(1)

Netz- und Informationssysteme sowie elektronische Kommunikationsnetze und -dienste spielen eine lebenswichtige Rolle in der Gesellschaft und sind mittlerweile zum Hauptmotor des Wirtschaftswachstums geworden. Die Informations- und Kommunikationstechnologien (IKT) bilden das Rückgrat der komplexen Systeme, die alltägliche gesellschaftliche Tätigkeiten unterstützen und unsere Volkswirtschaften in Schlüsselsektoren wie Gesundheit, Energie, Finanzen und Verkehr aufrechterhalten und die insbesondere dafür sorgen, dass der Binnenmarkt reibungslos funktioniert.

(2)

Die Nutzung von Netz- und Informationssystemen durch Bürger, Organisationen und Unternehmen ist mittlerweile in der Union allgegenwärtig. Digitalisierung und Konnektivität entwickeln sich zu Kernmerkmalen einer ständig steigenden Zahl von Produkten und Dienstleistungen; mit dem Aufkommen des Internets der Dinge dürften in den nächsten Jahrzehnten eine extrem hohe Zahl vernetzte digitale Geräte unionsweit Verbreitung finden. Zwar sind immer mehr Geräte mit dem Internet vernetzt, doch verfügen sie über eine nur unzureichende Cybersicherheit, da die Sicherheit und Abwehrfähigkeit dieser Geräte schon bei der Konzeption nicht ausreichend berücksichtigt wurden. In diesem Zusammenhang führt das geringe Maß an Zertifizierung dazu, dass Personen, Organisationen und Unternehmen die IKT-Produkte, -Dienste und -prozesse nutzen, nur unzureichend über deren Cybersicherheitsmerkmale informiert werden, wodurch das Vertrauen in digitale Lösungen untergraben wird. Netz- und Informationssysteme können uns das Leben in jeder Hinsicht erleichtern und das Wirtschaftswachstum der Union anzukurbeln. Sie spielen eine tragende Rolle bei der Verwirklichung des digitalen Binnenmarkts.

(3)

Mit der zunehmenden Digitalisierung und Vernetzung steigen auch die Cybersicherheitsrisiken, wodurch die Gesellschaft insgesamt anfälliger für Cyberbedrohungen wird und die Gefahren zunehmen, denen Privatpersonen und insbesondere schutzbedürftige Personen wie Kinder ausgesetzt sind. Um diesen Gefahren zu begegnen, gilt es, alle für die Erhöhung der Cybersicherheit in der Union notwendigen Maßnahmen zu ergreifen, damit die Netz- und Informationssysteme, die Kommunikationsnetze und die digitalen Produkte, Dienste und Geräte, die von Bürgern, Organisationen und Unternehmen — von kleinen und mittleren Unternehmen (KMU) im Sinne der Empfehlung 2003/361/EG der Kommission (4) bis zu Betreibern kritischer Infrastrukturen — genutzt werden, besser vor Cyberbedrohungen geschützt sind.

(4)

Durch das Zurverfügungstellung einschlägiger Informationen für die Öffentlichkeit trägt die mit der Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates (5) errichtete Agentur der Europäischen Union für Netz- und Informationssicherheit (im Folgenden „ENISA“) zur Entwicklung der Cybersicherheitsbranche in der Union, insbesondere von KMU und Start-ups, bei. Die ENISA sollte sich um eine engere Zusammenarbeit mit Universitäten und Forschungseinrichtungen bemühen, um einen Beitrag zur Verringerung der Abhängigkeit von Cybersicherheitsprodukten und -diensten von außerhalb der Union zu leisten und die Lieferketten innerhalb der Union zu stärken.

(5)

Cyberangriffe nehmen zu und eine Wirtschaft und Gesellschaft, die durch ihre Vernetzung anfälliger für Cyberbedrohungen und -angriffe ist, benötigt daher einen stärkeren Schutz. Obwohl jedoch die Cyberangriffe häufig grenzüberschreitend sind, sind die Zuständigkeiten und Reaktionen der für die Cybersicherheit und für die Strafverfolgung zuständigen Behörden vor allem national. Sicherheitsvorfälle großen Ausmaßes könnten die Bereitstellung wesentlicher Dienste in der gesamten Union empfindlich stören. Notwendig sind daher effektive und koordinierte Maßnahmen sowie ein Krisenmanagement auf Unionsebene, gestützt auf gezielte Strategien, sowie ein breiter angelegtes Instrumentarium für europäische Solidarität und gegenseitige Hilfe. Zudem sind daher eine auf zuverlässigen Daten der Union basierende regelmäßige Überprüfung des Stands der Cybersicherheit und der Abwehrfähigkeit in der Union sowie eine systematische Prognose künftiger Entwicklungen, Herausforderungen und Bedrohungen — auf Unionsebene und auf globaler Ebene — für die Entscheidungsträger, die Branche und die Nutzer gleichermaßen wichtig.

(6)

Angesichts immer größerer Herausforderungen, die sich der Union im Bereich der Cybersicherheit stellen, bedarf es eines umfassenden Maßnahmenpakets, das auf den bisherigen Maßnahmen der Union aufbauen und sich wechselseitig verstärkende Ziele unterstützen würde. Diese Ziele beinhalten eine weitere Stärkung der Fähigkeiten und der Abwehrbereitschaft der Mitgliedstaaten und Unternehmen sowie eine bessere Zusammenarbeit, einen besseren Informationsaustausch und Koordinierung zwischen den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union. Da Cyberbedrohungen an keinen Grenzen Halt machen, gilt es zudem, die Fähigkeiten auf Unionsebene zu stärken, die Maßnahmen der Mitgliedstaaten vor allem dann ergänzen könnten, wenn es zu grenzüberschreitenden Sicherheitsvorfällen und -krisen von großem Ausmaß kommt, unter Berücksichtigung der Bedeutung der Bewahrung und Verbesserung der nationalen Fähigkeiten zur Reaktion auf Cyberbedrohungen jeglichen Umfangs.

(7)

Darüber hinaus sind weitere Anstrengungen notwendig, um die Bürger, Organisationen und Unternehmen für Fragen der Cybersicherheit zu sensibilisieren. Da Sicherheitsvorfälle das Vertrauen in Anbieter digitaler Dienste und in den digitalen Binnenmarkt als solchen insbesondere unter den Verbrauchern untergraben, sollte dieses Vertrauen dadurch gestärkt werden, dass auf transparente Art und Weise Informationen über das Niveau der Sicherheit von IKT-Produkten, -Diensten und -Prozessen bereitgestellt werden, wobei betont wird, dass auch eine Cybersicherheitszertifizierung auf hohem Niveau nicht garantieren kann, dass ein IKT-Produkt, -Dienst oder -Prozess völlig sicher ist. Eine Stärkung des Vertrauens kann durch eine unionsweite Zertifizierung erleichtert werden, für die über nationale Märkte und Sektoren hinaus unionsweit einheitliche Anforderungen und Bewertungskriterien für die Cybersicherheit festgelegt werden.

(8)

Cybersicherheit ist nicht nur eine Frage der Technologie, sondern eine, bei der das menschliche Verhalten ebenso wichtig ist. Daher sollte die „Cyberhygiene“, also einfache Routinemaßnahmen, durch die, wenn sie von Bürgern, Organisationen und Unternehmen regelmäßig umgesetzt und durchgeführt werden, die Risiken von Cyberbedrohungen so gering wie möglich gehalten werden, nachdrücklich gefördert werden.

(9)

Um die Cybersicherheitsstrukturen der Union zu stärken, müssen die Fähigkeiten der Mitgliedstaaten, umfassend auf Cyberbedrohungen — einschließlich grenzüberschreitender Sicherheitsvorfälle — zu reagieren, erhalten und ausgebaut werden.

(10)

Die Unternehmen und die einzelnen Verbraucher sollten über präzise Informationen darüber verfügen, auf welcher Vertrauenswürdigkeitsstufe die Sicherheit ihrer IKT-Produkte, -Dienste und -Prozesse zertifiziert wurde. Allerdings bietet kein IKT-Produkt oder -dienst hundertprozentige Cybersicherheit weshalb grundlegenden Prinzipien der Cyberhygiene verbreitet werden sollten und ihnen Vorrang eingeräumt werden sollte. Angesichts der zunehmenden Verbreitung von Geräten des Internets der Dinge kann die Privatwirtschaft zahlreiche freiwillige Maßnahmen treffen, um das Vertrauen in die Sicherheit von IKT-Produkten, -Diensten und -Prozessen zu stärken.

(11)

Moderne IKT-Produkte und -Systeme weisen oft einen oder mehrere von Dritten entwickelte Technologien und Bestandteile wie Software-Module, Bibliotheken oder Programmierschnittstellen auf und sind von diesen abhängig. Diese „Abhängigkeit“ könnte zusätzliche Risiken im Bereich der Cybersicherheit bergen, da sich Sicherheitslücken in Bestandteilen Dritter auch auf die Sicherheit von IKT-Produkten, -Diensten, und -Prozessen auswirken könnten. In vielen Fällen ermöglicht die Aufdeckung und Dokumentierung solcher „Abhängigkeiten“ den Endnutzern von IKT-Produkten, -Diensten und -Prozessen die Verbesserung ihres Risikomanagements im Bereich der Cybersicherheit, indem beispielsweise die Behandlung von Sicherheitslücken im Bereich der Cybersicherheit durch die Nutzer und deren Abhilfeverfahren verbessert werden.

(12)

Organisationen, Hersteller oder Diensteanbieter, die an der Konzeption und Entwicklung von IKT-Produkten, -Diensten und -Prozessen beteiligt sind, sollten dazu angehalten werden, in den ersten Phasen der Konzeption und Entwicklung Maßnahmen durchzuführen, um die Sicherheit dieser Produkte, Dienste und Prozesse möglichst weitgehend zu schützen, in dem sie davon ausgehen, dass Cyberangriffe vorliegen, und deren Folgen vorwegzunehmen und so gering wie möglich zu halten (konzeptionsintegrierte Sicherheit — security by design). Die Sicherheit sollte während der gesamten Lebensdauer des IKT-Produkts, -Dienstes oder -Prozesses berücksichtigt werden, wobei die Konzeptions- und Entwicklungsprozesse ständig weiterentwickelt werden sollten, um das Risiko von Schäden durch eine böswillige Nutzung zu verringern.

(13)

Unternehmen, Organisationen und der öffentliche Sektor sollten die von ihnen konzipierten IKT-Produkte, -Dienste oder -Prozesse so konfigurieren, dass ein höheres Maß an Sicherheit gewährleistet ist, das es dem ersten Nutzer ermöglicht, eine Standardkonfiguration mit den sichersten möglichen Einstellungen („security by default“) zu erhalten; somit wären die Nutzer in geringerem Maße der Belastung ausgesetzt, ein IKT-Produkt, -einen IKT-Dienst oder einen IKT-Prozess angemessen konfigurieren zu müssen. Die Sicherheit durch Voreinstellungen („security by default“) sollte weder eine umfangreiche Konfiguration erfordern, noch spezifische technische Kenntnisse oder ein nicht offensichtliches Verhalten seitens des Nutzers, und sie sollte dort, wo sie implementiert wurde, einfach und zuverlässig funktionieren. Wenn im Einzelfall eine Risiko- und Nutzbarkeitsanalyse zu dem Ergebnis führt, dass eine solche vordefinierte Einstellung nicht machbar ist, sollten die Nutzer aufgefordert werden, die sicherste Einstellung zu wählen.

(14)

Mit der Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates (6) wurde die ENISA als Beitrag zu den Zielen errichtet, innerhalb der Union eine hohe und effektive Netz- und Informationssicherheit zu gewährleisten und eine Kultur der Netz- und Informationssicherheit zu entwickeln, die Bürgern, Verbrauchern, Unternehmen und öffentlicher Verwaltung zugute kommt. Mit der Verordnung (EG) Nr. 1007/2008 des Europäischen Parlaments und des Rates (7) wurde das Mandat der ENISA bis März 2012 verlängert. Durch die Verordnung (EU) Nr. 580/2011 des Europäischen Parlaments und des Rates (8) wurde das Mandat der ENISA nochmals bis zum 13. September 2013 verlängert. Mit der Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates wurde das Mandat der ENISA bis zum 19. Juni 2020 verlängert.

(15)

Die Union hat bereits wichtige Maßnahmen ergriffen, um die Cybersicherheit zu gewährleisten und das Vertrauen in die digitale Technik zu stärken. Im Jahr 2013 wurde die EU-Cybersicherheitsstrategie der Europäischen Union verabschiedet, die der Union als Orientierung für strategische Reaktionen auf Cybersicherheitsbedrohungen und -risiken dient. Im Zuge ihrer Bemühung, den Online-Schutz der Bürger zu verbessern, hat die Union im Jahr 2016 mit der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (9) den ersten Rechtsakt auf dem Gebiet der Cybersicherheit erlassen. Mit der Richtlinie (EU) 2016/1148 wurden Anforderungen an die nationalen Fähigkeiten im Bereich der Cybersicherheit sowie erstmals Mechanismen zur Stärkung der strategischen und operativen Zusammenarbeit zwischen den Mitgliedstaaten festgelegt und ferner Verpflichtungen in Bezug auf die Sicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen für die Sektoren, die für die Wirtschaft und Gesellschaft lebenswichtig sind, wie Energie, Verkehr, Trinkwasserlieferung und -versorgung, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, digitale Infrastruktur sowie für Anbieter zentraler digitaler Dienste (Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze) eingeführt.

Eine zentrale Aufgabe bei der Umsetzung dieser Richtlinie wurde dabei der ENISA zugewiesen. Darüber hinaus ist die wirksame Bekämpfung der Cyberkriminalität als ein Aspekt bei der Verfolgung des übergeordneten Ziels einer hohen Cybersicherheit ein wichtiger Schwerpunkt der Europäischen Sicherheitsagenda. Andere Rechtsakte wie die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (10) und die Richtlinie 2002/58/EG (11) sowie die Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates (12) tragen auch zu einem hohen Maß an Cybersicherheit im digitalen Binnenmarkt bei.

(16)

Seit der Verabschiedung der Cybersicherheitsstrategie der Europäischen Union im Jahr 2013 und der letzten Überarbeitung des Mandats der ENISA hat sich der gesamtpolitische Rahmen deutlich verändert, da das globale Umfeld nun von größeren Unwägbarkeiten und geringerer Sicherheit geprägt ist. Vor diesem Hintergrund und im Kontext der positiven Entwicklung der Rolle der ENISA als ein Bezugspunkt für Beratung und Sachkenntnis und als Vermittlerin in Bezug auf Zusammenarbeit und den Aufbau von Fähigkeiten sowie angesichts der neuen Unionspolitik im Bereich der Cybersicherheit muss das Mandat der ENISA im Hinblick auf ihre neue Rolle im veränderten Cybersicherheitsökosystem überarbeitet werden, damit sie die Union wirksam dabei unterstützen kann, auf die Herausforderungen im Bereich der Cybersicherheit zu reagieren, die sich aus der grundlegend veränderten Cyberbedrohungslandschaft ergeben und für die — wie in der Bewertung der ENISA bestätigt — das laufende Mandat nicht ausreicht.

(17)

Die mit dieser Verordnung errichtete ENISA sollte Rechtsnachfolgerin der durch die Verordnung (EU) Nr. 526/2013 errichteten ENISA sein. Die ENISA sollte die Aufgaben wahrnehmen, die ihr mit dieser Verordnung und anderen Rechtsakten der Union im Bereich der Cybersicherheit übertragen werden, indem sie unter anderem Beratung bietet und Sachkenntnis bereitstellt indem sie die Rolle eines Informations- und Wissenszentrums der Union übernimmt. Sie sollte den Austausch bewährter Verfahren zwischen den Mitgliedstaaten und privaten Interessenträgern fördern, der Kommission und den Mitgliedstaaten strategische Vorschläge unterbreiten, als Bezugspunkt für sektorspezifische politische Initiativen der Union im Bereich der Cybersicherheit dienen und die operative Zusammenarbeit sowohl zwischen den Mitgliedstaaten als auch zwischen den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union fördern.

(18)

Mit dem Einvernehmlichen Beschluss 2004/97/EG, Euratom der auf Ebene der Staats- und Regierungschefs vereinigten Vertreter der Mitgliedstaaten (13), legten die Vertreter der Mitgliedstaaten fest, dass die ENISA ihren Sitz in Griechenland in einer von der griechischen Regierung zu benennenden Stadt haben soll. Der Sitzmitgliedstaat der ENISA sollte die bestmöglichen Voraussetzungen für eine reibungslose und effiziente Tätigkeit der ENISA gewährleisten. Damit die ENISA ihre Aufgaben ordnungsgemäß und effizient erfüllen, Personal einstellen und binden und die Effizienz der Vernetzungsmaßnahmen steigern kann, ist es unbedingt erforderlich, sie an einem geeigneten Standort anzusiedeln, der unter anderem eine angemessene Verkehrsanbindung sowie Einrichtungen für die Ehepartner und Kinder des Personals der ENISA bietet. Die erforderlichen Modalitäten sollten in einem Abkommen zwischen der ENISA und dem Sitzmitgliedstaat festgelegt werden, das nach Billigung durch den Verwaltungsrat der ENISA geschlossen wird.

(19)

Angesichts der zunehmenden Bedrohungen und Herausforderungen, mit denen die Union im Bereich der Cybersicherheit konfrontiert ist, sollten die Mittelzuweisungen für die ENISA erhöht werden, damit ihre finanzielle und personelle Ausstattung ihrer größeren Rolle und ihren umfangreicheren Aufgaben sowie ihrer wichtigen Stellung im Ökosystem der Organisationen gerecht werden kann, die das digitale Ökosystem der Union verteidigen, sodass die ENISA die ihr mit dieser Verordnung übertragenen Aufgaben wirksam erfüllen kann.

(20)

Die ENISA sollte ein hohes Niveau an Sachkenntnis entwickeln und pflegen und als Bezugspunkt fungieren, wobei sie durch ihre Unabhängigkeit, die Qualität ihrer Beratung und der von ihr verbreiteten Informationen, die Transparenz ihrer Verfahren, die Transparenz ihrer Arbeitsmethoden sowie die Sorgfalt, mit der sie ihre Aufgaben erfüllt, Vertrauen in den Binnenmarkt schafft. Die ENISA sollte die Bemühungen der Mitgliedstaaten aktiv unterstützen und vorausgreifend zu den Bemühungen der Union beitragen und ihre Aufgaben in uneingeschränkter Zusammenarbeit mit den Organen, Einrichtungen und sonstigen Stellen der Union und den Mitgliedstaaten wahrnehmen, wobei Doppelarbeiten vermieden und Synergien gefördert werden sollten. Außerdem sollte sich die ENISA auf die Beiträge des Privatsektors und anderer einschlägiger Interessenträger sowie auf die Zusammenarbeit mit ihnen stützen. Mit einer Reihe von Aufgaben sollte bei gleichzeitiger Wahrung der Flexibilität in ihrer Tätigkeit vorgegeben werden, wie die ENISA ihre Ziele erreichen soll.

(21)

Damit sie die operative Zusammenarbeit zwischen den Mitgliedstaaten angemessen unterstützen kann, sollte die ENISA ihre technischen und menschlichen Fähigkeiten und Fertigkeiten weiter ausbauen. Die ENISA sollte ihr Know-how und ihre Fähigkeiten vergrößern. Die ENISA und die Mitgliedstaaten könnten auf freiwilliger Basis Programme für die Entsendung von nationalen Sachverständigen an die ENISA, die Bildung von Pools von Sachverständigen und den Austausch von Personal entwickeln.

(22)

Die ENISA sollte die Kommission mit Beratung, Stellungnahmen und Analysen zu allen Angelegenheiten der Union, die mit der Ausarbeitung, Aktualisierung und Überprüfung von Strategien und Rechtsvorschriften im Bereich der Cybersicherheit und den diesbezüglichen sektorenspezifischen Aspekten zusammenhängen, unterstützen, damit die Strategien und Rechtsvorschriften der Union mit einer Cybersicherheitsdimension zweckdienlicher gestaltet werden und die kohärente Umsetzung dieser Strategien und Rechtsvorschriften auf nationaler Ebene ermöglicht wird. Für sektorspezifische Strategien und Rechtsetzungsinitiativen der Union im Zusammenhang mit der Cybersicherheit sollte die ENISA als Bezugspunkt für Beratung und Sachkenntnis dienen. Die ENISA sollte dem Europäischen Parlament regelmäßig über ihre Tätigkeiten Bericht erstatten.

(23)

Der öffentliche Kern des offenen Internets, d. h. seine wichtigsten Protokolle und Infrastrukturen, die ein globales öffentliches Gut sind, stellt die wesentlichen Funktionen des Internets als Ganzes bereit und bildet die Grundlage für dessen normalen Betrieb. Die ENISA sollte die Sicherheit und Stabilität dieses öffentlichen Kerns des offenen Internets unterstützen, unter anderem — aber nicht beschränkt auf — die wichtigsten Protokolle (insbesondere DNS, BGP und IPv6), den Betrieb des „Domain Name System“ (DNS) (wie den Betrieb aller Domänen der obersten Ebene) und den Betrieb der Root-Zone.

(24)

Die ENISA hat grundsätzlich die Aufgabe, die einheitliche Umsetzung des einschlägigen Rechtsrahmens, vor allem die wirksame Umsetzung der Richtlinie (EU) 2016/1148 und anderer maßgeblicher Rechtsakte zu Aspekten der Cybersicherheit, zu unterstützen, was für die Stärkung der Abwehrfähigkeit gegen Cyberangriffe unerlässlich ist. Angesichts der sich rasch weiterentwickelnden Bedrohungen für die Cybersicherheit ist klar, dass die Mitgliedstaaten beim Aufbau der Abwehrfähigkeit gegen Cyberangriffe durch ein umfassenderes und ressortübergreifendes Konzept unterstützt werden müssen.

(25)

Die ENISA sollte die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union in ihrem Bemühen um den Auf- und Ausbau der Fähigkeiten und der Bereitschaft zur Verhütung, Erkennung und Bewältigung von Cyberbedrohungen und von Sicherheitsvorfällen im Zusammenhang mit der Netz- und Informationssicherheit unterstützen. So sollte die ENISA den Auf- und Ausbau der in der Richtlinie (EU) 2016/1148 vorgesehenen Reaktionsteams für Computersicherheitsverletzungen (im Folgenden „CSIRTs“) der Mitgliedstaaten und der Union unterstützen, damit sie ein unionsweit hohes Maß an Ausgereiftheit erreichen. Die Tätigkeiten der ENISA im Zusammenhang mit den operativen Kapazitäten der Mitgliedstaaten sollten die Maßnahmen der Mitgliedstaaten zur Erfüllung ihrer Verpflichtungen aus der Richtlinie (EU) 2016/1148 aktiv unterstützen und diese daher nicht ersetzen.

(26)

Zudem sollte die ENISA auf Ersuchen die Ausarbeitung und Aktualisierung von Strategien im Bereich der Netz- und Informationssysteme auf Unionsebene und, auf Anfrage, auf Ebene der Mitgliedstaaten, insbesondere der Cybersicherheit, unterstützen und sollte die Verbreitung solcher Strategien fördern und die Fortschritte bei deren Umsetzung verfolgen. Die ENISA sollte auch dazu beitragen, den Bedarf an Ausbildungsmaßnahmen und Ausbildungsmaterial, auch in Bezug auf öffentliche Stellen, zu decken, und gegebenenfalls in großem Umfang auf der Grundlage des Referenzrahmens für digitale Kompetenzen der Bürger Ausbilder weiterbilden, um die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der Union darin zu unterstützen, eigene Ausbildungskapazitäten aufzubauen.

(27)

Die ENISA sollte die Mitgliedstaaten im Bereich der Sensibilisierung und Ausbildung in Bezug auf die Cybersicherheit unterstützen, indem sie eine engere Koordinierung und den Austausch von bewährten Verfahren zwischen den Mitgliedstaaten fördert. Diese Unterstützung könnte darin bestehen, dass sie ein Netz von nationalen Bildungskontaktstellen und eine Ausbildungsplattform zur Cybersicherheit entwickelt. Das Netz der nationalen Bildungskontaktstellen könnte im Rahmen des Netzes der nationalen Verbindungsbeamten betrieben werden und einen Ausgangspunkt für die zukünftige Koordinierung innerhalb der Mitgliedstaaten bilden.

(28)

Die ENISA sollte die durch die Richtlinie (EU) 2016/1148 eingesetzte Kooperationsgruppe bei der Wahrnehmung ihrer Aufgaben unterstützen, indem sie vor allem ihre Sachkenntnis und Beratung zur Verfügung stellt und den Austausch bewährter Verfahren erleichtert, unter anderem was die Ermittlung von Betreibern wesentlicher Dienste durch die Mitgliedstaaten in Bezug auf Risiken und Sicherheitsvorfälle anbelangt, auch mit Blick auf grenzüberschreitende Abhängigkeiten.

(29)

Die ENISA sollte als Anreiz für die Zusammenarbeit zwischen dem öffentlichen und privaten Sektor, vor allem als Beitrag zum Schutz kritischer Infrastrukturen, den Informationsaustausch in und zwischen Sektoren, vor allem in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren, unterstützen, indem sie bewährte Verfahren und Leitfäden zu den verfügbaren Instrumenten und Verfahren bereitstellt und aufzeigt, wie regulatorische Fragen im Zusammenhang mit der Informationsweitergabe geklärt werden können, wobei dies beispielsweise durch die Erleichterung des Aufbaus sektorbezogener Informationsaustausch- und -analysezentren (Information Sharing and Analysis Centres) erreicht werden soll.

(30)

In Anbetracht der Tatsache, dass die möglichen negativen Auswirkungen von Sicherheitslücken bei IKT-Produkten, -Diensten und -Prozessen stetig zunehmen, spielen die Aufdeckung und die Behebung solcher Sicherheitslücken eine wichtige Rolle bei der Verringerung der Gesamtrisiken im Bereich der Cybersicherheit. Es hat sich gezeigt, dass die Zusammenarbeit zwischen Organisationen, Herstellern oder Anbietern besonders gefährdeter IKT-Produkte, -Dienste oder -Prozesse sowie Mitgliedern der Forschungsgemeinschaft im Bereich der Cybersicherheit und Regierungen, die diese Sicherheitslücken aufspüren, sowohl die Aufdeckung als auch die Behebung von Sicherheitslücken bei IKT-Produkten, -Diensten oder -Prozessen erheblich verbessert. Die koordinierte Offenlegung von Sicherheitslücken erfolgt in einem strukturierten Prozess der Zusammenarbeit, in dem Sicherheitslücken dem Eigentümer des Informationssystems gemeldet werden, wodurch die Organisation Gelegenheit zur Diagnose und Behebung der Sicherheitslücke erhält, bevor detaillierte Informationen über die Sicherheitslücke an Dritte oder die Öffentlichkeit weitergegeben werden. Das Verfahren sieht ferner eine Koordinierung zwischen demjenigen, der die Sicherheitslücke aufgespürt hat, und der Organisation im Hinblick auf die Veröffentlichung jener Sicherheitslücke vor. Grundsätze für die koordinierte Offenlegung von Sicherheitslücken könnten eine wichtige Rolle bei den Bemühungen der Mitgliedstaaten um die Verbesserung der Cybersicherheit spielen.

(31)

Die ENISA sollte die freiwillig bereitgestellten nationalen Berichte der CSIRTs und des interinstitutionellen IT-Notfallteams für die Organe, Einrichtungen und sonstigen Stellen der Union („CERT-EU“), welche mit der zwischen dem Europäischen Parlament, dem Europäischen Rat, dem Rat der Europäischen Union, der Europäischen Kommission, dem Gerichtshof der Europäischen Union, der Europäischen Zentralbank, dem Europäischen Rechnungshof, dem Europäischen Auswärtigen Dienst, dem Europäischen Wirtschafts- und Sozialausschuss, dem Europäischen Ausschuss der Regionen und der Europäischen Investitionsbank geschlossenen Vereinbarung über die Organisation und die Funktionsweise eines IT-Notfallteams für die Organe, Einrichtungen und sonstigen Stellen der Union (CERT-EU) (14) errichtet wurde, zusammenstellen und auswerten, um einen Beitrag zur Aufstellung gemeinsamer Verfahren für den Informationsaustausch, zur Festlegung der Sprache und zu terminologischen Vereinbarungen zu leisten. In diesem Zusammenhang sollte die ENISA im Rahmen der Richtlinie (EU) 2016/1148, die die Grundlage für den freiwilligen Austausch technischer Informationen auf operativer Ebene innerhalb des Netzwerks von Computer-Notfallteams (im Folgenden „CSIRTs-Netz“) gemäß der genannten Richtlinie geschaffen hat, auch den Privatsektor einbeziehen.

(32)

Die ENISA sollte dazu beitragen, dass bei massiven grenzüberschreitenden Vorfällen und -krisen in Bezug auf Cybersicherheit eine Reaktion auf Unionsebene erfolgt. Diese Aufgabe sollte ENISA entsprechend ihrem Mandat gemäß dieser Verordnung und einem Ansatz ausführen, der von den Mitgliedstaaten im Zusammenhang mit der Empfehlung (EU) 2017/1584 (15) der Kommission und den Schlussfolgerungen des Rates vom 26. Juni 2018 zu einer koordinierten Reaktion auf große Cybersicherheitsvorfälle und -krisen festzulegen ist. Zu dieser Aufgabe könnte auch gehören, dass sie relevante Informationen zusammenstellt und den Kontakt zwischen dem CSIRTs-Netz und den Fachkreisen sowie den für das Krisenmanagement zuständigen Entscheidungsträgern erleichtert. Zudem sollte die ENISA die operative Zusammenarbeit zwischen den Mitgliedstaaten auf Ersuchen eines oder mehrerer Mitgliedstaaten unterstützen, indem sie die Bewältigung der Sicherheitsvorfälle aus technischer Sicht übernimmt, indem sie den Austausch entsprechender technischer Lösungen zwischen den Mitgliedstaaten erleichtert und Beiträge für die Öffentlichkeitsarbeit liefert. Die ENISA sollte die operative Zusammenarbeit unterstützen, indem sie die Modalitäten einer solchen Zusammenarbeit im Rahmen regelmäßig stattfindender Cybersicherheitsübungen testet.

(33)

Zur Unterstützung der operativen Zusammenarbeit sollte die ENISA im Wege einer strukturierten Zusammenarbeit auf den bei der CERT-EU vorhandenen technischen und operativen Sachverstand zurückgreifen. Eine solche strukturierte Zusammenarbeit könnte auf der Sachkenntnis der ENISA aufbauen. Für die Festlegung der praktischen Aspekte einer solchen Kooperation und zur Vermeidung von Doppelarbeit sollten gegebenenfalls zwischen den beiden Stellen die hierfür notwendigen Modalitäten festgelegt werden.

(34)

Entsprechend ihrer Aufgabe, die operative Zusammenarbeit im Rahmen des CSIRTs-Netzes zu unterstützen, sollte die ENISA in der Lage sein, die Mitgliedstaaten auf deren Ersuchen hin zu unterstützen, indem sie diese beispielsweise berät, wie sie ihre Fähigkeiten zur Verhütung, Erkennung und Bewältigung von Sicherheitsvorfällen verbessern können, die technische Bewältigung von Sicherheitsvorfällen mit beträchtlichen oder erheblichen Auswirkungen erleichtert oder sicherstellt, dass Cyberbedrohungen und Sicherheitsvorfälle analysiert werden. Die ENISA sollte die technische Bewältigung von Sicherheitsvorfällen mit beträchtlichen oder erheblichen Auswirkungen insbesondere dadurch erleichtern, dass sie den freiwilligen Austausch technischer Lösungen zwischen den Mitgliedstaaten unterstützt oder kombinierte technische Informationen — etwa über technische Lösungen, die von den Mitgliedstaaten freiwillig bereitgestellt werden — erstellt. Der Empfehlung (EU) 2017/1584 zufolge sollten die Mitgliedstaaten in gutem Glauben untereinander sowie mit der ENISA Informationen über massive Vorfälle und -krisen in Bezug auf Cybersicherheit unverzüglich austauschen. Diese Informationen würden zudem der ENISA helfen, ihre Aufgabe wahrzunehmen, die operative Zusammenarbeit zu unterstützen.

(35)

Als Teil der regulären Zusammenarbeit auf technischer Ebene zur Unterstützung der EU-Lageeinschätzung sollte die ENISA auf der Grundlage öffentlich verfügbarer Informationen, ihrer eigenen Analysen und anhand von Berichten, die sie von den CSIRTs der Mitgliedstaaten oder den nationalen Anlaufstellen für die Sicherheit von Netz- und Informationssystemen gemäß der Richtlinie (EU) 2016/1148, in beiden Fällen auf freiwilliger Basis, dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) bei Europol und dem CERT-EU sowie gegebenenfalls dem EU-Zentrum für Informationsgewinnung und -analyse (EU INTCEN) des Europäischen Auswärtigen Dienstes erhalten hat, regelmäßig und in enger Zusammenarbeit mit den Mitgliedstaaten eingehende EU-Cybersicherheitslageberichte über Sicherheitsvorfälle und Bedrohungen erstellen. Dieser Bericht sollte dem Rat, der Kommission, der Hohen Vertreterin der Union für die Gemeinsame Außen- und Sicherheitspolitik und dem CSIRTs-Netz zur Verfügung gestellt werden.

(36)

Die ENISA sollte sich bei der Unterstützung von nachträglichen technischen Untersuchungen von Sicherheitsvorfällen mit beträchtlichen oder erheblichen Auswirkungen, die sie auf Ersuchen der betreffenden Mitgliedstaaten leistet, auf die Verhütung künftiger Sicherheitsvorfälle konzentrieren. Die betreffenden Mitgliedstaaten sollten die notwendigen Informationen und die erforderliche Hilfe bereitstellen, damit die ENISA die nachträgliche technische Untersuchung wirksam unterstützen kann.

(37)

Die Mitgliedstaaten können die von dem Sicherheitsvorfall betroffenen Unternehmen auffordern, mit der ENISA zusammenzuarbeiten und dieser — unbeschadet ihres Rechts, sensible Geschäftsinformationen und Informationen, die für die öffentliche Sicherheit von Bedeutung sind, zu schützen — die notwendigen Informationen und Hilfen zur Verfügung stellen.

(38)

Um die Herausforderungen im Bereich der Cybersicherheit besser verstehen und den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union langfristige strategische Beratung anbieten zu können, muss die ENISA aktuelle und neu auftretende Cybersicherheitsrisiken analysieren. Hierzu sollte die ENISA in Zusammenarbeit mit den Mitgliedstaaten und gegebenenfalls Statistikämtern und anderen Stellen einschlägige öffentlich zugängliche oder freiwillig bereitgestellte Informationen sammeln und Analysen neu entstehender Technik sowie themenspezifische Bewertungen dazu durchführen, welche gesellschaftlichen, rechtlichen, wirtschaftlichen und regulatorischen Folgen technische Innovationen für die Netz- und Informationssicherheit, insbesondere die Cybersicherheit, haben. Die ENISA sollte die Mitgliedstaaten sowie die Organe, Einrichtungen und sonstigen Stellen der Union darüber hinaus bei der Ermittlung sich abzeichnender Cybersicherheitsrisiken und bei der Vermeidung von Vorfällen unterstützen, indem sie Analysen der Cyberbedrohungen, Sicherheitslücken und Sicherheitsvorfälle durchführt.

(39)

Um die Abwehrfähigkeit der Union zu stärken, sollte die ENISA Fachwissen im Bereich der Cybersicherheit der Infrastrukturen, insbesondere zur Unterstützung der in Anhang II der Richtlinie (EU) 2016/1148 aufgeführten Sektoren und der Infrastrukturen, die von den in Anhang III jener Richtlinie aufgeführten Anbietern digitaler Dienste genutzt werden, aufbauen, indem Beratung, Leitlinien zur Verfügung gestellt und bewährte Verfahren ausgetauscht werden. Um den Zugang zu besser strukturierten Informationen über Cybersicherheitsrisiken und mögliche Abhilfemaßnahmen zu erleichtern, sollte die ENISA das Informationsportal der Union aufbauen und pflegen, über das der Öffentlichkeit Informationen der Organe, Einrichtungen und sonstigen Stellen der Union und der Mitgliedstaaten zur Cybersicherheit bereitgestellt werden. Ein leichterer Zugang zu besser strukturierten Informationen über Cybersicherheitsrisiken und mögliche Abhilfemaßnahmen könnte den Mitgliedstaaten auch dabei helfen, ihre Kapazitäten auszubauen und ihre Verfahren aufeinander abzustimmen, sodass die Abwehrfähigkeit gegenüber Cyberangriffen insgesamt gestärkt wird.

(40)

Die ENISA sollte dabei mitwirken, die Öffentlichkeit für Cybersicherheitsrisiken zu sensibilisieren, unter anderem durch eine unionsweite Sensibilisierungskampagne, die Förderung von Schulungen, und Leitlinien für bewährte Verfahren, die sich an Bürger, Organisationen und Unternehmen richten. Darüber hinaus sollte die ENISA einen Beitrag dazu leisten, bewährte Verfahren und Lösungen, einschließlich Cyberhygiene und Cyberkompetenz, auf der Ebene von Bürgern, Organisationen und Unternehmen zu fördern, indem sie öffentlich verfügbare Informationen über erhebliche Sicherheitsvorfälle sammelt und analysiert und Berichte und Leitlinien hierüber erstellt und veröffentlicht, die das Niveau der Abwehrbereitschaft und Abwehrfähigkeit von Bürgern, Organisationen und Unternehmen insgesamt erhöhen. Die ENISA sollte sich außerdem bemühen, Verbrauchern relevante Informationen über anwendbare Zertifizierungsschemata an die Hand zu geben, indem sie beispielsweise Leitlinien und Empfehlungen bereitstellt. Ferner sollte die ENISA gemäß dem mit der Mitteilung der Kommission vom 17. Januar 2018 aufgestellten Aktionsplan für digitale Bildung in Zusammenarbeit mit den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union regelmäßige öffentliche Aufklärungskampagnen durchführen, die sich an die Endnutzer richten, um sicherere Verhaltensweisen der Nutzer im Internet und digitale Kompetenz zu fördern, die Nutzer stärker für potenzielle Bedrohungen im Internet — auch für die Internetkriminalität wie das Abgreifen von Daten (Phishing), Botnets, Finanz- und Bankenbetrug sowie Datenbetrug — zu sensibilisieren und einfache Empfehlungen in Bezug auf mehrstufige Authentifizierung, Patching, Verschlüsselung, Anonymisierung und Datenschutz zu geben.

(41)

Die ENISA sollte eine zentrale Rolle dabei spielen, die Sensibilisierung der Endnutzer für die Sicherheit von Geräten und die sichere Nutzung von Diensten zu forcieren und auf Unionsebene konzeptionsintegrierte Sicherheit und konzeptionsintegrierten Schutz der Privatsphäre (privacy by design) zu fördern. Dabei sollte die ENISA die verfügbaren bewährten Verfahren und die vorhandene Erfahrung insbesondere von Forschungseinrichtungen und Wissenschaftlern im Bereich IT-Sicherheit optimal nutzen.

(42)

Um die im Cybersicherheitssektor tätigen Unternehmen und die Nutzer von Cybersicherheitslösungen zu unterstützen, sollte die ENISA eine „Marktbeobachtungsstelle“ aufbauen und pflegen, die die wichtigsten Nachfrage- und Angebotstrends auf dem Cybersicherheitsmarkt regelmäßig analysiert und bekannt macht.

(43)

Die ENISA sollte einen Beitrag zu den Bemühungen der Union um eine Zusammenarbeit mit internationalen Organisationen sowie innerhalb der einschlägigen internationalen Gremien für die Zusammenarbeit im Bereich der Cybersicherheit leisten. Insbesondere sollte die ENISA gegebenenfalls an der Zusammenarbeit mit Organisationen wie der OECD, der OSZE und der NATO mitwirken. Diese Zusammenarbeit könnte gemeinsame Cybersicherheitsübungen und eine gemeinsame Koordinierung der Reaktion auf Sicherheitsvorfälle umfassen. Diese Aktivitäten müssen unter uneingeschränkter Achtung der Grundsätze der Inklusivität, der Gegenseitigkeit und der Beschlussfassungsautonomie der Union — unbeschadet der spezifischen Merkmale der Sicherheits- und Verteidigungspolitik der einzelnen Mitgliedstaaten — erfolgen.

(44)

Damit die ENISA ihre Ziele in vollem Umfang verwirklichen kann, sollte sie zu den einschlägigen Aufsichtsbehörden und anderen zuständigen Behörden in der Union und anderen zuständigen Behörden, Einrichtungen und sonstigen Stellen der Union Kontakt halten — etwa zum CERT-EU, EC3, zur Europäischen Verteidigungsagentur (EDA), zur Agentur für das Europäische zivile Satellitennavigationssystem (Europäische GNSS Agentur — GSA), zum Gremium Europäischer Regulierungsstellen für elektronische Kommunikation (GEREK), zur Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA), zur Europäischen Zentralbank (EZB), zur Europäischen Bankenaufsichtsbehörde (EBA), zum Europäischen Datenschutzausschuss, zur Agentur für die Zusammenarbeit der Energieregulierungsbehörden (ACER), zur Europäischen Agentur für Flugsicherheit (EASA) und zu sonstigen Agenturen der Union, die sich mit Fragen der Cybersicherheit beschäftigen. Für den Austausch von Know-how und bewährten Verfahren und für die Beratung zu Fragen der Cybersicherheit, die sich auf die Arbeit von Datenschutzbehörden auswirken können, sollte die ENISA auch mit diesen in Verbindung stehen. Vertreter der Strafverfolgungs- und der Datenschutzbehörden auf nationaler Ebene und auf Unionsebene sollten als Vertreter für eine Mitwirkung in der ENISA-Beratungsgruppe in Frage kommen. Bei ihren Kontakten mit Strafverfolgungsbehörden in Bezug auf Netz- und Informationssicherheitsfragen, die sich möglicherweise auf deren Arbeit auswirken, sollte die ENISA vorhandene Informationskanäle und bestehende Netze beachten.

(45)

Es könnten Partnerschaften mit Hochschulen eingerichtet werden, die in den einschlägigen Bereichen Forschungsinitiativen betreiben, und es sollten geeignete Kanäle für Beiträge von Verbraucherschutzverbänden und anderen Organisationen, die berücksichtigt werden sollten, zur Verfügung stehen.

(46)

Die ENISA sollte in ihrer Rolle als Sekretariat des CSIRTs-Netzes bezüglich der in der Richtlinie (EU) 2016/1148 festgelegten einschlägigen Aufgaben des CSIRTs-Netzes die CSIRTs der Mitgliedstaaten und das CERT-EU bei der operativen Zusammenarbeit unterstützen. Zudem sollte die ENISA unter gebührender Berücksichtigung der Standardbetriebsverfahren des CSIRTs-Netzes die Zusammenarbeit zwischen den jeweiligen CSIRTs bei Sicherheitsvorfällen, Angriffen oder Störungen der von den CSIRTs verwalteten oder geschützten Netze oder Infrastrukturen, die mindestens zwei CSIRTs betreffen oder betreffen können, fördern und unterstützen.

(47)

Zur Erhöhung der Abwehrbereitschaft der Union bei Cybersicherheitsvorfällen sollte die ENISA auf Unionsebene regelmäßige Cybersicherheitsübungen organisieren und die Mitgliedstaaten sowie die Organe, Einrichtungen und sonstigen Stellen der Union auf deren Ersuchen hin bei der Organisation solcher Übungen unterstützen. Eine Großübung sollte alle zwei Jahre veranstaltet werden, die technische, operative und strategische Elemente umfasst. Darüber hinaus sollte die ENISA regelmäßig weniger umfassende Übungen organisieren können, mit denen dasselbe Ziel verfolgt wird, nämlich die Abwehrbereitschaft der Union bei Sicherheitsvorfällen zu stärken.

(48)

Die ENISA sollte ihre Sachkenntnis im Bereich der Cybersicherheitszertifizierung weiter ausbauen und pflegen, damit sie die Unionspolitik auf diesem Gebiet unterstützen kann. Die ENISA sollte auf bestehenden bewährten Verfahren aufbauen und die Nutzung der Cybersicherheitszertifizierung in der Union fördern, auch indem sie zum Aufbau und zur Pflege eines Rahmens für die Cybersicherheitszertifizierung auf Unionsebene (europäischer Rahmen für die Cybersicherheitszertifizierung) beiträgt, um so die Transparenz der Vertrauenswürdigkeit der Cybersicherheit von IKT-Produkten, -Diensten und -Prozessen zu erhöhen und damit das Vertrauen in den digitalen Binnenmarkt und in seine Wettbewerbsfähigkeit zu stärken.

(49)

Effiziente Cybersicherheitsstrategien sollten sowohl im öffentlichen als auch im privaten Sektor auf sorgfältig entwickelten Risikobewertungsmethoden beruhen. Risikobewertungsmethoden werden auf verschiedenen Ebenen angewandt, ohne dass es eine einheitliche Vorgehensweise für deren effiziente Anwendung gibt. Durch die Förderung und Entwicklung bewährter Verfahren für die Risikobewertung und interoperabler Lösungen für das Risikomanagement innerhalb von Organisationen des öffentlichen und des privaten Sektors wird das Niveau der Cybersicherheit in der Union erhöht. Zu diesem Zweck sollte die ENISA die Zusammenarbeit zwischen Interessenträgern auf Unionsebene unterstützen und Hilfestellung bei deren Bemühungen um die Festlegung und Einführung von europäischen und internationalen Normen für das Risikomanagement und eine messbare Sicherheit in Bezug auf elektronische Produkte, Systeme, Netze und Dienste leisten, die im Zusammenwirken mit Software die Netz- und Informationssysteme bilden.

(50)

Die ENISA sollte die Mitgliedstaaten, die Hersteller oder die Anbieter von IKT-Produkten, -Diensten oder -Prozessen dazu anspornen, ihre allgemeinen Sicherheitsstandards zu heben, damit alle Internetnutzer die erforderlichen Vorkehrungen für ihre persönliche Cybersicherheit treffen können und sie sollte Anreize dazu geben. So sollten Hersteller und Anbieter von IKT-Produkten, -Diensten oder -Prozessen jegliche notwendigen Aktualisierungen bereitstellen und diese IKT-Produkte, -Dienste und -Prozesse zurückrufen, vom Markt nehmen oder umrüsten, wenn sie den Cybersicherheitsstandards nicht genügen, während Einführer und Händler sicherstellen sollten, dass IKT-Produkte, -Dienste und -Prozesse, die sie in der Union vermarkten, den geltenden Anforderungen genügen und kein Risiko für die Verbraucher in der Union darstellen.

(51)

In Zusammenarbeit mit den zuständigen Behörden sollte die ENISA Informationen über das Niveau der Cybersicherheit von IKT-Produkten, -Diensten oder -Prozessen verbreiten, die auf dem Binnenmarkt angeboten werden, und sollte Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen verwarnen und sie auffordern, die Sicherheit, auch die Cybersicherheit, ihrer IKT-Produkte, -Dienste oder -Prozesse zu verbessern.

(52)

Die ENISA sollte die laufenden Tätigkeiten auf den Gebieten der Forschung, Entwicklung und technologischen Bewertung — insbesondere die im Rahmen der vielfältigen Forschungsinitiativen der Union durchgeführten Tätigkeiten — umfassend berücksichtigen, um die Organe, Einrichtungen und sonstigen Stellen der Union sowie gegebenenfalls die Mitgliedstaaten — auf deren Ersuchen — in Bezug auf den Forschungsbedarf und die Prioritäten im Bereich der Cybersicherheit zu beraten. Um den Bedarf und die Prioritäten im Forschungsbereich zu ermitteln, sollte die ENISA auch die einschlägigen Nutzergruppen konsultieren. Insbesondere könnte eine Zusammenarbeit mit dem Europäischen Forschungsrat und dem Europäischen Innovations- und Technologieinstitut sowie mit dem Institut der Europäischen Union für Sicherheitsstudien eingerichtet werden.

(53)

Die ENISA sollte die Normungsgremien, insbesondere die europäischen Normungsgremien, bei der Ausarbeitung von europäischen Schemata für die Cybersicherheitszertifizierung regelmäßig konsultieren.

(54)

Cyberbedrohungen bestehen weltweit. Um die Cybersicherheitsstandards, einschließlich der Notwendigkeit der Festlegung gemeinsamer Verhaltensnormen und der Annahme von Verhaltenskodizes, der Verwendung internationaler Normen und des Informationsaustauschs zu verbessern sowie eine zügigere internationale Zusammenarbeit bei der Abwehr und einen weltweiten gemeinsamen Ansatz für Probleme der Netz- und Informationssicherheit zu fördern, bedarf es einer engeren internationalen Zusammenarbeit. In dieser Hinsicht sollte die ENISA ein stärkeres Engagement der Union und die Zusammenarbeit mit Drittländern und internationalen Organisationen unterstützen, indem sie den einschlägigen Organen, Einrichtungen und sonstigen Stellen der Union gegebenenfalls die erforderlichen Sachkenntnisse und Analysen zur Verfügung stellt.

(55)

Die ENISA sollte in der Lage sein, auf Ersuchen der Mitgliedstaaten und der Organe, Einrichtungen und sonstigen Stellen der Union um Rat und Hilfestellung zu Angelegenheiten, die durch das Mandat der ENISA abgedeckt sind, ad hoc zu reagieren.

(56)

In Bezug auf die Führung der ENISA ist es vernünftig und wird empfohlen bestimmte Prinzipien umzusetzen, um der Gemeinsamen Erklärung und dem Gemeinsamen Konzept zu entsprechen, die von der Interinstitutionellen Arbeitsgruppe zu den dezentralen Einrichtungen der EU im Juli 2012 vereinbart wurden und deren Zweck darin besteht, die Aktivitäten der dezentralen Agenturen dynamischer zu gestalten und ihre Leistung zu verbessern. Die in der Gemeinsamen Erklärung und dem Gemeinsamen Konzept enthaltenen Empfehlungen sollten gegebenenfalls auch in den Arbeitsprogrammen, den Bewertungen und den Berichterstattungs- und Verwaltungsverfahren der ENISA zur Geltung kommen.

(57)

Der Verwaltungsrat, der sich aus Vertretern der Mitgliedstaaten und der Kommission zusammensetzt, sollte die allgemeine Ausrichtung der Tätigkeit der ENISA festlegen und dafür sorgen, dass sie ihre Aufgaben im Einklang mit dieser Verordnung wahrnimmt. Der Verwaltungsrat sollte über die erforderlichen Befugnisse verfügen, um den Haushaltsplan zu erstellen und die Ausführung des Haushaltsplans zu überprüfen, angemessene Finanzvorschriften und transparente Verfahren für die Entscheidungsfindung der ENISA festzulegen, das einheitliche Programmplanungsdokument der ENISA anzunehmen, sich eine Geschäftsordnung zu geben, den Exekutivdirektor zu ernennen und über die Verlängerung sowie die Beendigung der Amtszeit des Exekutivdirektors zu beschließen.

(58)

Damit die ENISA ihre Aufgaben ordnungsgemäß und effizient wahrnehmen kann, sollten die Kommission und die Mitgliedstaaten sicherstellen, dass die Personen, die als Mitglieder des Verwaltungsrats ernannt werden, über angemessenes Fachwissen und geeignete Erfahrung verfügen. Die Kommission und die Mitgliedstaaten sollten sich auch darum bemühen, die Fluktuation bei ihren jeweiligen Vertretern im Verwaltungsrat zu verringern, um die Kontinuität seiner Arbeit sicherzustellen.

(59)

Damit die ENISA reibungslos funktioniert, ist es erforderlich, dass ihr Exekutivdirektor aufgrund seiner Verdienste und nachgewiesenen Verwaltungs- und Managementfähigkeiten ernannt wird und über einschlägige Sachkenntnis und Erfahrungen auf dem Gebiet der Cybersicherheit verfügt. Die Aufgaben des Exekutivdirektors sollten in völliger Unabhängigkeit wahrgenommen werden. Der Exekutivdirektor sollte nach Anhörung der Kommission einen Vorschlag für das jährliche Arbeitsprogramm der ENISA ausarbeiten und alle erforderlichen Maßnahmen zu dessen ordnungsgemäßer Durchführung ergreifen. Der Exekutivdirektor sollte einen dem Verwaltungsrat vorzulegenden Jahresbericht, in dem auch die Umsetzung des jährlichen Arbeitsprogramms der ENISA behandelt wird, ausarbeiten, einen Entwurf eines Voranschlags für die Einnahmen und Ausgaben der ENISA erstellen und den Haushaltsplan ausführen. Der Exekutivdirektor sollte zudem die Möglichkeit haben, Ad-hoc-Arbeitsgruppen einzusetzen, die sich mit wissenschaftlichen, technischen, rechtlichen oder sozioökonomischen Einzelfragen befassen. Insbesondere im Zusammenhang mit der Ausarbeitung eines möglichen europäischen Schemas für die Cybersicherheitszertifizierung (im Folgenden „mögliches Schema“) wird die Einrichtung einer Ad-hoc-Arbeitsgruppe für notwendig erachtet. Der Exekutivdirektor sollte dafür sorgen, dass die Mitglieder der Ad-hoc-Arbeitsgruppen höchsten fachlichen Ansprüchen genügen, ein ausgewogenes Verhältnis von Frauen und Männern besteht und dass je nach behandelter Einzelfrage gegebenenfalls ein angemessenes Gleichgewicht zwischen öffentlichen Verwaltungen der Mitgliedstaaten, den Organen, Einrichtungen und sonstigen Stellen der Union und dem Privatsektor einschließlich der Wirtschaft, der Nutzer und wissenschaftlicher Sachverständiger für Netz- und Informationssicherheit gewahrt wird.

(60)

Der Exekutivrat sollte dazu beitragen, dass der Verwaltungsrat effektiv arbeiten kann. Im Rahmen seiner vorbereitenden Arbeiten für die Beschlüsse des Verwaltungsrats sollte der Exekutivrat die einschlägigen Informationen im Detail prüfen und die sich bietenden Optionen sondieren; zudem sollte er die einschlägigen Beschlüsse des Verwaltungsrats vorbereiten, indem er Beratung und Lösungen anbietet.

(61)

Die ENISA sollte über eine ENISA-Beratungsgruppe als Beratungsgremium verfügen, um einen regelmäßigen Dialog mit dem Privatsektor, den Verbraucherorganisationen und sonstigen relevanten Interessenträgern sicherzustellen. Die vom Verwaltungsrat auf Vorschlag des Exekutivdirektors eingesetzte ENISA-Beratungsgruppe sollte hauptsächlich Fragen behandeln, die die Beteiligten betreffen, und diese der ENISA zur Kenntnis bringen. Die ENISA-Beratungsgruppe sollte vor allem im Hinblick auf den Entwurf des jährlichen Arbeitsprogramms der ENISA hinzugezogen werden. Die Zusammensetzung der ENISA-Beratungsgruppe und die dieser Gruppe übertragenen Aufgaben, sollten gewährleisten, dass die Interessenträger bei der Tätigkeit der ENISA ausreichend vertreten sind.

(62)

Die Gruppe der Interessenträger für die Cybersicherheitszertifizierung sollte eingesetzt werden, um der ENISA und der Kommission die Konsultation der maßgeblichen Interessenträger zu erleichtern. Die Gruppe der Interessenträger für die Cybersicherheitszertifizierung sollte sich in ausgewogenem Verhältnis aus Branchenvertretern sowohl der Nachfrage- als auch der Angebotsseite in Bezug auf IKT-Produkte und -Dienste zusammensetzen; insbesondere sollten KMU, Anbieter digitaler Dienste, europäische und internationale Normungsgremien, nationale Akkreditierungsstellen, Datenschutz-Aufsichtsbehörden, Konformitätsbewertungsstellen gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates (16) und die Wissenschaft sowie Verbraucherorganisationen vertreten sein.

(63)

Die ENISA sollte über Vorschriften zur Vermeidung und Handhabung von Interessenkonflikten verfügen. Die ENISA sollte die einschlägigen Bestimmungen der Union in Bezug auf den Zugang der Öffentlichkeit zu Dokumenten gemäß der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (17) anwenden. Die Verarbeitung personenbezogener Daten durch die ENISA sollte nach der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (18) erfolgen. Die ENISA sollte die für die Organe, Einrichtungen und sonstigen Stellen der Union geltenden Bestimmungen über den Umgang mit Informationen, insbesondere mit sensiblen Informationen und Verschlusssachen der Europäischen Union (EUCI), sowie die entsprechenden nationalen Rechtsvorschriften befolgen.

(64)

Damit die volle Autonomie und Unabhängigkeit der ENISA gewährleistet ist und sie zusätzliche Aufgaben — auch nicht vorhergesehene Aufgaben in Notfällen — erfüllen kann, sollte die ENISA über einen ausreichenden und eigenständigen Haushalt verfügen, der hauptsächlich durch einen Beitrag der Union und durch Beiträge von Drittländern, die sich an der Arbeit der ENISA beteiligen, finanziert werden sollte. Ein angemessen ausgestatteter Haushaltsplan ist von entscheidender Bedeutung dafür, dass die ENISA ausreichende Kapazitäten hat, um ihren wachsenden Aufgaben zu erfüllen und ihre Ziele zu erreichen. Die Mehrheit der Agenturbediensteten sollte unmittelbar mit der operativen Umsetzung des Mandats der ENISA befasst sein. Dem Sitzmitgliedstaat und anderen Mitgliedstaaten sollte es erlaubt sein, freiwillige Beiträge zum Haushaltsplan der ENISA zu leisten. Sämtliche Zuschüsse aus dem Gesamthaushaltsplan der Europäischen Union sollten dem Haushaltsverfahren der Union unterliegen. Ferner sollte die Rechnungsführung der ENISA durch den Rechnungshof geprüft werden, um Transparenz und Rechenschaftspflicht sicherzustellen.

(65)

Die Cybersicherheitszertifizierung spielt eine große Rolle, wenn es darum geht, das Vertrauen in IKT-Produkte, -Dienste und -Prozesse zu stärken und deren Sicherheit zu erhöhen. Die Entwicklung des digitalen Binnenmarkts und insbesondere der Datenwirtschaft und des Internets der Dinge kommt nur voran, wenn in der breiten Öffentlichkeit das Vertrauen vorhanden ist, dass diese Produkte, Dienste und Prozesse ein gewisses Maß an Cybersicherheit gewährleisten. Vernetzte und automatisierte Fahrzeuge, elektronische medizinische Geräte, die automatischen Steuerungssysteme der Industrie und intelligente Netze sind, sind nur einige Beispiele von Sektoren, in denen die Zertifizierung bereits breiten Einsatz findet oder in naher Zukunft eingesetzt werden soll. Die unter die Richtlinie (EU) 2016/1148 fallenden Sektoren sind zudem Sektoren, in denen die Cybersicherheitszertifizierung ein maßgeblicher Faktor ist.

(66)

In ihrer Mitteilung aus dem Jahr 2016 mit dem Titel „Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche“ unterstrich die Kommission die Notwendigkeit hochwertiger, erschwinglicher und interoperabler Produkte und Lösungen für die Cybersicherheit. Allerdings ist das Angebot an IKT-Produkten, -Diensten und -Prozessen im Binnenmarkt nach wie vor geografisch stark zersplittert. Das liegt daran, dass sich die Cybersicherheitsbranche in Europa überwiegend aufgrund der Nachfrage der nationalen Regierungen entwickelt hat. Zudem gehört der Mangel an interoperablen Lösungen (technischen Normen), Verfahrensweisen und unionsweiten Zertifizierungsmechanismen zu den Defiziten, die den Binnenmarkt im Bereich der Cybersicherheit beeinträchtigen. Dies macht es für europäische Unternehmen schwerer, im nationalen, unionsweiten und weltweiten Wettbewerb zu bestehen. Es verringert sich dadurch auch das Angebot an tragfähiger und einsetzbarer Cybersicherheitstechnik, auf die Privatpersonen und Unternehmen zugreifen können. Auch in der Mitteilung des Jahres 2017 zur Halbzeitbewertung der Umsetzung der Strategie für den digitalen Binnenmarkt — Ein vernetzter digitaler Binnenmarkt für alle — unterstrich die Kommission die Bedeutung sicherer vernetzter Produkte und Systeme und verwies darauf, dass die Schaffung eines europäischen Rahmens für die IKT-Sicherheit, auf dessen Grundlage Vorschriften für die Organisation der IKT-Sicherheitszertifizierung in der Union festgelegt werden, dafür sorgen kann, dass das Vertrauen in den Binnenmarkt erhalten bleibt und die derzeitige Fragmentierung des Binnenmarkts eingedämmt wird.

(67)

Derzeit werden IKT-Produkte, -Dienste und -Prozesse, im Hinblick auf ihre Cybersicherheit kaum zertifiziert. Wenn dies doch der Fall ist, geschieht es meist auf Ebene der Mitgliedstaaten oder im Rahmen brancheneigener Programme. So wird ein von einer nationalen Behörde für die Cybersicherheitszertifizierung ausgestelltes Zertifikat nicht grundsätzlich auch in anderen Mitgliedstaaten anerkannt. Unternehmen müssen somit ihre IKT-Produkte, -Dienste und -Prozesse möglicherweise in mehreren Mitgliedstaaten, in denen sie tätig sind, zertifizieren lassen, um beispielsweise an einer nationalen Ausschreibung teilzunehmen, was ihre Kosten erhöht. Auch wenn immer neue Systeme entstehen, scheint es kein kohärentes und ganzheitliches Konzept zu geben, das sich mit horizontalen Fragen der Cybersicherheit, etwa im Bereich des Internets der Dinge, befasst. Die vorhandenen Systeme weisen im Hinblick auf Produkterfassung, Vertrauenswürdigkeitsstufen, wesentliche Kriterien und tatsächliche Nutzung erhebliche Mängel und Unterschiede auf, was die Verfahren zur gegenseitigen Anerkennung in der Union behindert.

(68)

Einige Anstrengungen wurden bereits unternommen, um eine gegenseitige Anerkennung der Zertifikate in der Union zu gewährleisten. Diese waren jedoch nur zum Teil erfolgreich. Das in dieser Hinsicht wichtigste Beispiel ist die in der Gruppe hoher Beamter für die Sicherheit der Informationssysteme (SOG-IS) getroffene Vereinbarung über die gegenseitige Anerkennung (MRA). Auch wenn diese Vereinbarung das wichtigste Vorbild für die Zusammenarbeit und gegenseitige Anerkennung auf dem Gebiet der Sicherheitszertifizierung ist, umfasst die SOG-IS nur einige der Mitgliedstaaten. Dies hat aus Binnenmarktsicht zur Folge, dass die Vereinbarungen der Gruppe nur begrenzt wirksam sind.

(69)

Daher ist es notwendig, einen gemeinsamen Ansatz zu verfolgen und einen europäischen Rahmen für die Cybersicherheitszertifizierung aufzubauen, auf dessen Grundlage die Anforderungen an die zu entwickelnden europäischen Schemata für die Cybersicherheitszertifizierung festgelegt werden, damit die europäischen Cybersicherheitszertifikate und EU-Konformitätserklärungen für IKT-Produkte, -Dienste oder -Prozesse in allen Mitgliedstaaten anerkannt und verwendet werden können. Dabei ist es wichtig, auf vorhandenen nationalen und internationalen Schemata sowie auf Systemen der gegenseitigen Anerkennung, insbesondere der SOG-IS, aufzubauen und einen reibungslosen Übergang von vorhandenen Schemata im Rahmen solcher Systeme zu Schemata auf der Grundlage des neuen europäischen Rahmens für die Cybersicherheitszertifizierung zu ermöglichen. Mit einem europäischen Rahmen für die Cybersicherheitszertifizierung sollten zwei Ziele verfolgt werden: erstens sollte er dazu beitragen, das Vertrauen in IKT-Produkte, -Dienste und -Prozesse zu erhöhen, die nach Schemata für die europäische Cybersicherheitszertifizierung zertifiziert wurden. Zweitens sollte er dazu beitragen, dass sich vielfältige, sich widersprechende oder überlappende nationale Schemata für die Cybersicherheitszertifizierung vermeiden lassen, und so die Kosten für auf dem digitalen Binnenmarkt tätige Unternehmen senken. Die europäischen Schemata für die Cybersicherheitszertifizierung sollten nichtdiskriminierend sein und sich auf europäische oder internationale Normen stützen, sofern diese Normen nicht unwirksam oder unangemessen im Hinblick auf die Erreichung der legitimen Ziele der Union in diesem Bereich sind.

(70)

Der europäische Rahmen für die Cybersicherheitszertifizierung sollte in einheitlicher Weise in allen Mitgliedstaaten eingeführt werden, damit es nicht aufgrund unterschiedlicher Anforderungsniveaus zwischen den Mitgliedstaaten zu einem „Zertifizierungsshopping“ kommt.

(71)

Europäische Schemata für die Cybersicherheitszertifizierung sollten auf dem auf internationaler und nationaler Ebene bereits Vorhandenen und erforderlichenfalls auf den von Gremien und Konsortien erstellten technischen Spezifikationen aufbauen, wobei die derzeitigen Stärken genutzt und Schwachstellen bewertet und behoben werden sollten.

(72)

Es bedarf flexibler Cybersicherheitslösungen, damit die Branche den Cyberbedrohungen immer einen Schritt voraus ist und daher sollte jedes Zertifizierungsschema so gestaltet werden, dass das Risiko eines schnellen Veraltens vermieden wird.

(73)

Die Kommission sollte befugt sein, für bestimmte Gruppen von IKT-Produkten, -Diensten und -Prozessen europäische Schemata für die Cybersicherheitszertifizierung anzunehmen. Diese Schemata sollten von nationalen Behörden für die Cybersicherheitszertifizierung umgesetzt und überwacht werden, und die im Rahmen dieser Schemata erteilten Zertifikate sollten unionsweit gültig sein und anerkannt werden. Die von der Industrie oder sonstigen privaten Organisationen betriebenen Zertifizierungsschemata sollten nicht in den Anwendungsbereich dieser Verordnung fallen. Die Stellen, die solche Schemata betreiben, sollten der Kommission jedoch vorschlagen können, ihre Systeme als Grundlage für ein europäisches Schema für die Cybersicherheitszertifizierung in Betracht zu ziehen und sie als ein solches zu genehmigen.

(74)

Die Rechtsvorschriften der Union, in denen bestimmte Vorschriften zur Zertifizierung von IKT-Produkten, -Diensten und -Prozessen festgelegt sind, bleiben von den Bestimmungen dieser Verordnung unberührt. Insbesondere enthält die Verordnung (EU) 2016/679 Bestimmungen zur Einführung von Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dem Nachweis dienen, dass die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter bei der Verarbeitung von Daten die Bestimmungen der genannten Verordnung einhalten. Solche Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen sollten den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger IKT-Produkte, -Dienste und -Prozesse ermöglichen. Die Zertifizierung von Datenverarbeitungsvorgängen, die unter die Verordnung (EU) 2016/679 fallen, auch wenn solche Vorgänge in IKT-Produkte, -Dienste und -Prozesse eingebettet sind, bleibt von der vorliegenden Verordnung unberührt.

(75)

Mit den europäischen Schemata für die Cybersicherheitszertifizierung sollte gewährleistet werden, dass die nach solchen Systemen zertifizierten IKT-Produkte, -Dienste und -Prozesse bestimmten Anforderungen genügen, deren Ziel es ist, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten, Funktionen oder Dienste, die von diesen Produkten, Diensten und Prozessen angeboten oder über diese zugänglich gemacht werden, während deren gesamten Lebenszyklus zu schützen. In dieser Verordnung können nicht alle Anforderungen an die Cybersicherheit sämtlicher IKT-Produkte, -Dienste und -Prozesse im Einzelnen festgelegt werden. Die Vielfalt der IKT-Produkte, -Dienste und -Prozesse und der damit zusammenhängenden Anforderungen an die Cybersicherheit ist so groß, dass es sehr schwierig ist, allgemeine Anforderungen an die Cybersicherheit zu entwickeln, die unter allen Umständen gültig sind. Es gilt daher, ein breit gefasstes und allgemeines Konzept der Cybersicherheit für die Zwecke der Zertifizierung zu verabschieden, das durch besondere Cybersicherheitsziele ergänzt werden sollte, die bei der Konzeption der europäischen Schemata für die Cybersicherheitszertifizierung berücksichtigt werden müssen. Die Modalitäten, wie diese Ziele für bestimmte IKT-Produkte, -Dienste und -Prozesse erreicht werden sollen, sollten dann weiter im Einzelnen auf der Grundlage des jeweiligen von der Kommission angenommenen Zertifizierungsschemas festgelegt werden, etwa durch Verweise auf Normen oder technische Spezifikationen, wenn keine angemessenen Normen verfügbar sind.

(76)

Die in europäischen Schemata für die Cybersicherheitszertifizierung zu verwendenden technischen Spezifikationen sollten unter Beachtung der in Anhang II der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates (19) festgelegten Anforderungen bestimmt werden. Gewisse Abweichungen von diesen Anforderungen könnten jedoch in hinreichend begründeten Fällen als notwendig erachtet werden, wenn diese technischen Spezifikationen in einem europäischen Schema für die Cybersicherheitszertifizierung in der Vertrauenswürdigkeitsstufe „hoch“ verwendet werden sollen. Die Gründe für solche Abweichungen sollten öffentlich zugänglich gemacht werden.

(77)

Eine Konformitätsbewertung ist ein Verfahren, mit dem bewertet wird, ob bestimmte Anforderungen an ein IKT-Produkt, einen IKT-Dienst oder einen IKT-Prozess erfüllt werden. Dieses Verfahren wird von einem unabhängigen Dritten, bei dem es sich nicht um den Hersteller oder den Anbieter der IKT-Produkte, -Dienste oder -Prozesse, welche bewertet werden, handelt, durchgeführt. Ein europäisches Cybersicherheitszertifikat sollte nach der erfolgreichen Bewertung eines IKT-Produkts, -Dienstes oder -Prozesses ausgestellt werden. Ein europäisches Cybersicherheitszertifikat sollte als Bestätigung gelten, dass die Bewertung ordnungsgemäß durchgeführt wurde. Je nach Vertrauenswürdigkeitsstufe sollte im europäischen Schema für die Cybersicherheitszertifizierung angegeben werden, ob ein europäisches Cybersicherheitszertifikat von einer privaten oder einer öffentlichen Stelle auszustellen ist. Die Konformitätsbewertung und die Zertifizierung an sich können nicht garantieren, dass die zertifizierten IKT-Produkte, -Dienste und -Prozesse cybersicher sind. Es handelt sich vielmehr um Verfahren und technische Methoden, um zu bescheinigen, dass die IKT-Produkte, -Dienste und -Prozesse geprüft wurden und bestimmte Anforderungen an die Cybersicherheit erfüllen, wie sie anderweitig, beispielsweise in technischen Normen, festgelegt sind.

(78)

Die Auswahl der angemessenen Zertifizierung und der dazugehörigen Sicherheitsanforderungen durch die Nutzer der europäischen Cybersicherheitszertifizierung sollte auf der Grundlage einer Risikoanalyse der Verwendung des IKT-Produkts, -Dienstes oder -Prozesses erfolgen. Dementsprechend sollte die Vertrauenswürdigkeitsstufe das mit der beabsichtigten Verwendung eines IKT-Produkts, -Dienstes oder -Prozesses verbundene Risiko widerspiegeln.

(79)

Europäische Schemata für die Cybersicherheitszertifizierung könnten eine Konformitätsbewertung vorsehen, die unter der alleinigen Verantwortung des Herstellers oder Anbieters von IKT-Produkten, -Diensten und -Prozessen durchzuführen wäre (im Folgenden „Selbstbewertung der Konformität“). In diesen Fällen sollte es ausreichen, dass der Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen selbst alle Überprüfungen vornimmt, um sicherzustellen, dass die IKT-Produkte, -Dienste oder -Prozesse mit dem europäischen Schema für die Cybersicherheitszertifizierung konform sind. Die Selbstbewertung der Konformität sollte für IKT-Produkte, -Dienste oder -Prozesse von geringer Komplexität, die ein geringes Risiko für die Öffentlichkeit darstellen, wie bei einfacher Konzeption und einfachem Herstellungsmechanismus, als angemessen angesehen werden. Zudem sollte die Selbstbewertung der Konformität nur dann für IKT-Produkte, IKT-Dienste oder IKT-Prozesse erlaubt sein, wenn sie der Vertrauenswürdigkeitsstufe „niedrig“ entsprechen.

(80)

Europäische Schemata für die Cybersicherheitszertifizierung könnten sowohl die Selbstbewertung der Konformität als auch die Zertifizierung von IKT-Produkten, -Diensten oder -Prozessen zulassen. In einem solchen Fall sollten im System klare und verständliche Instrumente für Verbraucher oder andere Nutzer vorgesehen werden, mit denen sie zwischen IKT-Produkten, -Diensten oder -Prozessen, die unter der Verantwortung des Herstellers oder Anbieters von IKT-Produkten, -Diensten oder -Prozessen bewertet werden, und IKT-Produkten, -Diensten oder -Prozessen, die von einem Dritten zertifiziert werden, unterscheiden können.

(81)

Ein Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen, der eine Selbstbewertung der Konformität durchführt, sollte die EU-Konformitätserklärung im Rahmen des Konformitätsbewertungsverfahrens abfassen und unterzeichnen können. Eine EU-Konformitätserklärung ist ein Dokument, welches bestätigt, dass das betreffende IKT-Produkt, der betreffende IKT-Dienst oder der betreffende IKT-Prozess die Anforderungen des Schemas erfüllt. Durch die Abfassung und Unterzeichnung der EU-Konformitätserklärung übernimmt der Hersteller oder Anbieter die Verantwortung dafür, dass das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess die rechtlichen Anforderungen des europäischen Schemas für die Cybersicherheitszertifizierung erfüllt. Eine Kopie der EU-Konformitätserklärung sollte der nationalen Behörde für die Cybersicherheitszertifizierung und der ENISA vorgelegt werden.

(82)

Hersteller oder Anbieter von IKT-Produkten, -Diensten und -Prozessen sollten die EU-Konformitätserklärung, die technische Dokumentation und alle weiteren einschlägigen Informationen in Bezug auf die Konformität der IKT-Produkte, -Dienste oder -Prozesse mit einem System während eines Zeitraums, der im einschlägigen europäischen Schema für die Cybersicherheitszertifizierung festgelegt ist, für die zuständige nationale Behörde für die Cybersicherheitszertifizierung bereithalten. In der technischen Dokumentation sollten die in diesem System geltenden Anforderungen aufgeführt werden und die Konzeption, Herstellung und Funktionsweise des IKT-Produkts, -Dienstes oder -Prozesses erfasst werden. Die technische Dokumentation sollte so erstellt werden, dass es möglich ist, die Konformität eines IKT-Produkts oder -Dienstes mit den in diesem System geltenden Anforderungen zu bewerten.

(83)

Bei der Gestaltung des Rahmens des europäischen Schemas für die Cybersicherheitszertifizierung sollte die Einbeziehung der Mitgliedstaaten sowie eine angemessene Einbeziehung der Interessenträger berücksichtigt werden; ferner sollte die Rolle der Kommission während der Planung und Vorlage eines europäischen Schemas für die Cybersicherheitszertifizierung, der Erteilung des entsprechenden Auftrags sowie der Ausarbeitung, der Annahme und der Überprüfung eines europäischen Schemas für die Cybersicherheitszertifizierung festgelegt werden.

(84)

Die Kommission sollte mit Unterstützung der Europäischen Gruppe für die Cybersicherheitszertifizierung und der Gruppe der Interessenträger für die Cybersicherheitszertifizierung im Anschluss an eine offene und umfassende Konsultation ein fortlaufendes Arbeitsprogramm der Union für europäische Schemata für die Cybersicherheitszertifizierung ausarbeiten und in Form eines nicht verbindlichen Instruments veröffentlichen. Das fortlaufende Arbeitsprogramm der Union sollte ein strategisches Dokument sein und insbesondere der Branche, den nationalen Behörden und den Normungsgremien ermöglichen, sich auf die künftigen Europäischen Schemata für die Cybersicherheitszertifizierung vorzubereiten. Das fortlaufende Arbeitsprogramm der Union sollte eine mehrjährige Übersicht über die Aufträge für die Ausarbeitung möglicher Systeme umfassen, die die Kommission der ENISA aus bestimmten Gründen zu erteilen beabsichtigt. Die Kommission sollte dieses fortlaufende Arbeitsprogramm der Union im Rahmen des fortlaufenden Plans für die IKT-Normung und bei der Erstellung ihrer Normungsaufträge an die europäischen Normungsorganisationen berücksichtigen. Wegen der raschen Einführung und Übernahme neuer Technologien sowie die Entstehung bislang unbekannter Cybersicherheitsrisiken und Gesetzgebungs- und Marktentwicklungen sollte die Kommission oder die Europäische Gruppe für die Cybersicherheitszertifizierung befugt sein, die ENISA mit der Ausarbeitung möglicher Zertifizierungsschemata, die nicht im fortlaufenden Arbeitsprogramm der Union enthalten waren, zu beauftragen. In solchen Fällen sollten die Kommission und die Europäische Gruppe für die Cybersicherheitszertifizierung auch die Notwendigkeit eines solchen Auftrags bewerten, wobei die allgemeinen Zielsetzungen und Vorgaben dieser Verordnung und die Notwendigkeit der Kontinuität bei der Planung der ENISA und der Nutzung der Ressourcen durch die ENISA zu berücksichtigen sind.

Im Anschluss an einen solchen Auftrag sollte die ENISA ohne ungebührliche Verzögerung mögliche Zertifizierungsschemata für bestimmte IKT- Produkte -Dienste und -Prozesse, ausarbeiten. Die Kommission sollte die positiven und negativen Auswirkungen ihres Auftrags auf den spezifischen Markt und insbesondere auf KMU, Innovation, die Schranken für den Eintritt in diesen Markt und die Kosten für die Endverbraucher bewerten. Die Kommission sollte befugt sein, auf der Grundlage des von der ENISA vorbereiteten möglichen Schemas das europäische Schema für die Cybersicherheitszertifizierung mittels eines Durchführungsrechtsakts anzunehmen. Unter Berücksichtigung des allgemeinen Zwecks dieser Verordnung und der in ihr festgelegten Sicherheitsziele sollten in den von der Kommission angenommenen europäischen Schemata für die Cybersicherheitszertifizierung Mindestbestimmungen in Bezug auf den Gegenstand, den Anwendungsbereich und die Funktionsweise des einzelnen Schemas festgelegt werden. Unter diese Bestimmungen sollte unter anderem Folgendes fallen: Anwendungsbereich und Ziel der Cybersicherheitszertifizierung, darunter auch die Kategorien von IKT-Produkten, -Diensten und -Prozessen, detaillierte Spezifikationen der Anforderungen an die Cybersicherheit, etwa durch Verweise auf Normen oder technische Spezifikationen, die jeweiligen Bewertungskriterien und -verfahren sowie die beabsichtigte Vertrauenswürdigkeitsstufe („niedrig“, „mittel“ oder „hoch“) sowie gegebenenfalls die Bewertungsniveaus. Die ENISA sollte einen Auftrag der Europäischen Gruppe für die Cybersicherheitszertifizierung ablehnen können. Solche Entscheidungen sollten gebührend begründet und vom Verwaltungsrat getroffen werden.

(85)

Die ENISA sollte eine eigene Website unterhalten, auf der sie über die europäischen Schemata für die Cybersicherheitszertifizierung informiert und für diese wirbt und auf der unter anderem die Aufträge für die Ausarbeitung eines möglichen Schemas und die Rückmeldungen im Rahmen des Konsultationsverfahrens, das von der ENISA in der Ausarbeitungsphase durchgeführt wird, zur Verfügung stehen. Auf der Website sollten auch Informationen über die europäischen Cybersicherheitszertifikate und die nach dieser Verordnung ausgestellten EU-Konformitätserklärungen einschließlich Informationen zum Widerruf und Ablauf solcher europäischen Cybersicherheitszertifikate und EU-Konformitätserklärungen bereitgestellt werden. Auf der Website sollten auch diejenigen nationalen Schemata für die Cybersicherheitszertifizierung angegeben werden, die durch ein europäisches Schema für die Cybersicherheitszertifizierung ersetzt wurden.

(86)

Die Vertrauenswürdigkeit eines europäischen Zertifizierungsschemas ist die Grundlage für das Vertrauen, dass ein IKT-Produkt, -Dienst oder -Prozess den Sicherheitsanforderungen eines spezifischen europäischen Schemas für die Cybersicherheitszertifizierung genügt. Um die Kohärenz des Rahmens für ein europäisches Schema für die Cybersicherheitszertifizierung zu gewährleisten, sollte ein europäisches Schema für die Cybersicherheitszertifizierung die Vertrauenswürdigkeitsstufen für europäische Cybersicherheitszertifikate und EU-Konformitätserklärungen, die im Rahmen dieses Schemas ausgestellt werden, angeben können. Jedes europäische Cybersicherheitszertifikat könnte sich auf eine der Vertrauenswürdigkeitsstufen „niedrig“, „mittel“ oder „hoch“ beziehen, wohingegen sich die EU-Konformitätserklärung nur auf die Vertrauenswürdigkeitsstufe „niedrig“ beziehen könnte. Die Vertrauenswürdigkeitsstufen würden die entsprechende Strenge und Gründlichkeit für die Bewertung des IKT-Produkts, -Dienstes oder -Prozesses vorgeben und durch Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Prüfungen, deren Zweck in der Minderung oder Prävention der Gefahr von Vorfällen besteht, gekennzeichnet sein. Jede Vertrauenswürdigkeitsstufe sollte in den verschiedenen Bereichen der Sektoren, in denen die Zertifizierung angewandt wird, einheitlich sein.

(87)

In einem europäischen Schema für die Cybersicherheitszertifizierung können je nach Strenge und Gründlichkeit der verwendeten Evaluierungsmethode mehrere Bewertungsniveaus angegeben werden. Die Evaluierungsstufen sollten jeweils einer der Vertrauenswürdigkeitsstufen entsprechen und mit einer entsprechenden Kombination von Vertrauenswürdigkeitskomponenten verknüpft sein sollten. Für alle Vertrauenswürdigkeitsstufen sollte das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess eine Reihe sicherer Funktionen enthalten, die im jeweiligen System festgelegt sind, so unter anderem eine voreingestellte sichere Konfiguration, einen signierten Code, ein sicheres Aktualisierungsverfahren und die Reduzierung von Exploits sowie eine vollständige Absicherung von Stapelspeicher (Stack) oder dynamischem Speicher (Heap). Diese Funktionen sollten weiterentwickelt und gepflegt werden, wobei sicherheitsorientierte Entwicklungskonzepte und dazugehörige Instrumente zu verwenden sind, um sicherzustellen, dass wirksame Software- und Hardware-Mechanismen zuverlässig integriert werden.

(88)

Bei der Vertrauenswürdigkeitsstufe „niedrig“ sollte sich die Bewertung mindestens auf die folgenden Vertrauenswürdigkeitskomponenten stützen: Die Bewertung sollte mindestens eine Überprüfung der technischen Dokumentation des IKT-Produkts -Dienstes oder -Prozesses durch die Konformitätsbewertungsstelle umfassen. Schließt die Zertifizierung IKT-Prozesse ein, sollte auch das Verfahren zur Konzipierung, Entwicklung und Pflege eines IKT-Produkts oder -Dienstes einer technischen Überprüfung unterzogen werden. Ist in einem europäischen Schema für die Cybersicherheitszertifizierung eine Selbstbewertung der Konformität vorgesehen, so sollte es genügen, wenn der Hersteller oder Anbieter von IKT- Produkten, Diensten oder Prozessen eine Selbstbewertung der Konformität des IKT-Produkts, -Dienstes oder -Prozesses, mit dem Zertifizierungsschema vornimmt.

(89)

Bei der Vertrauenswürdigkeitsstufe „mittel“ sollte sich die Bewertung — zusätzlich zu den Anforderungen bei der Vertrauenswürdigkeitsstufe „niedrig“ — mindestens auf eine Überprüfung der Konformität der Sicherheitsfunktionen des IKT-Produkts, -Dienstes oder -Prozesses mit seiner technischen Dokumentation stützen.

(90)

Bei der Vertrauenswürdigkeitsstufe „hoch“ sollte sich die Bewertung — zusätzlich zu den Anforderungen bei der Vertrauenswürdigkeitsstufe „mittel“ — mindestens auf einen Wirksamkeitstest stützen, bei dem die Widerstandsfähigkeit der Sicherheitsfunktionen des IKT-Produkts, -Dienstes oder -Prozesses gegen gründlich vorbereitete Cyberattacken bewertet wird, die von Akteuren mit umfangreichen Fähigkeiten und Ressourcen durchgeführt wird.

(91)

Der Rückgriff auf eine europäische Cybersicherheitszertifizierung und eine EU-Konformitätserklärung sollte freiwillig bleiben, sofern im Unionsrecht oder in entsprechend dem Unionsrecht erlassenen Rechtsvorschriften der Mitgliedstaaten nichts anderes festgelegt ist. Falls es keine harmonisierten Unionsrechtsvorschriften gibt, können die Mitgliedstaaten nationale technische Vorschriften gemäß der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (20) erlassen. Die Mitgliedstaaten können auch im Zusammenhang mit öffentlichen Ausschreibungen und der Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates (21) auf eine europäische Cybersicherheitszertifizierung zurückgreifen.

(92)

In einigen Bereichen könnte es künftig notwendig werden, bestimmte Anforderungen an die Cybersicherheit und die entsprechende Zertifizierung für bestimmte IKT-Produkte, -Dienste oder -Prozesse verbindlich vorzuschreiben, um das Niveau der Cybersicherheit in der Union zu erhöhen. Die Kommission sollte die Auswirkungen der angenommenen europäischen Schemata für die Cybersicherheitszertifizierung auf die Verfügbarkeit sicherer IKT-Produkte, -Dienste und -Prozesse im Binnenmarkt regelmäßig überwachen und sollte regelmäßig bewerten, inwieweit die Zertifizierungsschemata durch die Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen in der Union genutzt werden. Die Effizienz der europäischen Schemata für die Cybersicherheitszertifizierung und die Frage, ob bestimmte Systeme verbindlich vorgeschrieben werden sollten, sollte anhand der Rechtsvorschriften der Union im Bereich der Cybersicherheit, insbesondere der Richtlinie (EU) 2016/1148, unter Berücksichtigung der Sicherheit der von Betreibern wesentlicher Dienste genutzten Netz- und Informationssysteme bewertet werden.

(93)

Die europäischen Cybersicherheitszertifikate und die EU-Konformitätserklärung sollten den Endnutzern dabei helfen, kundige Entscheidungen zu treffen. Daher sollten IKT-Produkte, -Dienste und -Prozesse, die zertifiziert wurden oder für die eine EU-Konformitätserklärung ausgestellt wurde, strukturierte Informationen beigegeben werden, die an das erwartete technische Niveau des vorgesehenen Endnutzers angepasst sind. Alle diese Informationen sollten online verfügbar sein, und gegebenenfalls physisch bereitgestellt werden. Der Endnutzer sollte Zugang zu Informationen über die Kennnummer des Zertifizierungsschemas, die Vertrauenswürdigkeitsstufe, die Beschreibung der Cybersicherheitsrisiken in Verbindung mit dem IKT-Produkt, -Dienst oder -Prozess sowie die ausstellende Stelle haben oder eine Kopie des europäischen Cybersicherheitszertifikats erhalten können. Darüber hinaus sollten die Endnutzer über die Politik des Herstellers oder Anbieters von IKT-Produkten, -Diensten oder -Prozessen zur Förderung der Cybersicherheit, d. h. darüber, wie lange ein Endnutzer Aktualisierungen oder Patches im Bereich der Cybersicherheit erwarten kann, informiert sein. Gegebenenfalls sollten Leitlinien über Maßnahmen oder Einstellungen, die der Endnutzer von IKT-Produkten oder -Diensten zur Aufrechterhaltung oder Verbesserung der Cybersicherheit vornehmen kann, und Kontaktinformationen einer zentralen Anlaufstelle zur Meldung von Cyberangriffen und zur Unterstützung im Fall von Cyberangriffen (neben der automatischen Berichterstattung) zur Verfügung gestellt werden. Diese Informationen sollten regelmäßig auf den neuesten Stand gebracht werden und auf einer Website, die Informationen über das europäische Schema für die Cybersicherheitszertifizierung bereitstellt, zur Verfügung stehen.

(94)

Mit Blick auf die Ziele dieser Verordnung und zur Vermeidung einer Fragmentierung des Binnenmarkts sollten nationale Schemata oder Verfahren für die Cybersicherheitszertifizierung für die IKT-Produkte, -Dienste oder -Prozesse, die unter ein europäisches Schema für die Cybersicherheitszertifizierung fallen, ab einem Zeitpunkt unwirksam werden, den die Kommission in Durchführungsrechtsakten festlegt. Zudem sollten die Mitgliedstaaten keine neuen nationalen Schemata für die Cybersicherheitszertifizierung der IKT-Produkte, -Dienste oder -Prozesse einführen, die bereits unter ein geltendes europäisches Schema für die Cybersicherheitszertifizierung fallen. Allerdings sollte es den Mitgliedstaaten freistehen, aus Gründen der nationalen Cybersicherheit nationale Cyberzertifizierungsschemata einzuführen oder beizubehalten. Die Mitgliedstaaten sollten die Kommission und die Europäische Gruppe für die Cybersicherheitszertifizierung über ihre Absicht unterrichten, neue nationale Schemata für die Cybersicherheitszertifizierung auszuarbeiten. Die Kommission und die Europäische Gruppe für die Cybersicherheitszertifizierung sollten die Auswirkungen des neuen nationalen Schemas für die Cybersicherheitszertifizierung auf das ordnungsgemäße Funktionieren des Binnenmarkts und im Hinblick auf das strategische Interesse bewerten, stattdessen einen Auftrag für ein europäisches Schema für die Cybersicherheitszertifizierung zu erteilen.

(95)

Die europäischen Schemata für die Cybersicherheitszertifizierung sollen dabei helfen, die Cybersicherheitsverfahren in der Union zu harmonisieren. Sie müssen dazu beitragen, das Niveau der Cybersicherheit in der Union zu erhöhen. Das Design der europäischen Schemata für die Cybersicherheitszertifizierung sollte weitere Innovationen im Bereich der Cybersicherheit berücksichtigen und ermöglichen werden.

(96)

Die europäischen Schemata für die Cybersicherheitszertifizierung sollten die derzeitigen Methoden der Software- und Hardware-Entwicklung und insbesondere die Auswirkungen häufiger Software- oder Firmware-Aktualisierungen zu einzelnen europäischen Cybersicherheitszertifikaten berücksichtigen. Bei den europäischen Schemata für die Cybersicherheitszertifizierung sollten die Bedingungen angegeben werden, unter denen eine Aktualisierung erfordern kann, dass ein IKT-Produkt, ein IKT-Dienst oder ein IKT-Prozess neu zertifiziert werden muss oder dass der Umfang des spezifischen europäische Cybersicherheitszertifikats eingeschränkt werden muss, wobei die möglichen nachteiligen Auswirkungen der Aktualisierung auf die Einhaltung der Sicherheitsanforderungen des Zertifikats zu berücksichtigen sind.

(97)

Sobald ein europäisches Schema für die Cybersicherheitszertifizierung eingeführt worden ist, sollten die Hersteller oder die Anbieter von IKT-Produkten, -Diensten oder -Prozessen die Zertifizierung ihrer IKT-Produkte, -Dienste oder -Prozesse bei einer nationalen Konformitätsbewertungsstelle ihrer Wahl an einem beliebigen Ort in der Union beantragen können. Die Konformitätsbewertungsstellen sollten, sofern sie bestimmten in dieser Verordnung festgelegten Anforderungen genügen, von einer nationalen Akkreditierungsstelle akkreditiert werden. Die Akkreditierung sollte für eine Höchstdauer von fünf Jahren erfolgen und unter denselben Bedingungen verlängert werden können, sofern die Konformitätsbewertungsstelle die Anforderungen weiterhin erfüllt. Die nationalen Akkreditierungsstellen sollten die einer Konformitätsbewertungsstelle erteilte Akkreditierung beschränken, aussetzen oder widerrufen, wenn die Voraussetzungen für die Akkreditierung nicht erfüllt wurden oder nicht mehr erfüllt werden oder wenn die Konformitätsbewertungsstelle gegen diese Verordnung verstößt.

(98)

Verweise im nationalen Recht, die sich auf nationale Normen beziehen, die aufgrund des Inkrafttretens eines europäischen Schemas für die Cybersicherheitszertifizierung keine Rechtswirkung mehr haben, können zu Verwirrung führen. Daher sollten die Mitgliedstaaten der Annahme eines europäischen Schemas für die Cybersicherheitszertifizierung in ihren nationalen Rechtsvorschriften Rechnung zu tragen.

(99)

Zur Erreichung gleichwertiger Standards in der gesamten Union, zur Erleichterung der gegenseitigen Anerkennung und zur Förderung der allgemeinen Akzeptanz der Europäischen Cybersicherheitszertifikate und EU-Konformitätserklärungen bedarf es eines Systems der gegenseitigen Begutachtung der nationalen Behörden für die Cybersicherheitszertifizierung. Die gegenseitige Begutachtung sollte Verfahren für Folgendes umfassen: Überwachung der Übereinstimmung der IKT-Produkte, -Dienste und -Prozesse mit den europäischen Cybersicherheitszertifikaten, Überwachung der Verpflichtungen der Hersteller oder Anbieter von IKT-Produkten, -Diensten und -Prozessen, die eine Selbstbewertung der Konformität vornehmen, Überwachung der Konformitätsbewertungsstellen sowie Angemessenheit des Fachwissens des Personals der Einrichtungen, die Zertifikate für die Vertrauenswürdigkeitsstufe „hoch“ ausstellen. Die Kommission sollte im Wege von Durchführungsrechtsakten mindestens einen Fünfjahresplan für gegenseitige Begutachtungen sowie Kriterien und Methoden für die Abwicklung der gegenseitigen Begutachtungen festlegen können.

(100)

Unbeschadet des allgemeinen Systems der gegenseitigen Begutachtung, das zwischen allen nationalen Behörden für die Cybersicherheitszertifizierung im Rahmen der europäischen Cybersicherheitszertifizierung eingerichtet werden soll, können bestimmte Schemata für die europäische Cybersicherheit ein Verfahren zur gegenseitigen Begutachtung der Stellen für die Ausstellung europäischer Cybersicherheitszertifikate für IKT-Produkte, -Dienste und -Prozesse auf der Vertrauenswürdigkeitsstufe „hoch“ im Rahmen solcher Schemata umfassen. Die Gruppe für die Cybersicherheitszertifizierung sollte die Umsetzung der Verfahren der gegenseitigen Begutachtung unterstützen. Bei solchen gegenseitigen Begutachtungen sollte insbesondere bewertet werden, ob die betreffenden Stellen ihre Aufgaben einheitlich ausführen; zudem können sie Einspruchsmöglichkeiten umfassen. Die Ergebnisse der gegenseitigen Begutachtungen sollten veröffentlicht werden. Die betreffenden Stellen können entsprechend geeignete Maßnahmen ergreifen, um ihre Verfahren und Sachkenntnisse anzupassen.

(101)

Die Mitgliedstaaten sollten eine oder mehrere nationale Behörden für die Cybersicherheitszertifizierung benennen, die die Einhaltung der sich aus dieser Verordnung ergebenden Verpflichtungen beaufsichtigen. Eine nationale Behörde für die Cybersicherheitszertifizierung kann eine bereits bestehende oder eine neue Behörde sein. Ein Mitgliedstaat sollte im gegenseitigen Einvernehmen mit einem anderen Mitgliedstaat auch eine oder mehrere nationale Behörden für die Cybersicherheitszertifizierung im Hoheitsgebiet dieses anderen Mitgliedstaats benennen können.

(102)

Die nationalen Behörden für die Cybersicherheitszertifizierung sollten insbesondere die Verpflichtungen der in ihrem jeweiligen Hoheitsgebiet niedergelassenen Hersteller oder Anbieter von IKT-Produkten, -Diensten oder -Prozessen in Bezug auf die EU-Konformitätserklärung überwachen und durchsetzen, die nationalen Akkreditierungsstellen bei der Überwachung und Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen durch Bereitstellung von Sachkenntnis und einschlägigen Informationen unterstützen, Konformitätsbewertungsstellen ermächtigen, ihre Aufgaben wahrzunehmen, wenn diese in einem europäischen Schema für die Cybersicherheitszertifizierung festgelegte zusätzliche Anforderungen erfüllen, und einschlägige Entwicklungen auf dem Gebiet der Cybersicherheitszertifizierung verfolgen. Die nationalen Behörden für die Cybersicherheitszertifizierung sollten auch Beschwerden bearbeiten, die von natürlichen oder juristischen Personen in Bezug auf die von diesen Behörden ausgestellten europäischen Cybersicherheitszertifikate oder die in Verbindung mit den europäischen Cybersicherheitszertifikaten von Konformitätsbewertungsstellen ausgestellten Zertifikate für die Vertrauenswürdigkeitsstufe „hoch“ eingereicht werden, den Beschwerdegegenstand, soweit angemessen, untersuchen und den Beschwerdeführer über die Fortschritte und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist unterrichten. Darüber hinaus sollten die nationalen Behörden für die Cybersicherheitszertifizierung mit anderen nationalen Behörden für die Cybersicherheitszertifizierung und anderen öffentlichen Stellen zusammenarbeiten, auch indem sie Informationen über die etwaige Nichtkonformität von IKT-Produkten, -Diensten und -Prozessen mit den Anforderungen dieser Verordnung oder bestimmten europäischen Schemata für die Cybersicherheitszertifizierung austauschen. Die Kommission sollte diesen Informationsaustausch erleichtern, indem sie ein allgemeines elektronisches Informationssystem zur Unterstützung bereitstellt, zum Beispiel das internetgestützte Informations- und Kommunikationssystem zur europaweiten Marktüberwachung (Information and Communication System on Market Surveillance — ICSMS) und das gemeinschaftliche System zum raschen Austausch von Informationen über die Gefahren bei der Verwendung von Konsumgütern (Community system for the rapid exchange of information on dangers arising from the use of consumer products — RAPEX), die in Übereinstimmung mit der Verordnung (EG) Nr. 765/2008 bereits von Marktüberwachungsbehörden genutzt werden.

(103)

Für eine einheitliche Anwendung des europäischen Rahmens für die Cybersicherheitszertifizierung sollte eine europäische Gruppe für die Cybersicherheitszertifizierung eingesetzt werden, die sich aus Vertretern der nationalen Behörden für die Cybersicherheitszertifizierung oder anderer zuständiger nationaler Behörden zusammensetzt. Die Gruppe für die Cybersicherheitszertifizierung sollte vor allem die Kommission bei ihren Tätigkeiten zur Gewährleistung einer einheitlichen Umsetzung und Anwendung des europäischen Rahmens für die Cybersicherheitszertifizierung beraten und unterstützen, die ENISA bei der Ausarbeitung der möglichen Cybersicherheitszertifizierungsschemata unterstützen und mit ihr eng zusammenarbeiten, in entsprechend begründeten Fällen die ENISA mit der Ausarbeitung eines möglichen Schemas beauftragen, an die ENISA gerichtete Stellungnahmen zu möglichen Schemata annehmen, und an die Kommission gerichtete Stellungnahmen zur Pflege und Überprüfung vorhandener europäischer Schemata für die Cybersicherheitszertifizierung annehmen. Die Gruppe für die Cybersicherheitszertifizierung sollte den Austausch von bewährten Verfahren und Sachkenntnissen zwischen den verschiedenen nationalen Behörden für die Cybersicherheitszertifizierung, die für die Ermächtigung der Konformitätsbewertungsstellen und die Ausstellung von Europäischen Cybersicherheitszertifikaten zuständig sind, erleichtern.

(104)

Zur Sensibilisierung und um die Akzeptanz künftiger europäischer Schemata für die Cybersicherheitssicherheit zu erhöhen, kann die Kommission allgemeine und sektorspezifische Cybersicherheitsleitlinien herausgeben, die sich beispielsweise auf bewährte Verfahren oder verantwortungsvolles Verhalten im Bereich der Cybersicherheit beziehen, und dabei die Vorteile der Verwendung zertifizierter IKT-Produkte, -Dienste und -Prozesse hervorheben.

(105)

Da die IKT-Lieferketten weltumspannend sind, kann die Union zur weiteren Erleichterung des Handels gemäß Artikel 218 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) Abkommen über die gegenseitige Anerkennung von europäischen Cybersicherheitszertifikaten schließen. Die Kommission kann unter Berücksichtigung der Ratschläge der ENISA und der europäischen Gruppe für die Cybersicherheitszertifizierung die Aufnahme entsprechender Verhandlungen empfehlen. In jedem europäischen Schema für die Cybersicherheitszertifizierung sollten spezifische Bedingungen für diese Abkommen über die gegenseitige Anerkennung bei Drittländern vorgesehen werden.

(106)

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (22) ausgeübt werden.

(107)

Das Prüfverfahren sollte für die Annahme der Durchführungsrechtsakte über die europäischen Schemata für die Cybersicherheitszertifizierung von IKT-Produkten, -Diensten oder -Prozessen, für die Annahme von Durchführungsrechtsakten über die Modalitäten für die Durchführung von Umfragen durch die ENISA, für die Annahme von Durchführungsrechtsakten über einen Plan für die gegenseitige Begutachtung der nationalen Behörden für die Cybersicherheitszertifizierung sowie für die Annahme von Durchführungsrechtsakten über die Umstände, Formate und Verfahren der Notifikation akkreditierter Konformitätsbewertungsstellen durch die nationalen Behörden für die Cybersicherheitszertifizierung bei der Kommission verwendet werden.

(108)

Die Tätigkeit der ENISA sollte regelmäßig und unabhängig bewertet werden. Diese Bewertung sollte sich darauf beziehen, inwieweit die ENISA ihre Ziele erreicht, wie sie arbeitet und inwieweit ihre Aufgaben relevant sind, insbesondere ihre Aufgaben bezüglich der operativen Zusammenarbeit auf Unionsebene. Zudem sollten Wirkung, Wirksamkeit und Effizienz des europäischen Rahmens für Cybersicherheitszertifizierung bewertet werden. Im Falle einer Überprüfung sollte die Kommission bewerten, wie die Rolle der ENISA als Bezugspunkt für Beratung und Sachkenntnis verstärkt werden kann und sollte ebenfalls die Möglichkeit einer Rolle der ENISA bei der Unterstützung der Bewertung von IKT-Produkten, -Diensten und -Prozessen aus Drittländern, die auf den Unionsmarkt gelangen und gegen die Unionsvorschriften verstoßen, bewerten.

(109)

Da die Ziele dieser Verordnung von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen ihres Umfangs und ihrer Wirkungen auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union (EUV) verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.

(110)

Die Verordnung (EU) Nr. 526/2013 sollte aufgehoben werden —