudsprocedurer omfattet af de forpligtelser, der pålægges ved nærværende direktiv. En sådan undtagelse berører ikke medlemsstaternes forpligtelser i medfør af traktaterne til at træffe alle foranstaltninger, der er nødvendige for at garantere EU-rettens anvendelse og effektivitet.

(98)

Sanktionerne bør stå i et rimeligt forhold til karakteren af overtrædelserne og til sagens omstændigheder, så de ikke fungerer som et alternativ til erhvervsdrivendes opfyldelse af deres forpligtelse til at gøre deres produkter eller tjenester tilgængelige.

(99)

Medlemsstaterne bør sikre, at der i overensstemmelse med gældende EU-ret findes alternative tvistbilæggelsesmekanismer, som giver mulighed for at bilægge tvister om påstået manglende overholdelse af dette direktiv, før en sag indbringes for domstolene eller de kompetente administrative myndigheder.

(100)

I henhold til den fælles politiske erklæring af 28. september 2011 fra medlemsstaterne og Kommissionen om forklarende dokumenter (26) har medlemsstaterne forpligtet sig til i tilfælde, hvor det er berettiget, at lade meddelelsen af gennemførelsesforanstaltninger ledsage af et eller flere dokumenter, der forklarer forholdet mellem et direktivs bestanddele og de tilsvarende dele i de nationale gennemførelsesinstrumenter. I forbindelse med dette direktiv finder lovgiver, at fremsendelse af sådanne dokumenter er berettiget.

(101)

For at give tjenesteyderne tilstrækkelig tid til at tilpasse sig kravene i dette direktiv er det nødvendigt at indføre en overgangsperiode på fem år efter anvendelsesdatoen for dette direktiv, hvor produkter, der anvendes til levering af en tjeneste, som blev bragt i omsætning før denne dato, ikke behøver at opfylde tilgængelighedskravene i dette direktiv, medmindre tjenesteyderne udskifter dem i løbet af overgangsperioden. Som følge af selvbetjeningsterminalers pris og lange livscyklus er det hensigtsmæssigt at fastsætte, at sådanne terminaler, når de anvendes til levering af tjenester, kan anvendes indtil slutningen af deres økonomiske levetid, så længe de ikke udskiftes i den periode, dog ikke længere end 20 år.

(102)

Tilgængelighedskravene i dette direktiv bør gælde for produkter, der bringes i omsætning på markedet, og tjenester, der leveres efter anvendelsesdatoen for de nationale foranstaltninger til gennemførelse af dette direktiv, herunder for brugte produkter, der importeres fra tredjelande og bringes i omsætning på markedet efter denne dato.

(103)

Dette direktiv respekterer de grundlæggende rettigheder og overholder de principper, der navnlig er anerkendt i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«). Direktivet sigter navnlig mod at sikre fuld overholdelse af retten for mennesker med handicap til at nyde godt af foranstaltninger, der skal sikre deres uafhængighed, deres sociale og erhvervsmæssige integration og deres deltagelse i samfundslivet samt fremme anvendelsen af artikel 21, 25 og 26 i chartret.

(104)

Målet for dette direktiv, nemlig at fjerne barriererne for den frie bevægelighed for visse tilgængelige produkter og tjenester med henblik på at bidrage til et velfungerende indre marked, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, da det kræver harmonisering af forskellige regler, der på nuværende tidspunkt findes i deres respektive retssystemer, men kan gennem fastlæggelse af fælles tilgængelighedskrav og regler for det indre markeds funktion bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke videre, end hvad der er nødvendigt for at nå dette mål —